News

  • Meldung des Datenschutzbeauftragten an die zuständige Aufsichtsbehörde

    Meldung des Datenschutzbeauftragten an die zuständige Aufsichtsbehörde Gemäß Artikel 37 Absatz 7 DS-GVO hat der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten der Datenschutzbeauftragten zu veröffentlichen und hat diese Kontaktdaten der Aufsichtsbehörde mitzuteilen. Die meisten Aufsichtsbehörden haben früh kommuniziert, dass sie für diese Meldung Online-Formulare bereitstellen wollen um die Informationen effizient verarbeiten zu können. Wir wollen die Möglichkeit nutzen um Ihnen den aktuellen Stand (2018-06-25) zu den Meldeformularen bei den Aufsichtsbehörden der Bundesländer darzustellen: Baden-Württemberg Onlineformular Bayern (öffentliche) Onlineformular Bayern (nicht-öffentliche) Onlineformular Berlin Onlineformular Brandenburg Onlineformular Bremen Onlineformular Hamburg Onlineformular Hessen Onlineformular Mecklenburg-Vorpommern Onlineformular Niedersachsen Onlineformular soll nach dem 25.05.2018 freigeschaltet … weiterlesen>>
  • Automatisierte Prüfaktion für Webseiten-Verschlüsselung durch BayLDA vorgestellt

    Das Bayerische Landesamt für Datenschutzaufsicht hat am 10.10.2017 per Pressemitteilung [https://www.lda.bayern.de/media/pm2017_08.pdf], auf seinen Webseiten [https://www.lda.bayern.de/de/pressemitteilungen.html] und per RSS-Feed [https://www.lda.bayern.de/de/rss.xml] über die neueste Prüfaktion informiert. Unter Online-Services, HTTPS-Check [https://www.lda.bayern.de/de/httpscheck.html] bietet das BayLDA einen neuen Online-Service mit der Möglichkeit an, dass konkrete Webseiten zur Überprüfung mitgeteilt werden. Unternehmen, die ihre Website prüfen lassen möchten, erhalten ein schriftliches Feedback, Bürger, die Websites zur Prüfung mitteilen, erhalten kein Feedback, können sich „allerdings sicher sein, dass wir die Einhaltung der Mindestanforderungen an die HTTPS-Verschlüsselung bei den gemeldeten Webseiten sicherstellen werden.“. Was passiert nach der Prüfung? Hier geben die Hinweise [https://www.lda.bayern.de/de/httpscheckhinweis.html] und auch die oben genannte … weiterlesen>>
  • DS-GVO – Datenschutzkonferenz veröffentlicht Kurzpapiere 9 bis 11

    Die Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlicht seit Anfang Juli 2017 in lockerer Folge Kurzpapiere als erste Orientierung, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Arbeiten angewendet werden sollte (siehe dazu DS-GVO – Neues Kurzpapier der Datenschutzkonferenz veröffentlicht und DS-GVO – Weitere Kurzpapiere der Datenschutzkonferenz veröffentlicht). Hier geht es zum 9. Kurzpapier (Zertifizierung nach Art. 42 DS-GVO). Hier geht es zum 10. Kurzpapier (Informationspflichten bei Dritt- und Direkterhebung). Hier geht es zum 11. Kurzpapier (Recht auf Löschung / „Recht auf Vergessenwerden“). Die neuen Kurzpapiere beschäftigen sich mit der Möglichkeit der Zertifizierung von … weiterlesen>>
  • Leitfaden zum Swiss-US Privacy Shield durch eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) veröffentlicht

    Am 27.08.2017 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Webseite einen Leitfaden zum Swiss-US Privacy Shield veröffentlicht. Der in drei Teile gegliedert Leitfaden soll „einfach und verständlich“ über folgende Themenbereiche informieren: Verpflichtungen der für Privacy Shield zertifizierten Unternehmen und Rechte der betroffenen Personen. Wie kann Beschwerde gegen ein für Privacy Shield zertifiziertes Unternehmen erhoben werden? Die Ombudsstelle: Anlaufstelle für Beschwerden betreffend Personendatenbearbeitungen durch US Behörden. Der EDÖB hatte im Vorfeld schon Hinweise zum Swiss-US Privacy Shield veröffentlicht. Die EU-Kommission hatte im Juli 2016 die Angemessenheitsentscheidung zum EU-US Privacy Shield getroffen. Dieses kann seitdem als Rechtsgrundlage für Datenübermittlungen in … weiterlesen>>
  • DS-GVO: Englische Übersetzung des DSAnpUG-EU des BMI

