Der Datentransfer zwischen der EU und Großbritannien ist trotz Brexit gesichert. Seit dem 01.07.2021 besteht ein anerkannter Angemessenheitsbeschluss. Dieser stellt eine geeignete Garantie gem. Art. 45 DSGVO dar und ermöglicht den sicheren Datentransfer in ein anderes Land außerhalb der EU/EWR.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Laut DSGVO ist der Datenschutzbeauftragte (DSB) ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Ihm sind bei der Erfüllung seiner Aufgaben aus Art. 39 DSGVO keine Anweisungen bezüglich der Ausübung dieser Aufgaben zu machen und er hat die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zu erhalten.

Ein Unternehmen aus Luxemburg hat nun ein Bußgeld in Höhe von 15.000 € erhalten, weil der DSB nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden wurde. Es gab keine Prozesse oder formalisierte Kontrollpläne des DSB, sondern dieser wurde lediglich auf einer ad-hoc-Basis in entsprechende Kontrollen eingebunden.

Die monatlichen Berichte an die höchste Managementebene mussten vom DSB zudem zuvor mit dem Verwaltungs- und Finanzdirektor abgestimmt werden. Nach Auffassung der Datenschutzbehörde genügte dies nicht den datenschutzrechtlichen Vorgaben an die Autonomie des Datenschutzbeauftragten. Der DSB muss dazu in der Lage sein, den Inhalt seiner Berichte unabhängig festzulegen. Des Weiteren hatte der (interne) Datenschutzbeauftragte keine ausreichende Schulung/Fortbildung erhalten, um den Verantwortlichen ordnungsgemäß und unabhängig beraten und informieren zu können.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Aktuell werden SMS verschickt, die angebliche Pakete ankündigen. Sie sind so aufgebaut, wie viele Benachrichtigungen von Paketzustellern. „Ihr Paket kommt an, verfolgen Sie es hier: https://kav...".

Bei einem Klick auf den Link wird Schadsoftware auf dem Smartphone installiert. Diese Schadsoftware leitet dann Daten vom Smartphone weiter und leitet vom Smartphone auch eigenständig SMS mit Schadsoftware weiter. Die SMS können zusätzliche Kosten verursachen. Dabei kann ein Schaden in dreistelliger Höhe entstehen.

Solche Phishing-Angriffe sind nicht neu. Das Wort Phishing setzt sich zusammen aus dem Englischen „password“ und „fishing“. Durch das Phishing sollen Personen dazu verleitet werden, unter Vortäuschung falscher Tatsachen (sensible) Daten preiszugeben.

Wie erkenne ich Phishing?

Werden Sie misstrauisch, wenn eine der folgenden Merkmale zutrifft:

Wie kann ich mich gegen Phishing schützen?

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Es gibt zwei verschiedene bekannte Szenarien über die Personen versuchen eine außergerichtliche Zahlung eines immateriellen Schadensersatzes (umgangssprachlich auch „Schmerzensgeld“ genannt) an Betroffene sowie die Erstattung von Rechtsanwaltskosten zu erwirken.

Auf der Webseite eines Unternehmens bittet eine Person über das Kontaktformular das Unternehmen um einen Rückruf. Wenn das Unternehmen die angegebene Nummer zurückrufen will, wird der Anruf nicht angenommen. Nach ein paar Wochen meldet sich die Person wieder und verlangt Auskunft über die von ihm gespeicherten Daten und verlangt Löschung der gespeicherten Daten.

Bei einem anderen Szenario wird erst der Newsletter des Unternehmens abonniert um dann direkt im Anschluss ein Auskunfts- und Löschanspruch geltend zu machen.

Zeitlich nachgelagert meldet sich dann ein Rechtsanwalt um im Auftrag dieser Person einen immateriellen Schadensersatz wegen Verletzung der Betroffenenrechte und die dafür entstandenen Rechtsanwaltskosten geltend zu machen. Bei einem Nicht Tätigwerden droht der Rechtsanwalt die gerichtliche Durchsetzung des Anspruchs an.

Art. 82 DSGVO erlaubt es von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen, auch immaterielle Schäden wegen der unzulässigen Verarbeitung ihrer Daten einzuklagen. Die Gerichte können dabei bereits die unzulässige Datenverarbeitung an sich als erstattungsfähigen Schaden bewerten.

Es empfiehlt sich auf ein Anwaltsschreibens zu reagieren und das Bestehen des Anspruchs sachlich begründet bestreiten. Zudem sind Prozesse zur Erfüllung von Betroffenenrechten zu erstellen, diese einzuhalten und die Rechenschaftspflichten nach der DSGVO lückenlos zu erfüllen um Beschwerden bei der Aufsichtsbehörde und Zivilprozesse abzuwenden.

