Am 20.03.2022 fand eine Änderung des § 28b IfSG statt. Die nun alte Fassung wurde stark eingekürzt. So wurde § 28b Abs. 3 IfSG beispielsweise komplett gestrichen. Aus diesem ging die Pflicht für alle Arbeitgeber sowie Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen hervor, dass die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 Absatz 2 Satz 1 (Zutritt nur mit bestimmtem „G-Status“) durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren sind. Dies bedeutet folglich, dass seit dem 20.03.2022 die Information über das Vorliegen eines konkreten Nachweises und dessen Gültigkeitsdauer nicht mehr aufgrund des § 28b IfSG erhoben und gespeichert werden darf. Eine Rechtsgrundlage für diese Verarbeitung personenbezogenen Daten besteht aus datenschutzrechtlicher Sicht daher nicht mehr.

Nun hat sich die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) in der Pressemeldung vom 19.04.2022 zu diesem Thema geäußert und Unternehmen dazu aufgefordert zu prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Wenn diese Maßnahmen und damit der Zweck der Datenverarbeitung weggefallen seien, müssen die Daten dringend gelöscht werden. Sie kündigte zudem an: „Ich behalte mir vor, hierzu in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen.“

Zwar hat sich bisher erst die LfD Niedersachsen hierzu geäußert. Es ist jedoch nicht unwahrscheinlich, dass in naher Zukunft auch weitere Aufsichtsbehörden diesbezüglich aktiv werden. Es empfiehlt sich daher, zu prüfen, ob in Ihrem Unternehmen noch personenbezogene Daten, die aufgrund der alten Version des IfSG erhoben hoben wurden (z.B. 3G-Kontrolle zur Zutrittskontrolle zum Arbeitsplatz), gespeichert sind. Sofern dies der Fall ist und der Zweck der Verarbeitung aufgrund der Änderung des IfSG nun entfallen ist, raten wir dazu, diese Daten unverzüglich zu löschen.

Die Pressemitteilung vom 19.04.2022 sowie ein Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zur Verarbeitung personenbezogener Daten im Zusammenhang mit der einrichtungsbezogenen Impfpflicht vom 13.04.2022 finden Sie hier:

• https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/corona-daten-spatestens-jetzt-loschen-210773.html
• https://lfd.niedersachsen.de/download/183035
• https://datenschutzkonferenz-online.de/media/dskb/2022_13_04_beschluss_DSK_20a_IfSG.pdf

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat eine aktualisierte Orientierungshilfe zur E-Mail-Verschlüsselung veröffentlicht.

In dieser zeigt die DSK die grundlegenden technischen Anforderungen an die Erbringung von E-Mail-Diensten auf. Des Weiteren wird erläutert, was zu beachten ist, um die Sorgfaltspflicht bei der Inanspruchnahme von E-Mail-Diensteanbietern einzuhalten. So müssen zum Schutz der personenbezogenen Daten beispielsweise öffentliche E-Mail-Diensteanbieter die Anforderungen der Richtlinie TR 03108-1 des BSI einhalten. Welche weiteren Anforderungen beim Versand und bei der Entgegennahme von E-Mail-Nachrichten durch Verantwortliche, ihre Auftragsverarbeiter und öffentliche E-Mail-Diensteanbieter auf dem Transportweg zu erfüllen sind, wird in der Orientierungshilfe konkret beschrieben.

Um festlegen zu können, welche Maßnahmen zum Schutz der personenbezogenen Daten geeignet sind, sieht die Datenschutzkonferenz zunächst vor, dass das Risiko für den Betroffenen in Bezug auf die jeweiligen Daten einzuordnen ist. Die Datenschutzkonferenz hält fest, dass die Verantwortung für den einzelnen Übermittlungsvorgang bei dem Sender liegt. Wer jedoch gezielt personenbezogene Daten per E-Mail entgegennehme, sei verpflichtet, die Voraussetzungen für den sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal zu schaffen. Das bedeute, dass der Empfangsserver mindestens den Aufbau von TLS-Verbindungen ermöglichen müsse und hierbei ausschließlich die in der BSI-Richtlinie TR 02102-2 aufgeführten Algorithmen verwenden dürfe. Um den Aufbau verschlüsselter Verbindungen zu erleichtern, solle der Verantwortliche für Verschlüsselung und Authentifizierung ein möglichst breites Spektrum an qualifizierten Algorithmen anbieten.

Bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen müsse der Verantwortliche sowohl eine qualifizierte Transportverschlüsselung sowie den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Der Empfänger sei dabei verpflichtet, eine derartige Kommunikation zu ermöglichen und bestehende Signaturen qualifiziert zu prüfen.

Die Orientierungshilfe mit den Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung von E-Mails mit den konkreten Informationen finden Sie hier.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Auch wenn die Themenvielfalt im Datenschutz weitgefächert ist, stoßen wir immer wieder auf ein bestimmtes Thema: Cookie- bzw. Consent-Banner.

Mit Hilfe eines Cookie-Banners soll die Einwilligung der Webseitenbesucher zur Nutzung unterschiedlicher Cookies, z.B. Tracking für Werbezwecke, eingeholt werden. Problematisch ist die rechtskonforme Gestaltung dieser Einwilligungen.

Teilweise fehlen z.B. transparente Informationen zu den eingesetzten Cookies, teilweise besteht nur die Möglichkeit der Annahme durch klicken auf einen einzelnen „okay“ Button und teilweise wird der Nutzer durch bestimmte farbliche Gestaltungen genötigt in die Cookie Nutzung einzuwilligen. Zudem ist es meistens nicht möglich die Einwilligung so einfach zu widerrufen, wie die Erteilung einer solchen erfolgt. Dies wird seitens der Datenschutzgrundverordnung (DSGVO) allerdings gefordert.

Nicht nur der ein oder andere Webseitenbesucher ärgert sich über den fehlerhaften Einsatz dieser Banner, sondern auch Datenschutzaufsichtsbehörden und Max Schrems von dem österreichischen Verein Non of your business (NOYB). Im Frühjahr 2021 begann NOYB damit, automatische Scans von Webseiten auf Fehlerhaftigkeit von Cookie-Bannern durchzuführen. Angedacht ist ein Scan von 10.000 Seiten. Am 31. Mai 2021 hat der Verein NOYB erstmals 500 Unternehmen aufgefordert ihre Cookie-Banner an die geltenden rechtlichen Anforderungen anzupassen. Einige Unternehmen reagierten zügig und passten ihre Cookie-Banner an. Andere Unternehmen reagierten nicht. Daher hat NOYB gegen 422 Unternehmen Beschwerden bei 10 verschiedenen Aufsichtsbehörden eingereicht und hofft auf wegweisende Entscheidungen. Einige europäische Aufsichtsbehörden (u.a. die französische CNIL und die italienische Garante) beschäftigen sich auch mit dem Thema des datenschutzgerechten Cookie-Banners. Im Fokus befindet sich dabei die Problematik, dass eine Einwilligung jederzeit leicht widerrufbar sein muss. In Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit fehlerhaften Cookie-Bannern den Kampf angesagt. Es wurden 50 Unternehmen postalisch aufgefordert ihre Cookie-Banner in Einklang mit den geltenden Datenschutzrecht zu bringen.

Sollten Sie Interesse an der Einführung bzw. Nutzung eines plausiblen Cookie-Banners haben, empfehlen wir Ihnen unseren Blogbeitrag „Eine Webseite ohne Cookie-Banner?“ für weiterführende Informationen zu lesen. Auch die Landesbeauftragte für den Datenschutz Niedersachsen hat auf ihrer Webseite Hinweise zur Erstellung eines Cookie-Banners erstellt. Für Fragen oder Anregungen freuen wir uns auf Ihren Anruf.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Das Thema Cookie-Banner ist in aller Munde. Und dennoch besteht diesbezüglich in vielen Unternehmen (teilweise sogar Werbeagenturen) Unsicherheit. Wann muss man einen Cookie-Banner setzen und kann eine Website eigentlich auch ohne Cookie-Banner rechtskonform sein?

Um diese Fragen zu beantworten ist zunächst zwischen Session Cookies (z.B. für die Funktionalität des Warenkorbs beim Onlineshopping oder zum Laden von Voreinstellungen zur Sprache) und Persistenten Cookies (z.B. zum Tracking oder zum Speichern und Laden von Nutzereinstellungen) zu unterscheiden. In diesen Cookies werden personenbezogene Daten (wie z.B. die IP-Adresse) gespeichert. Da für die Verarbeitung von personenbezogenen Daten immer das Vorliegen einer Rechtsgrundlage erforderlich ist und die Datenschutz-Grundverordnung hinsichtlich des Einsatzes von Cookies keine speziellen Regelungen vorsieht, kommen die Einwilligung und das berechtigte Interesse als Rechtsgrundlagen in Betracht.