    Das Bundesministerium des Innern (BMI) hat am 15.08.2017 per Mail unter anderem Datenschutzverbänden die englische Übersetzung des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) zukommen lassen – Act to Adapt Data Protection Law to Regulation (EU) 2016/679 and to Implement Directive (EU) 2016/680. Am 05. Juli 2017 wurde das DSAnpUG-EU im Bundesgesetzblatt veröffentlicht, seitdem besteht die Möglichkeit, sich mit den speziellen Regelungen zum Datenschutz, die in Deutschland ab 25.05.2018 abweichend bzw. ergänzend zur DS-GVO gelten werden, zu beschäftigen. Unternehmen sind mitunter Bestandteil internationaler Konzernstrukturen, hier ist es hilfreich, im englischsprachigen Ausland ein vergleichbares Dokument zur Hand zu haben. Umso begrüßenswerter ist die … weiterlesen>>
  • Bundesnetzagentur verhängt höchstmögliches Bußgeld wegen unerlaubter Telefonwerbung

    Homann: „Werden Kampf gegen telefonische Belästigung weiter intensivieren“ Die Bundesnetzagentur hat gegen die Energy2day GmbH laut Pressemitteilung vom 2. August 2017 das höchstmögliche Bußgeld von 300.000 Euro verhängt. Auslöser für das Bußgeld waren rechtswidrige Werbeanrufe für Energielieferverträge. „Nur ärgern und auflegen bringt nichts, Verbraucher sollten unerlaubte Werbeanrufe bei uns melden. Wenn wir detaillierte Schilderungen haben, können wir konsequent dagegen vorgehen“ sagt Jochen Homann, Präsident der Bundesnetzagentur. Telefonwerbung für Energielieferverträge Bei der Bundesnetzagentur hatten sich rund 2.500 Verbraucher über Werbeanrufe der Energy2day GmbH beschwert. Zahlreiche Verbraucher berichteten, dass sich die Anrufer als ihr örtlicher Energieversorger ausgegeben oder behauptet haben, sie würden … weiterlesen>>
  • DS-GVO – Weitere Kurzpapiere der Datenschutzkonferenz veröffentlicht

    Die Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlicht seit Anfang Juli 2017 in lockerer Folge Kurzpapiere als erste Orientierung, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Arbeiten angewendet werden sollte (siehe dazu auch DS-GVO – Neues Kurzpapier der Datenschutzkonferenz veröffentlicht). Hier geht es zum 5. Kurzpapier (Datenschutz-Folgenabschätzung). Hier geht es zum 6. Kurzpapier (Auskunftsrecht). Hier geht es zum 7. Kurzpapier (Marktortprinzip). Hier geht es zum 8. Kurzpapier (Massnahmenplan). Die neuen Kurzpapiere beschäftigen sich mit der Datenschutz-Folgenabschätzung (DFSA) gemäß Art. 35 DS-GVO (was ist eine DSFA, wann ist sie durchzuführen, wie ist sie durchzuführen), … weiterlesen>>
  • DS-GVO – Neues Kurzpapier der Datenschutzkonferenz veröffentlicht

    Die Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlicht seit Anfang Juli 2017 in lockerer Folge Kurzpapiere als erste Orientierung, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Arbeiten angewendet werden sollte. Hier geht es zum 4. Kurzpapier (Orientierung zur Datenübermittlung in Drittländer für den nicht-öffentlichen Bereich). Das Kurzpapier beschäftigt sich mit den Möglichkeiten, wie gemäß Artt. 44–49 DS-GVO ein rechtmäßiger Datentransfer in Länder außerhalb der EU bzw. des EWR sicherzustellen ist. Sie finden die vier bisher veröffentlichten Kurzpapiere (u.a. auch) auf der Seite des Landesbeauftragten für den Datenschutz Sachsen-Anhalt: https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/auslegungshilfen-zum-neuen-datenschutzrecht/ Diese Kurzpapiere steht alle … weiterlesen>>
  • DS-GVO – Wichtige Handlungsfelder für Unternehmen

