Aktuelles

Datenschutzanforderungen einfach umsetzen nach dem DSGVO-2R-Prinzip

Die datenschutzrechtlichen Anforderungen stellen viele Unternehmen vor große Herausforderungen. Mit dem DSGVO-2R-Prinzip können Sie die Anforderungen sicher und einfach umsetzen sowie die Einführung bzw. Veränderungen von EDV-Anwendungen und Prozessen datenschutzrechtlich beurteilen. Informationsflyer und Anmeldemöglichkeit.

Nutzungsstopp von Microsoft 365

Im September letzten Jahres haben wir den Beschluss der Datenschutzkonferenz (DSK) zu Microsoft 365 vorgestellt, in welchem die Datenschutzkonformität des Programms bemängelt wurde. Seitdem ist zwar etwas Zeit vergangen, gelöst wurden die Probleme jedoch nicht, vielmehr scheint sich die Lage zuzuspitzen. So wurde im März bekannt, dass nun zwei Behörden aufgrund der fortdauernden datenschutzrechtlichen Bedenken einen Nutzungsstopp für Microsoft-Produkte in Erwägung bringen.
Bei diesen Behörden handelt es sich laut Angaben des Handelsblatts um den Landesbeauftragten für Datenschutz und den Landesbeauftragten des Landesrechnungshofs aus Mecklenburg-Vorpommern. Besonders problematisch sei nach deren Auffassung, dass sich der Abfluss personenbezogener Daten bei Anwendung der alltäglich genutzten Programme oftmals nicht verhindern ließe, es für diesen Abfluss aber keine ausreichende Rechtsgrundlage gebe. Der ständige Einsatz solcher Programme stelle daher ein datenschutzrechtliches Risiko dar, sodass unverzügliches Handeln notwendig sei. Das Ausweichen auf die sogenannten Standardvertragsklauseln helfe bei der Lösung des Problems jedenfalls nicht, da nach Ansicht mehrerer Landesdatenschutzbeauftragten einzelne Verträge mit den US-Dienstleister keinen ausreichenden Schutz darstellen würden. Wichtig und zugleich erforderlich sei es daher, dass die Verwender der betroffenen Produkte durch entsprechende Maßnahmen sicherstellen, dass die Daten keinen Personenbezug aufweisen oder aber eine sichere Verschlüsselung einrichten. Sollte beides nicht möglich sein, so müsse auf ein alternatives Produkt umgestiegen werden, wie etwa Open-Source Produkte.
Trotz der grundsätzlichen Zustimmung bezüglich der datenschutzrechtlichen Bedenken von Microsoft 365 lehnen andere Datenschutzbehörden einen vorschnellen Nutzungsstopp allerdings ab. Dem schloss sich Landesregierung in Mecklenburg-Vorpommern an, da andernfalls eine akute Gefährdung der Arbeitsfähigkeit in der Verwaltung zu erwarten sei. Gleiches kann wohl bezüglich der freien Wirtschaft gesagt werden; auch dort sind viele Unternehmen von der Nutzung der Microsoft-Programme abhängig.
Wir von DATApro bleiben bei unserer bisherigen Auffassung und sehen einen sofortigen Wechsel von Microsoft 365 auf andere Programme als nicht zwingend erforderlich an. Dennoch ist es dringend geboten, das unumstritten bestehende datenschutzrechtliche Risiko bei der Verwendung von MS 365 bestmöglich zu reduzieren. Dafür sind komplexe Abwägungen vorzunehmen, bei denen stets auf juristische Feinheiten zu achten ist. Das Team von DATApro ist mit diesen Vorgängen eng vertraut und verfügt diesbezüglich über mehrjährige Erfahrung. Sprechen Sie uns gerne einfach an und wir werden ein individuelles Leistungspaket für Ihr Unternehmen zusammenstellen.

Verarbeitung von Gesundheitsdaten im Zusammenhang mit der Corona-Pandemie

Am 29.03.2021 äußerte sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) über die derzeitige Rechtslage bezüglich des Umgangs mit Gesundheitsdaten, die im Zusammenhang mit der Corona-Pandemie verarbeitet werden. Dabei forderte sie den Gesetzgeber zugleich auf, umgehend ein Gesetzgebungsverfahren in die Wege zu leiten, um einheitliche und klare Regelungen für den Umgang mit pandemiebedingten Gesundheitsdaten zu schaffen.


