Angeknüpft an den Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ hat das britische Parlament am 21.09.2023 einen Beschluss „Data Bridge“ gefasst, der den Transfer personenbezogener Daten britischer Bürger in die USA regelt. Dieser trat am 12.10.2023 in Kraft. Der „Data Bridge“-Beschluss ermöglicht es Unternehmen aus dem Vereinigten Königreich, personenbezogene Daten an U.S.-amerikanische Unternehmen zu übersenden, wenn diese unter dem EU-U.S. Data Privacy Framework registriert sind und auch an der UK-Erweiterung teilnehmen. Britische Unternehmen werden sich daher in Zukunft auf den gleichen Rahmen berufen können wie EU-Unternehmen, wenn sie Daten in die USA übertragen. Sie müssen nur gesondert prüfen, ob die Empfangsunternehmen auch unter der UK-Erweiterung des Rahmens zertifiziert sind.

14.08.2023

Zum 01.09.2023 gilt in der Schweiz ein neues Datenschutzrecht. Dazu wurden das bestehende Datenschutzgesetz und die bestehende Datenschutzverordnung überarbeitet und durch neue, revidierte Gesetze ersetzt. Durch die Überarbeitung dieser Regelungen soll eine Anpassung an das europäische Datenschutzrecht erfolgen.

An der Zulässigkeit der Übermittlung personenbezogener Daten in die Schweiz ändert sich durch das neue Datenschutzrecht nichts. Der bisherige Angemessenheitsbeschluss bleibt auch nach Änderung der Gesetzeslage bestehen und Übermittlungen können auf diesen gestützt werden, ohne dass weitere geeignete Garantien wie Standarddatenschutzklauseln zu ergreifen wären.

Prüfen Sie, inwiefern Sie in der Schweiz tätig sind und in den Anwendungsbereich des schweizer Datenschutzrechts fallen könnten.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Am 20.03.2022 fand eine Änderung des § 28b IfSG statt. Die nun alte Fassung wurde stark eingekürzt. So wurde § 28b Abs. 3 IfSG beispielsweise komplett gestrichen. Aus diesem ging die Pflicht für alle Arbeitgeber sowie Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen hervor, dass die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 Absatz 2 Satz 1 (Zutritt nur mit bestimmtem „G-Status“) durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren sind. Dies bedeutet folglich, dass seit dem 20.03.2022 die Information über das Vorliegen eines konkreten Nachweises und dessen Gültigkeitsdauer nicht mehr aufgrund des § 28b IfSG erhoben und gespeichert werden darf. Eine Rechtsgrundlage für diese Verarbeitung personenbezogenen Daten besteht aus datenschutzrechtlicher Sicht daher nicht mehr.

Nun hat sich die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) in der Pressemeldung vom 19.04.2022 zu diesem Thema geäußert und Unternehmen dazu aufgefordert zu prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Wenn diese Maßnahmen und damit der Zweck der Datenverarbeitung weggefallen seien, müssen die Daten dringend gelöscht werden. Sie kündigte zudem an: „Ich behalte mir vor, hierzu in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen.“

Zwar hat sich bisher erst die LfD Niedersachsen hierzu geäußert. Es ist jedoch nicht unwahrscheinlich, dass in naher Zukunft auch weitere Aufsichtsbehörden diesbezüglich aktiv werden. Es empfiehlt sich daher, zu prüfen, ob in Ihrem Unternehmen noch personenbezogene Daten, die aufgrund der alten Version des IfSG erhoben hoben wurden (z.B. 3G-Kontrolle zur Zutrittskontrolle zum Arbeitsplatz), gespeichert sind. Sofern dies der Fall ist und der Zweck der Verarbeitung aufgrund der Änderung des IfSG nun entfallen ist, raten wir dazu, diese Daten unverzüglich zu löschen.

Die Pressemitteilung vom 19.04.2022 sowie ein Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zur Verarbeitung personenbezogener Daten im Zusammenhang mit der einrichtungsbezogenen Impfpflicht vom 13.04.2022 finden Sie hier:

• https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/corona-daten-spatestens-jetzt-loschen-210773.html
• https://lfd.niedersachsen.de/download/183035
• https://datenschutzkonferenz-online.de/media/dskb/2022_13_04_beschluss_DSK_20a_IfSG.pdf

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat eine aktualisierte Orientierungshilfe zur E-Mail-Verschlüsselung veröffentlicht.