    Die Herangehensweise an die Phasen der Umsetzung in der Praxis mittels gebündelter Maßnahmenpakete wurde am 14.07.2017 im Bundesministerium des Innern in Berlin anlässlich der BMI-Veranstaltung „Sind Sie / die KMU bereit für die Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz?“ in einem Vortrag zum Thema „DS-GVO – Wichtige Handlungsfelder für Unternehmen“ von Thomas Spaeing (Geschäftsführer ds² Unternehmensberatung GmbH & Co. KG) als Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. vorgestellt. Dieser Vortrag ist online verfügbar unter: https://www.bvdnet.de/ds-gvo-wichtige-handlungsfelder-fuer-unternehmen/ bzw. unter dem Direktlink: BMI-Handlungsfelder-für-Unternehmen_Präsentation_BvD_Thomas-Spaeing Haben Sie Fragen zur Umsetzung der Anforderungen aus der Datenschutz-Grundverordnung und aus dem neuen Bundesdatenschutzgesetz zum 25.05.2018? Sprechen Sie uns an, wir … weiterlesen>>
  • DS-GVO: Englische Prüfungsfragen der Datenschutzaufsichtsbehörde

    Anfang Juli hat das LDA Bayern nachgelegt und seinen Fragebogen auf Englisch veröffentlicht (https://www.lda.bayern.de/media/gdpr_questionnaire.pdf). Am 24.05.2017 hatte das BayLDA ein Jahr vor dem Anwendungszeitpunkt der DS-GVO (24.05.2017, Halbzeit auf dem Weg zum europäischen Datenschutzrecht) durch diesen Fragebogen vielen Unternehmen die Möglichkeit gegeben, selbst den bisherigen Stand der Anpassungstätigkeiten an die DS-GVO zu überprüfen. Mit diesem Fragebogen (https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf) können sich Verantwortliche oder Auftragsverarbeiter einfach vor Augen führen, welche Fragestellungen ab dem 25.05.2018 bei unzureichender Beantwortung zu erheblichen Sanktionen führen können. Unternehmen sind mitunter Bestandteil internationaler Konzernstrukturen, hier ist es hilfreich, im englischsprachigen Ausland ein vergleichbares Werkzeug zur Hand zu haben. Umso … weiterlesen>>
  • BDSG n.F. / DSAnpUG-EU im Bundesgesetzblatt veröffentlicht

    Am 05.07.2017 wurde im Bundesgesetzblatt Nr. 44 das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU / DSAnpUG-EU) veröffentlicht. Dieses enthält in Artikel 1 das Bundesdatenschutzgesetz in der Fassung, die ab dem 25.05.2018 in Kraft tritt. Bisher scheint sich die Schreibweise BDSG n.F. durchzusetzen. Das BDSG n.F. enthält, wie schon bereits die letzten veröffentlichten Versionen (Kabinettsbeschluss, danach noch Änderungen durch den Bundesrat etc.) gezeigt hatten, u.a. Regelungen zur Videoüberwachung, zur Benennpflicht für nichtöffentliche Stellen und zur konkreten Umsetzung von Sanktionen nach der DSGVO. In Artikel 7 wird … weiterlesen>>
  • Update: BGH Urteil zur Klarstellung des Personenbezugs von dynamischen IP-Adressen

    Am 20.10.2016 urteilte der Europäische Gerichtshof, dass dynamische IP-Adressen als personenbezogen einzustufen sind. Der BGH ist mit seinem Urteil vom 16.05.2017 der Entscheidung vom EuGH gefolgt. Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit, Andrea Voßhoff, begrüßt diese Entscheidung. Das Urteil finden Sie hier. Gerne informieren wir Sie näher zu diesem Thema.
  • Wir suchen Verstärkung!

    Für jeden der passende Einstieg – wir verstärken uns! Die Ansprüche unserer oft international tätigen Kunden an die Betreuung in Datenschutz und Datensicherheit wachsen und wir wachsen mit. Für diese spannende Tätigkeit suchen wir Teammitglieder, die sich für dieses Themenfeld ebenfalls begeistern können und uns engagiert und kompetent unterstützen möchten. Derzeit suchen wir: Berater Datenschutz m/w z.B. (Wirtschafts-)Jurist – (Wirtschafts-)Informatiker Berufserfahrene Bewerber/-innen mit Kenntnissen und Erfahrungen in Datenschutz und Datensicherheit sind uns gleichermaßen willkommen wie Absolventen/-innen, die nach einem fachbezogenen Studium als Assistenz der ds²-Datenschutzberater starten und so erste Erfahrungen im Bereich der Kundenbetreuung  gewinnen. Wir freuen uns auf Ihre … weiterlesen>>
  • BDSG-NEU: Kabinett beschließt Gesetzentwurf zur Anpassung des BDSG an die EU-DSGVO

