Themen, die unsere Datenschutz-Kunden aktuell betreffen:

Personenbezogene Daten telefonisch zu erteilen ohne genau zu wissen, mit wem man redet, ist generell nicht erlaubt. 
Aber auch wenn ein potenzieller Arbeitgeber oder Vermieter hinter dem Rücken eines Bewerbers Informationen bei dessen aktuellen Vermieter/Arbeitgeber einholt, ist das unzulässig. Ausnahmen sind nur in Extremfällen denkbar etwa, wenn es um medizinische Notfälle oder Straftaten geht. 
Dabei sind zwei Themen zu beachten: 

• Der Fragende darf die ggf. erteilten Auskünfte nicht digital verarbeiten 
• Der/die Befragte darf  personenbezogene Daten nicht telefonisch an Unberechtigte erteilen (Ausnahme s.o.). 

Ergo ist maximale Vorsicht bei der telefonischer Erteilung personenbezogener Daten von z.B. Kollegen oder Mietern geboten. Der /die Verantwortliche hat sicherzustellen, dass ihm anvertraute personenbezogenen Daten nicht an unbefugte Dritte herausgegeben werden. 
Bestehen begründete Zweifel an der Identität der Fragenden, können zusätzliche Informationen zur Bestätigung der Identität verlangt werden (Art. 12 Abs. 6 DSGVO). Seriös Interessierte melden sich schriftlich und haben ein berechtigtes Interesse. 

Die NIS-2-Richtlinie erweitert die Cybersicherheitsanforderungen in den Mitgliedstaaten zu harmonisieren und zu verbessern und enthält strengere Anforderungen. Unternehmen und Organisationen müssen sich unter anderem mit den Themen Cyber-Risikomanagement, Kontrolle und Überwachung sowie Umgang mit Zwischenfällen und Geschäftskontinuität befassen.
Mit der EU Vorschrift NIS-2 wird Cybersicherheit für die meisten kleineren und mittleren Unternehmen in Deutschland zum Top Thema. Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) wurde am 27.12.2022 im EU-Amtsblatt veröffentlicht und ist am 16.01.2023 in Kraft getreten.
Für wen gelten die neuen NIS-2 Richtlinien: 

• Unternehmen oder rechtlich unselbstständige Organisationseinheit einer Körperschaft
• 50 bis 249 Mitarbeitende und einem Jahresumsatz von weniger als 50 Mio. EUR oder einer Jahresbilanzsumme von weniger als 43 Mio. EUR oder
• weniger als 50 Mitarbeitende und einen Jahresumsatz zwischen 10-50 Mio. EUR und Jahresbilanzsumme zwischen 10 und 43 Mio. EUR

Eine Whistleblowing-Lösung dient der Erfüllung von Compliance-Richtlinien. Es ermöglicht redlichen Hinweisgebern, völlig anonym Regelverstöße rund um das Unternehmen, wie z.B. Übergriffe, Veruntreuung etc. zu melden und so dem Unternehmen die Chance zu geben, diese selber zu ändern. Die Meldungen müssen ernsthaft überprüft und ggf. korrigiert werden. Für redliche Unternehmensleitungen ist das somit eine interne Optimierungs-Quelle.
Für die Umsetzung gibt es unterschiedliche Lösungen vom anonymen Briefkasten über Mailaccounts mit Ombudsleuten oder wir richten einen eigenen Whistleblower-Account ein. Gesonderte Softwarelösungen stellen einen dokumentierten Ablauf sicher.
Die gesetzliche Grundlage für Whistleblowing-Systeme ist das 2023 inkraftgetretene EU Hinweisgeberschutzgesetz, das Unternehmen zur Implementierung einer Lösung bis zum 17. 12. 2023 verpflichtet.
Wir unterstützen Sie unkompliziert beim Thema Whistleblowing.

Ein Unternehmen mit einem KFZ-Fuhrpark nutzte mehrere Jahre lang sämtliche Auswertungsoptionen des GPS-Trackings. Unter anderem ließ es jeweils den Zeitpunkt speichern, zu dem der Motor angelassen oder abgestellt wurde. Die jeweilige Fahrtroute einschließlich der jeweils gefahrenen Geschwindigkeit hielt das System ebenfalls fest. Parkte ein Fahrzeug irgendwo, wurde auch dieser Ort erfasst.
Ein umfängliches GPS-Tracking ist dann statthaft, wenn es Sicherheitsbelange betrifft, z. B. bei Geldtransportern. Dennoch sind so langfristige Speicherungen auch dann nicht statthaft. 
Wir unterstützen Sie gerne beim Thema Datenschutz.