Zunächst wurde durch die DSK klargestellt, dass die zurzeit noch andauernde Ausnahmesituation keine Ausnahmen von der bisherigen gesetzlichen Regelungslage zulasse. So seien insbesondere Informationen über den Impfstatus einer Person als auch das Ergebnis eines Coronatests oder der Nachweis einer überstanden Infektion Gesundheitsdaten, die den strengen Voraussetzungen der DSGVO unterliegen und für die grundsätzlich ein Verarbeitungsverbot gelte.


Da zurzeit keine eindeutigen gesetzlichen Grundlagen existieren, welche die Verarbeitung von Gesundheitsdaten im Zusammenhang mit dem Impfstatus einer Person, eines negativen Tests oder einer überstandenen Infektion rechtfertigen würden, ist eine solche Verarbeitung regelmäßig nur aufgrund einer freiwillig erteilten Einwilligung möglich. An dieser Stelle stellt sich zusätzlich das häufig anzutreffende Problem der Freiwilligkeit von Einwilligungen in Beschäftigungsverhältnissen. Dabei ist zu prüfen, ob der Arbeitnehmer eine echte und freie Wahl hat, oder ob er nicht mit spürbaren Nachteilen rechnen muss, sollte er seine Einwilligung nicht erteilen. Nach Ansicht der DSK entfällt die Freiwilligkeit bereits dann, wenn sich der Arbeitnehmer beeinflusst, gedrängt, bestimmt oder gezwungen sieht (DSK, Kurzpapier Nr. 14, S. 2). Gerade diese Erwägungen könnten jedoch bei der Preisgabe der „Corona Gesundheitsdaten“ eine entscheidende Rolle spielen.


Bis zu der Einführung der benötigten konkreten gesetzlichen Regelungen sei daher die Zulässigkeit der Verarbeitung von diesbezüglichen Gesundheitsdaten mittels einer Einzelfallprüfung festzustellen. Aufgrund der damit verbundenen komplexen juristischen Abwägungen sieht die DSK eine solche Prüfung jedoch mit einem sehr hohen Aufwand und rechtlichen Unsicherheiten verbunden. Erschwerend komme das teilweise sehr unterschiedliche Vorgehen der Kommunen hinzu, sodass keine einheitliche Praxis vorhanden sei, an der man sich orientieren könne.


Sehr gerne berät Sie das Team von DATApro zu dieser Problematik und übernimmt zugleich die damit verbundenen und erforderlichen Prüfungen und Abwägungen. Somit können Sie sich sicher sein, dass die Daten Ihrer Kunden und Mitarbeiter trotz der aktuell schwer durchschaubaren Rechtslage stets geschützt sind und datenschutzkonform verarbeitet werden. Darüber hinaus helfen wir Ihnen somit zugleich, ein gegen Ihr Unternehmen gerichtetes Bußgeld aufgrund fehlerhafter Datenverarbeitungen zu vermeiden. Gerade im Bereich der sensiblen Gesundheitsdaten können diese in einer empfindlichen Höhe bemessen werden.

Ja wir haben es getan: Datenschutzbeauftragter von DATApro hat nun auch eine Facebook-Fanpage

Warum?

Wir möchten:

  • ein gutes Beispiel für möglichst datenschutzkonforme Umsetzung zeigen.
  • Nutzer auf den Datenschutz aufmerksam machen und diese informieren.
  • aufzeigen, dass der Datenschutz entgegen so mancher Behauptung sehr interessant sein kann und somit das Interesse der Nutzer steigern.
  • Praxiserfahrungen sammeln, um unsere Kunden noch besser beraten zu können.

In einem Gespräch mit DATApro unter 02251 9299520 und info@datapro.de erfahren Sie mehr.

Beschluss der Datenschutzkonferenz zu Microsoft Office 365

In vielen Unternehmen ist Microsoft Office 365 heutzutage kaum mehr wegzudenken. Umso Aufsehen erregender erscheint ein sechsseitiger Beschluss der Datenschutzkonferenz der Länder (DSK) vom 22. September 2020, in dem festgestellt wird, dass ein datenschutzkonformer Einsatz dieses Programms nicht möglich sei.