Die Nutzung von Session Cookies, die ausschließlich dem Zweck dienen, die Website nutzerfreundlich darzustellen oder technisch erforderlich sind, kann in der Regel mit einem berechtigten Interesse begründet werden. Ob tatsächlich ein berechtigtes Interesse besteht, ist im Einzelfall mit einer dokumentierten Interessenabwägung für Implementieren des Cookies zu ermitteln. Cookies, bei denen kein berechtigtes Interesse besteht, dürfen nur dann aktiviert werden, wenn der Website-Besucher in die Nutzung eingewilligt hat. An dieser Stelle kommt der Cookie-Banner ins Spiel, der vor der Aktivierung den Website-Besucher über die einwilligungspflichtigen Cookies informiert, die der Website-Betreiber nutzen möchte. Nur, wenn der Website-Besucher die Einwilligung erteilt hat, dürfen die von der Einwilligung betroffenen Cookies aktiviert werden. Einwilligungsbedürftig sind beispielsweise regelmäßig Persistente Cookies, die zu Marketingzwecken (z.B. Tracking) eingesetzt werden.

Ob ein Cookie-Banner gesetzt werden muss, hängt somit davon ab, ob und wenn ja welche Cookies zu welchem Zweck auf der Website genutzt werden. Nicht auch zuletzt vor dem Hintergrund der Datensparsamkeit empfiehlt es sich, immer zu hinterfragen, ob auf den Einsatz bestimmter Cookies verzichtet werden kann. Denn nicht selten teilen uns Unternehmen mit, dass sie zwar Tracking-Cookies einsetzen, die Auswertungen aber nie einsehen. Werden keine Cookies auf der Website genutzt (wie es bei unserer ds²-Website zutrifft), muss auch kein Cookie-Banner gesetzt werden.

Benötigen Sie Unterstützung beim Thema Website datenschutzgerecht gestalten? Dann melden Sie sich gern bei unserem ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Immer wieder wird deutlich, dass bei vielen Unternehmen hinsichtlich des Prinzips der Speicherbegrenzung noch dringender Handlungsbedarf besteht.Auch die datenschutzrechtlichen Aufsichtsbehörden decken diesbezüglich kontinuierlich Defizite auf. Dies kommt Unternehmen teuer zu stehen. Aber wie geht es denn nun richtig?

Die Datenschutz-Grundverordnung (DSGVO) sieht den Grundsatz der Speicherbegrenzung bei der Verarbeitung personenbezogener Daten vor. Vereinfacht bedeutet es, dass die personenbezogenen Daten, die gespeichert werden, ein Ablaufdatum haben müssen und nicht dauerhaft gespeichert werden dürfen. Was zunächst so simpel klingt, stellt Unternehmen in der Praxis regelmäßig vor eine Herausforderung. Denn es muss gut durchdacht und nachvollziehbar begründet werden, wie lange die Speicherung der personenbezogenen Daten tatsächlich erforderlich ist.

Personenbezogene Daten dürfen nur dann verarbeitet werden - hierunter fällt auch die Speicherung - wenn es für die Verarbeitung eine Rechtsgrundlage gibt. Diese richtet sich nach dem Zweck der eigentlichen Verarbeitung. Ist der Zweck, zu dem die personenbezogenen Daten erhoben wurden, erfüllt, besteht grundsätzlich erst einmal keine Rechtsgrundlage mehr, die Daten weiter zu verarbeiten, d.h. zu speichern. Sollte daraufhin eine unmittelbare Löschung der Daten erfolgen, kann dies allerdings schnell zu Problemen führen - zum Beispiel mit dem Finanzamt. Denn der sofortigen Löschpflicht nach der DSGVO stehen oftmals gesetzliche Aufbewahrungspflichten entgegen, die berücksichtigt werden müssen. Die gesetzlichen Aufbewahrungspflichten können sich aus diversen Normen ergeben (z.B. dem HGB oder der Abgabenordnung). Folglich ist für jede Datenkategorie personenbezogener Daten einer Verarbeitungstätigkeit zu ermitteln, welchen Aufbewahrungspflichten der Verantwortliche unterliegt. Diese Überlegungen sollten bereits vor der Einführung einer Verarbeitungstätigkeit durchgeführt werden. Mit Hilfe der ermittelten Informationen hinsichtlich gesetzlicher Aufbewahrungspflichten und der tatsächlichen Erforderlichkeit der Speicherung der personenbezogenen Daten aus allen Verarbeitungstätigkeiten, sollte ein Löschkonzept erstellt werden. Wichtig hierbei ist, dass die vorgesehenen Löschfristen und -regeln im Unternehmen tatsächlich gelebt werden.

