Nach dem Schrems-II-Urteil dürfen Verantwortliche und Auftragsverarbeiter personenbezogene Daten nur dann an Drittländer oder internationale Organisationen übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter angemessene Garantien bieten und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Personen und wirksame Rechtsbehelfe für die betroffenen Personen verfügbar sind.
Dabei liegt es in der Verantwortung der Datenexporteure und der Datenempfänger zu prüfen, ob die Rechtsvorschriften im Empfängerland der Einhaltung dieser angemessenen Garantien entgegenstehen könnten.
Der Europäische Datenschutzausschuss hat neben einem Rechtsgutachten für China, Russland und Indien nun für die Türkei, Mexiko und Brasilien ein weiteres Gutachten über den Zugang der Regierungen dieser Länder zu personenbezogenen Daten, die von Wirtschaftsakteuren verarbeitet werden, herausgegeben.
In dem neuen Rechtsgutachten des EDSA werden eingehende Analysen der Rechtsvorschriften und der Praxis des staatlichen Zugriffs auf personenbezogenen Daten in den untersuchten Ländern vorgenommen. Das Gutachten enthält Informationen über die allgemeine Situation in den beobachteten Ländern und gibt dabei einen Überblick über die Menschenrechte, insb. dem Recht auf Privatsphäre, die Rechtsstaatlichkeit und Grundfreiheiten sowie die konkrete Anwendung der verfassungsrechtlichen Bestimmungen in der nationalen Rechtsprechung. Im Anschluss enthalten die Länderberichte einen Unterabschnitt, in dem die Zwecke, Bedingungen und Kontrollmechanismen des staatlichen Zugriffs auf personenbezogene Daten in den Ländern beleuchtet werden. In jedem Länderabschnitt ist ein Unterabschnitt zu den Rechten der betroffenen Personen, den Bedingungen für ihre Anwendbarkeit und den zu ihrer Durchsetzung verfügbaren Rechtsbehelfsmechanismen.
Test
123
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna
23.10.2023
Das weitverbreitete Betriebssystem Windows sendet in den Grundeinstellungen diverse Daten über die Benutzer und die genutzten Geräte an den Hersteller Microsoft.
Bei der Übermittlung von Telemetriedaten handelt es sich um eine eigene Verarbeitung personenbezogener Daten, für die eine Rechtsgrundlage erforderlich ist und bei der die Grundsätze des Datenschutzes („privacy-by-design“, „privacy-by-default“, Informationspflichten etc.) einzuhalten sind. Das Abstellen der Übermittlung und der damit einhergehenden Vereinfachungen hinsichtlich des Datenschutzes kann daher von großem Interesse sein. Zumal die Erfüllung der Rechenschaftspflicht recht anspruchsvoll werden kann.
Um die Übermittlung von Telemetriedaten durch geeignete Einstellungen größtmöglich zu unterbinden, hat der Bayerische Landesbeauftragte für den Datenschutz eine mit Screenshots angereicherte Handreichung herausgegeben:
https://www.datenschutz-bayern.de/datenschutzreform2018/aki50.pdf
Wir empfehlen, möglichst weitgehende Einschränkungen bezüglich der Telemetriedaten umzusetzen und die Handreichung als sinnvolle Hilfe zu nutzen.
21.08.2023
Wie wird meine Website genutzt? Werden bestimmte Inhalte überhaupt vom Nutzer wahrgenommen? Wie lange bleibt der Nutzer auf meiner Website? Für die Beantwortung dieser und anderer Fragen können Websitebetreiber verschiedene Tools, darunter auch Google Analytics, einsetzen. Der Betreiber kann mit Hilfe des Google Analyse-Tools vorab die gewünschten Einstellungen zur Erhebung der Daten konfigurieren. Anschließend kann er die Nutzerdaten nach bestimmten Parametern auswerten.
Seit dem 01.07.2023 löst „Google Analytics 4“ (GA4) das alte Webanalyse-Tool „Universal Analytics“ (GA3) ab. Am 01.01.2024 läuft die Übergangsfrist aus, in der Sie weiterhin auf alte Daten zugreifen können.
Mit dem Nachfolger GA4 stellt Google wesentliche Verbesserungen im Bereich des Datenschutzes in Aussicht:
- Anonymisierung: Die IP-Adressen der Website-Nutzer werden nur noch für die Geo-Lokalisierung genutzt und anschließend anonymisiert.
- Google Signal: Die Zuordnung der erhobenen Daten zu einem Google-Konto kann unterbunden werden indem Google Signals deaktiviert wird.
- Datenverarbeitung: Die Daten von Betroffenen mit Endgeräten in der EU werden fortan auf innereuropäischen Servern verarbeitet und gespeichert.
- Geo- und Gerätedaten: GA4 ermöglicht es vorab die Einstellungen bezüglich der Genauigkeit von Geo- und Gerätedaten zu konfigurieren.