    BDSG-NEU: Kabinett beschließt Gesetzentwurf zur Anpassung des BDSG an die EU-DSGVO Die Bundesregierung hat am 01.02.2017 den Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) beschlossen. Die ersten beiden Entwürfe des Bundesinnenministeriums (BMI) waren im September und November 2016 stark kritisiert und erneut überarbeitet worden. Am 10.03.2017 wird sich dann der Bundesrat mit dem nun beschlossenen Entwurf befassen. Zum einen soll das geplante Gesetz die deutschen Regelungen zum Datenschutz an die ab 25.05.2018 geltenden Vorschriften der EU-Datenschutzgrundverordnung (EU-DSGVO) anpassen. Die EU-DSGVO räumt den … weiterlesen>>
  • Leak des Entwurfs der ePrivacy Verordnung

    Am heutigen Tag wurde der Entwurf der ePrivacy Verordnung der EU-Kommission geleakt. Die ePrivacy Verordnung soll die bisherige Richtlinie 2002/58/EG i.V.m. der Cookie-Richtlinie ablösen und die EU-DSGVO im Hinblick auf die Verarbeitung von personenbezogenen Daten in der elektronischen Kommunikation ergänzen. Dabei wurde besonderer Wert auf datenschutzfreundliche Regelungen zu Werbeanrufen gelegt. Wenn Sie sich den Entwurf ansehen möchten, folgen Sie bitte diesem Link. Sollten Sie weitere Fragen zu der ePrivacy Verordnung haben, wenden Sie sich gerne an Ihren ds² Datenschutzbeauftragten.
  • Verschlüsselungstrojaner attackiert Personalabteilungen

    Seit dem 06.12.2016 ist der Verschlüsselungstrojaner „Goldeneye“ im Umlauf, der sich gezielt an Personalabteilungen richtet. Die in fehlerfreiem Deutsch verfassten Mails, die die Schadsoftware an die Empfänger in den Personalabteilungen aussendet, verwenden neben einer korrekte Anrede, die zu der Zieladresse passt auch den Bezug auf aktuelle Stellenangebote des Unternehmens. Öffnet ein Mitarbeiter die Excel-Tabelle im Anhang der Mail und aktiviert wie im Dokument aufgefordert die „Bearbeitungsfunktion“ (Makros), erfolgt die Infizierung des Computers und die Verschlüsselung der Daten im Hintergrund. Wir empfehlen eine Warnung an die Mitarbeiter herauszugeben und weitere Schutzmaßnahmen mit der IT abzustimmen. Weitere Informationen zu Angriffen dieser Art … weiterlesen>>
  • Zweiter Entwurf des „Neuen BDSG“ bekannt geworden

    Am 11.11.2016 hat das Bundesministerium des Innern eine 2. Fassung des Referentenentwurfs des „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU)“ vorgelegt. Der Entwurf wird in die Verbändeanhörung gegeben, nachdem innerhalb der Ministerien beraten wurde. Das DSAnpUG-EU hebt das bisherige BDSG auf und es wird ein neues BDSG geschaffen. Mit dem neuen Gesetz werden unter anderem Regelungsmöglichkeiten aus der EU-Datenschutzgrundverordnung genutzt. Hier finden Sie den Referentenentwurf. Falls Sie Fragen zu diesem Entwurf und haben, sprechen Sie uns gerne an! Wir werden Sie an dieser Stelle natürlich über die weiteren Entwicklungen informieren.
  • DSB-Interessenskonflikt führt im Einzelfall zu Bußgeld

    Das Bundesdatenschutzgesetz (BDSG), § 4f legt fest, wann ein Datenschutzbeauftragten (DSB) bestellt werden muss. In der Regel ist ein DSB erforderlich, weil mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (vgl. § 4f Abs. 1 Satz 4 BDSG). Dabei kann nicht jede Person zum DSB bestellt werden, da der DSB keinem „Interessenskonflikt“ unterliegen darf. Ein solcher liegt beispielsweise vor, wenn der DSB seine eigene Arbeit überwachen bzw. überprüfen muss. Aufsichtsbehörde Bayern (BayLDA)verhängt Bußgeld wg. Interessenskonflikt Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat ein bayerisches Unternehmen mit einem Bußgeld belegt, weil dieses den IT-Manager auch zum … weiterlesen>>
  • Koordinierte Prüfung durch Datenschutzaufsichtsbehörden

