Mein Name ist Ingo Goblirsch.

Ich "brenne" für Datenschutz und Informationssicherheit.
Lesen Sie meinen Blog, dann glauben Sie mir das.
Externer Datenschutzbeauftragter aus Aachen - Ingo Goblirsch LL.M.

DSGVO-Gazette #43: E-Mail Werbung durch die Hintertür - mit dem Kassenbeleg

Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung
Werbung im Retail

Es war einmal,

da befand ich mich im Urlaub und beschloss, einen Tag in einem etwas größeren Outlet-Center zu verbringen. Ein idealer Ort, um sich nach neuen Kleidungsstücken umzusehen und vielleicht das eine oder andere Schnäppchen zu machen. Nach einiger Zeit des Stöberns und Probierens hatte ich schließlich ein, zwei Teile gefunden, die mir gut gefielen. Mit meiner Auswahl zufrieden, ging ich zur Kasse, um meine Einkäufe zu bezahlen.

Der Kassierer nahm die Kleidung entgegen, scannte sie ein und nannte mir den Preis. Nachdem ich meine Karte durch das Lesegerät gezogen hatte, erwartete ich – wie gewohnt – den Kassenbeleg in Papierform, den man in solchen Situationen ja immer erhält. Doch stattdessen schaute mich der Kassierer freundlich an und stellte eine unerwartete Frage: „Möchten Sie den Kassenbeleg per E-Mail zugeschickt bekommen? Das schützt die Umwelt.“

DSGVO-Gazette #42: Alles (!) rund um Auskunftsanfragen

Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung
Auskunftsanfrage

Hallo zusammen,

immer mehr Unternehmen erreichen Auskunftsanfragen zum Datenschutz von betroffenen Personen. Diese Auskunftsanfragen sind verpflichtend von den Unternehmen, also den Verantwortlichen für die Datenverarbeitung, zu beantworten. Sie basieren immer auf das Recht auf Auskunft nach Art. 15 EU-Datenschutz-Grundverordnung, abgekürzt DSGVO.

Die Gründe für solche Anfragen von Betroffenen können sehr unterschiedlich sein. Zum Beispiel als Ersatz für eine sonst nicht wirksame „Akteneinsicht“ durch Rechtsanwälte, welche die Personalakte oder die Kunden- und Vertragsakte einsehen möchten, im Rahmen von Abfindungsverhandlungen oder – sehr umfangreich – auch bei Kündigungsschutzklagen. Ggfs. haben Sie auch Auskunftsanfragen von – zumeist abgelehnten - Bewerbern erreicht. Neben Trotzreaktionen von enttäuschten Kunden oder Bewerbern kann auch der bloße Spieltrieb ein Grund sein, um eine Auskunftsanfrage zu stellen.

DSGVO-Gazette #42: NIS2-Richtlinie schlank und effizient umsetzen

Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung
Datenschutz: Top 10 Most Wanted

Hallo zusammen,

in diesem Artikel stelle ich Ihnen die Maßnahmen zur Umsetzung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für eine "wichtige Einrichtung" vor. Die folgende Darstellung der notwendigen Maßnahmen basiert auf dem aktuellen Diskussionspapier des Bundesministeriums des Innern und für Heimat „Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland“.

Grundsätzlich müssen die EU-Mitgliedsstaaten die NIS2-Richtlinie bis spätestens dem 17.10.2024 umsetzen (Artikel 41 NIS2). Das NIS2UmsuCG soll im März 2024 verkündet werden (6 Monate vor Inkrafttreten). Mit dem Inkrafttreten sind alle Anforderungen direkt verbindlich umzusetzen – eine Umsetzungsfrist ist nicht vorgesehen. Entsprechend ist es sinnvoll, zeitnah mit den Arbeiten zur Umsetzung der Anforderungen zu beginnen. Bis zur Veröffentlichung im Bundesanzeiger lässt sich somit nicht verbindlich sagen, welche Anforderungen das NIS2UmsuCG fordern wird.

DSGVO-Gazette #41: Doppelt eingewilligt hält besser - Google Consent Mode V2

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung
Google-Consent-Mode // Einwilligung nach DMA

Hallo zusammen,

nicht Google, sondern der europäische Gesetzgeber, hat sich mit Artikel 5 Abs. 2 lit b Digital Markets Act (DMA) etwas einfallen lassen, was zu Änderungen auf Ihrer Internetseite führen muss. Wenn Sie sich diesen Gesetzesartikel durchlesen, fühlen Sie sich in Game of Thrones versetzt. Da ist die Rede von "Torwächtern", den "Diensten" einer "Plattform" oder von "unfairen Praktiken". Tatsächlich halten Sie jedoch nicht einen Roman von George R. R. Martin vor der Nase, sondern Sie schmökern gerade in dem neusten, was die Europäische Kommission rausgebracht hat: das Gesetz über digitale Märkte. Google hat als eben als ein solcher "Gatekeeper" hierauf reagiert und verpflichtet seine Analytics-Kunden, für sich ebenfalls eine Einwilligung abzuverlangen. Nun aber erstmal von vorne:

DSGVO-Gazette #40: Top 10 Most Wanted // Teil 2 // Datenschutzfehler in Unternehmen

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung
Datenschutz: Top 10 Most Wanted

Hallo zusammen,

der zweite Teil des Blogbeitrags "Top 10 Most Wanted" behandelt Datenschutzfehler, die in vielen Unternehmen zu finden sind. Diese Liste wärmt natürlich nicht alte Kamellen auf wie "Kein verschlüsseltes Formular auf der Internetseite". Vielmehr zeigt die Übersicht eine aktuelles, datenschutzrechtliches Lagebild in deutschen Unternehmen.

Um die Sache etwas spannender zu machen, sortiere ich sie nach dem Risiko für die Rechte und Freiheiten von Betroffenen. Mit dem Risiko für die Rechte und Freiheiten von Betroffenen geht nicht gleichzeitig das rechtliche Risiko für die Unternehmen einher, denn sie müssten ja noch "erwischt" werden. Entsprechend ist das Entdeckungsrisiko bei meiner Übersicht nicht relevant. Also, lehnen Sie sich zurück, haben Sie Spaß beim Lesen und vielleicht erkennen Sie Ihr Unternehmen an der ein oder anderen Stelle wieder.

DSGVO-Gazette #39: Top 10 Most Wanted // Teil 1 // Datenschutzfehler in Unternehmen

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenschutz: Top 10 Most Wanted

Hallo zusammen,

der folgende, zweiteilige Blogbeitrag behandelt Datenschutzfehler, die in vielen Unternehmen zu finden sind. Diese Liste wärmt natürlich nicht alte Kamellen auf wie "Kein verschlüsseltes Formular auf der Internetseite". Vielmehr zeigt die Übersicht eine aktuelles, datenschutzrechtliches Lagebild in deutschen Unternehmen.

Um die Sache etwas spannender zu machen, sortiere ich sie nach dem Risiko für die Rechte und Freiheiten von Betroffenen. Mit dem Risiko für die Rechte und Freiheiten von Betroffenen geht nicht gleichzeitig das rechtliche Risiko für die Unternehmen einher, denn sie müssten ja noch "erwischt" werden. Entsprechend ist das Entdeckungsrisiko bei meiner Übersicht nicht relevant. Also, lehnen Sie sich zurück, haben Sie Spaß beim Lesen und vielleicht erkennen Sie Ihr Unternehmen an der ein oder anderen Stelle wieder.

DSGVO-Gazette #38: Throwback-Sunday - Auskunftsanfragen neu aufgewärmt

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenschutz-Weisheiten

Liebe Leserinnen und liebe Leser,

nach der EU-Datenschutz-Grundverordnung haben alle Betroffenen, also diejenigen, deren personenbezogene Daten Sie verarbeiten, mehrere Rechte. Die Rechte der Betroffenen sind in Kapitel 2 der DSGVO, den Artikel 12-22 DSGVO, festgelegt. Eines davon ist das Recht auf Auskunft nach Art. 15 DSGVO. Es beschreibt – grob beschrieben – dass jeder Betroffene das Recht hat, Auskunft über die personenbezogenen Daten zu verlangen, die Sie über ihn verarbeiten.

DSGVO-Gazette #37: Wo verarbeitet Google Firebase Daten von App-Benutzern (im Wirkungsbereich der DSGVO)?

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenschutz-Weisheiten

Liebe Leserinnen und liebe Leser,

das Internetseiten mit Google Analytics 4 getrackt werden können, ist allgemein bekannt. Das auch App-Interaktionen von Benutzern auf die gleiche Art und Weise erhoben und ausgewertet werden können, vermuten alle Benutzer und wissen ebenfalls die meinsten Benutzer. In diesem Zusammenhang beschäftigte mich eine Frage sehr: Wo verarbeitet Google Firebase die Daten von App-Benutzern (im Wirkungsbereich der DSGVO)?