Einer der Hauptgründe für Beschwerden bei der Aufsichtsbehörde ist eine nicht, nicht zufriedenstellende oder nicht fristgemäß erfolgte Beantwortung von Betroffenenanfragen durch ein Unternehmen. Die Landesbeauftragte für Datenschutz Niedersachsen berichtet, dass sich die Zahl der Beschwerden seit Geltung der DSGVO stark gesteigert haben, was bereits 2018 zur Folge gehabt hätte, dass "sich die Meldungen gemäß Art. 33 DSGVO auf 370 steigerten (gegenüber 20 im Jahr 2017).“ Dieser Trend hat sich 2019 fortgesetzt und noch weiter verstärkt. Im vergangenen Jahr meldeten Verantwortliche 824 Datenschutzverletzungen.“ Dies geht aus dem Tätigkeitsbericht von 2019 der Landesbeauftragten für den Datenschutz Niedersachsen hervor.

Sollten Sie Unterstützung bei der Erstellung und Implementierung von Prozessen zur Erfüllung der Betroffenenrechte benötigen, melden Sie sich gerne bei unserem ds²-Team.

Einen immateriellen Schadenersatz sprechen die Gerichte meistens nur zu, wenn der Verstoß eine gewisse Erheblichkeitsschwelle überschreitet. Selbst dann ist die Schadenersatzhöhe gering. Eine solche Erheblichkeitsschwelle ist im Wortlaut des Art. 82 DSGVO nicht zu finden. Ob sie dennoch besteht, darüber wird gestritten. Die Frage, ob die DSGVO für Schadensersatzansprüche eine Erheblichkeit voraussetzt würde für gewöhnlich dem EuGH vorgelegt. Ein Amtsgericht in Goslar hat derweil selbst darüber entschieden und kam zu dem Ergebnis, dass die DSGVO eine Erheblichkeit voraussetze. Der Gerichtsentscheidung unterlegene Kläger hat wegen dieser Auslegung des AG Goslar Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht und hatte damit Erfolg. Das Urteil wurde aufgehoben und vom Bundesverfassungsgericht nun erklärt, dass eine Vorlage beim EuGH zur Klärung der Frage, ob ein Schaden erheblich sein muss, zu erfolgen hat. Die Entscheidung des EuGH steht noch aus.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

In letzter Zeit ist zu beobachten, dass die Aufsichtsbehörden neben der Prüfung von Webseiten auch einen Fokus auf die Videoüberwachung von Unternehmen gesetzt haben. Aber warum gerade auf die Videoüberwachung?

Wie bei einer Webseite kann auch bei einer Videoüberwachung schnell von außen ohne große Umstände ein erster Eindruck eingeholt werden, ob sich das Unternehmen mit dem Thema Datenschutz auseinandergesetzt hat. Was bei der Webseite der Blick auf die Datenschutzerklärung oder den Cookie-Banner ist, ist bei der Videoüberwachung zunächst die Sichtung der Kamera an sich sowie ein kurzer Blick auf das Hinweisschild zur Videoüberwachung.

Ein Piktogramm reicht nicht aus

Wer bei der Videoüberwachung der Ansicht ist, dass ein einfaches Hinweisschild mit einem Kamera-Piktogramm und der Aufschrift „Videoüberwachung“ ausreicht, hat hier die Rechnung nicht mit dem Datenschutz gemacht. Denn die Datenschutz-Grundverordnung (DSGVO) sieht bereits in Ihren Grundsätzen der Datenverarbeitung vor, dass jede Verarbeitung personenbezogener Daten rechtmäßig und für die betroffenen Personen transparent sein muss. Um eine Transparenz herzustellen, sind den betroffenen Personen bereits vor Datenerhebung bestimmte Informationen zur Datenverarbeitung zugänglich zu machen. Im Falle der Videoüberwachung bedeutet dies, dass Personen bereits vor Betreten des Erfassungsbereichs der Kamera unter anderen darüber informiert werden, wer für die Videoüberwachung verantwortlich ist und zu welchen Zwecken und auf welcher Rechtsgrundlage diese erfolgt. Die niedersächsische Aufsichtsbehörde hat ein Muster-Hinweisschild veröffentlicht. Dieses und weitere Dokumente zur Videoüberwachung finden Sie hier.