Der Beschluss befasst sich hauptsächlich mit den Cloud-Varianten der einzelnen Programme (Word, Excel, PowerPoint etc.), bei denen diese Programme nicht fest auf dem Rechner installiert, sondern über die Cloud von Microsoft genutzt werden.

Gemäß Art. 5 Abs. 1lit. b DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sowohl bei den von Microsoft verwendeten vertraglichen Online Service Terms (OST) als auch bei dem Data Processing Addendum (DPA) fehle es bereits an einer genauen Zweckangabe, so dass die Datenverarbeitung nicht den Anforderungen der DSGVO entspreche. Ebenso fehle es an einer abschließenden Angabe der Art von personenbezogenen Daten, die verarbeitet werden.

Einen weiteren Kritikpunkt bildet die fehlende Rechtsgrundlage für die Übermittlung personenbezogener Daten, die durch den Nutzer an Microsoft zur Verfügung gestellt werden, wie es beispielsweise bei dem Sammeln von Telemetriedaten der Fall ist.

Microsoft weißt in den Datenschutzbestimmungen für die Onlinedienste darauf hin, dass es unter anderem dann zu einer Offenlegung personenbezogener Daten kommen kann, wenn es gesetzlich vorgeschrieben ist. Diese Beschreibung erscheint den Datenschutzbehörden als nicht konkret genug und ist auch vor dem Hintergrund des Cloud Acts in den USA und neuerer europäischer Rechtsprechung (EuGH, Urteil vom 16.7.2020 - Az. C - 311/18, "Schrems II") als zu unbestimmt zu betrachten. Nach dem Schrems-II Urteil sind besondere Anforderungen bei Datenübermittlungen in die USA zu beachten, so dass es ebenfalls nicht genüge, wenn Microsoft die bisherigen Standardvertragsklauseln nutze.

Darüber hinaus werden die unzureichenden Umsetzungen technischer und organisatorischer Maßnahmen (Art. 32 DSGVO) und das Vorgehen bei der Löschung und Rückgabe personenbezogener Daten von den Datenschutzbehörden bemängelt.

Welche Auswirkungen der Beschluss hat, kann nur abgeschätzt werden. Da der Beschluss mit einer knappen Mehrheit von 9 zu 8 Stimmen erging, wird das Vorgehen der einzelnen Bundesländer vermutlich unterschiedlich sein. So erscheint es fragwürdig, ob die Datenschutzbeauftragten der Länder, die gegen diesen Beschluss gestimmt hatten, die Nutzung von Microsoft Office 365 sanktionieren. Ob die Datenschutzbeauftragten der Länder, die für diesen Beschluss gestimmt haben, gegen Unternehmen vorgehen, die das Programm nutzen, darf ebenfalls bezweifelt werden. Schließlich ist auch den Behörden bewusst, dass Office 365 einen festen Bestandteil der Arbeitsprozesse bildet und eine Umstellung auf ein anderes vergleichbares Programm nur mit erheblichem finanziellen und organisatorischen Aufwand möglich ist. Aus einer kürzlich veröffentlichten Pressemitteilung der DSK geht hervor, dass es nun höchste Priorität hat, Microsoft Office 365 zeitnah wieder datenschutzkonform nutzen zu können. Damit dieses Ziel schnellstmöglich erreicht wird, hat die DSK eine Arbeitsgruppe eingesetzt, die schon bald Gespräche mit Microsoft aufnehmen soll. Dieses Statement spricht wohl auch dafür, dass die Behörden den Schwerpunkt nicht auf das Sanktionieren der Verwender des Programms legen, sondern vielmehr auf eine zielgerichtete Kommunikation mit Microsoft selbst, da auch nur auf diesem Wege das Problem im Interesse aller Beteiligten gelöst werden kann.

DATApro sieht es als nicht zwingend erforderlich an, bereits jetzt einen evtl. bestehenden Vertrag mit Microsoft zu kündigen und auf ein anderes Programm umzusteigen, sollte dies zu einem nicht zu vertretenden Aufwand führen. Allerdings ist eine evtl. geplante Neuanschaffung kritisch zu hinterfragen.