    500 Unternehmen erhalten Fragebogen bezüglich Übermittlungen ins nicht-europäische Ausland. Wie u.a. der Landesbeauftragte für den Datenschutz in Rheinland-Pfalz in seiner Pressemitteilung[i] vom 03.11.2016 mitgeteilt hat, nehmen „zehn deutsche Datenschutzaufsichtsbehörden“ „in einer koordinierten schriftlichen Prüfungsaktion“ „Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe“. An dieser gemeinsamen Aktion beteiligen sich die Aufsichtsbehörden der Bundesländer Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt. Bei der Prüfungsaktion werden von den Aufsichtsbehörden zufällig verantwortliche Stellen ausgewählt, über alle Bundesländer zusammen sollen 500 Unternehmen geprüft werden. Zitat dazu aus der Pressemitteilung der Berliner Aufsichtsbehörde[ii]: „Dabei werden insgesamt rund 500 Unternehmen angeschrieben, … weiterlesen>>
  • EU-Privacy Shield: Neue Grundlage für transatlantischen Datenverkehr tritt in Kraft

    Mit der Angemessenheitsentscheidung der EU-Kommission trat die umstrittene Regelung des Privacy Shield am 12.07.2016 in Kraft. Damit besteht für datenverarbeitende Unternehmen in der EU neben den Standardvertragsklauseln und Binding Corporate Rules eine weitere Möglichkeit, personenbezogene Daten an Empfänger in den USA zu übermitteln, ohne dass es einer Genehmigung durch die Datenschutzaufsicht für den Transfer bedarf oder dass einer der Ausnahmetatbestände nach § 4c BDSG vorliegt. US-Dienstleister im Bereich Datenverarbeitung können sich ab 01.08.2016 gegenüber dem US Handelsministerium durch eine verbindliche Erklärung nach dem EU-US-Privacy Shield Verfahren zertifizieren lassen. Bislang ist das beim US Handelsministerium geführte Register noch nicht zugänglich. Welche … weiterlesen>>
  • Safe Harbor ungültig: Erste Bußgelder verhängt

    Im Oktober 2015 wurde durch das Urteil des Gerichtshofes der Europäischen Union (EuGH) die „Safe-Harbor“- Entscheidung der Europäischen Kommission aufgehoben. Damit konnten auf der Safe-Harbor-Selbstverpflichtung basierende Datentransfers personenbezogener Daten in die USA nicht mehr zulässig durchgeführt werden. Für betroffene Unternehmen entstand somit unverzüglicher Handlungsbedarf bezüglich ihrer Datenübermittlungen an Unternehmen in den USA. Viele Unternehmen sind deshalb bereits auf die sogenannten EU-Standardvertragsklauseln als zulässige Alternative für den Datenaustausch mit den USA umgestiegen. Durch den Hamburgischen Datenschutzbeauftragten wurden 35 Prüfungen bei international agierenden Unternehmen mit Firmensitz in Hamburg durchgeführt. Die Mehrzahl der Unternehmen hatte den Datentransfer im Rahmen der Umsetzungsfrist rechtzeitig auf … weiterlesen>>
  • Datenschutz als Voraussetzung für das BEM

    Das Betriebliche Eingliederungsmanagement (BEM) ist ein Instrument mit dessen Hilfe der Arbeitgeber mit Zustimmung und Beteiligung von längerfristig oder wiederholt arbeitsunfähigen Arbeitnehmern klärt, wie die Arbeitsunfähigkeit möglichst überwunden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und somit der Arbeitsplatz erhalten werden kann. Neben dem Betriebs- oder Personalrat und gegebenenfalls der Schwerbehindertenvertretung können – soweit erforderlich – auch der Personal-/Werks- oder Betriebsarzt am BEM beteiligt werden. Das BEM ist seit dem 01.05.2004 in § 84 Abs. 2 SGB IX geregelt. Besteht die konkrete Absicht ein betriebliches Eingliederungsmanagement (BEM) durchzuführen, so bestehen bereits zu Anfang des Verfahrens Schnittstellen zum Datenschutz. … weiterlesen>>
  • EU-Datenschutzgrundverordnung ab 25.05.2018 anwendbar

    Heute erfolgte die Veröffentlichung der DSGVO im Amtsblatt der Europäischen Union. Damit tritt sie 20 Tage später in Kraft und wird nach einer zweijährigen Übergangszeit am 25.05.2018 für Unternehmen und Behörden anwendbar. Daraus ergibt sich ein Zeitraum von 750 Tagen ab Veröffentlichungsdatum, um die Prozesse der Datenverarbeitung den neuen Regelungen anzupassen. In Anbetracht der Vielzahl neuer Regelungen und Anforderungen ist diese zweijährige Frist für die Umstellung in der Praxis eher kurz bemessen. Die EU-Datenschutzgrundverordnung mit ihren 99 Artikeln und 173 Erwägungsgründen ist deutlich umfangreicher als das Bundesdatenschutzgesetz. Zudem richtet die DSGVO an den nationalen Gesetzgeber die Aufgabe, auf nationaler Ebene … weiterlesen>>
  • BVD Verbandstag in Berlin – Wettbewerbsvorteil Datenschutz