In dieser zeigt die DSK die grundlegenden technischen Anforderungen an die Erbringung von E-Mail-Diensten auf. Des Weiteren wird erläutert, was zu beachten ist, um die Sorgfaltspflicht bei der Inanspruchnahme von E-Mail-Diensteanbietern einzuhalten. So müssen zum Schutz der personenbezogenen Daten beispielsweise öffentliche E-Mail-Diensteanbieter die Anforderungen der Richtlinie TR 03108-1 des BSI einhalten. Welche weiteren Anforderungen beim Versand und bei der Entgegennahme von E-Mail-Nachrichten durch Verantwortliche, ihre Auftragsverarbeiter und öffentliche E-Mail-Diensteanbieter auf dem Transportweg zu erfüllen sind, wird in der Orientierungshilfe konkret beschrieben.

Um festlegen zu können, welche Maßnahmen zum Schutz der personenbezogenen Daten geeignet sind, sieht die Datenschutzkonferenz zunächst vor, dass das Risiko für den Betroffenen in Bezug auf die jeweiligen Daten einzuordnen ist. Die Datenschutzkonferenz hält fest, dass die Verantwortung für den einzelnen Übermittlungsvorgang bei dem Sender liegt. Wer jedoch gezielt personenbezogene Daten per E-Mail entgegennehme, sei verpflichtet, die Voraussetzungen für den sicheren Empfang von E-Mail-Nachrichten über einen verschlüsselten Kanal zu schaffen. Das bedeute, dass der Empfangsserver mindestens den Aufbau von TLS-Verbindungen ermöglichen müsse und hierbei ausschließlich die in der BSI-Richtlinie TR 02102-2 aufgeführten Algorithmen verwenden dürfe. Um den Aufbau verschlüsselter Verbindungen zu erleichtern, solle der Verantwortliche für Verschlüsselung und Authentifizierung ein möglichst breites Spektrum an qualifizierten Algorithmen anbieten.

Bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen müsse der Verantwortliche sowohl eine qualifizierte Transportverschlüsselung sowie den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Der Empfänger sei dabei verpflichtet, eine derartige Kommunikation zu ermöglichen und bestehende Signaturen qualifiziert zu prüfen.

Die Orientierungshilfe mit den Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung von E-Mails mit den konkreten Informationen finden Sie hier.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Auch wenn die Themenvielfalt im Datenschutz weitgefächert ist, stoßen wir immer wieder auf ein bestimmtes Thema: Cookie- bzw. Consent-Banner.

Mit Hilfe eines Cookie-Banners soll die Einwilligung der Webseitenbesucher zur Nutzung unterschiedlicher Cookies, z.B. Tracking für Werbezwecke, eingeholt werden. Problematisch ist die rechtskonforme Gestaltung dieser Einwilligungen.

Teilweise fehlen z.B. transparente Informationen zu den eingesetzten Cookies, teilweise besteht nur die Möglichkeit der Annahme durch klicken auf einen einzelnen „okay“ Button und teilweise wird der Nutzer durch bestimmte farbliche Gestaltungen genötigt in die Cookie Nutzung einzuwilligen. Zudem ist es meistens nicht möglich die Einwilligung so einfach zu widerrufen, wie die Erteilung einer solchen erfolgt. Dies wird seitens der Datenschutzgrundverordnung (DSGVO) allerdings gefordert.

Nicht nur der ein oder andere Webseitenbesucher ärgert sich über den fehlerhaften Einsatz dieser Banner, sondern auch Datenschutzaufsichtsbehörden und Max Schrems von dem österreichischen Verein Non of your business (NOYB). Im Frühjahr 2021 begann NOYB damit, automatische Scans von Webseiten auf Fehlerhaftigkeit von Cookie-Bannern durchzuführen. Angedacht ist ein Scan von 10.000 Seiten. Am 31. Mai 2021 hat der Verein NOYB erstmals 500 Unternehmen aufgefordert ihre Cookie-Banner an die geltenden rechtlichen Anforderungen anzupassen. Einige Unternehmen reagierten zügig und passten ihre Cookie-Banner an. Andere Unternehmen reagierten nicht. Daher hat NOYB gegen 422 Unternehmen Beschwerden bei 10 verschiedenen Aufsichtsbehörden eingereicht und hofft auf wegweisende Entscheidungen. Einige europäische Aufsichtsbehörden (u.a. die französische CNIL und die italienische Garante) beschäftigen sich auch mit dem Thema des datenschutzgerechten Cookie-Banners. Im Fokus befindet sich dabei die Problematik, dass eine Einwilligung jederzeit leicht widerrufbar sein muss. In Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit fehlerhaften Cookie-Bannern den Kampf angesagt. Es wurden 50 Unternehmen postalisch aufgefordert ihre Cookie-Banner in Einklang mit den geltenden Datenschutzrecht zu bringen.