Benötigen Sie Unterstützung bei der Erstellung und Umsetzung eines Löschkonzepts oder möchten Sie mehr zu diesem Thema wissen? Wenden Sie sich gerne an unser ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Der Austritt des Vereinigten Königreichs aus der EU hat auch für den Datenschutz gravierende Folgen. Denn Datenflüsse personenbezogener Daten in ein Land, welches nicht der EU oder dem EWR angehört, sind nur dann zulässig, wenn besondere Bedingungen der Datenschutz-Grundverordnung erfüllt werden. Welche Regelungen nun im speziellen Fall des Brexits getroffen wurden und was Unternehmen tun sollten, fassen wir in diesem Beitrag zusammen. 

Am 24. Dezember 2020 haben sich die Kommission der Europäischen Union und die Regierung des Vereinigten Königreichs auf ein Handels- und Kooperationsabkommen geeinigt, welches sodann am 01. Januar 2021 vorläufig in Kraft trat. Neben anderen Themenpunkten wurden auch wichtige Regelungen bezüglich der Datenübermittlung ins Vereinigte Königreich getroffen:

• Es besteht ab dem 01. Januar 2021 eine Übergangsfrist von bis zu vier Monaten, in der Datenübermittlungen in das Vereinigte Königreich nicht als Übermittlungen in ein Drittland behandelt werden.
• Diese Übergangsfrist kann sich um zwei weitere Monate verlängern, sofern weder die EU noch das Vereinigte Königreich der Verlängerung widerspricht.
• Die Übergangsfrist endet vorzeitig, wenn die EU-Kommission einen Angemessenheitsbeschluss gem. Art. 45 DSGVO erlässt. Sodann wäre das Vereinigte Königreich als ein Drittland mit einem angemessenen Datenschutzniveau zu behandeln.

Wird innerhalb der Übergangsfrist kein Angemessenheitsbeschluss erlassen, gelten Datenübermittlungen in das Vereinigte Königreiche (je nachdem, ob der Fristverlängerung widersprochen wird oder nicht) ab dem 01. Mai 2021 bzw. ab dem 01. Juli 2021 als Drittlandübermittlungen. Als Rechtsgrundlage kämen für diese Datenübermittlungen (sofern keine Ausnahmen gem. Art. 49 DSGVO bestehen) dann nur noch der Abschluss von Standarddatenschutzklauseln oder die Anwendung von verbindlichen internen Datenschutzvorschriften gem. Art. 47 DSGVO in Frage.

Wird innerhalb der Übergangsfrist ein Angemessenheitsbeschluss erlassen, besteht für Unternehmen, die Daten in das Vereinigte Königreich übermitteln zunächst kein Handlungsbedarf. Jedoch sieht der Gesetzgeber vor, dass erlassene Angemessenheitsbeschlüsse mindestens alle vier Jahre noch einmal durch die Kommission überprüft werden. Sind in dieser Zeit Rechtsänderungen in dem Drittland vorgenommen worden, wird geprüft, ob das Datenschutzniveau noch den Anforderungen der DSGVO entspricht. Führen Rechtsänderungen zur Beeinträchtigung des Schutzniveaus personenbezogener Daten, kann dies zur Folge haben, dass der Angemessenheitsbeschluss auch wieder aufgehoben wird.

Was sollten Unternehmen jetzt tun?

Da noch nicht absehbar ist, ob ein Angemessenheitsbeschluss erlassen wird und ob dieser nach vier Jahren noch Bestand hat, ist es für Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, empfehlenswert, nun folgendes zu tun:

• Ermittlung aller Datenflüsse auf die Übermittlung in das Vereinigte Königreich.
• Prüfung aller Datenübermittlungen in das Vereinigte Königreich auf die Erforderlichkeit.
  • Sofern auf Dienstleister im Vereinigten Königreich verzichtet werden kann, empfiehlt es sich, dies zu unterlassen oder die Dienstleistungen an Dienstleister mit Sitz in der EU oder dem EWR zu verlagern.
  • Sofern nicht auf Datenübertragungen in das Vereinigte Königreich verzichtet werden kann, sollten schnellstmöglich die Standarddatenschutzklauseln abgeschlossen werden.