Also der Reihe nach direkt zur Antwort auf diese Frage. Ich werde die Umwege und Sackgassen weglassen, denen ich bei der Informationssammlung zur Beantwortung dieser Frage erlegen bin. Davon gab es leider eine ganze Menge.

DSGVO-Gazette #35: Das Cookie-Banner, welches sich selbst Lügen straft

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenschutz-Weisheiten

Liebe Leserinnen und liebe Leser,

es gibt sie noch: Die Internetseite, die keine Cookies nutzt. Lange habe ich danach gesucht, geforscht, gefahndet und gefragt. Und eigentlich zufällig bin ich auf dieses Banner gestoßen, was in seiner Klarheit und Transparenz seinesgleichen sucht: "Diese Website benutzt keine Cookies." und "OK".

cookie_banner.png

 

DSGVO-Gazette #34: Die neun Datenschutz-Weisheiten oder "Wie ich Bußgelder vermeide" (Teil 2 von 3)

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenschutz-Weisheiten

Liebe Leserinnen und liebe Leser,

nach einer kurzen Sommerpause von etwa 5 Monaten setze ich den Blog fort mit den nächsten Datenschutz-Weiheiten bzw. Tipps, wie Sie Bußgelder vermeiden können. Nachdem ich im ersten Teil dieser kurzen Blogserie über die Weiheiten

  1. Benenne einen Datenschutzbeauftragten
  2. Bilde deine Mitarbeiter weiter und
  3. Beachte die Informationspflichten

philosphiert habe, folgen nun die Datenschutz-Weisheiten vier bis sechs. Ich wünsche Ihnen viel Spaß beim Lesen.

DSGVO-Gazette #33: Die neun Datenschutz-Weisheiten oder "Wie ich Bußgelder vermeide" (Teil 1 von 3)

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Neun Datenschutz-Weisheiten

Liebe Leserinnen und liebe Leser,

Weisheiten haben was positives an sich - sie sind allgemeingültig, ohne einen zwingenden Charakter aufzuweisen. Ausserdem muss man kein christlicher Mönch oder hinduistischer Svami sein, um Weisheiten aussprechen zu dürfen. Eigentlich reicht es aus, ein gewisses Alter erreicht zu haben und über eine ausreichende Lebenserfahrung zu verfügen. Beides kann ich an dieser Stelle bejahen. Deswegen erlauben Sie mir, Ihnen 9 Datenschutz-Weisheiten näher zu bringen. Die Weisheiten werden in drei Blogbeiträgen veröffentlicht. Jeder Blogbeitrag hat dabei Verweise auf die anderen Weisheiten - soweit diese schon veröffentlicht sind. Ich wünsche Ihnen viel Spaß beim Lesen.

DSGVO-Gazette #32: ChatGPT, KI-basierte Sprachsysteme und die DSGVO

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
KI-basierte Sprachsysteme und DSGVO

Liebe Leserinnen und liebe Leser,

eigentlich könnte angenommen werden, dass ChatGPT, Alpaca, LLaMA oder andere KI-basierte Sprachsysteme ein Segen für die Gesellschaft ist. Roboter nehmen uns Arbeit ab und bringen uns so - ohne weiteres Zutun - näher an das Ziel "Wohlstand für alle" heran. Nehmen wir einmal diesen Blog - es wäre doch super, wenn der sich alleine schreiben würde. Entsprechend habe ich ein KI-basiertes Sprachsystem danach gefragt eine Einleitung für diesen Artikel zu schreiben. Heraus kam:

DSGVO-Gazette #31: Wie sollten Sie bei einer Datenpanne reagieren?

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenpanne! Achtung!

Liebe Leserinnen und liebe Leser,

bei Blog-Beiträgen gibt es ein Problem: Sie sind immer noch zu lang, um schnell wahrgenommen zu werden. Im "Notfall" oder im Fall einer Datenpanne kann niemand erstmal nach dem Begriff im Internet suchen (weil der eigene PC gerade von Hackern verschlüsselt wird oder zu wenig Zeit bleibt). Trotzdem müssen Sie die wichtigsten Informationen immer direkt parat haben.

Hierzu habe ich ein Hinweisschild entwickelt. Auch wenn der Kontext Ernst genommen werden sollte, versucht das Hinweisschild durch eine offene Art (und mit einem gewissen Augenzwinkern) für das Thema zu werben und die Belegschaft entsprechend zu sensiblisieren.

DSGVO-Gazette #30: DSGVO räumlich anwendbar oder internationale Übermittlung? Der EDSA klärt auf!

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenübermittlung oder nicht: Businesstrip in ein Drittland.

Liebe Leserinnen und liebe Leser,

15 Monate nach Beginn der öffentlichen Konsultation hat der Europäische Datenschutzausschuss (EDSA, engl: EDPB) Leitlinien über das Zusammenspiel zwischen dem räumlichen Anwendungsbereich der DSGVO und Bestimmungen über internationale Übermittlungen gemäß Kapitel V der DSGVO veröffentlicht. Die interessierten Leserinnen und Leser meines Blog stellen sich nun die Frage, wieso ich darüber schreibe. Sonst informiere ich doch eher über praxisnahe Themen und handhabbaren Datenschutz. Tatsächlich richtet sich dieser Beitrag eher an andere Datenschutzbeauftragte, denen ich hiermit ans Herz lege, sich mit diesen Leitlinien zu beschäftigen. Denn die DSGVO hält keine Legaldefinition des Begriffs "Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation" bereit. Auch sind hierzu bisher kaum Grundsatzurteile (case law) gesprochen worden. Diese Lücke möchten - mit Praxisbeispielen und Illustrationen - diese Leitlinien schließen.

DSGVO-Gazette #29: Datenpanne ist schon bitter - und dann ist noch alles auf Twitter (Teil 2)

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenpanne! Achtung!

Liebe Leserinnen und liebe Leser,

in Teil 1 des Artikels habe ich bereits die wichtigen Fragen durchleuchtet, was eine Datenpanne ist, wie eine Datenpanne entsteht und ob Sie einen Datenschutzbeauftragten benötigen, wenn Sie eine Datenpanne haben. In diesem Teil 2 des Artikels folgen nun die Antworten auf die folgenden Fragen:

  • Wie sollte ich im Fall einer Datenpanne reagieren?
  • Wie kann ich Datenpannen vermeiden?

Bitte lesen Sie sich diese beiden Teile des Artikels durch, denn häufig ist es nur eine Frage der Zeit, bis eine Datenpanne passiert und diese dann "auf Twitter" thematisiert wird.

DSGVO-Gazette #28: Datenpanne ist schon bitter - und dann ist noch alles auf Twitter

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenpanne! Achtung!

Liebe Leserinnen und liebe Leser,

mit einer "Datenpanne" ist nicht zu spaßen. Denn was umgangssprachlich eher wie eine Bagatelle klingt, hört sich juristisch ausgedrückt schon wieder ganz anders an. Oder wie würden Sie reagieren, wenn Ihr Datenschutzbeauftragter nicht von einer "Datenpanne" spricht, sondern von einer "Verletzung des Schutzes personenbezogener Daten, die zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt".

Ich bleibe in diesem Artikel bei der leichten Sprache und schreibe weiterhin von "Datenpanne" und beleuchte für Sie folgende Fragen:

Teil 1 des Artikels:

  • Was ist eine Datenpanne?
  • Wie entsteht eine Datenpanne?
  • Brauche ich einen Datenschutzbeauftragten bei einer Datenpanne?

Teil 2 des Artikels:

  • Wie sollte ich im Fall einer Datenpanne reagieren?
  • Wie kann ich Datenpannen vermeiden?

Bitte lesen Sie sich diese beiden Teile des Artikels durch, denn häufig ist es nur eine Frage der Zeit, bis Ihre Datenpanne auf Twitter thematisiert wird - nur dann ist es zu spät für gesetzlich vorgeschriebene Maßnahmen.

DSGVO-Gazette #27: Hackerangriff und Datenschutz - Meine "Goldenen Regeln" - Teil 2

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung
Goldene Regel vor/bei/nach eines Hackerangriffs

Liebe Leserinnen und liebe Leser,

im ersten Teil dieses zweiteiligen Beitrags habe ich über die Handlungsempfehlungen gesprochen, die vor einem Hackerangriff zu erledigen sind. Nun folgen die Handlungsempfehlungen, die Sie als Unternehmen beherrzigen sollten, nachdem ein Hackerangriff passiert ist. Beachten Sie bitte, dass für Sie der erste Schritt sein wird, Ihre komplette digitale Infrastruktur vom Internet zu trennen. Deswegen drucken Sie diesen kurzen Artikel gerne aus und legen Sie ihn zum Notfalhandbuch.