Sollten Sie Interesse an der Einführung bzw. Nutzung eines plausiblen Cookie-Banners haben, empfehlen wir Ihnen unseren Blogbeitrag „Eine Webseite ohne Cookie-Banner?“ für weiterführende Informationen zu lesen. Auch die Landesbeauftragte für den Datenschutz Niedersachsen hat auf ihrer Webseite Hinweise zur Erstellung eines Cookie-Banners erstellt. Für Fragen oder Anregungen freuen wir uns auf Ihren Anruf.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Das Thema Cookie-Banner ist in aller Munde. Und dennoch besteht diesbezüglich in vielen Unternehmen (teilweise sogar Werbeagenturen) Unsicherheit. Wann muss man einen Cookie-Banner setzen und kann eine Website eigentlich auch ohne Cookie-Banner rechtskonform sein?

Um diese Fragen zu beantworten ist zunächst zwischen Session Cookies (z.B. für die Funktionalität des Warenkorbs beim Onlineshopping oder zum Laden von Voreinstellungen zur Sprache) und Persistenten Cookies (z.B. zum Tracking oder zum Speichern und Laden von Nutzereinstellungen) zu unterscheiden. In diesen Cookies werden personenbezogene Daten (wie z.B. die IP-Adresse) gespeichert. Da für die Verarbeitung von personenbezogenen Daten immer das Vorliegen einer Rechtsgrundlage erforderlich ist und die Datenschutz-Grundverordnung hinsichtlich des Einsatzes von Cookies keine speziellen Regelungen vorsieht, kommen die Einwilligung und das berechtigte Interesse als Rechtsgrundlagen in Betracht.

Die Nutzung von Session Cookies, die ausschließlich dem Zweck dienen, die Website nutzerfreundlich darzustellen oder technisch erforderlich sind, kann in der Regel mit einem berechtigten Interesse begründet werden. Ob tatsächlich ein berechtigtes Interesse besteht, ist im Einzelfall mit einer dokumentierten Interessenabwägung für Implementieren des Cookies zu ermitteln. Cookies, bei denen kein berechtigtes Interesse besteht, dürfen nur dann aktiviert werden, wenn der Website-Besucher in die Nutzung eingewilligt hat. An dieser Stelle kommt der Cookie-Banner ins Spiel, der vor der Aktivierung den Website-Besucher über die einwilligungspflichtigen Cookies informiert, die der Website-Betreiber nutzen möchte. Nur, wenn der Website-Besucher die Einwilligung erteilt hat, dürfen die von der Einwilligung betroffenen Cookies aktiviert werden. Einwilligungsbedürftig sind beispielsweise regelmäßig Persistente Cookies, die zu Marketingzwecken (z.B. Tracking) eingesetzt werden.

Ob ein Cookie-Banner gesetzt werden muss, hängt somit davon ab, ob und wenn ja welche Cookies zu welchem Zweck auf der Website genutzt werden. Nicht auch zuletzt vor dem Hintergrund der Datensparsamkeit empfiehlt es sich, immer zu hinterfragen, ob auf den Einsatz bestimmter Cookies verzichtet werden kann. Denn nicht selten teilen uns Unternehmen mit, dass sie zwar Tracking-Cookies einsetzen, die Auswertungen aber nie einsehen. Werden keine Cookies auf der Website genutzt (wie es bei unserer ds²-Website zutrifft), muss auch kein Cookie-Banner gesetzt werden.

Benötigen Sie Unterstützung beim Thema Website datenschutzgerecht gestalten? Dann melden Sie sich gern bei unserem ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Immer wieder wird deutlich, dass bei vielen Unternehmen hinsichtlich des Prinzips der Speicherbegrenzung noch dringender Handlungsbedarf besteht.Auch die datenschutzrechtlichen Aufsichtsbehörden decken diesbezüglich kontinuierlich Defizite auf. Dies kommt Unternehmen teuer zu stehen. Aber wie geht es denn nun richtig?