Eigene leitende Angestellte zu Datenschutzbeauftragte werden zu lassen ist teuer. Also Augen auf bei der Auswahl und Benennung des Datenschutzbeauftragten. Die Aufgabe darf nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden. Personen mit leitenden Funktionen, die selbst maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen, sind somit ungeeignet. Um dieser Problematik und letztlich einem Bußgeld zu entkommen, empfehlen wir Ihnen einen externen Datenschutzbeauftragten zu benennen, der seinen Aufgaben ohne Interessenkonflikt nachgehen kann.
Wir unterstützen Sie gerne beim Thema Datenschutz.

Twitter hat veröffentlicht, dass eine Sicherheitslücke Accountdaten von über 5 Millionen Nutzer/innen öffentlich gemacht hat. Durch die Sicherheitslücke wurden Telefonnummern und E-Mailadressen der Nutzer/innen geleakt. Twitter hat den Bug inzwischen behoben, die Daten werden allerdings schon im Internet zum Verkauf angeboten. Zudem konnten so weitere Accounts in Verbindung mit der Person gefunden werden, also beispielsweise Pseudonyme. Das könnte für einige Personen, die etwa kritisch über ein Regime berichten, gefährlich werden.
Wir unterstützen Sie gerne beim Thema Datensicherheit.

Schlechte Nachrichten für alle Unternehmer, die glauben, sich mit der Zahlung eines Lösegelds von künftigen Ransomware-Angriffen freizukaufen: Über 80 Prozent der Unternehmen, die bezahlt haben, wurden gleich ein zweites Mal Opfer eines Ransomware-Angriffs. Das wird trotz Versicherungen existenzbedrohend. Dagegen helfen nur passende Datensicherheitslösungen.
Wir unterstützen Sie beim Thema Datensicherheit.

Das Arbeitsgericht Neuruppin hat mit Urteil vom 14.12.2021 entschieden, dass einem Mitarbeiter, dessen ehemaliger Arbeitgeber die Daten des Mitarbeiters nach dessen Ausscheiden nicht von der Webeseite gelöscht hatte, ein Schadensersatzanspruch nach Art. 82 DSGVO zusteht.
Die Klägerin – ehemalige Angestellte der Beklagten – hat im Rahmen der Beendigung des Arbeitsverhältnisses den vormaligen Arbeitgeber unter Fristsetzung aufgefordert, die noch vorhanden Daten der Klägerin von der Firmen-Website zu entfernen. Bei den Daten handelte es sich um den Namen der Klägerin mit Hinweis auf ihre Ausbildung.
Das Gericht begründet den Anspruch der Klägerin damit, dass die Beklagte die Daten der Klägerin nicht umgehend nach Erhalt des ersten Schreibens der Klägerin gelöscht habe. Das Unternehmen sei ohnehin verpflichtet gewesen, sämtliche mit der Klägerin in Zusammenhang stehenden Daten unmittelbar nach deren Ausscheiden von der Webseite zu entfernen. Die Daten waren aber über mehrere Monate weiterhin abrufbar. Quelle: ArbG Neuruppin, Urteil vom 14.12.2021, Az.: 2 Ca 554/21
Wir helfen gerne beim Thema Löschfristen. 

In der vergangenen Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einem Einsatz von Virenschutzsoftware des bekannten russischen Herstellers Kaspersky gewarnt und empfohlen, die Software durch alternative Produkte zu ersetzen. Nach Auffassung des BSI könne ein russischer IT-Hersteller „selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“.
In Anbetracht der aktuellen Entwicklungen stellt sich aus datenschutzrechtlicher Sicht generell die Frage, inwieweit die Übermittlung personenbezogener Daten nach Russland noch zulässig ist. Dies nicht zuletzt vor dem Hintergrund, dass Russland in Reaktion auf den Rückzug zahlreicher westlicher Unternehmen eine Verstaatlichung der russischen Standorte dieser Unternehmen angedroht hat und in diesem Fall auch russische Behörden Zugriff auf die personenbezogenen Daten erlangen könnten.
Dass die aktuellen Ereignisse auch aus datenschutzrechtlicher Sicht problematisch sein könnten, sieht offenbar auch die italienische Datenschutzaufsichtsbehörde. Da kann man wohl gespannt sein, ob unsere Behörden nicht gleich nachziehen angesichts der aktuellen Gefährdungslage. 