DSGVO-Gazette #26: Hackerangriff und Datenschutz - Meine "Goldenen Regeln"

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung
Goldene Regel vor/bei/nach eines Hackerangriffs

Liebe Leserinnen und liebe Leser,

vielen Unternehmen kennen nur zu gut die Bedrohungen, die von Hackern ausgehen. Diese wenden dabei - um nur einige Möglichkeiten zu nennen - Social-Engineering-Attacken, Phising-Mails, Phraming, schlecht gewarteten Mailservern oder Brute-Force-Attacken über Passwortdateien an, um an Ihre Daten zu kommen. Dabei gibt es für Sie als Unternehmen viel zu beachten, um sich vor, bei und nach einem Hackerangriff angemessen zu verhalten. Diese Verhaltensweisen stelle ich als "Goldene Regeln" dar. In diesem Blogbeitrag widme ich mich den Goldenen Regeln vor einem Hackerangriff. In nächsten Beitrag folgen dann die Goldenen Regeln bei/nach einem Hackerangriff.

DSGVO-Gazette #25: US-Datentransfer mit Microsoft 365 - das sind die rechtlich erlaubten Optionen

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Worauf warten? Microsofot Dienste einzuführen ist so risikolos wie seit Schrems II nicht.

Liebe Leserinnen und liebe Leser,

gerne informiere ich Sie zu dem aktuellen Stand der Datenschutzkonformität von Microsoft-Diensten in Wirtschaft und Verwaltung. Stand dieser Informationen ist der 9. Oktober 2022

Management Summary

Den drei bekannten Kritikpunkten,

  • dass Microsoft Daten in die USA beim Einsatz von Clouddiensten übermittelt,
  • dass hierfür keine Rechtsgrundlage vorhanden ist und
  • das Telemetriedaten intransparent verarbeitet werden,

haben sich Microsoft und die EU-Kommission gestellt. Für alle drei Kritikpunkte sind rechtliche Lösungen vorhanden wie das

DSGVO-Gazette #24: BOOM! Microsoft ist Datenexporteur // Überarbeitete Microsoft-AVV schreiben die Regeln neu

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Microsoft hat neue AVV für Ihre Dienste veröffentlicht

Zusammenfassung:

  • Microsoft hat neue DPA am 15.09.2022 veröffentlicht.
  • Anpassungen betreffen die Einbindung der neuen EU-Standardvertragsklauseln (Modul 3). Damit wir Microsoft Limited (Irland) zum Datenexporteur und erfüllt eine wesentliche Anforderung der Datenschutzaufsichtsbehörden.
  • Nun muss Microsoft Limited eine Datenübermittlungs-Folgenabschätzung durchführen und für die datenschutzkonforme Übermittlung der Daten in Drittstaaten garantieren.
  • Eine weitere Forderung der Datenschutz-Aufsichtsbehörden wird erfüllt: Ab sofort werden die Kunden aktiv informiert, wenn sich Unterauftragsverarbeiter ändern („will give Customer notice“).
  • Eine Offenbarung von personenbezogenen Daten an internationale Institutionen muss den in der EU geltenden Maßstäben genügen analog zu Art. 23 Abs. 1 DSGVO.
  • Die bisher bekannten Forderungen der Datenschutz-Aufsichtsbehörden scheinen somit adressiert worden zu sein – gemeinsam mit dem angekündigten EU Data Boundary for the Microsoft Cloud wendet sich das Blatt „pro Microsoft“.

Liebe Leserinnen und liebe Leser,

Microsoft hat (wie immer abrufbar unter https://aka.ms/dpa) zum 15.09.2022 einen neuen DPA veröffentlicht. Anbei erhalten Sie eine Übersicht zu den Änderungen des neuen Microsoft Products and Services Data Protection Addendum[1] (DPA). Die Überarbeitungen haben mehr rechtliche Auswirkungen auf die Kunden, welche die Produkte von Microsoft nutzen, als die Veröffentlichung der initialen Fassung der DPA aus dem Jahr 2020 und die letzte Überarbeitung der DPA aus dem Jahr 2021.

DSGVO-Gazette #23: Ihr Status-Quo zur DSGVO-Compliance // Datenschutz-Due-Diligence

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung
Datenschutz Due Diligence

Eine Abmahnung oder eine Anfrage der Datenschutz-Aufsichtsbehörde ist für viele Unternehmerinnen und Unternehmer ein Grund, sich die Frage zu stellen, ob man datenschutzkonform aufgestellt ist. Diese ex-post-Betrachtung ist aus meiner Sicht viel zu spät. In diesem Fall ist das Unternehmen bereits im "Fadenkreuz" und der DSGVO-Verstoß ist offensichtlich. Weitere Compliance-Fälle gegen die Anforderungen der DSGVO lassen sich in dieser Defensiv-Haltung nicht mehr rechtzeitig beheben und führen zu weiteren Untersuchungen der Datenschutz-Aufsichtsbehörde.

Deswegen ist es sehr wichtig, dass Sie sich frühzeitig um die Einhaltung der DSGVO in Ihrem Unternehmen kümmern. Gerade wenn es um Verstöße geht, die von Außen direkt erkennbar und offensichtlich sind. Und das beste Werkzeug dafür ist eine

Datenschutz-Due-Diligence.

DSGVO-Gazette #22: Datenschutz und 3G am Arbeitsplatz

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Wie sie sicherlich schon den Medien entnommen haben, gilt ab dem 24.11.21 am Arbeitsplatz nach § 28b Absatz 1 IfSG die 3G-Regel. Doch was bedeutet das aus Sicht des Datenschutzes? Wie begegnen Sie Mitarbeiterinnen und Mitarbeitern, die mit Datenschutz-Fragen versuchen, Sie als Arbeitgeber "auflaufen" zu lassen?

DSGVO-Gazette #21: Microsoft hat eine neue AVV/DPA veröffentlicht

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Am 15.09.2021 hat Microsoft einen neuen Datenschutznachtrag zu ihren Produkten und Services veröffentlicht - pünktlich zum Wirksamwerden der neuen EU-Standardvertragsklauseln (ich berichtete dazu). Dieser Nachtrag - der im Englischen "Microsoft Products and Services Data Protection Addendum" (DPA) genannt wird - löst den bisherigen "Microsoft Online Services Data Protection Addendum" ab. Und alleine an der Namensgebung sieht man schon den größten Unterschied: Das neue DPA (oder im Deutschen "Vereinbarung zur Auftragsverarbeitung" - AVV genannt) berücksichtigt nicht nur "Online Services", sondern inkludiert direkt alle Produkte und Dienstleistungen von Microsoft. Also, Vorteil 1: Sie müssen nur noch in ein Dokument schauen, wenn Sie Fragen zur Verarbeitung von Daten im Auftrag bei Mircosoft haben. So schön, so gut.. aber das Dokument weitere Änderungen, die wichtig sind

DSGVO-Gazette #20: Scheitern Projekte meistens an Datenschutz?

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Zwei von drei Unternehmen in Deutschland meinen, dass Datenschutz die Digitalisierung erschwere, so eine Aussage einer Studie von Bitkom Research aus dem Jahr 2021. Fast jedes Unternehmen (9 von 10) hätte bereits "innovative" Projekte wegen Datenschutzanforderungen stoppen müssen. Neben der üblichen Einladung zur der zufälligerweise ab Montag stattfindenden "Bitkom Privacy Conference 2021" hat der Branchenverband auch noch eine Wunschliste für die nächste Bundesregierung beim Datenschutz.

Doch ist das tatsächlich so? Scheitern innovative Projekte an Datenschutz-Anforderungen? Welche "Innovationen" hätten denn da umgesetzt werden sollen? Wieso wird Datenschutz häufig als "Bremser" oder "Verhinderer" aufgeführt? Und was hat vor der DSGVO die Projekte gebremst und verhindert? Ich habe da so eine Vermutung - und die möchte ich an dieser Stelle einmal loswerden.

DSGVO-Gazette #19: Impf-und Genesenenstatus Ihrer Belegschaft

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Sicherlich diskutieren Sie in Ihrem Unternehmen auch die Implikationen, welche sich aus der SARS-CoV-2-Arbeitsschutzverordnung (in Kraft seit 10.09.2021) und der Corona-Schutzverordnung NRW (Fassung gültig ab 11.09.2021) für Sie ergeben. Eine Vielzahl der dort genannten Punkte haben datenschutzrechtliche Relevanz. Eine häufige Frage betrifft die Rechtmäßigkeit in Bezug auf Datenschutz zur Abfrage des 3G-Status Ihrer Belegschaft.

DSGVO-Gazette #18: Lassen Sie den anderen keine Wahl? Consent-Banner im Fadenkreuz // Einwilligungen rechtssicher und praktikabel

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Mit der Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, zum 01.12.2021) und dem Ratsentwurf zur ePrivacy-VO wird das Tracking auf Internetseiten und in mobilen Apps wieder thematisiert. Auch Datenschutz-Initiativen und Datenschutzaufsichtsbehörden nehmen das Momentum zum Anlass, um ein aus Ihrer Sicht nicht datenschutzkonformes Tracking zu bemängeln bzw. zu sanktionieren. Dabei wird das "Wie" einer Einwilligung zum Tracking mit beiden Normen keine Änderung zum bestehenden Status-Quo erfahren. Denn immer noch sind die Anforderungen des BGH Urteil vom 28.05.2020 – I ZR 7/16 „Cookie-Einwilligung II" alleine maßgeblich.

