Beim mobilen Arbeiten, wie im Homeoffice sind die datenschutzrechtlichen Vorgaben des Arbeitgebers einzuhalten. Da die Arbeitnehmer im Rahmen Ihrer Arbeitstätigkeit auch im Homeoffice auf Weisung des Arbeitgebers handeln, bleibt der Arbeitgeber datenschutzrechtlich verantwortlich. Daher muss dieser auch für die mobile Arbeit technische und organisatorische Maßnahmen, wie beispielsweise „Mobile Working Vereinbarungen“, treffen, um die Einhaltung datenschutzrechtlicher Vorgaben zu gewährleisten.
Grundsätzlich sollte darauf verzichtet werden, physische Dokumente oder Datenträger mit personenbezogenen Daten mit nach Hause oder andernorts mitzunehmen oder dort anzufertigen. Sofern dies unbedingt nötig sein sollte, ist darauf zu achten, dass Dritte, auch Familienmitglieder oder Mitbewohner, keinen Zugang zu den Daten haben und die Daten nicht einsehbar sind. Zumindest muss die Verwahrung in einem verschließbaren Schrank gewährleistet werden. Eine Entsorgung der personenbezogenen Daten im Hausmüll oder öffentlichen Müllbehältern ist untersagt. Die Dokumente und Dateien müssen datenschutzkonform vernichtet werden, z.B. durch professionelle Aktenvernichtung oder durch Entsorgung über die dafür vorgesehenen Wege im Büro. Der Laptop ist mindestens mit einem Kennwortschutz zu schützen – besser: durch Zwei-Faktor-Authentifizierung. Auch bei kurzer Inaktivität am Laptop sollte die Bildschirmsperre aktiviert werden.
Wird für die Arbeit der Zugriff auf das Firmennetzwerk benötigt, sollten Arbeitgeber dies mittels VPN-Verbindung ermöglichen. Zudem sollte keine lokale Speicherung von vertraulichen Daten auf dem Laptop selbst erfolgen, sondern nur auf den Servern des Firmennetzwerks. Auch effiziente Firewalls und Antivirensoftwares sollten arbeitgeberseitig zur Verfügung gestellt werden. Updates sind gegebenenfalls selbst vorzunehmen.
Der Artificial Intelligence Act, die sogenannte KI-Verordnung, ist da. Das Gesetz über künstliche Intelligenz (KI) soll für die Sicherheit und die Achtung der Grundrechte bei der Nutzung von KI innerhalb der EU sorgen und Innovationen fördern. Dabei legt die Verordnung Verpflichtungen für KI-Systeme fest und verbietet bestimmte KI-Anwendungen, wie beispielsweise Emotionserkennungssysteme am Arbeitsplatz. Wer KI im Unternehmen einsetzen möchte hat die Pflichten diese Verordnung, die mit hohem Aufwand einhergehen, zu beachten.
Der AIA wurde im EU-Amtsblatt veröffentlicht und wird am 1. August in Kraft treten. Das Gesetz wird 24 Monate nach seinem Inkrafttreten in vollem Umfang anwendbar sein, einige Teile davon jedoch schon früher.
Verstöße gegen diese Verordnung sind wie in der Datenschutzgrundverordnung mit hohen Bußgeldern belegt. Bei Zuwiderhandlung kann die EU-Kommission Geldbußen von bis zu 7 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr oder 35 Mio. € verhängen..
Neben europäischen Ländern erlassen auch immer mehr andere Länder Regelungen bezüglich des internationalen Datentransfers. Seit Dezember 2023 sind beispielsweise Unternehmen, die unter das chinesische Datenschutzrecht fallen, verpflichtet die chinesischen Standardvertragsklauseln (SCC) zu nutzen. Werden Daten aus China an einen Datenempfänger außerhalb Chinas transferiert, so müssen die chinesischen SCC vorliegen, sofern kein anderer Transfermechanismus (Zertifizierung oder Sicherheitsbewertung) vorliegt. Die chinesischen SCC gelten grundsätzlich für jeden Transfer personenbezogener Daten aus China in andere Länder, unabhängig von der Rolle des Empfängers (Verantwortlicher oder Auftragsverarbeiter) und unabhängig davon, ob es sich um ein Konzernunternehmen oder einen Dritten handelt. Die SCC können jedoch weiterhin nur unter bestimmten Voraussetzungen zum Einsatz kommen.
Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft („DPA“) für den Einsatz von „Microsoft 365“ erarbeitet.
Die vorgegebene Auftragsverarbeitungsvereinbarung von Microsoft entspricht in Ihrer derzeitigen Form nicht den Anforderungen des Art. 28 Abs. 3 DSGVO. Die von den Aufsichtsbehörden erarbeitete Handreichung soll den datenschutzechtlich Verantwortlichen helfen, die Problemfelder zu erkennen und auf vertragliche Änderungen hinzuwirken.
Die Handreichung kann hier abgerufen werden: https://www.lfd.niedersachsen.de/download/199434
KI-Anwendungen wie Chatbots haben Einzug in Unternehmen gehalten. Der datenschutzrechtliche Umgang mit der KI war bislang ungeklärt. Nun hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) eine Orientierungshilfe zum Thema „Künstliche Intelligenz und Datenschutz“ herausgegeben.
Mit der Orientierungshilfe legt die DSK datenschutzrechtliche Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor.
Die Orientierungshilfe richtet sich an den datenschutzrechtlich Verantwortlichen und mittelbar auch an Entwickler, Hersteller und Anbieter von KI-Systemen. Sie gibt nun die Erwartungshaltung der Aufsichtsbehörden an den Einsatz von KI im Unternehmen vor.