Update vom 19.02.2021: Die Europäische Kommission hat am 19.02.2021 das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen zur Übermittlung personenbezogener Daten in das Vereinigte Königreich eingeleitet. Für den Abschluss des Verfahrens ist noch die Einholung einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) sowie die Zustimmung der Vertreter der Mitgliedstaaten im Rahmen des sogenannten Ausschussverfahrens erforderlich. Die Einholung der Stellungnahme der EDSA wurde bereits veranlasst. Sofern die Stellungnahme eingeholt bzw. die Zustimmungen eingeholt wurde, könnte die Kommission die Angemessenheitsbeschlüsse annehmen.

Update vom 10.05.2021: Die erste Übergangsfrist, in der Datenübermittlungen in das Vereinigte Königreich nicht als Übermittlungen in ein Drittland behandelt werden, ist verstrichen. Da weder die EU noch das Vereinigte Königreich der Verlängerung widersprochen haben, ist der 01. Juli 2021 nun der Stichtag bis zu dem Datum ein Angemessenheitsbeschluss der EU vorgelegt werden muss. Ansonsten ist das Vereinigte Königreich wie ein Drittland bei der Übermittlung personenbezogener Daten zu behandeln.Die EDSA bezog nun Stellung zu dem Entwurf. Diese sagt aus, dass die britischen Datenschutzgesetze weitgehend auf dem EU-Datenschutzrahmen basieren, jedoch noch Handlungsbedarf besteht, und gab Empfehlungen ab. Nun muss letztlich die Zustimmung der Mitgliedstaaten für den Angemessenheitsbeschluss für Großbritannien eingeholt werden, damit die Kommission eine endgültige Entscheidung über den Angemessenheitsbeschluss treffen kann.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte an unser ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Dank der Globalisierung rückt die Welt zusammen. Wirtschaftliche Betätigung und auch die Datenflüsse verlaufen stetig globaler. Ziel der Datenschutzgrundverordnung ist die Gewährleistung eines einheitlichen europäischen Schutzniveaus für die Datenverarbeitung europäischer Bürger im Drittland und die Datenverarbeitung in Europa.

Bis Sommer 2020 bestand mit den USA das sogenannte EU-US-Privacy-Shield-Abkommen. Dieses war aus Sicht der Europäischen Kommission ein Angemessenheitsbeschluss, vorbehaltlich der Tatsache, dass sich der Empfänger (z.B. ein Dienstleister) in den USA auf dieses Abkommen verpflichtet hat. Somit war die Datenübermittlung an Unternehmen in die USA, die sich verpflichtet hatten, bis dahin zulässig.

Nach „Safe Harbor“ nun auch „Privacy Shield“ gekippt!

Im Juli dieses Jahres erklärte der Europäische Gerichtshof (EuGH) nach dem Vorgänger nun auch den Privacy-Shield für unwirksam. Behörden in den USA können auf der Basis ihres Rechtssystems viele Daten, auf die US-amerikanische Unternehmen Zugriff haben einsehen. Das gilt unabhängig davon, wo diese Daten gespeichert sind – also ggf. auch Betriebsgeheimnisse und personenbezogene Daten – ohne dass EU-Unternehmen und EU-Bürger dagegen Rechtsmittel einlegen können.

Ein adäquates Datenschutzniveau kann so pauschal nicht sichergestellt werden. Wer allein auf der Basis des Privacy Shield weiterhin Daten in die USA übermittelt, handelt damit rechtswidrig. Die Kriterien, die an einen Datentransfer ins Drittland gestellt werden, gelten für alle sogenannten Drittländer ohne Angemessenheitsbeschluss. Dies sind bspw. auch China und Indien und zahlreiche andere Staaten außerhalb der EU. Auch die von der Kommission beschlossenen Standardvertragsklauseln müssen ein Schutzniveau für die personenbezogenen Daten sicherstellen, das dem in der EU entspricht.

Diese Kriterien gelten zukünftig insbesondere auch für Großbritannien. Noch ist das Land Teil der EU – doch nach vollzogenem Brexit wird auch Großbritannien ein Drittland sein.