Wer online shoppt, kennt das Feld fürs Geburtsdatum im virtuellen Kassenbereich. Und ohne Eingabe geht es mit dem Einkauf oft auch gar nicht weiter. Das Geburtsdatum ihrer Kundinnen und Kunden dürfen Onlineshops nur im Ausnahmefall verlangen, z.B. bei rezeptpflichtigen Arzneien. Geht es Händlern tatsächlich nur darum, die Geschäftsfähigkeit eines Käufers oder einer Käuferin zu überprüfen, ist das datenschutzrechtliche Prinzip der Datenminimierung zu beachten. Das hat das Verwaltungsgericht Hannover in einem Urteil (Az.: 10 A 502/19) entschieden. Zum Überprüfen der Geschäftsfähigkeit reiche es, lediglich die Volljährigkeit abzufragen über eine Checkbox abzufragen. 

Auf was müssen Abeitgeber seit dem 24.11.21 bei den betrieblichen 3G Prüfungen achten? 
Es gilt der Grundsatz der Datenminimierung! 
Vor- und Nachname, ein Nachweis über den Impf-, Genesenen- oder Getestetenstatus sowie die Gültigkeit müssen geprüft werden. 
Impfnachweise sind momentan noch unbeschränkt gültig und der Genesenenstatus sechs Monate. Dessen Ablaufdatum sollte vom Arbeitgeber dokumentiert werden. Vollständige Büro-Infos abrufen. 
Eine vollständige Anleitung erhalten Sie unter der Kontaktseite gratis und umgehend zugesandt. 

In einer Stellungnahme vom 14.09.2021 hat die Datenschutzaufsicht Hessen mitgeteilt, dass „ […] die Übermittlung per unverschlüsseltem Fax einen Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DS-GVO darstellen […]“ kann. Zur Begründung führt die Behörde aus, dass eine Übermittlung von personenbezogenen Daten per Fax zu einem Verlust der Vertraulichkeit führen könne. Als konkrete Risiken benennt die Behörde dabei:

1. Eine fehlerhafte Eingabe der Zielfaxnummer

2. Einen ungünstigen Standort des Faxgeräts beim Empfänger

3. Eine Zugriffsmöglichkeit für unbefugte Dritte, wenn der Versand unverschlüsselt und per Fax over IP (FoIP) über das Internet erfolgt. 
Da wird es aber hektisch in den Behörden und Gerichten werden in Sachen Digitalisierung. 

Wer E-Shops betreibt, ist für den Schutz der Kundendaten verantwortlich, egal wie klein der Shop ist. €65.000,- Strafe plus Verfahrenskosten kostete das Versäumnis eines System-Updates ein Unternehmen aus Niedersachsen. Im Rahmen der DSGVO spielen technische Aspekte eine entscheidende Rolle bei der Frage nach einem angemessenen Schutz der vorgehaltenen personenbezogenen Daten. Dabei ist insbesondere der Stand der Technik zur Bestimmung von angemessenen geeigneten technischen und organisatorischen Maßnahmen zu berücksichtigen. Ein Verstoß gegen diese technischen Vorgaben wurde nun einem Unternehmen aus Niedersachsen zum Verhängnis. Dieses musste nach Willen der Datenschutzbeauftragten des Landes ein Bußgeld von 65.500 Euro wegen eines Verstoßes gegen die Vorschriften von Art. 25 und Art. 32 der DSGVO zahlen. 

Mehrere tausend Server sind ohne Update allein in Deutschland für die neue Exchange-Lücke anfällig. Kurz nach der Veröffentlichung neuer Sicherheitsprobleme in Exchange, suchen offenbar bereits erpresserische Angreifer gezielt nach Systemen, die für die #ProxyShell genannten Lücken anfällig sind. Dann wird Ihr System gesperrt. Machen Sie ein Update! 

Eine neue Betrugsmasche gefährdet vor allem Android-Geräte. Aber auch iPhones sind betroffen. Malware, absurde Termine und Werbung werden über Kurz-URLs eingeschleust. Bei den gekürzten URLs kann man leider die Herkunft der bösartigen Links nicht vorab erkennen und landet auf Malware-Websites. Tipp vom Datenschützer: Egal!, ob da interessant klingende Apps wie "adBLOCK" gratis sind: NIEMALS auf Download klicken. Was bei iPhones sehr nervig ist, wird bei Android gefährlich bis hin zu kostenpflichtigen Abos. 

Die Mehrheit aller Hackerangriffe passieren durch Nachlässigkeit der Mitarbeiter/innen: Der irische Gesundheitsdienst ist zur Zielscheibe eines Cyberangriffs geworden. Man hat die eigenen IT-Systeme nach einem "signifikanten Ransomware-Angriff" vorsorglich heruntergefahren, teilte der Gesundheitsdienst am Freitag auf Twitter mit. Es besteht die Gefahr des Verlustes sensibler personenbezogener Daten nach Artikel 9. 