Diese Verbesserungen reichen allerdings nicht aus, um DSGVO-konform zu sein. Eine Anonymisierung der Daten, wie es Google Analytics 4 vorsieht, ist nach der Lokalisierung zu spät. Und auch obwohl die Daten nun auf Servern in Europa verarbeitet werden, verhindert dies den Zugriff der US-Behörden nicht gänzlich.
Desweiteren sind datenschutzkonforme Einwilligungen von Nutzern einzuholen, da Google Analytics standardmmäßig Cookies für das Tracking nutzt sowie KI einsetzt um nutzertypisches Verhalten zu erkennen und zusammenzuführen. Daneben sind weitere Maßnahmen durchzuführen damit Ihr Unternehmen Google Analtyics 4 datenschutzkonform nutzen kann.
ds² hilft Ihnen bei diesem Thema gerne weiter!
2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
14.07.2023
Die EU-Kommission hat am 10.07.2023 im Wege eines Durchführungsrechtsaktes gemäß Art. 45 Abs. 3 DSGVO beschlossen, dass die USA ein mit der EU vergleichbares Datenschutzniveau hat. Ein Angemessenheitsbeschluss ist eines von mehreren in der DSGVO vorgesehenen Instrumenten, das für die Übermittlung von personenbezogenen Daten aus der EU/EWR in ein Drittland ein angemessenes Schutzniveau garantiert. Basierend auf dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ können ab sofort personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) an die USA fließen, ohne dass weitere Schutzmaßnahmen, Bedingungen oder Genehmigungen erforderlich sind. Gültig ist der Angemessenheitsbeschluss nur, wenn der Datenempfänger unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das US-Handelsministerium „U.S. Department of Commerce“ veröffentlicht eine entsprechende Liste (https://www.dataprivacyframework.gov/list) mit deren Hilfe eine Überprüfung der Zertifizierung möglich ist.
Der neue Angemessenheitsbeschluss hat Relevanz für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, bspw. bei der Nutzung von Cloud-Services oder im Rahmen des konzerninternen Datenverkehrs.
Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten ihre Datenflüsse untersuchen und prüfen, ob Ihre US-Datenempfänger auf der Liste des US-Handelsministeriums aufgeführt sind.
Falls Ihre Datenempfänger nicht auf der Liste des US-Handelsministeriums aufgeführt sind, sollten passende Standarddatenschutzklauseln (SCC) geschlossen werden oder alternative Rechtsgrundlagen in Erwägung gezogen werden (andere geeignete Garantien gem. Art. 46 DSGVO).
Ihr Datenschutzbeauftragter wird Sie hierbei unterstützen!
© 2025 by ds² Unternehmensberatung GmbH & Co. KG.
14.07.2023
Das Europäische Parlament und der Rat haben im Jahr 2019 eine EU-Whistleblower-Richtlinie (EU) 2019/1937 beschlossen, die bis zum 17.12.2021 in nationales Recht umgesetzt werden musste. Das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, wurde letztlich vom Bundestag mit Zustimmung des Bundesrates im Mai 2023 beschlossen. Das Hinweisgeberschutzgesetz (HinSchG) tritt am 2. Juli 2023 in Kraft.
Ein Hinweisgebersystem dient den Mitarbeitenden eines Unternehmens sowie den Geschäftspartnern, Kunden und weiteren Stakeholdern als zentrale Stelle zur Meldung von Fehlverhalten. Damit haben Unternehmen die Möglichkeit auf Missstände schnell zu reagieren und Schäden vom Unternehmen abzuwenden und Unternehmensprozesse zu verbessern.
Das neue Gesetz regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen/Hinweisgeber oder engl. „Whistleblower“). Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.
Unternehmen mit 50 oder mehr Beschäftigten sind dazu verpflichtet, eine interne Meldestelle einzurichten. Dabei gilt diese Verpflichtung für Unternehmen mit mehr als 249 Beschäftigten unmittelbar ab dem 02.07.2023 (wobei die entsprechende Bußgeldvorschrift erst am 01. Dezember 2023 in Kraft tritt); für Unternehmen von 50 bis 249 Beschäftigten gilt eine Übergangsfrist bis zum 17. Dezember 2023.
Bei der Meldung von Verstößen gem. des Hinweisgeberschutzgesetzes werden personenbezogene Daten verarbeitet. Die Datenerhebung umfasst Angaben über die beschuldigte Person, die (angeblichen) Verstöße und die entsprechenden Sachverhalte. Bei nicht anonymen Meldungen kommen personenbezogene Angaben wie Name der meldenden Person, ihre Position im Unternehmen und gegebenenfalls auch die Umstände der Beobachtung der Verstöße in Betracht. Deshalb sind eine Vielzahl datenschutzrechtlicher Maßnahmen zu treffen.
Sprechen Sie uns gerne an!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
05.06.2023
Im Urteil C-300/21 wurden dem EuGH die Fragen vorgelegt, ob ein
bloßer Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen und ob ein dadurch entstandener immaterieller Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren sollte geklärt werden, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.