Die Datenschutz-Grundverordnung (DSGVO) sieht den Grundsatz der Speicherbegrenzung bei der Verarbeitung personenbezogener Daten vor. Vereinfacht bedeutet es, dass die personenbezogenen Daten, die gespeichert werden, ein Ablaufdatum haben müssen und nicht dauerhaft gespeichert werden dürfen. Was zunächst so simpel klingt, stellt Unternehmen in der Praxis regelmäßig vor eine Herausforderung. Denn es muss gut durchdacht und nachvollziehbar begründet werden, wie lange die Speicherung der personenbezogenen Daten tatsächlich erforderlich ist.

Personenbezogene Daten dürfen nur dann verarbeitet werden - hierunter fällt auch die Speicherung - wenn es für die Verarbeitung eine Rechtsgrundlage gibt. Diese richtet sich nach dem Zweck der eigentlichen Verarbeitung. Ist der Zweck, zu dem die personenbezogenen Daten erhoben wurden, erfüllt, besteht grundsätzlich erst einmal keine Rechtsgrundlage mehr, die Daten weiter zu verarbeiten, d.h. zu speichern. Sollte daraufhin eine unmittelbare Löschung der Daten erfolgen, kann dies allerdings schnell zu Problemen führen - zum Beispiel mit dem Finanzamt. Denn der sofortigen Löschpflicht nach der DSGVO stehen oftmals gesetzliche Aufbewahrungspflichten entgegen, die berücksichtigt werden müssen. Die gesetzlichen Aufbewahrungspflichten können sich aus diversen Normen ergeben (z.B. dem HGB oder der Abgabenordnung). Folglich ist für jede Datenkategorie personenbezogener Daten einer Verarbeitungstätigkeit zu ermitteln, welchen Aufbewahrungspflichten der Verantwortliche unterliegt. Diese Überlegungen sollten bereits vor der Einführung einer Verarbeitungstätigkeit durchgeführt werden. Mit Hilfe der ermittelten Informationen hinsichtlich gesetzlicher Aufbewahrungspflichten und der tatsächlichen Erforderlichkeit der Speicherung der personenbezogenen Daten aus allen Verarbeitungstätigkeiten, sollte ein Löschkonzept erstellt werden. Wichtig hierbei ist, dass die vorgesehenen Löschfristen und -regeln im Unternehmen tatsächlich gelebt werden.

Benötigen Sie Unterstützung bei der Erstellung und Umsetzung eines Löschkonzepts oder möchten Sie mehr zu diesem Thema wissen? Wenden Sie sich gerne an unser ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Unternehmen verschiedenster Branchen organisieren sich heutzutage immer öfter in entsprechenden Verbänden, welche die Mitglieder mit der notwendigen Beratung und oft auch mit Rahmenvereinbarungen für wesentliche Dienstleistungen unterstützen. Experten der Branche informieren ihre Mitglieder über neuste Entwicklungen, Risiken im Beruf und Möglichkeiten der Verbesserung. 

Damit diese Leistungen möglichst präzise und aktuell auch zum Thema Datenschutz erfolgen können, haben Sie als Verband die Möglichkeit sich durch unsere professionelle Beratung zum Thema Datenschutz unterstützen zu lassen, um somit die Informationen und mögliche Anlaufstellen bereit zu stellen. Gerne stellen wir Ihnen unsere Rahmenkonzepte für Verbände und Dachorganisationen vor.

Aber nicht nur die Ersthilfe für Mitglieder spielt hier eine entscheidende Rolle. Auch die Verbände müssen ihre Daten vor Missbrauch und ungewolltem Zugriff schützen. Welche Möglichkeiten es hier gibt und welche Art der Mitgliederansprache und -werbung unbedenklich ist, können wir Ihnen ebenfalls erläutern.

Sie erreichen uns telefonisch unter +49 5421 308950. Wir freuen uns auf Ihren Anruf!