Datenschutz durch Transparenz verspricht Apple nunmehr mit der Version IOS 14.5. Entwickler berichten von klaren Transparenz-Vorgaben. Mal sehen, wie die Nutzer das annehmen. 

Der Datenschutz bremst Innovationen und die Pandemiebekämpfung, so der Vorwurf. Doch stimmt das überhaupt? Über Talkshow-Mythen, Tracking, die Luca-App und eine Politik, die sich nicht traut.

Eine Android-Malware treibt derzeit auf Handys ihr Unwesen. Getarnt als harmlose App genannt 'System-Update' stiehlt sie heimlich Daten. So kann man sie erkennen. 28.3.2021

Nicht nur in Sachen MS Exchange, Hackerangriffe im Internet nehmen rasant zu. Treffen kann es jeden. Doch auch die Strafverfolger rüsten auf. Zwei deutsche Ermittler erzählen der F.A.Z., wie sie den „König der Schadsoftware“ dingfest gemacht haben – Emotet. 22.3.2021

Durch den Brexit wird das Vereinigte Königreich zu einem Drittland, in das personenbezogene Daten aus der EU nur exportiert werden dürfen, wenn dort ein vergleichbares Datenschutzniveau vorliegt. Die EU-Kommission kann dies mit einem sogenannten Angemessenheitsbeschluss bestätigten. Ob dies für das Vereinigte Königreich rechtzeitig oder überhaupt geschieht und welchen Bestand ein solcher Angemessenheitsbeschluss vor Gericht hätte, ist bisher fraglich. EU-Kommision leitet entsprechendes Verfahren ein. Bis dahin ist Vorsicht geboten. 12.3.2021 

Für den Transfer personenbezogener Daten in die USA und andere Drittstaaten muss im Empfängerland tatsächlich (und nicht nur auf dem Papier) ein entsprechendes Datenschutzniveau vorliegen. Das hat der Europäische Gerichtshof (EuGH) in seinem Urteil zum EU-U.S. Privacy Shield deutlich gemacht. Garantien wie EU-Standardvertragsklauseln reichen also nicht aus, wenn Gesetze vor Ort diese untergraben. Doch genau das ist in den USA der Fall. Es bedarf unbedingt des eigenen Handels bis zu einer Neuregelung. 10.3.2021

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württembergs (LfDI) verhängte am 10. März 2021 eine Geldbuße in Höhe von 300.000 Euro gegen den VfB Stuttgart. Der Fußball-Bundesligist akzeptierte den Bescheid und will sich in Zukunft vermehrt für den Datenschutz engagieren.  10.3.2021

Zehntausende Exchange-Server in Deutschland sind nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat begonnen, potentiell Betroffene zu informieren. Es empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen. 5.3.2021
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html 

Clubhouse ist derzeit eine der angesagtesten Apps und bereits in aller Munde! Aber nicht immer nur positiv… Denn die Plattform wird auch heftig wegen des fragwürdigen Datenschutzes kritisiert. Denn wer Clubhouse im Unternehmen nutzen möchte, bewegt sich derzeit auf eher dünnem Eis. Nicht nur wegen der datenschutzrechtlichen Bedenken, sondern auch wegen des “Verbots” der geschäftlichen Nutzung. Wenn Sie also auf Nummer Sicher gehen möchten, sollten Sie zunächst bei der privaten Nutzung der App bleiben! Aber auch hier sollten Sie eines bedenken: Die App greift auf all Ihre persönlichen Kontaktdaten zu und speichert auch Ihre Sprachnachrichten, ohne dass klar ist, was genau mit diesen Daten passiert und wie diese weiter verarbeitet werden. Wie auch bei allen anderen Social Media Kanälen sollten Sie daher von Fall zu Fall abwägen, ob die Nutzung sinnvoll ist.  28.2.2021

Das Arbeitsgericht Düsseldorf hat einen Arbeitgeber zur Zahlung von € 5.000 Schadensersatz verurteilt, nachdem dieser seiner Auskunftspflicht gemäß Art. 15 DSGVO nicht ordnungsgemäß nachgekommen ist. Die Entscheidung ist noch nicht rechtskräftig. “Unter Berücksichtigung all dessen hat die Kammer für die ersten zwei Monate der Verspätung jeweils 500 €, für die weiteren etwa drei Monate jeweils 1.000 € und für die beiden inhaltlichen Mängel der Auskunft jeweils 500 € angesetzt.“ 

Gemäß Art. 15/ 16/ 17/ 18/ 19 müssen die Rechte der betroffenen Personen (i.d.R. Kunden und MItarbeiter) beachtet und eingehalten werden. Das heißt, dass Sie als Verantwortlicher dazu verpflichtet sind anfragenden Personen binnen 30 Tagen auf Anfragen zu Auskunft, Berichtigung und Löschung ihrer Daten gesetzeskonform zu antworten. Sie kümmern sich also um alle Betroffenenrechte, die Beantwortung aller Anfragen, Beschwerden und löschen die jeweiligen persönlichen Daten.