Ist die Aufsichtsbehörde einmal auf die Videoüberwachung in einem Unternehmen aufmerksam geworden, wird sie es höchstwahrscheinlich nicht bei der Sichtung des Hinweisschildes belassen. Sicherlich wird in diesen Fällen dann auch geprüft werden, ob die Videoüberwachung überhaupt zulässig ist und ob diesbezüglich die erforderlichen Vorüberlegungen (wie die Risikobewertung und die Implementierung geeigneter technischer und organisatorischer Maßnahmen) getroffen wurden.

Sollten Sie Unterstützung bei der Implementierung einer Videoüberwachungsanlage benötigen, melden Sie sich gerne bei unserem ds²-Team.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung über eine kritische Schwachstelle in Exchange-Servern, von der schätzungsweise zehntausende Server in Deutschland betroffen seien. 

Laut dem IT-Dienstleister Shodan seien voraussichtlich schon viele dieser angreifbaren Server mit Schadsoftware infiziert. Denn scheinbar seien diese insgesamt vier Schwachstellen einer Gruppe von Hackern ebenfalls nicht entgangen. Das BSI hält es für wahrscheinlich, dass die Hacker aufgrund dieses Einfallstors die gesamte Domäne mit wenig Aufwand kompromittieren könnten. Denn durch den Fernzugriff auf die Exchange-Server könnte durch die Übernahme weiterer Berechtigungen tiefer in die Struktur eingegriffen und weitere Schadsoftware installiert werden.

Microsoft reagierte prompt und veröffentlichte kurzer Hand neue Sicherheitsupdates, mit denen die insgesamt vier Schwachstellen bei Exchange-Server geschlossen werden. Das BSI rät dringend zur Installation dieser Updates und warnt: “Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden“. Unternehmen sollten ihre Exchange-Systeme umgehend auf so genannte „Web-Shells“ untersuchen, welche die Hacker hinterlassen, um über das Internet auf die Systeme zugreifen zu können.

Das regelmäßige Einspielen von Patches spielt auch bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) eine große Rolle. Denn bereits in den Grundsätzen für die Verarbeitung von personenbezogenen Daten wird festgehalten, dass Verantwortliche eine angemessene Sicherheit der personenbezogenen Daten gewährleisten muss. Mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen soll unter anderen verhindert werden, dass Unbefugte Zugriff auf die Daten erlangen. Bei der Wahl der technischen und organisatorischen Maßnahmen ist auch immer der Stand der Technik zu berücksichtigen. Ein durchdachtes Patch-Management kann hierbei unterstützen, die Schwachstellen zu schließen und die Sicherheit der Daten aufrecht zu erhalten.

Möchten Sie mehr über die Gewährleistung der Sicherheit von personenbezogenen Daten erfahren? Kommen Sie gerne auf unser ds²-Team zu.

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, hat im Februar 2021 ein Bußgeld in Höhe von 440.000 € gegen ein Amsterdamer Krankenhaus erhoben.

Dies ist nicht das erste Bußgeld dieser Art gegen ein Krankenhaus.

Weltweit gingen die zuständigen Aufsichtsbehörden wegen unzureichendem Datenschutz gegen Krankenhäuser vor. Die Aufsichtsbehörde Datainspektion in Schweden hat acht klinische Einrichtungen auf ein angemessenes Risikomanagement und wirksame Zugriffsbeschränkungen der Kernsysteme der Krankenhauseinrichtungen geprüft. Sieben von ihnen wurde ein Bußgeld verhängt.

Häufig fehlen Risikoanalysen für den Zugriff auf Patientendaten sowie Protokollierungen von Zugriffen. Auch Kontrollen werden oftmals versäumt und Berechtigungen für Benutzer der Krankenhausinformationssysteme werden nicht nach dem Minimalprinzip vergeben. Letzteres führt dazu, dass auch Beschäftigte Zugriff auf die Daten haben, ohne dass dies für ihre Arbeit notwendig wäre.

So auch im Falle des eingangs genannten Amsterdamer Krankenhauses. Es wurden unzureichende Kontrollen darüber vorgenommen, wer sich welche Datei angesehen hat und es gab nur eine unzureichende Sicherheit der Computersysteme.

Auch in Portugal wurde ein Bußgeld in Höhe von 400.000 € verhängt, weil viel zu viele Personen Zugriff auf Patientendaten hatten.

Die unberechtigten Zugriffe bergen neben dem Risiko, das Unbefugte die eigene Krankengeschichte kennen, weitere hohe Risiken. Patientenakten/Krankenakten können auch Informationen enthalten, die einen Identitätsbetrug und bspw. Phishing ermöglichen.