Wir bieten aufgrund unserer langjährigen Erfahrung ein maßgeschneidertes Datenschutz-Vorgehensmodell an, welches sich in drei Projektphasen unterteilen lässt:

Bestandsaufnahme

• Erfassen der aktuellen Datenschutzsituation durch die Analyse der Verarbeitungsprozesse in Ihrem Unternehmen.
• Ermittlung der tatsächlich erforderlichen Aktivitäten.
• Sie erhalten einen Bericht, der der Unternehmens-/ Behördenleitung präsentiert wird.
• Sie gewinnen erste Einblicke in die Arbeitsweise von ds².

 Projektbearbeitung

• Bearbeitung der Aufgaben, die sich aus der Bestandsaufnahme ergeben haben.
• Priorisierte Aufgaben werden zuerst wahrgenommen z.B. entsprechend dem risikobasierten Ansatz.
• Umfang und Dauer hängen hierbei erheblich von den ermittelten Risiken und der geleisteten Vorarbeit im Unternehmen ab.
• Im Zentrum stehen die Prozesse im Unternehmen – unser Anspruch ist die Verbesserung der Prozesse unter Berücksichtigung der gesetzlichen Anforderungen und der entsprechenden Datensicherheit.

 Regelmäßige Betreuung

• Ein ds²-Berater übernimmt die Aufgabe des externen Datenschutzbeauftragten, mindestens ein weiterer ds²-Berater wird als Stellvertreter tätig und begleitet alle drei Phasen.
• Die gesetzlichen Aufgaben nach BDSG und DSGVO werden durch diese ds²-Berater abgedeckt.
• Weitere Datenschutzaufgaben, die mangels interner Kapazitäten im Unternehmen / in der Behörde nicht bearbeitet werden, können im Beratungsauftrag zusätzlich übernommen werden.
• Für Projekte und Expansion stehen weitere ds²-Berater bereit.

Unser Anspruch

Best-Practice-Datenschutz ist prozessorientierter Datenschutz. Prozesse datenschutzgerecht, sicher und wirtschaftlich gestalten.

Weitere detaillierte Informationen zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Erschienen am 26. November 2020

Entgegen den Erwartungen der Gesetzgeber stecken immer noch viele Tausend Firmen in dem Prozess, Datenschutz in ihrem Unternehmen einzuführen, fest. Gründe gibt es viele, der wohl wichtigste ist: Viele versuchen, nur mit ein paar Formularen dem Gesetz Genüge zu tun, ohne die Unternehmensprozesse zu berücksichtigen.

Tatsächlich erleben wir immer wieder Unternehmen, die es auch nach Jahren nicht geschafft haben, die gesetzlichen Vorgaben in das Tagesgeschäft zu integrieren. Es liegen dabei oft schon umfangreiche Dokumente vor, die irgendwo eingekauft wurden, aber nichts mit den Prozessen im Unternehmen zu tun haben. Nicht selten wird der laufende Prozess frustriert abgebrochen, das Thema in die unterste Schublade verbannt.

Der Hauptgrund liegt unserer Erfahrung nach darin, dass der Datenschutz zu eindimensional gesehen wird: "Es geht nicht nur darum, einen Datenschutzbeauftragten zu berufen und ein paar Formulare auszufüllen. Datenschutz muss in die Prozesse integriert werden,“ ist die feste Überzeugung in unserem Team.

Und dazu gehört nicht nur die Betrachtung durch die juristische Brille. Die IT-Experten und auch die Prozessverantwortlichen müssen eingebunden werden. In vielen Fällen kann ein prozessual integrierter Datenschutz die Unternehmensabläufe beschleunigen. „Wer die Einführung des Datenschutzes nicht mehrdimensional angeht, wird die Furcht vor punktueller Lähmung eher bestätigt finden“, so Datenschutzexpertin Sabrina Daniel, die in unserem Team Unternehmen beim Restart der Datenschutzprojekte und der Einführung von Datenschutzmanagementsystemen unterstützt.

Um hier die Effizienz des Unternehmens zu erhalten und ggf. optimieren, bietet sich die Umsetzung der Anforderungen mittels eines Datenschutzmanagementsystems an. Managementsysteme sind in den Unternehmen bewährte Praxis und im Qualitätsbereich schon lange Standard. Diese Erfahrungen kann man auch für die Umsetzungen im Datenschutz nutzen. So kann bspw. ein Datenschutzmanagement in ein bestehendes Managementsystem integriert werden. In jedem Fall erleichtert ein Managementsystem die Gewährleistung der gesetzlich geforderten Rechenschaftspflicht erheblich.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.