Die Orientierungshilfe finden Sie unter https://www.datenschutzkonferenz-online.de/orientierungshilfen.html.
EuGH Urteil vom 05.12.2023
Um beurteilen zu können, ob die juristische Person „Deutsche Wohnen SE“ ein Bußgeld in Höhe von 14 Mio. EUR zahlen muss, hat sich das Kammergericht Berlin im Rahmen eines Vorabentscheidungsersuchens mit zwei Fragen an den EuGH gewandt. Die Deutsche Wohnen SE hatte trotz mehrfacher Aufforderung einer Aufsichtsbehörde die entsprechenden Mieterdaten nicht gelöscht. Gemäß Art. 83 Abs. 2 lit. b DSGVO soll bei der Verhängung von Bußgeldern unter anderem der Aspekt des Vorsatzes bzw. der Fahrlässigkeit berücksichtigt werden. Fraglich war zum einen, ob ein Bußgeld auch verhängt werden darf, wenn trotz des Fehlens von Vorsatz/Fahrlässigkeit andere Voraussetzungen des Art. 83 Abs. 2 DSGVO vorliegen, was der EuGH mit dem Urteil vom 05.12.2023 (C-807/21) verneinte. Es muss ein schuldhafter Verstoß vorliegen, damit eine Geldbuße von der Aufsichtsbehörde verhängt werden darf.
Zum anderen war fraglich, ob für die Sanktionierung einer juristischen Person der Umweg über das Gesetz über Ordnungswidrigkeiten (OWig) gegangen werden muss oder ob diese auch direkt über die DSGVO sanktioniert werden können. Gemäß Art. 4 Nr. 7 DSGVO können sowohl natürliche als auch juristische Personen Verantwortliche im datenschutzrechtlichen Sinne sein. Entsprechend sind in Bezug auf Art. 83 Abs. 3 DSGVO bei „Verstößen von Verantwortlichen“ auch die Verstöße von juristischen Personen mitinbegriffen. Der Verantwortliche, der eine juristische Personen sein kann, kann demnach nicht nur für Verstöße von Unternehmensvertretern, Leitungspersonal, Geschäftsführern und Auftragsverarbeitern sondern auch direkt für Verstöße von jedem Mitarbeiter sanktioniert werden. Es kommt bei der Verhängung von Bußgeldern nicht darauf an, dass Leitungspersonal von entsprechenden Verstößen Kenntnis hatte.
Die höchsten Bußgelder des Jahres 2026 stammen aus Frankreich:
Die französische Datenschutzbehörde CNIL hat
Nach dem Schrems-II-Urteil dürfen Verantwortliche und Auftragsverarbeiter personenbezogene Daten nur dann an Drittländer oder internationale Organisationen übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter angemessene Garantien bieten und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Personen und wirksame Rechtsbehelfe für die betroffenen Personen verfügbar sind.
Dabei liegt es in der Verantwortung der Datenexporteure und der Datenempfänger zu prüfen, ob die Rechtsvorschriften im Empfängerland der Einhaltung dieser angemessenen Garantien entgegenstehen könnten.
Der Europäische Datenschutzausschuss hat neben einem Rechtsgutachten für China, Russland und Indien nun für die Türkei, Mexiko und Brasilien ein weiteres Gutachten über den Zugang der Regierungen dieser Länder zu personenbezogenen Daten, die von Wirtschaftsakteuren verarbeitet werden, herausgegeben.
In dem neuen Rechtsgutachten des EDSA werden eingehende Analysen der Rechtsvorschriften und der Praxis des staatlichen Zugriffs auf personenbezogenen Daten in den untersuchten Ländern vorgenommen. Das Gutachten enthält Informationen über die allgemeine Situation in den beobachteten Ländern und gibt dabei einen Überblick über die Menschenrechte, insb. dem Recht auf Privatsphäre, die Rechtsstaatlichkeit und Grundfreiheiten sowie die konkrete Anwendung der verfassungsrechtlichen Bestimmungen in der nationalen Rechtsprechung. Im Anschluss enthalten die Länderberichte einen Unterabschnitt, in dem die Zwecke, Bedingungen und Kontrollmechanismen des staatlichen Zugriffs auf personenbezogene Daten in den Ländern beleuchtet werden. In jedem Länderabschnitt ist ein Unterabschnitt zu den Rechten der betroffenen Personen, den Bedingungen für ihre Anwendbarkeit und den zu ihrer Durchsetzung verfügbaren Rechtsbehelfsmechanismen.
Angeknüpft an den Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ hat das britische Parlament am 21.09.2023 einen Beschluss „Data Bridge“ gefasst, der den Transfer personenbezogener Daten britischer Bürger in die USA regelt. Dieser trat am 12.10.2023 in Kraft. Der „Data Bridge“-Beschluss ermöglicht es Unternehmen aus dem Vereinigten Königreich, personenbezogene Daten an U.S.-amerikanische Unternehmen zu übersenden, wenn diese unter dem EU-U.S. Data Privacy Framework registriert sind und auch an der UK-Erweiterung teilnehmen. Britische Unternehmen werden sich daher in Zukunft auf den gleichen Rahmen berufen können wie EU-Unternehmen, wenn sie Daten in die USA übertragen. Sie müssen nur gesondert prüfen, ob die Empfangsunternehmen auch unter der UK-Erweiterung des Rahmens zertifiziert sind.
Test
123
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320