Seit diesem Urteil rätseln nun viele Webagenturen und Online-Werber, welcher Grad an Rechtsunsicherheit noch akzeptabel ist, ohne eben im Fadenkreuz von Aufsichtsbehörden und Datenschutz-Initiativen zu gelangen und Bußgeld zu riskieren. Und dieser Grad ist - wie alles im (rechtlichen) Risikomanagement - abhängig von ihrer Risikoaffinität oder ihrer Risikoaversion.

DSGVO-Gazette #17: Neue EU-SVK durch die EU-Kommission veröffentlicht

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Die Europäische Kommission hat am gestrigen Freitag neue EU-Standardvertragsklauseln (SVK) veröffentlicht. Die EU-Standardvertragsklauseln, welchen ich mich näher widmen möchte, beziehen sich auf die Übermittlung von personenbezogenen Daten in (unsichere) Drittländer. Weitere SVK können im Verhältnis zwischen den Verantwortlichen (für die Datenverarbeitung) und deren Auftragsverarbeitern angewandt werden - auf diese gehe ich nicht näher ein.

Der EU-Kommissar für Justiz, Didier Reynders, sagte, dass es "mit diesen überarbeiteten Klauseln, (...) mehr Sicherheit und Rechtssicherheit für Unternehmen bei Datenübertragungen" geben wird. Tatsächlich kann sowas nur ein Politiker sagen, ohne rot zu werden. Denn absolut sicher werden Datenübertragungen in Drittländer mit diesen neuen SVK nicht. Dazu bedarf es weiterer Maßnahmen, sogenannter "zusätzlicher Garantien", welche ein gleichwertiges Schutzniveau für die personenbezogenen Daten in dem Drittland gewährleisten müssen.

Arbeit verursachen werden die neuen SVK auf jeden Fall, denn sie müssen nun mit den Auftragsverarbeitern abgeschlossen werden. Dabei werden nicht alle Auftragsverarbeiter derart schnell reagieren wie Microsoft, welche die Anwendung der neuen SVK unverzüglich gezwitschert haben.

DSGVO-Gazette #16: Nutzung von Mailchimp wurde durch Bay LDA untersagt

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Mailchimp gehört zu den größten Teilnehmern auf dem Markt für eMail-Marketing. Das Unternehmen nutzt als Logo einen Affen mit einer US-Postbotenkappe. Mailchimp ist unter anderem deswegen so erfolgreich, weil bei kleineren Nutzerzahlen keine oder nur geringe Kosten entstehen. Bis heute ist es für Unternehmen mit bis zu 2.000 Empfänger kostenfrei nutzbar. Anstatt den ersparten Aufwand in die Einrichtung eines datenschutzkonformen eMail-Newsletters zu stecken, wird lieber der Affenkopf in den Sand gesteckt und auf eine Beschwerde eines Nutzers gewartet. So ist es diese Woche einem Unternehmen in Bayern ergangen. Das Bayerischen Landesamts für Datenschutzaufsicht hat einem Unternehmen die Nutzung von Mailchimp untersagt - völlig zu recht.

DSGVO-Gazette #15: Aktuelle DSGVO-Missbrauchsmasche

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

In der letzten Zeit ist es vermehrt zu einem Missbrauch der DSGVO gekommen ist, um Schadenersatz geltend zu machen. Die „missbräuchlich motivierte Geltendmachung von Betroffenenrechten“ zielt darauf ab, unter Aufbau einer Drohkulisse Verantwortliche zur außergerichtlichen Zahlung eines immateriellen Schadensersatzes in vierstelliger Höhe an den Betroffenen zu bewegen sowie zur Erstattung der angeblich entstandenen Rechtsanwaltskosten.

Folgende Szenarien sind bekannt:

Bitte Impressum aktualisieren: Aus RStV wird MStV - sonst ändert sich nichts

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Neben der Datenschutzerklärung ist das Impressum auf einer Internetseite ein ähnlich größes Mysterium. Was kommt da rein, was nicht. Hauptnorm dazu ist das Telemediengesetz (TMG). Dieses regelt in § 5 TMG, welche Inhalte im Impressum vorgehalten werden müssen. Dazu gehören der Name und die Anschrift des Diensteanbieters, seine "Adresse der elektronischen Post" aka eMail-Adresse etc.

Neben den Vorgaben des TMG regelte bisher der RStV (Rundfunk-Staatsvertrag), dass bei Internetauftritten (inkl. Social-Media-Kanäle), die redaktionell-journalistische Inhalte anbieten, ein inhaltlich Verantwortlicher genannt werden muss. Der RStV wurde jedoch mit dem Inkrafttreten des Medienstaatsvertrags am 7. November 2020 durch diesen abgelöst.

Was muss jetzt geändert werden?

DSGVO-Gazette #14: Datenschutz und Datensicherheit im Home-Office

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Ab nächsten Mittwoch werden Arbeitgeber mit dem Inkrafttreten der neuen Arbeitsschutzverordnung von Bundesarbeitsminister Hubertus Heil verpflichtet, Beschäftigte unter gewissen Voraussetzungen das Arbeiten im Home-Office anzubieten. Wortwörtlich lautet der entsprechende Passus in der Verordnung: „Der Arbeitgeber hat den Beschäftigten im Fall von Büroarbeit oder vergleichbaren Tätigkeiten anzubieten, diese Tätigkeiten in deren Wohnung auszuführen, wenn keine zwingenden betriebsbedingten Gründe entgegenstehen“.

"Datenschutz" kann in diesem Zusammenhang ein zwingender, betriebsbedingter Grund sein, muss es aber nicht.

Denn es braucht dazu nur Regelungen zu Home-Office mit den damit zusammenhängenden technisch-organisatorischen Maßnahmen, um die Einhaltung datenschutzrechtlicher und IT-sicherheitstechnischer Anfroderungen zu gewährleisten. Welche das sind und was sie regeln, dazu mehr in diesem Beitrag.

DSGVO-Gazette #14: Absolute Privacy Approach - Das (falsche) Streben nach absolutem Datenschutz

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Es wird mir zu viel - Ein Thema nimmt in unserer Gesellschaft eine viel zu wichtige Rolle ein. Ich rede vom Datenschutz. Hier mal ein paar Beispiele aus jüngerer Zeit:

  • "Die Warn-App scheitert im Grunde an einer sehr hohen Hürde des Datenschutzes." sagte Markus Söder (CSU) am 29.11.2020 bei Anne Will.
  • "Es wird in Deutschland oft unterschätzt, was wir für einen guten Datenschutz haben." sagte Angela Merkel (CDU) am 01.12.2020 beim Digital-Gipfel 2020 der Bundesregierung.

Ob EuGH-Urteil "Schrems II", Übermittlung von Daten in Drittstaaten, Bußgeld gegen 1&1, Online-Tracking durch Google und Facebook, Videokonferenzen mit Zoom, Home-Office-Regelungen, Microsoft-Bashing und Kontoauszüge für die SCHUFA - jedes Thema wird zuerst auf Datenschutz reduziert. Datenschutz wird für alles zum No-Go-Kriterium, bevor überhaupt eine inhaltsbezogene Diskussion anfangen kann.

Das Streben nach "absolutem Datenschutz" - der "Absolute-Privacy-Approach" - ist nicht zielführend und führt zwangsläufig dazu, dass wir irgendwann "Bummelletzter" werden. Was können wir dagegen machen, dass Datenschutz omnipräsent ist? Wie können wir Sachdiskussionen fördern und sie nicht am DSGVO-Stoppschild abrupt beenden?

DSGVO-Gazette #13: EDPB veröffentlicht Leitlinien zu Privacy by Design und Privacy by Default

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Die "Guidelines 4/2019 on Article 25 Data Protection by Design and by Default" (DPbDD), oder übersetzt Leitlinien 4/2019 zu Artikel 25 (DSGVO) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, wurden letzte Woche veröffentlicht. Was klingt wie ein Zungenbrecher sind unverbindliche Empfehlungen des Europäischen Datenschutzausschusses, um sich als Softwareentwickler und Diensteanbieter dem sperrigen und abstrakten Regelungen des Artikel 25 zu näher.

Die gute Nachricht zuerst: Es sind allesamt nur Beispiele, Hinweise, Empfehlungen und unverbindliche Tipps. Der noch aus dem Entwurf der Leitlinien hervorgehende harte Kurs des EDPB, absoluten Datenschutz an allen Ecken und Enden zu fordern, wurde (glücklicherweise) nicht durchgezogen.

Die Leitlinien definieren zu Beginn Begriffe, die sonst immer gut waren für 3 Stunden Stammtischgespräch, z. B. Was ist eigentlich "state of the art" beziehungsweise "Stand der Technik"? Wenn das bei ihrem Stammtisch nicht Thema ist, lesen Sie einfach weiter...