    Auf dem diesjährigen BvD-Verbandstag in Berlin hat der ds²-Inhaber und BvD-Vorstandsvorsitzende Thomas Spaeing zusammen mit dem ds²-Team und vielen Experten aus der Politik und Wirtschaft über die Bedeutung des Datenschutzes vor dem Hintergrund wachsender digitaler Anwendungen diskutiert. Der Verbandstag stand dieses Jahr unter dem Motto „Digitalisierung gestalten – Vertrauen schaffen“. Ein Thema, das dieses Jahr besonders im Fokus stand, war die vom EU-Parlament final verabschiedete Datenschutzgrundverordnung. Der nach wie vor hohe Datenschutzstandard in Deutschland entwickelt sich nach Meinung der Experten immer mehr zum Standortvorteil für Unternehmen. So entstehe in der Wirtschaft „ein Wettbewerbsvorteil durch guten Datenschutz“ laut BvD-Vorstandsvorsitzendem Thomas Spaeing. … weiterlesen>>
  • EU-Datenschutzgrundverordnung vom EU-Parlament final verabschiedet

    Es war ein langer Weg für die EU-Datenschutzgrundverordnung, doch mit der Zustimmung durch das Europäische Parlament am 14.04.2016 tritt sie nun 20 Tage nach erfolgter Veröffentlichung im elektronischen Amtsblatt der EU in Kraft. Damit wird sie für Unternehmen nach der zweijährigen Übergangsfrist voraussichtlich Ende Mai 2018 anwendbar – nicht viel Zeit, um sich auf die neuen datenschutzrechtlichen Verpflichtungen einzustellen. Denn die Änderungen sind umfangreich. Angefangen von der mit einer Beweislastumkehr verbundenen „Accountability“ (Rechenschafts- und Nachweispflicht für die Einhaltung der datenschutzrechtlichen Prinzipien der EU-Datenschutzgrundverordnung) kommen auch deutlich umfassendere Informations-, Transparenz- und Dokumentationspflichten auf die Unternehmen zu. Die Datenschutzpraxis im Unternehmen sollte … weiterlesen>>
  • EU-Datenschutzgrundverordnung beschlossen!

    Nachdem die Verhandlungsführer des EU-Parlaments und des EU-Rats sich am 14.12.2015 auf einen gemeinsamen Entwurf geeinigt haben, der LIBE-Ausschuss des EU-Parlaments diesen am 17.12.2015 bereits mit großer Mehrheit angenommen hat und am heutigen Montag auch der EU-Rat den Entwurf bestätigt hat, wird es jetzt ein wenig dauern, bis die EU-Datenschutzgrundverordnung (EU-DSGVO) Anfang 2016 endgültig verabschiedet wird. Mit Änderungen wird nicht mehr gerechnet, es werden jetzt nur noch technische Anpassungen (wie Lektorat, Korrektur von fehlerhaften Querverweisen und Übersetzungen in die Amtssprachen der EU) vorgenommen. Sobald das erledigt ist, werden EU-Parlament und EU-Rat über die finale Version der EU-DSGVO abstimmen. Nach einer … weiterlesen>>
  • EU-Kommission: Abschluss des neuen Abkommens und Wege für Datentransfers in die USA bis dahin!

    Entgegen der Positionierung der deutschen Aufsichtsbehörden (Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)) sieht die EU-Kommission in den bestehenden Alternativmöglichkeiten zulässige Wege der Umsetzung transatlantischer Datentransfers für Unternehmen in Deutschland und den anderen Mitgliedsstaaten bis zum Abschluss eines neuen Abkommens mit den USA. Der Zeithorizont dafür wurde eng gesteckt, die Kommission beabsichtigt, diesen Abschluss binnen drei Monaten erzielen zu können. Bis dahin müssen Unternehmen dem EuGH-Urteil folgend Datentransfers auf Basis von Safe Harbor aussetzen oder alternative Datenübermittlungsinstrumente einsetzen. Die von der EU-Kommission veröffentlichten Leitlinien dazu finden Sie hier -> http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/files/eu-us_data_flows_communication_final.pdf.
  • Rechtsgrundlage für Datenübermittlung in die USA in Frage gestellt!