„In den letzten Jahren war das Gesundheitswesen immer unter den Top 3 der Branchen mit den meisten Datenlecks, so die Vizepräsidentin der Autoriteit Persoonsgegevens Verdier, zur Situation in den Niederlanden.

ds² ist Experte im Gesundheitsdatenschutz und hilft Ihnen gerne bei der Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten und insbesondere von Gesundheitsdaten.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Das Thema Cookie-Banner ist in aller Munde. Und dennoch besteht diesbezüglich in vielen Unternehmen (teilweise sogar Werbeagenturen) Unsicherheit. Wann muss man einen Cookie-Banner setzen und kann eine Website eigentlich auch ohne Cookie-Banner rechtskonform sein?

Um diese Fragen zu beantworten ist zunächst zwischen Session Cookies (z.B. für die Funktionalität des Warenkorbs beim Onlineshopping oder zum Laden von Voreinstellungen zur Sprache) und Persistenten Cookies (z.B. zum Tracking oder zum Speichern und Laden von Nutzereinstellungen) zu unterscheiden. In diesen Cookies werden personenbezogene Daten (wie z.B. die IP-Adresse) gespeichert. Da für die Verarbeitung von personenbezogenen Daten immer das Vorliegen einer Rechtsgrundlage erforderlich ist und die Datenschutz-Grundverordnung hinsichtlich des Einsatzes von Cookies keine speziellen Regelungen vorsieht, kommen die Einwilligung und das berechtigte Interesse als Rechtsgrundlagen in Betracht.

Die Nutzung von Session Cookies, die ausschließlich dem Zweck dienen, die Website nutzerfreundlich darzustellen oder technisch erforderlich sind, kann in der Regel mit einem berechtigten Interesse begründet werden. Ob tatsächlich ein berechtigtes Interesse besteht, ist im Einzelfall mit einer dokumentierten Interessenabwägung für Implementieren des Cookies zu ermitteln. Cookies, bei denen kein berechtigtes Interesse besteht, dürfen nur dann aktiviert werden, wenn der Website-Besucher in die Nutzung eingewilligt hat. An dieser Stelle kommt der Cookie-Banner ins Spiel, der vor der Aktivierung den Website-Besucher über die einwilligungspflichtigen Cookies informiert, die der Website-Betreiber nutzen möchte. Nur, wenn der Website-Besucher die Einwilligung erteilt hat, dürfen die von der Einwilligung betroffenen Cookies aktiviert werden. Einwilligungsbedürftig sind beispielsweise regelmäßig Persistente Cookies, die zu Marketingzwecken (z.B. Tracking) eingesetzt werden.

Ob ein Cookie-Banner gesetzt werden muss, hängt somit davon ab, ob und wenn ja welche Cookies zu welchem Zweck auf der Website genutzt werden. Nicht auch zuletzt vor dem Hintergrund der Datensparsamkeit empfiehlt es sich, immer zu hinterfragen, ob auf den Einsatz bestimmter Cookies verzichtet werden kann. Denn nicht selten teilen uns Unternehmen mit, dass sie zwar Tracking-Cookies einsetzen, die Auswertungen aber nie einsehen. Werden keine Cookies auf der Website genutzt (wie es bei unserer ds²-Website zutrifft), muss auch kein Cookie-Banner gesetzt werden.

Benötigen Sie Unterstützung beim Thema Website datenschutzgerecht gestalten? Dann melden Sie sich gern bei unserem ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Immer wieder wird deutlich, dass bei vielen Unternehmen hinsichtlich des Prinzips der Speicherbegrenzung noch dringender Handlungsbedarf besteht.Auch die datenschutzrechtlichen Aufsichtsbehörden decken diesbezüglich kontinuierlich Defizite auf. Dies kommt Unternehmen teuer zu stehen. Aber wie geht es denn nun richtig?

Die Datenschutz-Grundverordnung (DSGVO) sieht den Grundsatz der Speicherbegrenzung bei der Verarbeitung personenbezogener Daten vor. Vereinfacht bedeutet es, dass die personenbezogenen Daten, die gespeichert werden, ein Ablaufdatum haben müssen und nicht dauerhaft gespeichert werden dürfen. Was zunächst so simpel klingt, stellt Unternehmen in der Praxis regelmäßig vor eine Herausforderung. Denn es muss gut durchdacht und nachvollziehbar begründet werden, wie lange die Speicherung der personenbezogenen Daten tatsächlich erforderlich ist.