In eigener Sache: Vergleich von externen Datenschutz­­beauftragten

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Der Markt für "Externe Datenschutzbeauftragte" steigt stetig. Viel Konkurrenz für einen Datenschutzbeauftragten. Ich habe mal eine (völlig unabhängige und wertfreie) Analyse des aktuellen Markts von Datenschutzbeauftragten durchgeführt. Dabei habe ich mich nicht nur den üblichen Klick auf die Google-Anzeigen genutzt, sondern auch tiefer recherchiert und die Angebote durchforstet. Die dabei festgestellten Punkte möchte ich Ihnen nicht vorbehalten.

Ich schreibe über die unterschiedlichen Kategorien von Datenschutzbeauftragten und vergleiche diese: Der "Datenschutzbeauftragten-Vergleich", die "Software-Anbieter", die "bundesweit und branchenübergreifend tätigen Kollegen", die "Paket-Datenschutzbeauftragten" und die "Ewig-Gestrigen".

"Die DSGVO-Gazette" #12: Datenschutz-Black-Box-Test - Den eigenen Außenauftritt prüfen

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Nein, ich schreibe hier und jetzt nicht über das Schrems-II Urteil. Das überlasse ich anderen Personen. Es gibt mittlerweile genug Checklisten zum Fast-US-Exit oder Muster-Notfallpläne bei Anfragen von Datenschutz-Aufsichtsbehörden. Auch Unkenrufe von Open-Source-Sympathisanten oder Aufrufe zu Kurzschlusshandlungen zum Beispiel auf Twitter. Ein übrigens nicht viel beachteter Lichtblick in diesem Zusammenhang ist der Beginn der Gespräche zwischen dem U.S. Secretary of Commerce und der EU-Kommission. Wieso eigentlich auch über solche Sondierungsgespräche berichten - das würde ja nur die ganzen Checklisten und Muster-Notfallpläne ad absurdum führen.

Ich möchte heute über ein Thema sprechen, welches viele (kleine und mittlere) Unternehmen ein Hilfsmittel darstellt, um ihre eigene Datenschutz-Konformität selber prüfen zu können. Der Datenschutz-Black-Box-Test.

Vorab: Sie wollen einen kostenlosen Black-Box-Test des Außenauftritts Ihres Unternehmens nach den Aspekten IT-Sicherheit und Datenschutz? Sind Sie Geschäftsführer*in? Dann nennen Sie mir Ihre Firma, und fragen Sie den Black-Box-Test unverbindlich an.

"Die DSGVO-Gazette" #11: Abmahnmissbrauch - Vorschusslorbeeren für das Gesetz zur Stärkung des fairen Wettbewerbs

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Zwei (!) Jahre nach dem Gültigwerden der EU-DSGVO und vier (!) Jahre nach der Einführung dieser Verordnung hat die Bundesregierung auf Regeln zur Eindämmung von Abmahnmissbrauch geeinigt. Die Fragen, die sich jeder Eingeweihte stellt ist: Wieso brauchen wir ein "Gesetz zur Stärkung des fairen Wettbewerbs"? Welche Abmahnungen und welcher Missbrauch davon ist gemeint? Warum kommt das Gesetz erst jetzt (wenn es denn so wichtig ist)? Und vor allem: Wann kommt das "Gesetz gegen den Bußgeldmißbrauch durch Datenschutzaufsichtsbehörden"?

"Die DSGVO-Gazette" #10: Qualifizierte Transport­verschlüsselung braucht (fast) jeder

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

In dem letzten Beitrag der DSGVO-Gazette habe ich damit begonnen, den Inhalt der Orientierungshilfe zum "Schutz personenbezogener Daten bei der Übermittlung per E-Mail" für Datenschutzbeauftragte und Verantwortliche zu "entschlüsseln". Dies will ich nun fortführen und Sie auf eine Stelle in der Orientierungshilfe aufmerksam machen, die eMail-Serveradministratoren noch schlaflose Nächte bereiten wird. Eigentlich klingt die Stelle harmlos - aber sie hat es in sich:

"Nimmt ein Verantwortlicher Daten gezielt per E-Mail entgegen, bei denen der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt, dann muss er sowohl qualifizierte Transportverschlüsselung (...) als auch den Empfang von Ende zu Ende verschlüsselter Nachrichten ermöglichen."

"Die DSGVO-Gazette" #9: Maßnahmen zum Schutz persbez. Daten bei der Übermittlung per E-Mail

Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder - im speziellen der Arbeitskreis „Technische und organisatorische Datenschutzfragen“ hat eine Orientierungshilfe herausgebracht. Und das ist schon was besonderes, denn Orientierungshilfen sind in der Regel sehr gut ausgearbeitete Unterlagen, in denen die Landesdatenschutzbeauftragten aktuelle Themen aufgreifen und fallabschließend festlegen. Der Name "Orientierungshilfe" mag zwar nicht-bindend klingen, jedoch sollte ich jeder gute Argumente überlegen, wieso er bei seiner Datenverarbeitung den Empfehlungen der Landesdatenschutzbehörden nicht folgt.

Im Fall dieser Orientierungshilfe zum "Schutz personenbezogener Daten bei der Übermittlung per E-Mail" ermöglichen die Landesdatenschutzbeauftragten nun offiziell eine Abkehr von der Ende-zu-Ende Verschlüsselung unter gewissen Voraussetzungen. Sie bieten allen Verantwortlichen die Möglichkeit - im manchen Fällen - auf eine obligatorische Transportverschlüsselung auszuweichen.

Trotzdem müssen Verantwortliche und deren Datenschutzbeauftragte beide Verfahren voneinander abwägen, bevor sie sich für eine Maßnahmen entscheiden.

"Die DSGVO-Gazette" #8: Zwei Jahre DSGVO - Blick nach vorn anstatt Blick zurück

Wo waren Sie am 25. Mai 2018? Ich war auf der Arbeit und habe mich gefragt, ob es "das" jetzt gewesen ist. Erst Wochen und Monate später habe ich gemerkt, dass sich erst mit dem Tag des Wirksamwerdens der EU-Datenschutz-Grundverordnung (EU-DSGVO) das Bewußtsein zu den neuen datenschutzrechtlichen Anforderungen enorm gesteigert hat. Doch ich möchte nicht zurückschauen (wie der Rest der Republik) und schreiben wie bürokratisch und intransparent alles geworden ist. Ich möchte den Blick nach vorne wagen und aufzeigen wie ein angemessener Umgang mit Datenschutz in Zukunft gelingen kann.

"Die DSGVO-Gazette" #7: Cookies-Consent-Management richtig und rechtssicher

Mit der im März 2019 veröffentlichten Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien des DSK wurde das Thema Einwilligung/Consent als Rechtsgrundlage für Drittanbieterwerkzeugen auf Internetpräsenzen vielen erst bewusst. Schon vorher gab es Debatten darum, ob ein einfaches Cookies-Banner reicht, um die den Einsatz von bis zu 30 Verbindungen zu omnipräsenten Statistikwerkzeugen, alles-verknüpfenden Marketingportalen, Schriftarten von US-Servern oder Chat-Bots aus Asien zu rechtfertigen. Spätestens seit dem EuGH-Urteil zu Planet49 ist nun allen klar, dass für jedes externe Werkzeug vor dessen Einsatz überprüft werden muss, auf Basis welcher Rechtsgrundlage dieser Einsatz stattfinden darf. Und was da alles schief gehen kann und wie es richtig geht, soll dieser Beitrag zeigen.

"Die DSGVO-Gazette" #6: Datenschutz wie Phönix aus der Asche

Derzeit läuft nicht viel im beim Thema Datenschutz. Klar, Corona-Tracking und Datenschutz im Home-Office sind die aktuellen Themen, die durchs Dorf gejagt werden. Nur sind das Strohfeuer - es lohnt sich nicht wirklich sich damit zu beschäftigen. Vor einigen Wochen waren es noch die Drittanbieter-Werkzeuge auf Internetseiten, welche für Aufsehen gesorgt haben.

Zwischen all diesen Meldungen über datenschutzkonforme Videokonferenzsystemen oder Aktenshredder in als Home-Office umfunktionierten Bügelzimmern, vergessen wir doch schnell, dass Datenschutz nichts mit Feuerwehr, Panik und Kurzschlusshandlungen zu tun hat. Datenschutz ist ein planbare Aufgabe, die einen gewissen Aufwand zu Beginn erfordert und danach regelmäßig überprüft und nachjustiert werden muss. Deswegen laufe ich nicht jedem Hype hinterher. Vielmehr wage ich heute mal einen Blick in die Zukunft. Denn Datenschutz wird nach Corona nicht mehr so sein wie es mal war.

"Die DSGVO-Gazette" #Corona-Sonderausgabe - Was der Virus mit dem Datenschutz macht!