    Der EuGH hat sich in seinem Urteil weder mit der Frage befasst, ob grundsätzlich ein angemessenes Schutzniveau für personenbezogene Daten in den USA existiert, noch enthält das Urteil konkrete und ausdrückliche Vorgaben für Unternehmen, welche Maßnahmen bezüglich bestehender Datentransfers auf der Grundlage einer Safe-Harbor-Zertifizierung des Datenempfänger nun zu ergreifen sind. Eine zulässige Gewährleistung eines sicheren Datenschutzniveaus auf der Basis von Safe Harbor ist bis auf weiteres nicht mehr gegeben. Wie schon bislang kann auf die anderen Möglichkeiten (EU-Standardvertragsklauseln, Binding Corporate Rules oder genehmigte Individualverträge) zurückgegriffen werden. Eine Aufsichtsbehörde, die sich mit der Beschwerde eines Betroffenen darüber zu befassen hat, weil … weiterlesen>>
  • BvD-Verbandstag in Berlin – Fachkompetenz des Datenschutzbeauftragten unverzichtbar

    19.05.2015 BvD-Verbandstag in Berlin – Fachkompetenz des Datenschutzbeauftragten unverzichtbar Effektiver Datenschutz für Unternehmen durch EU-Datenschutzgrundverordnung gefährdet – Fachkompetenz des Datenschutzbeauftragten unverzichtbar. Auf dem diesjährigen BvD-Verbandstag in Berlin haben ds²-Inhaber und BvD-Vorstandsvorsitzender Thomas Spaeng und das ds²-Team mit rund 200 anderen Datenschutzkollegen u.a. die Gefahren für den Datenschutz in den Entwürfen zur Datenschutzgrundverordnung der EU diskutiert. Dabei wurde klar, dass viele sinnvolle und moderne Ansätze in den Verhandlungen verloren gegangen sind. Heraus kommt eine auf Behörden gestützte Kontrolle der betrieblichen Datenverarbeitung, die mit viel Bürokratie verbunden sein wird. Der bewährte Ansatz zur Selbstkontrolle der Unternehmen durch den betrieblichen Datenschutzbeauftragten spielt in … weiterlesen>>
  • Gesetzentwurf der Bunderegierung: Verbandsklagerecht bei Datenschutzverstößen

    16.03.2015 Gesetzentwurf der Bunderegierung: Verbandsklagerecht bei Datenschutzverstößen Das Internet und die zunehmende Digitalisierung vieler Bereiche führen dazu, dass immer mehr digitale Spuren von Betroffenen hinterlassen werden. Das Kommunizieren in sozialen Netzwerken, das Nutzen von Suchmaschinen und Smartphones gehört zum Alltag vieler Menschen. Der immer weiter voran schreitende technische Fortschritt macht es möglich diese Daten kostengünstig und im großen Umfang zu sammeln, zu systematisieren und auszuwerten. Für Unternehmen sind diese Daten von Verbrauchern zu begehrten Wirtschaftsgütern geworden, die sie kommerzialisieren können. Wenn sich Unternehmen dabei nicht oder nur unzureichend an die geltenden Datenschutzvorschriften halten, sind die Aufsichtsbehörden aufgrund der Vielzahl von … weiterlesen>>
  • Mindestlohn und Datenschutz

    10.03.2015 Mindestlohn und Datenschutz Zunächst könnte sich dem aufmerksamen Leser die Frage stellen, warum eine Unternehmensberatung für Datenschutz und Datensicherheit über das zum 01.01.2015 in Kraft getretene Mindestlohngesetz (MiLoG) berichtet. Oder anders gefragt: Was hat das neue Mindestlohngesetz überhaupt mit Datenschutz zu tun? Die Antwort lautet: Eine ganze Menge. Dies überrascht nur auf den ersten Blick, denn der zweite Blick wird Klarheit bringen und Gegenstand dieses Berichtes sein. Ziel des Mindestlohngesetzes Ziel des Gesetzgebers ist es, den Auftraggeber mit in die Pflicht zu nehmen, die Einhaltung der Mindestlohnvorschriften zu gewährleisten. In der Vergangenheit kam es zu zahlreichen Unterwanderungen der vereinbarten … weiterlesen>>
  • Kundendatenschutz

    Kundendatenschutz Damit drohen bei Verstößen in diesem Bereich nicht nur Konsequenzen durch die Datenschutzaufsicht, auch die Gewerbeaufsicht wird hier umgehend tätig. Im Unternehmen stellt sich die Frage, wie die Kundenansprache heute noch zulässig und wirtschaftlich erfolgen kann. Sind Preisausschreiben noch möglich, dürfen Adressen gekauft werden und wenn ja, welche Anforderungen sind dabei zu beachten? Welche Werbung ist bei eigenen Kunden noch erlaubt und wie bekommt man eine wirksame Einwilligung? Insbesondere bei telefonischer Ansprache oder bei E-Mails ist eine Einwilligung des Kunden Voraussetzung und das gilt eingeschränkt auch im B2B-Bereich, da Telefonanrufe ohne Einwilligung inzwischen als unzumutbare Belästigung eingestuft werden können. … weiterlesen>>
  • Orientierungshilfe Krankenhausinformationssysteme (KIS), 2. Fassung