Was können Unternehmen jetzt tun, um ihr Risiko zu senken?

1. Zunächst sollte für alle Prozesse analysiert werden, welche personenbezogenen Daten an welche Drittländer übermittelt werden. Für die festgestellten Datenübermittlungen an Empfänger im Drittland ist zu prüfen, ob ein Angemessenheitsbeschluss oder geeignete Garantien wie Standardvertragsklauseln vorliegen.
2. Für die Empfänger mit Standardvertragsklauseln kann z. B. durch eine fragenbogengestützte Analyse ermittelt werden, ob im Rechtssystem oder in der Praxis des Drittlands Anhaltspunkte dafür bestehen, dass allein durch die Standardvertragsklauseln das Datenschutzniveau nicht eingehalten werden kann.
3. Im nächsten Schritt sollte geprüft werden, ob zusätzliche technische und organisatorische Maßnahmen ergriffen werden können, um ein im Wesentlichen gleichwertiges Schutzniveau trotz dieser Risiken herzustellen. Eine derartige Maßnahme könnte insbesondere die Verschlüsselung der Daten darstellen.
4. In den Fällen, in denen keine zusätzlichen Maßnahmen geeignet sind, ein angemessenes Schutzniveau zu gewährleisten, sollte die Übermittlung beendet – zumindest aber deren Ablösung durch eine sichere und zulässige Verarbeitung strukturiert und dokumentiert betrieben werden.

Es empfiehlt sich unbedingt, die Vorgehensweise und die getroffenen Bewertungen zu dokumentieren, sodass im Zweifel nachgewiesen werden kann, dass sich das Unternehmen mit der gebotenen Sorgfalt mit diesem Thema auseinandergesetzt hat.

Wie geht es weiter?

Die EU-Kommission hat eine Arbeitsgruppe installiert, die sich mit der Entwicklung neuer EU-Standardvertragsklauseln befasst, um hier schnell Abhilfe zu schaffen. Diese hat Mitte November erste Ergebnisse vorgelegt, mit dem Ziel, bis zum Jahresende 2020 ein neues Verfahren zu etablieren. Wenn das gelingt, müssen diese neuen Standardvertragsklauseln mit den Empfängern in Drittstaaten vereinbart werden. Der qualifizierte betriebliche Datenschutzbeauftragte ist zu diesem Thema eine erste Anlaufstelle.

Es bleibt zu hoffen, dass die neuen Regelungen schnell zum Einsatz kommen – und sich die Vertragspartner auch daran halten. Langfristig ist es stets der sicherste Weg, einen Empfänger innerhalb der EU oder aus einem Staat, der mit der EU einen Angemessenheitsbeschluss erwirkt hat, zu wählen. Dies sind beispielsweise Kanada, Japan, Singapur, Schweiz und eine Reihe weiterer Staaten.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Unternehmen verschiedenster Branchen organisieren sich heutzutage immer öfter in entsprechenden Verbänden, welche die Mitglieder mit der notwendigen Beratung und oft auch mit Rahmenvereinbarungen für wesentliche Dienstleistungen unterstützen. Experten der Branche informieren ihre Mitglieder über neuste Entwicklungen, Risiken im Beruf und Möglichkeiten der Verbesserung. 

Damit diese Leistungen möglichst präzise und aktuell auch zum Thema Datenschutz erfolgen können, haben Sie als Verband die Möglichkeit sich durch unsere professionelle Beratung zum Thema Datenschutz unterstützen zu lassen, um somit die Informationen und mögliche Anlaufstellen bereit zu stellen. Gerne stellen wir Ihnen unsere Rahmenkonzepte für Verbände und Dachorganisationen vor.

Aber nicht nur die Ersthilfe für Mitglieder spielt hier eine entscheidende Rolle. Auch die Verbände müssen ihre Daten vor Missbrauch und ungewolltem Zugriff schützen. Welche Möglichkeiten es hier gibt und welche Art der Mitgliederansprache und -werbung unbedenklich ist, können wir Ihnen ebenfalls erläutern.

Sie erreichen uns telefonisch unter +49 5421 308950. Wir freuen uns auf Ihren Anruf!