Diese Punkte muss die Auskunft enthalten:

• Namen und Kontaktdaten des Verantwortlichen
• Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
• Empfänger der Daten oder Kategorien der Empfänger
• Ob die Daten in ein Drittland übermittelt werden
• Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer
• Betroffenenrechte
• Die Möglichkeit des Widerrufs der Einwilligung
• Aufklärung über das Beschwerderecht bei einer Datenschutzbehörde
• Informationen darüber, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche mögliche Folgen die Nichtbereitstellung hätte.
• Gegebenenfalls Information über das Bestehen „automatisierter Entscheidungsfindung“. 

Das Gesetz gilt für „Beschäftigte“. Das bedeutet im Sinne des Datenschutzes:

• Arbeitnehmerinnen und Arbeitnehmer
• Leiharbeitnehmerinnen und Leiharbeitnehmer
• (im Verhältnis zum entleihenden Unternehmen)
• Auszubildende
• TeilnehmerInnen an Leistungen zur Teilhabe am Arbeitsleben sowie RehabilitandInnen
•  Menschen, die in anerkannten Werkstätten für behinderte Menschen beschäftigt sind,
• Freiwillige nach dem Jugendfreiwilligendienstgesetz oder dem Bundesfreiwilligendienstgesetz
• arbeitnehmerähnliche Personen (z.B. in Heimarbeit Beschäftigte)
• BewerberInnen für ein Beschäftigungsverhältnis 
• Personen, deren Beschäftigungsverhältnis beendet ist
• Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende (sofern nicht bundes- und landesspezifische Regelungen gelten).

Die Deutlichkeit des Schrems-II-Urteils des Europäischen Gerichtshofes (EuGH) hat Datenschutzexperten und auch Aufsichtsbehörden überrascht. Das Urteil hat eingeschlagen wie die sprichwörtliche Bombe und in allen beteiligten Kreisen größere Ratlosigkeit hinterlassen. Als einer der ersten wagt sich nun der Europäische Datenschutzausschuss (EDSA) aus der Deckung und gibt Empfehlungen.

Dienstleister innerhalb der EU sind aktuell wohl die deutlich bessere Wahl.

 17.11.2020

Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) und schreibt damit auch für Vereine das bisherige Datenschutzrecht fort, zudem enthält sie einige Änderungen.

• Erfasst werden personenbezogene Daten. Dies sind alle Einzelangaben über persönliche und sachliche Verhältnisse einer Person. Einzelangaben sind z.B. Name, Adresse, Geburtsdatum, Kontoverbindung der Vereinsmitglieder, Mitarbeiter, Lieferanten und Besucher von Veranstaltungen (Betroffene). Solche Daten sind auch im Vereinsleben von Bedeutung.
• Diese für den Verein relevanten personenbezogenen Daten sind gesetzlich vor unberechtigter Nutzung geschützt. Verantwortlich hierfür ist der Verein, vertreten durch den Vereinsvorstand. Er hat darauf zu achten, dass mit den Daten nach Recht und Gesetz umgegangen wird.
• Für den Umgang mit diesen Daten muss entweder eine gesetzliche Grundlage oder die Einwilligung des Betroffenen vorliegen. Eine gesetzliche Grundlage kann der Vereinszweck sein, der in der Vereinssatzung angegeben sein muss.
• Fehlt die Grundlage, wird in der Regel ein Datenschutzverstoß begangen, der in ein Bußgeldverfahren münden kann.

Die Anforderungen an eine transparente Videoüberwachung sind komplex, da unterschiedliche Interessen zu berücksichtigen sind: Der Betreiber einer Videoüberwachungsanlage möchte regelmäßig materielle Werte schützen. Daneben steht das Persönlichkeitsrecht der überwachten Personen, z.B. des Nachbarn im privaten Umfeld sowie der Kunden und Beschäftigten im unternehmerischen Bereich. Mit Blick auf die Beschäftigten obliegt dem Arbeitgeber zudem eine besondere Fürsorgepflicht. Privatpersonen und Unternehmen sollten sicher daher mit der Rechtslage vertraut machen und ihre Fortentwicklung im Auge behalten. Wir helfen gerne und unkompliziert.