Es ist schon viel über den neuartigen Corona-Virus bekannt. Eins jedoch ist noch nicht bekannt: Das Virus befällt auch die DSGVO und nistet sich tief in die datenschutzrechtliche Grundsätze ein. Wie lässt es sich anders erklären, dass Landes-Datenschutzbehörden nun von ihrem "harten Kurs" abweichen und dutzende Unternehmen ohne jegliche Rechtsgrundlage Corona-Newsletter verschicken? Mehr noch: Auf die Datenschützer kommt nun viel Arbeit zu: Zukünftig wird die Digitalisierung stärker vorangetrieben. Dies bedingt, dass datenschutzrechtliche Anforderungen beachtet werden müssen.

Es folgt ein Überblick zu den aktuellen Datenschutz-Eskapaden... Pragmatismus scheint die Haltung der Stunde zu sein!

"Die DSGVO-Gazette" #5 - Was können Sie von ihrem Datenschutzbeauftragten verlangen? Aufgaben und Verantwortlichkeiten des Datenschutzbeauftragten!

Auskunftsanfrage nach Art. 15 DSGVO

Ich möchte nicht im Detail erläutern wann ein Datenschutzbeauftragter zu benennen ist, oder ob fakultativ ein Datenschutzbeauftragter benannt werden kann. Es geht um die Situation danach – was können Sie als Unternehmer, als Verantwortlicher für die Datenverarbeitung von Ihrem benannten Datenschutzbeauftragten erwarten. Dabei konzentriere ich mich auf externe Datenschutzbeauftragte. Dies hat zwei Gründe:

  1. Interne Datenschutzbeauftragte stehen in einem Abhängigkeitsverhältnis mit Ihnen. Sie haben weniger Probleme, diese zum Arbeiten zu kriegen. Ausnahmen bestätigen die Regel.
  2. Interne Datenschutzbeauftragte haben häufig nicht das Know-How eines externen Datenschutzbeauftragten, weswegen Sie von internen Datenschutzbeauftragten rein fachlich weniger erwarten können. Auch hier bestätigen Ausnahmen wieder die Regel.

Sie haben also den Dienstleistungsvertrag und die Benennungsurkunde des externen Datenschutzbeauftragten unterschrieben und erwarten nun natürlich viel: Volle Haftungsübernahme, 24x7 Support (eMail, Mobiltelefon, persönlich), Fünfe mal gerade sein lassen beim Newsletter für Bestandskunden, Know-How zu aktuellen gerichtlichen Auslegungen, ein enger Draht zur Aufsichtsbehörde, volles Einfühlvermögen bei Ihren Kunden?

"Die DSGVO-Gazette" #3 - Wie reagiere ich auf Auskunfts-Anfragen nach Art. 15 DSGVO?

Auskunftsanfrage nach Art. 15 DSGVO

Die heutige Ausgabe von "Die DSGVO-Gazette" beschäftigt sich mit Ihrer Reaktion auf Auskunftsanfragen nach Art. 15 DSGVO. Fazit: Abwarten und Tee trinken ist keine Option!

Jedem, dessen Daten Sie verarbeiten, hat das Recht auf Auskunft nach Art. 15 DSGVO. Soweit – so gut. Nur wie sollten Sie reagieren, wenn ein solches Auskunftsverlangen Sie erreicht? Erstmal haben solche Auskunftsschreiben verschiedene Gesichter: Normalerweise formuliert ein Betroffener seine Aufforderung zur Auskunft nach Art. 15 DSGVO in ein paar freundlich, aber bestimmt, formulierten Sätzen und sendet diese Anfrage an die richtige Stelle im Unternehmen – den Datenschutzbeauftragten oder die Geschäftsführung. Es geht aber auch profaner – Selbst eine einfache eMail oder Postkarte mit den Worten „Geb mir Auskunft zu meinen Daten.“ oder „Ich will wissen, was ihr mit meinen Daten macht!“ reicht, damit sich der Verantwortliche für die Datenverarbeitung nach den Anforderungen des Art. 15 DSGVO messen lassen muss.

"Die DSGVO-Gazette" #2 - Erlass von Bußgeldern in Deutschland nimmt Fahrt auf

Die heutige Ausgabe von "Die DSGVO-Gazette" beschäftigt sich mit dem aktuell zu beobachten den Erlass von Bußgeldern. Denn derzeit entdecken die Datenschutz-Aufsichtsbehörden in Deutschland den Art. 83 DSGVO und verhängen "im großen Stil" Bußgelder. Damit berücksichtigen sie insbesondere, dass die Bußgeldhöhe in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Und auch ich musste meine Meinung dabei ändern. Denn bisher habe ich das Damoklesschwert Bußgeld nie hoch gehalten, um Angst zu schüren. Das ist jetzt anders.

"Die DSGVO-Gazette" #1 - Patientendaten in Gefahr / Datenschutz in Arztpraxen

Die heutige Ausgabe von "Die DSGVO-Gazette" beschäftigt sich mit dem Umgang zu Gesundheitsdaten:

  • Celler Arztpraxis offen wie ein Scheunentor - 30000 Datensätze zu Patientendaten
  • NDR-Untersuchung: Fehlversand von Patientendaten ist weit verbreitet
  • 105.000 Euro Bußgeld gegen ein Krankenhaus - Was ist passiert?
  • Fazit: Wie verhindere ich es mit meinem Gesundheitsunternehmen (Arzt, Pflegedienst, Apotheke, medizinisches Versorgungszentrum, Pflegeheim, Krankenhaus), selber in den Fokus zu kommen?

Finger weg von Consent-Management-Tools!

Sie wachsen wie Pilze aus dem Boden: Junge Start-Ups und alte Platzhirsche entwickeln beinahe wöchentlich neue Angebote für Consent-Management-Tools. Alle haben eins gemeinsam: Sie können nicht erklären, worin der Vorteil ihrer Lösung gegenüber ein paar eigenen Zeilen JavaScript liegt. In diesem Artikel erkläre ich die Funktionsweise von Consent-Management-Tools bzw. Einwilligungsmanagement-Werkzeugen, stelle ihre Nachteile dar (neben dem Preis) und biete eine funktionierende Alternative.

Datenschutz bei Internetseiten von Schulen

Ich wage eine kühne Behauptung: Annähernd jeder digitale Außenauftritt einer Schule ist abmahnfähig. Sei es wegen externer Werkzeuge, Verarbeitung durch Kontaktformulare, fehlender Information nach Art. 13 DSGVO (Informationspflichten), … überall kann sich noch ein Fehler eingeschlichen haben oder unerkannt geblieben sein.

Es reicht nicht aus, die uniforme Datenschutzerklärung der Schulträger oder des schulischen Datenschutzbeauftragten zu nutzen und sich in Sicherheit zu wiegen. Denn die Internetseite ist die Visitenkarte Ihrer Schule und es soll nicht das Eldorado von Abmahnanwälten oder Elterninitiativen werden. Deswegen sollte der Datenschutz für den digitalen Außenauftritt Ihrer Schule auch mit der höchsten Priorität angegangen werden. Sie glauben, Ihr schulischer Datenschutzbeauftragter hat das schon erledigt? Na, dann müssen Sie ja nicht weiterlesen…

Datenschutz hat nichts mit Cookie-Banner zu tun – Urteil gegen Planet49 – Einwilligungen Pflicht

Wer kennt sie nicht, die Cookie-Banner. Sie informieren den Nutzer der Internetseite meistens darüber, dass Cookies gesetzt werden. Diese Cookies können unterschiedlichen Zwecken dienen. Viele Cookies sind technischer Art, d. h. ohne das Setzen eines solchen Cookies gehen wesentlichen Funktionalitäten der Internetseiten verloren, beispielsweise „Zurück zur Ergebnisliste“ oder „Warenkorb“. Andere Cookies schalten personalisierte Werbung, weil der Nutzer beim letzten Zugriff auf die Internetseite bei dem nun beworbenen Artikel ausgestiegen ist. Ganz findige Cookies überwachen (oder „tracken“) das Verhalten von Internetnutzer, und zwar im Internet umspannend. Diese Cookies sorgen dafür, dass Nutzer völlig gläsern werden und jede digitale Regung registriert und ausgewertet wird.

Mit dem heutigen Urteil gegen Planet49 (C-673/17) hat der Europäische Gerichtshof (EuGH) europaweit (und damit DSGVO-weit) klar gemacht, dass Cookies nur gesetzt werden dürfen, wenn eine Einwilligung durch den Nutzer erfolgt ist. Diese Einwilligung muss freiwillig sein und setzt ein aktives Handeln voraus. Es dürfen keinerlei Bedingungen an die Einwilligung geknüpft werden. Eine Weiternutzung des Internetangebots ohne Einwilligung muss also weiterhin möglich bleiben – nur eben ohne „Warenkorb“ und „Zurück zur Ergebnisliste“.

Elektronische Medien und Portale datenschutzkonform einführen (Teil 2/2)

Nachdem der letzte Blogartikel die Aspekte A-C beim datenschutzkonformen Betrieb von elektronischen Medien und Portale thematisierte, folgen nun die Aspekte D-F.