Personenbezogene Daten dürfen nur dann verarbeitet werden - hierunter fällt auch die Speicherung - wenn es für die Verarbeitung eine Rechtsgrundlage gibt. Diese richtet sich nach dem Zweck der eigentlichen Verarbeitung. Ist der Zweck, zu dem die personenbezogenen Daten erhoben wurden, erfüllt, besteht grundsätzlich erst einmal keine Rechtsgrundlage mehr, die Daten weiter zu verarbeiten, d.h. zu speichern. Sollte daraufhin eine unmittelbare Löschung der Daten erfolgen, kann dies allerdings schnell zu Problemen führen - zum Beispiel mit dem Finanzamt. Denn der sofortigen Löschpflicht nach der DSGVO stehen oftmals gesetzliche Aufbewahrungspflichten entgegen, die berücksichtigt werden müssen. Die gesetzlichen Aufbewahrungspflichten können sich aus diversen Normen ergeben (z.B. dem HGB oder der Abgabenordnung). Folglich ist für jede Datenkategorie personenbezogener Daten einer Verarbeitungstätigkeit zu ermitteln, welchen Aufbewahrungspflichten der Verantwortliche unterliegt. Diese Überlegungen sollten bereits vor der Einführung einer Verarbeitungstätigkeit durchgeführt werden. Mit Hilfe der ermittelten Informationen hinsichtlich gesetzlicher Aufbewahrungspflichten und der tatsächlichen Erforderlichkeit der Speicherung der personenbezogenen Daten aus allen Verarbeitungstätigkeiten, sollte ein Löschkonzept erstellt werden. Wichtig hierbei ist, dass die vorgesehenen Löschfristen und -regeln im Unternehmen tatsächlich gelebt werden.

Benötigen Sie Unterstützung bei der Erstellung und Umsetzung eines Löschkonzepts oder möchten Sie mehr zu diesem Thema wissen? Wenden Sie sich gerne an unser ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

In fast jedem Unternehmen sind die Produkte von Microsoft, teilweise auch mangels Alternativen, im Einsatz. Vielen Unternehmern ist jedoch nicht bewusst, dass die Nutzung mancher Funktionen datenschutzrechtlich kritisch ist, wie es die neueste Funktion von Microsoft wieder zeigt.

Denn mit einer neuen Funktion des Office-Pakets Microsoft 365 kann die Leistung und das Verhalten von Mitarbeitern minuziös kontrolliert werden. Die Software kann aufzeichnen, wann und wie oft Mitarbeiter die Software nutzen. So kann beispielsweise auch ausgewertet werden, wann ein einzelner Mitarbeiter wie viele E-Mails mit Outlook verschickt hat und wie lange und wie oft Mitarbeiter über Teams miteinander kommuniziert haben. Bei der Auswertung wird der konkrete Mitarbeiter namentlich genannt. Es erfolgt also durch Microsoft eine Datenverarbeitung, wodurch auch neue (Meta-)Daten wie Nutzungsverhalten und Muster von Arbeitsabläufen, aber auch Prognosen hinsichtlich der Produktivität der einzelnen Beschäftigten erstellt werden. Auch Aussagen über die Arbeitshäufigkeit und -weise des Einzelnen an einem gemeinsamen Dokument können getroffen werden.

Zwar ist eine Anonymisierung möglich, diese muss allerdings aktiv eingestellt werden. Und selbst dann ist es fraglich, ob die Auswertung tatsächlich immer anonym erfolgen kann. Denn gerade in einer kleineren Gruppe können durch bestimmte Merkmale ggf. einzelne Personen identifiziert werden.

Allein die Möglichkeit diese Auswertungen nutzen zu können, unterstellt eine anlasslose Überwachung von Beschäftigten und stellt damit einen Eingriff in das Persönlichkeitsrecht der Beschäftigten dar, was nicht nur datenschutzrechtlich unzulässig, sondern auch arbeitsrechtlich problematisch ist. Microsoft wehrt sich und stellt klar, dass der Produktivitätswert, den die Software aufzeichnet, kein Überwachungswert sei, sie sich an das europäische Datenschutzrecht halten und die Daten nach 28 Tagen gelöscht werden.

Bei der Nutzung von Microsoft 365 werden diese und viele weitere Daten jedoch nicht nur massenhaft gesammelt, sondern auch in die USA, ein datenschutzrechtlich unsicheres Drittland, übertragen. Es empfiehlt sich daher, dass Unternehmen, die Microsoft 365 nutzen, selbst den Zugriff auf die Produktivitätsdaten sperren.

Die Nutzung von Tools wie der Office-Statistik sollten zudem zwingend (sofern vorhanden) mit dem Betriebsrat abgesprochen werden. Es empfiehlt sich, entsprechende Betriebsvereinbarungen zu schließen. Arbeitgeber die diese Gesichtspunkte bei der Nutzung von Microsoft 365 missachten, handeln rechtswidrig. Wer die Möglichkeit hat, auf Alternativen zurückzugreifen, ist gut beraten, dies zu tun.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

magnifiercrossmenu