    Die Herausforderung Die Herausforderung für Betreiber von Krankenhäusern und für niedergelassene Ärzte ist es, die Vielzahl der zu beachtenden Rechtsvorschriften in Einklang zu bringen mit einer effizienten und praktikablen Patientenbehandlung. Der Datenschutz und die ärztliche Schweigepflicht sind die dabei die zentral zu beachtenden Rechtsvorschriften. Welche Vorteile bietet die zweite Fassung der Orientierungshilfe für KIS gegenüber der ersten Fassung? Die erste Fassung der Orientierungshilfe stieß bei Krankenhausbetreibern auf Kritik. Ein Ziel der Orientierungshilfe KIS, nämlich den Betreibern von Krankenhäusern Hilfe bei der rechtskonformen Umsetzung von datenschutzrechtlichen Fragestellung zu geben, wurde in seiner ersten Fassung nicht gänzlich erreicht. Die zweite Fassung beruht … weiterlesen>>
  • Zukunftsprojekt Industrie 4.0

    Chancen und Ziele des Zukunftsprojekts Industrie 4.0 Das Zukunftsprojekt Industrie 4.0 hat zum Ziel, die deutsche Industrie stark und zukunftsfähig zu halten. Ausländische Unternehmen, vor allem aus dem asiatischen Raum, steigern ihre Wettbewerbsfähigkeit durch höhere Produktivität und beschleunigte Innovationskreisläufe enorm, während sich die deutsche Wirtschaft mit Rohstoffknappheit und dem zunehmenden Durchschnittsalter der Beschäftigten auseinandersetzen muss. Diesen Herausforderungen hat sie sich zu stellen. Die deutsche Industrie braucht dazu tragfähige Zukunftslösungen. Das Potenzial für eine solche Lösung hat die Technologie der cyber-physischen Systeme, kurz CPS. Diese Systeme sind kleine Computer, die mit Sensoren und Aktoren (Antriebselemente; Wandler) ausgestattet sind. Sie können in … weiterlesen>>
  • Orientierungshilfe (OH) Videoüberwachung durch nicht öffentlichen Stellen

    Videoüberwachung warum? Oder… warum eigentlich nicht? Gerade bei Sicherheitsproblemen in einem Unternehmen wird häufig als erste Maßnahme eine Videoüberwachung vorgeschlagen. Die Argumente dafür liegen auf der Hand: Zum einen sollen die Aufnahmen im Falle einer Straftat zur Aufklärung dienen, zum anderen kann die Videoüberwachung sich auch als Abschreckungsmaßnahme eignen. Der für das Unternehmen anfallende finanzielle Aufwand ist gering und die Maßnahme ist durchaus erfolgsversprechend. In der verständlichen ersten Aufregung nach einem Sicherheitsvorfall (z.B. Einbruchsdiebstahl) haben bei der Unternehmensleitung Gegenmaßnahmen Priorität, die datenschutzrechtliche Relevanz wird dabei häufig übersehen. Sie ist jedoch gegeben. Jeder Mensch hat grundsätzlich das Recht, sich frei zu … weiterlesen>>
  • Facebook kauft Whatsapp – und nun?

    Facebook kauft Whatsapp – und nun? Datenschutzaufsichtsbehörden haben wiederholt ihre Befindlichkeiten im Zusammenhang mit Facebook zum Ausdruck gebracht. Auch Whatsapp, eine Messaging-App, die für alle modernen Smartphone-Betriebssysteme angeboten wird, war noch nie als besonders datenschutzkonform bekannt. Deswegen haben Datenschutzbeauftragte üblicherweise vom Einsatz im Unternehmen oder für das Unternehmen abgeraten. Durch die Facebook Übernahme von Whatsapp ist die Situation nicht besser geworden. Wenn nun aber die Mitarbeiter eines Unternehmens (bis zu Geschäftsführung) nach Messaging-Diensten verlangen und sich mit Betriebssystem-spezifischen wie zum Beispiel iMessage (für Apple Smartphones) nicht beschäftigen wollen, da diese nur jeweils für ein Smartphone Betriebssytem funktionieren, dann müssen Alternativen … weiterlesen>>