Elektronische Medien und Portale datenschutzkonform einführen (Teil 1/2)

Datenschutzfreundliche Voreinstellungen, Datenschutz durch Technikgestaltung und weitere Aspekte wie die rechtssichere Vereinbarung der Auftragsverarbeitung zwischen dem Verantwortlichen und dem Dienstleister sind wichtige Voraussetzungen für einen datenschutzkonformen Betrieb von elektronische Medien und Portale.

Dieser Blogbeitrag bietet dazu einen ersten Einstieg. Es beschreibt die wesentlichen, notwendigen Schritte dar, um elektronische Medien und Portale datenschutzkonform zu betreiben.

Weitere Informationen erhalten Sie auf Anfrage. Wenden Sie sich gerne an mich.

Checkliste für den datenschutzkonformen Einsatz von elektronische Medien und Portalen

A

Stellen Sie sicher, dass der Einsatz von elektronischen Medien und Portale durch eine Rechtsgrundlage abgedeckt ist.

B

Der Verantwortliche muss gegenüber den betroffenen Personen seiner Informationspflicht nach Art. 12 ff. DSGVO nachkommen.

C

Eine „Vereinbarung zur Verarbeitung von Daten im Auftrag“ muss zwischen dem Verantwortlichen und dem Supportdienstleister geschlossen werden.

D

Die Aspekte zu „Datenschutz durch Technikgestaltung“ und „Datenschutzfreundliche Voreinstellungen“ wurden definiert und umgesetzt.

E

Ein Verzeichnis von Verarbeitungstätigkeiten und weitere Dokumentation unterstützt den Verantwortlichen bei der Sicherstellung der Rechenschaftspflicht.

F

Die Durchführung und Dokumentation einer Datenschutz-Folgenabschätzung stellt sicher, dass die getroffenen (technisch-organisatorischen) Maßnahmen dem Schutzbedarf der verarbeiteten Informationen gerecht werden.

Einsatz von Microsoft Office 365 an Schulen wirklich unzulässig?

Der Hessische Beauftragte für Datenschutz und Informationssicherheit (HBDI) bezeichnet in einer Stellungnahme den Einsatz von Microsoft Office 365 Cloud (an Schulen) als unzulässig.

Diese Meldung ist in fünffacher Hinsicht spannend:

Schwellwert zur verpflichtenden Benennung eines Datenschutzbeauftragten auf 20 Beschäftigte gestiegen – Auswirkungen für Unternehmen

Manche externe Datenschutzbeauftragte sehen Ihre Felle davonschwimmen.
Manche externe Datenschutzbeauftragte sehen Ihre Felle davonschwimmen.

154 (!) einzelne Gesetze hat der Deutsche Bundestag etwas außerhalb der „Prime-Time“ um 01:30 Uhr Freitagmorgen beschlossen, um den Anforderungen der EU-Datenschutz-Grundverordnung schrittweise zu entsprechen. Dramatisch – könnte man meinen – wäre da nicht im nächsten Tagesordnungspunkt die mit Spannung erwartete Ferkelbetäubungssachkundeverordnung dran gewesen.

Aber zurück zum Thema: Eine Änderung des Bundesdatenschutzgesetzes (BDSG), welche bei den 154 Gesetzen dabei war, bestimmt, dass Unternehmen erst ab 20 Mitarbeitern verpflichtend einen Datenschutzbeauftragten benennen[1] müssen. Diese Änderung hat mehr Auswirkungen auf die Datenschutz-Branche als auf die Unternehmen selbst. Doch was sind nun die Auswirkungen für Unternehmen? Ich habe es mal in einer Übersicht zusammengefasst:

Datenschutz-Aufsichtsbehörden: Konzentierte Aktion gegen Fanpages angekündigt

Datenschutzaufsichtsbehörden gehen gegen Betreiber von Fanpages vor
Datenschutzaufsichtsbehörden gehen gegen Betreiber von Fanpages vor

Etwas untergegangen ist eine Aussage des Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht, Thomas Kranig, auf der Jahreskonferenz der Wettbewerbszentrale.

Aus Sicht von Herr Kranig ist es "derzeit gar nicht möglich, eine Facebook-Fanpage DSGVO-konform zu betreiben". Und gleichzeitig kündigt er an, dass in einer konzentrierten Aktion fünf bis sechs Datenschutz-Aufsichtsbehörden Verfahren gegen Unternehmen eröffnen, die eine Facebook Fanpage betreiben.

Datenschutz am Arbeitsplatz - Arbeit der Datenschutz-Aufsichtsbehörde in NRW

Arbeit der Datenschutz-Aufsichtsbehörden.
Arbeit der Datenschutz-Aufsichtsbehörden.
Nachdem der erste Teil der Darstellung der Arbeit von Datenschutz-Aufsichtsbehörden den Beginn des Berichts der Landesbeauftragten für Datenschutz und Informationsfreiheit von NRW vom 24.05.2019 thematisierte und der zweite Teil praxisnahe Beispiele der Arbeit zeigte, folgen nun die Aussagen der Behörde zu Datenschutz am Arbeitsplatz.
 
Der Teil des Berichts beginnt mit Aussagen zur Einführung einer digitalisierten Personalakten in der Landesverwaltung NRW. Die dort aufgeführten nicht-funktionalen Anforderungen an den Datenschutz und die Informationssicherheit sind rudimentär und kratzen lediglich an der Oberfläche. Inhaltliche Ergänzungen zu einem Einführungs- bzw. Migrationsprojekt eines Personalsystems sollten Projektleiter oder Sponsoren solcher Maßnahmen hier nicht erwarten.
 

Praxis-Teil - Arbeit der Datenschutz-Aufsichtsbehörde in NRW

Arbeit der Datenschutz-Aufsichtsbehörden.
Arbeit der Datenschutz-Aufsichtsbehörden.
Nachdem der erste Blog-Artikel die allgemeine Arbeit der Datenschutz-Aufsichtsbehörde NRW auf Basis ihres Berichts vom 24.05.2019 thematisierte, geht es nun ans Eingemachte: Ab Seite 47 äußert sich die Behörde zu Internas ihrer Arbeit.
 
Abschnitt 4 des Berichts beginnt mit Aussagen zu Fahrerbewertungsportalen, bei denen das Verhalten von Privatpersonen im Internet bewertet werden (konnte). Ganze drei Jahre hat es gedauert, bis die Behörde die datenschutzkonforme Verarbeitung personenbezogener Daten auf dem entsprechenden Internetportal durchsetzen konnte. Übrigens wird das betroffene Portal selbst seitdem kaum noch genutzt, denn die Denunzierung von Fahrerinnen und Fahrern bietet sie nicht mehr als Funktionalität.
 

Arbeit der Datenschutz-Aufsichtsbehörde in NRW (Einführung)

Arbeit der Datenschutz-Aufsichtsbehörden.
Arbeit der Datenschutz-Aufsichtsbehörden.
Der Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit von NRW wurde am 24.05.2019 veröffentlicht. Darin enthalten ist die Zusammenfassung der behördlichen Arbeit von zwei Jahren. Es sind jedoch nicht irgendwelche zwei Jahre. Es sind die 1,5 Jahre vor und das halbe Jahr nach dem Wirksamwerden der EU-Datenschutz-Grundverordnung, spricht der Zeitraum der Jahre 2017-2018.
 
Das ist der erste gute Grund, wieso die 145 Seiten des 24. Datenschutz-und Informationsfreiheitsbericht lesenswert sind. Der zweite Grund ist, dass jede Datenschutzaufsichtsbehörde in ihren Berichten praxisnahe Beispiele ihrer Arbeit erläutert, spricht: Wie tickt die Behörde, wenn man mit ihr zu tun hätte. Damit Sie sich nicht durch die 145 Seiten durchzwängen müssen, erhalten Sie im Folgenden einen Auszug wichtiger Aussagen des Berichts.

Keine Abschaffung der Beauftragten für Datenschutz - Entschließung der Datenschutz-Konferenz

Keine Abschaffung der Datenschutzbeauftragten
Keine Abschaffung der Datenschutzbeauftragten

Im Rahmen der 97. Datenschutzkonferenz vom 03.04.-04.04.2019 der unabhängigen Datenschutzbehörden haben sich die Teilnehmer - alles Datenschutzbeauftragte des Bundes oder der Länder - positiv über die weitere Relevanz von Datenschutzbeauftragten geäußert.

Dies werte ich als klares Signal an die Politik. Es ist für mich eine direkte Reaktion auf die Vorschläge aus dem Bundeswirtschaftsministerium und auf die Initiative von Baden-Württemberg und Bayern im Bundesrat. Diese politischen Vorhaben waren natürlich damals dem Landtagswahlkämpfen geschuldet, trotzdem finde ich es gut, dass sich die Datenschutzkonferenz deutlich dagegen stellt. Wenn die Politik den Datenschutzbeauftragten für KMU oder Vereine abschaffen will, dann sollte sie im selben Atemzug die DSGVO für diese Veranwortlichen der Datenverarbeitung ebenfalls abschaffen. Dies wäre nur konsequent, denn ohne Datenschutzbeauftragte gibt es nunmal keinen angemessenen Datenschutz. Woher sollte der auch kommen?!? Die Abschaffung von Datenschutzbeauftragten für KMU und Vereine (die übrigens aktuell nirgends mehr auf der Agenda steht) würde nicht nur mittelfristig (wie das DSK behauptet) sondern sofort Schaden anrichten.