Achtung bzgl. Facebook und Telemedien (Website-Tracking)

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich im April 2019 u.a. zu den Themen Facebook und Telemedien positioniert. In der beigefügten Positionierung LINK zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages hat die DSK darauf hingewiesen, dass auch die zwischenzeitlich von Facebook veröffentlichte „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ nicht die Anforderungen der Datenschutzgrundverordnung zur gemeinsamen Verantwortlichkeit erfüllt. Zusammenfassend erwartet die DSK ein Nachbessern von Facebook bzgl. der Umsetzung der Datenschutzanforderungen. Um risikominimierende Maßnahmen zu ergreifen, können Sie sich gerne an DATApro wenden.

In der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ LINK hat die DSK festgestellt, dass das Telemediengesetz (TMG) bei Telemedien (Webseiten) nach dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) keine Anwendung mehr findet. Telemedien sind alle Online-Dienste mit Bestellmöglichkeit, aber auch alle Online-Angebote, die über das Internet aufrufbar sind, wie z.B. Newsgroups, Chatrooms und sonstige WWW-Angebote. Nach dem TMG durfte bisher Tracking durchgeführt werden bis ein Widerspruch vom Nutzer erfolgte. Jetzt ohne Anwendung des TMG und mit Bestehen der DSGVO ist ein Tracking nur nach erfolgter Einwilligung erlaubt. Was ist nun Tracking? „Nach dem Verständnis der Aufsichtsbehörden handelt es sich bei Tracking um Datenverarbeitung zur – in der Regel websiteübergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern. Ein anderer Begriff für Tracking könnte auch Nutzungsdatenverarbeitung im Onlinebereich heißen. Im Gegensatz hierzu werden bei Analyse-Tools statistische allgemeine Daten der Websitenutzung erfasst, wie z.B. Besucherzahlmessung. Bei Website-Analyse-Tools ist in den meisten Fällen keine Einwilligung erforderlich. Dennoch sind einige Anforderungen, wie z.B. die Informationspflicht, zu berücksichtigen. Und bitte Vorsicht bei einem evtl. Einsatz von Google Analytics. Es ist nicht, wie der Name vermuten lässt ein Analyse-Werkzeug, sondern es ermöglicht Nutzertracking und Profilbildung, wofür eine Einwilligung erforderlich ist. Für die Einwilligung sind u.a. folgende Vorgaben zu erfüllen:

  • Das Einwilligungsfenster darf nicht den Zugriff auf die im Internetauftritt erforderlichen Impressum-Angaben sowie die Datenschutzerklärung verhindern.
  • Es dürfen keine potenziellen Nutzerdaten durch z.B. Skripte erfasst werden, bevor die Einwilligung erteilt wurde.
  • Die Einwilligung muss alle einzelnen einwilligungsbedürftigen Verarbeitungstätigkeiten erfassen. Pro Verarbeitungstätigkeit ist eine Einwilligung erforderlich.
  •  „Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden.“

Aufgrund der Ansicht der deutschen Datenschutzaufsichtsbehörden darf das Tracking grundsätzlich nur noch mit Einwilligung und das Einbetten von z.B. Facebook-Buttons mit einer Zwei-Klick-Lösung erfolgen. Zumindest solange, bis die noch in der Diskussion befindliche E-Privacy-Verordnung in Kraft tritt oder der europäische Datenschutzausschuss etwas anderes verkündet. Ich empfehle Ihnen, dass Sie Ihren Webseitenentwickler kontaktieren, damit er die Praxishinweise der Orientierungshilfe umsetzt.

Unternehmerabend am 09.01.2019 um 17.00 Uhr

Thema 1: Datenschutz

Es is weiterhin 5 vor 12 im Datenschutz, aber nicht zu spät, um anzufangen: "In 10 Schritten zur Umsetzung der Datenschutzgrundverordnung"

Thema 2: Mitarbeiterentwicklung

Effektives Zeitmanagement ist der Schlüssel für Erfolg und der beste Schutz gegen Überlastung und Burnout. Es ist an der Zeit, was zu tun.