Der EuGH urteilte, dass für einen Schadenersatzanspruch drei kumulative Voraussetzungen vorliegen müssen:
05.06.2023
Gemäß Art. 15 DSGVO hat die betroffene Person das Recht von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffenden personenbezogenen Daten verarbeitet werden. Darüber hinaus hat die betroffene Person gem. Art. 15 Abs 3. DSGVO das Recht, eine kostenlose Kopie der sie betreffenden personenbezogenen Daten zu verlangen.
Im nun veröffentlichten Urteil des EuGH (Rechtssache C-487/21) hatte dieser geklärt, dass das Recht, eine „Kopie“ zu erhalten, bedeutet, dass der betroffenen Person eine originaltreue und verständliche Reproduktion aller über sie gespeicherten personenbezogenen Daten übermittelt werden muss.
Dies impliziert Kopien von Auszügen aus Dokumenten oder von ganzen Dokumenten. Es kann aber auch ein Auszug aus Datenbanken verlangt werden, wenn dies unerlässlich ist, um das Auskunftsrecht geltend zu machen.
Eine rein allgemeine Beschreibung der personenbezogenen Daten, die
Gegenstand der Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten entspricht nicht der Definition von „Kopie“.
Die betroffene Person muss aus dem Auskunftsrecht überprüfen können, ob die sie betreffenden personenbezogenen Daten nicht nur richtig sind, sondern auch rechtmäßig verarbeitet wurden.
09.05.2023
In einem offenen Brief (abrufbar hier) vom 22.03.2023 fordern Experten aus Forschung, Wissenschaft und der Tech-Branche der ganzen Welt eine mindestens 6-monatige Entwicklungspause von Künstlicher Intelligenz (KI), die leistungsfähiger ist als „GPT-4“. Ist dies nicht zeitnah realisierbar, so schlagen die Verfasser vor, dass die Regierungen eingreifen und ein Moratorium verhängen.
Die Forderung begründen die Verfasser damit, dass ihrer Meinung nach „KI-Systeme mit einer dem Menschen ebenbürtigen Intelligenz tiefgreifende Risiken für die Gesellschaft und die Menschheit darstellen.“
Der Vorstandsvorsitzende des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD), Thomas Spaeing, unterstützt zu 100% die Ansicht der Verfasser, dass zur Zeit weder die notwendige Planung noch das nötige (Risiko-)Management stattfinden, welche aktuell in Bezug auf KI-Entwicklung nötig wären. Er verweist ausdrücklich auf den im offenen Brief angeführten Umstand, dass es mittlerweile Niemandem mehr möglich sei, die immer mächtiger werdenden künstlichen Intelligenzen zu verstehen und zuverlässig zu kontrollieren bzw. zu prüfen.
Gefordert wird allerdings keine generelle Abkehr von der KI-Entwicklung, sondern eine Trainings-Pause, die genutzt wird, um bspw. Sicherheitsprotokolle zu entwickeln, die wiederum von unabhängigen, fairen Experten kontrolliert werden können. Werden diese Protokolle eingehalten, so soll dies die zweifelsfreie Sicherheit eines Systems bekräftigen und unberechenbare Black-Box-Modelle verhindern.
In dieser Pause sollen KI-Entwickler und Regierungen gemeinsam u.a. auch klären wie mit Schäden, die eine KI verursacht, künftig umgegangen werden soll.
Zu den Unterzeichnern des offenen Briefes gehören u.a. Apple-Mitgründer Steve Wozniak, Tech-Milliardär Elon Musk und Pioniere der KI-Entwicklung wie Stuart Russel. Bereits 30.000 Unterschriften wurden gesammelt, verifiziert wurden davon aktuell schon 27.565 (Stand Dienstag, 09.05.2023, 12:00 Uhr).
Laut DSGVO ist der Datenschutzbeauftragte (DSB) ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Ihm sind bei der Erfüllung seiner Aufgaben aus Art. 39 DSGVO keine Anweisungen bezüglich der Ausübung dieser Aufgaben zu machen und er hat die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zu erhalten.
Ein Unternehmen aus Luxemburg hat nun ein Bußgeld in Höhe von 15.000 € erhalten, weil der DSB nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden wurde. Es gab keine Prozesse oder formalisierte Kontrollpläne des DSB, sondern dieser wurde lediglich auf einer ad-hoc-Basis in entsprechende Kontrollen eingebunden.
Die monatlichen Berichte an die höchste Managementebene mussten vom DSB zudem zuvor mit dem Verwaltungs- und Finanzdirektor abgestimmt werden. Nach Auffassung der Datenschutzbehörde genügte dies nicht den datenschutzrechtlichen Vorgaben an die Autonomie des Datenschutzbeauftragten. Der DSB muss dazu in der Lage sein, den Inhalt seiner Berichte unabhängig festzulegen. Des Weiteren hatte der (interne) Datenschutzbeauftragte keine ausreichende Schulung/Fortbildung erhalten, um den Verantwortlichen ordnungsgemäß und unabhängig beraten und informieren zu können.
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320