Wir bieten aufgrund unserer langjährigen Erfahrung ein maßgeschneidertes Datenschutz-Vorgehensmodell an, welches sich in drei Projektphasen unterteilen lässt:

Bestandsaufnahme

• Erfassen der aktuellen Datenschutzsituation durch die Analyse der Verarbeitungsprozesse in Ihrem Unternehmen.
• Ermittlung der tatsächlich erforderlichen Aktivitäten.
• Sie erhalten einen Bericht, der der Unternehmens-/ Behördenleitung präsentiert wird.
• Sie gewinnen erste Einblicke in die Arbeitsweise von ds².

 Projektbearbeitung

• Bearbeitung der Aufgaben, die sich aus der Bestandsaufnahme ergeben haben.
• Priorisierte Aufgaben werden zuerst wahrgenommen z.B. entsprechend dem risikobasierten Ansatz.
• Umfang und Dauer hängen hierbei erheblich von den ermittelten Risiken und der geleisteten Vorarbeit im Unternehmen ab.
• Im Zentrum stehen die Prozesse im Unternehmen – unser Anspruch ist die Verbesserung der Prozesse unter Berücksichtigung der gesetzlichen Anforderungen und der entsprechenden Datensicherheit.

 Regelmäßige Betreuung

• Ein ds²-Berater übernimmt die Aufgabe des externen Datenschutzbeauftragten, mindestens ein weiterer ds²-Berater wird als Stellvertreter tätig und begleitet alle drei Phasen.
• Die gesetzlichen Aufgaben nach BDSG und DSGVO werden durch diese ds²-Berater abgedeckt.
• Weitere Datenschutzaufgaben, die mangels interner Kapazitäten im Unternehmen / in der Behörde nicht bearbeitet werden, können im Beratungsauftrag zusätzlich übernommen werden.
• Für Projekte und Expansion stehen weitere ds²-Berater bereit.

Unser Anspruch

Best-Practice-Datenschutz ist prozessorientierter Datenschutz. Prozesse datenschutzgerecht, sicher und wirtschaftlich gestalten.

Weitere detaillierte Informationen zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Erschienen am 26. November 2020

Entgegen den Erwartungen der Gesetzgeber stecken immer noch viele Tausend Firmen in dem Prozess, Datenschutz in ihrem Unternehmen einzuführen, fest. Gründe gibt es viele, der wohl wichtigste ist: Viele versuchen, nur mit ein paar Formularen dem Gesetz Genüge zu tun, ohne die Unternehmensprozesse zu berücksichtigen.

Tatsächlich erleben wir immer wieder Unternehmen, die es auch nach Jahren nicht geschafft haben, die gesetzlichen Vorgaben in das Tagesgeschäft zu integrieren. Es liegen dabei oft schon umfangreiche Dokumente vor, die irgendwo eingekauft wurden, aber nichts mit den Prozessen im Unternehmen zu tun haben. Nicht selten wird der laufende Prozess frustriert abgebrochen, das Thema in die unterste Schublade verbannt.

Der Hauptgrund liegt unserer Erfahrung nach darin, dass der Datenschutz zu eindimensional gesehen wird: "Es geht nicht nur darum, einen Datenschutzbeauftragten zu berufen und ein paar Formulare auszufüllen. Datenschutz muss in die Prozesse integriert werden,“ ist die feste Überzeugung in unserem Team.

Und dazu gehört nicht nur die Betrachtung durch die juristische Brille. Die IT-Experten und auch die Prozessverantwortlichen müssen eingebunden werden. In vielen Fällen kann ein prozessual integrierter Datenschutz die Unternehmensabläufe beschleunigen. „Wer die Einführung des Datenschutzes nicht mehrdimensional angeht, wird die Furcht vor punktueller Lähmung eher bestätigt finden“, so Datenschutzexpertin Sabrina Daniel, die in unserem Team Unternehmen beim Restart der Datenschutzprojekte und der Einführung von Datenschutzmanagementsystemen unterstützt.

Um hier die Effizienz des Unternehmens zu erhalten und ggf. optimieren, bietet sich die Umsetzung der Anforderungen mittels eines Datenschutzmanagementsystems an. Managementsysteme sind in den Unternehmen bewährte Praxis und im Qualitätsbereich schon lange Standard. Diese Erfahrungen kann man auch für die Umsetzungen im Datenschutz nutzen. So kann bspw. ein Datenschutzmanagement in ein bestehendes Managementsystem integriert werden. In jedem Fall erleichtert ein Managementsystem die Gewährleistung der gesetzlich geforderten Rechenschaftspflicht erheblich.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.