Anmeldung Unternehmerabend

 

Verarbeitung personenbezogener Daten für Werbung

Die deutschen Datenschutz-Aufsichtsbehörden haben sich im November 2018 zu dem Thema Werbung positioniert. Unter Werbung verstehen die Aufsichtsbehörden weiterhin „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufes mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern.“ Diese weitreichende Definition von Werbung wurde bisher auch von den Gerichten berücksichtigt. Insoweit werden auch Zufriedenheitsabfragen bei Kunden nach Geschäftsabschluss als Werbung angesehen. Zur Beurteilung der Werbezulässigkeit und den Rahmenbedingungen ist der jeweilige Einzelfall zu betrachten:

  • Werden alle Kunden ohne Selektion postalisch beworben?
  • Erfolgt ein automatisiertes Selektionsverfahren inkl. Profilbildung?
  • Werden Daten von anderen Unternehmen eingekauft?
  • Welcher Kontaktweg (Briefpost, E-Mail, Telefon-Anruf) wird für die Werbung benutzt?
  • usw.

Detailregelungen sind in der Datenschutzgrundverordnung (DSGVO) nicht zu finden. Allerdings steht im Erwägungsgrund 47 der DSGVO das berechtigte Interesse als denkbare Rechtsgrundlage. Das berechtigte Interesse wird aber schwer begründbar bei Werbung über Telefonanrufe, Faxzusendungen, E-Mail, SMS und automatischen Anrufmaschinen. Der Grund hierfür liegt in dem Gesetz gegen den unlauteren Wettbewerb. Insoweit lässt sich in vielen Fällen nur mit einer Einwilligung von den betroffen Personen Rechtssicherheit erreichen. Im Übrigen kann sich die Situation mit der für nächstes Jahr zu erwartenden e-Privacy-Verordnung für den Bereich der elektronischen Werbung ändern. Auf jeden Fall lohnt sich den jeweiligen Einzelfall zum jeweiligen Zeitpunkt individuell zu beurteilen.

 

 

Gelungene Eröffnungsfeier 2018

In den frisch renovierten, ideal gestalteten und modern-zweckdienlich eingerichteten Räumen der DATApro, der innovativen Firma für Datenschutz, wurde gefeiert!

Einige bereits zufriedene Kunden, aber auch Interessierte aus verschiedenen Unternehmensbereichen waren dabei. Zu diesem Anlass liess sich der Gründer Herr Helmut Häck gemeinsam mit seinem Team viel einfallen:

Im Eingangsbereich konnte man sich die besten Youtube-Videos zum Thema Datenschutz ansehen. Auf kurzweilige und spannende Art bekam man auf die in der heutigen Zeit unabwendbare und gleichzeitig brisante Wichtigkeit des Themas einen klaren Blick. Im großen Schulungsraum wechselten sich informative und detaillierte Vorträge durch Herrn Häck zum Thema Datenschutz für die verschiedenen Unternehmensbereiche mit anschliessender Klärung von Fragen sowie lockeren, ungezwungenen Gesprächen und Livemusik ab. Auch war für das kulinarische Wohl bestens gesorgt: Die Gäste konnten sich immer wieder an den liebevoll angerichteten herzhaften und süssen Fingerfood-Speisen laben. Neben einer grossen Auswahl an besten alkoholfreien Getränken inklusive frisch geröstetem Kaffee von Tim Kuhns (Bosque Lya) unterstrich eine mögliche Sekt-und Weinprobe des Weinkenners Herr Hupp den mehr als gelungenen Anlass.

Newsletter

Melden Sie sich hier zu meinem Newsletter an und erhalten Sie einen kostenlosen Leitfaden zu

"In 10 Schritten zur Umsetzung der europäischen Datenschutzgrundverordnung (DSGVO)".

Diesen erhalten Sie nach der Bestätigung gratis als PDF Download.

Ich möchte künftig den kostenlosen Newsletter von
DATApro
Vertreten durch Helmut Häck
Viktoria Str. 2
53879 Euskirchen

per E-Mail erhalten. Der Newsletter-Versand erfolgt entsprechend der Datenschutzerklärung und zur Bewerbung eigener Produkte und Dienstleistungen, wie z.B. die Seminarangebote. Eine Abbestellmöglichkeit des Newsletters finde ich in jeder neuen Ausgabe. Zusätzlich kann ich meine Einwilligung in den Versand jederzeit per mail an info@datapro.de bzw. an die im Impressum angegebenen Kontaktdaten oder unten mit dem Abmeldeformular widerrufen.

Abmeldeformular

Ich möchte keine weiteren Informationen zu den Produkten und Dienstleistungen erhalten.