Die Einschätzung der Datenschutzkonferenz, dass es ohne Datenschutzbeauftragte nicht geht, zeigt sich auch in der täglichen Arbeit. Nur im Datenschutz und der Informationssicherheit ausgebildete Personen können Unternehmen dabei helfen, Haftungsrisiken zu vermeiden und datenschutzform personenbezogene Daten zu verarbeiten.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Viele Grüße aus Bad Aachen.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit
Aachen

Datenschutz-Basics für Ärzte: Datenschutz-Prinzipien

Im meiner Basics-Reihe erläutere ich Begriffe aus den Grundlagen des Datenschutzes mit Bezug zu Ärzten.

"Datenschutzprinzipien"

Sie wissen nun was personenbezogene Daten sind, Sie kennen die für die Verarbeitung dieser Daten notwendigen Rechtsgrundlagen. In einem nächsten Schritt geht es darum zu erfahren, nicht welche Daten Sie verarbeiten und ob Sie die Daten verarbeiten dürfen, sondern wie die Verarbeitung der Daten durchzuführen ist. Dieses wie der Datenverarbeitung wird mit dem Begriff „Grundprinzipien der Verarbeitung personenbezogener Daten“ beschrieben.

Datenschutz-Basics für Ärzte: Rechtsgrundlage der Verarbeitung

Im meiner Basics-Reihe erläutere ich Begriffe aus den Grundlagen des Datenschutzes mit Bezug zu Ärzten.

"Rechtsgrundlage der Verarbeitung"

Wenn Sie nun personenbezogene Daten verarbeiten möchten, benötigen Sie dafür eine Rechtsgrundlage. Es gibt sechs verschiedene Rechtsgrundlage, die in Frage kommen können. Die wichtigsten Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten in Arztpraxen sind der Vertrag und das Gesetz.

Datenschutz-Basics für Ärzte: Personenbezogene Daten

Im meiner Basics-Reihe erläutere ich Begriffe aus den Grundlagen des Datenschutzes mit Bezug zu Ärzten.

"Personenbezogene Daten"

Der Unterschied zwischen personenbezogenen Daten und nicht personenbezogenen Daten ist einfach zu verstehen. Daten, die eindeutig einer bestimmten natürlichen Person zugeordnet werden können, sind personenbezogen.

Etwas schwieriger ist die Sache, wenn sich Daten nicht direkt auf eine Person beziehen, jedoch der Personenbezug herleitbar ist. Dies kann dadurch sein, dass zu der Kombination aus Vor- und Nachname noch das Geburtsdatum kommt – dann wird aus einem einigermaßen anonymen Hans Müller der Hans Müller, der am 03.05.1962 geboren wurde. Diese Daten nennt man in Kombination personenbeziehbar und sie sind damit genauso schützenswert wie personenbezogene Daten.

Neues von den Aufsichtsbehörden: Nutzung von Mircosoft-Cloudprodukten (O365, Azure AD etc.) datenschutzform möglich

Datenschutzkonforme (DSGVO) Nutzung von Microsoft Cloud-Diensten
Datenschutzkonforme (DSGVO) Nutzung von Microsoft Cloud-Diensten
Es kann nicht hoch genug geschätzt werden, was die Konferenz der Datenschutzbeauftragten in der Evangelische Kirche in Deutschland (EKD) zur Nutzung von Microsoft-Clouddiensten erlassen haben.
 
Die EKD spricht sich für eine Nutzung von Microsoft-Clouddiensten aus - unter bestimmten Voraussetzungen. Eine gute Nachricht für alle Schülerinnen und Schüler sowie den Digitalpakt in Deutschland.
 
Die EKD macht die Nutzung von Microsoft Clouddiensten von vier Voraussetzungen abhängig:
  • Hold-your-own-key (HYOK)-Technologie wird eingesetzt
  • Telemetrie-Daten werden nicht an Microsoft gesandt (TOM)
  • Microsoft bietet eine Vereinbarung zur Auftragsverarbeitung nach § 30 Abs. 5 EKD (AVV) an. Damit unterwirft sich Microsoft auch der Kirchlichen Datenschutzaufsicht.
  • Durchführung einer Datenschutz-Folgenabschätzung vor Einsatz von Microsoft Clouddiensten

Neues von den Aufsichtsbehörden: Orientierungshilfe für Anbieter von Telemedien (2019)

Telemedien und DSGVO
Telemedien und DSGVO
Um das hier zu besprechende Dokument "Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien" besser einordnen zu können, müssen wir in die datenschutzrechtliche Historie absteigen. Damals, nach Internet-Zeitmessung vor langer Zeit, am 26. April 2018 hat die Datenschutzkonferenz eine "Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen" veröffentlicht. Die Positionsbestimmung kam, kurz vor Wirksamwerden der DSGVO, zu einer Unzeit, weil sie der Nutzung von Tracking-Tools (Google Analytics, Facebook Pixel etc.) eine Abfuhr erteilten. Entsprechend waren die Reaktionen im Netz:
  • "Die Konsequenz, welche die Aufsichtsbehörden hieraus ziehen, dürfte für Wirbel sorgen.", schrieb der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.
  • "Die Bewertung der Rechtslage (...) durch die Datenschutzkonferenz (DSK) (...) knapp einen Monat vor Anwendbarkeit der DS-GVO ist (...) weder zutreffend noch hilfreich.", schrieb der Bitkom - Bundesverband Informationswirtschaft,Telekommunikation und neue Medien e.V.
  • Andere Autoren witterten durch die damalige Positionsbestimmung Futter für die Abmahnindustrie - Abmahnungen im großen Stil sind jedoch glücklicherweise ausgeblieben.
  • Dr. Stefan Hanloser, veröffentlichte am 30.04.2018 noch den wertvollen Hinweis, dass die Positionsbestimmung "keine Entschließung" ist, im Hinblick auf die rechtliche Einordnung der Aussagen des Datenschutzkonferenz.

Doch nun haben die Aufsichtsbehörden nachgeliefert und aus der Positionsbestimmung eine Orientierungshilfe gemacht. Auch eine Orientierungshife ist keine Entschließung. Sie aus diesem Grund jedoch weiterhin zu ignorieren wäre jedoch die falsche Reaktion.

Die Hambacher Erklärung zur Künstlichen Intelligenz der Datenschutz-Konferenz

Künstliche Intelligenz und DSGVO

Im Nachgang zur 97. Datenschutzkonferenz vom 03.04.-04.04.2019 der unabhängigen Datenschutzbehörden des Bundes und der Länder wurden mehrere Dokumente veröffentlicht. Eines dieser Dokumente verdient eine detaillierte Beschäftigung.

Es ist die Entschließung "Hambacher Erklärung zur Künstlichen Intelligenz".

Die Hambacher Erklärung zur Künstlichen Intelligenz (KI) postuliert sieben datenschutzrechtliche Anforderungen für den Einsatz von KI. Vorab wird die Relevanz von Datenschutz beim Einsatz von KI/AI (kann das mal bitte einer legal definieren) festgemacht. Dann folgen die sieben Anforderungen.
  1. KI darf Menschen nicht zum Objekt machen
  2. KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot nicht aufheben

Umsetzung der DSGVO: Der Druck durch Bußgelder von Aufsichtsbehörden und Abmahnungen von "Verbänden" wächst

Seit Einführung der DSGVO habe ich immer vermieden, eine Drohkulisse aufzubauen. Deswegen habe ich die Thematiken Bußgelder, Abmahnungen und Beschwerden bei Aufsichtsbehörden nie über Gebühr strapaziert. In der letzten Zeit häufen sich jedoch die Meldungen und Hinweise, dass sich Fehler im Datenschutz nicht mehr lohnen.

Beginnen wir mir dem jüngst veröffentlichten Tätigkeitsbericht des BayLDA, 145 Seiten, vom 22.03.2019:

  • Umfangreiche Datenschutzkontrollen durch das BayLDA.
  • Keine Beratung mehr durch das BayLDA, nur noch Kontrolle und Aufsicht.
  • 3643 Beschwerden beim BayLDA in 2018 (+ 216%).
  • 9212 Beratungen in 2018 (aus Personalmangel werden Beratungen eingestellt).
  • 2471 Datenschutzverletzungen in 2018 (+ 1817%).
  • 216 Bußgeldverfahren im Berichtszeitraum 2017/2018.

Die Menge an Beschwerden (30 pro Tag) zeigt auch,

Paukenschlag: Windows 10 nicht datenschutz-konform betreibbar - Microsoft Telemetrie und Diagnose-Daten („diagnostic data“) im Fokus

Kennen Sie Sisyphus? Die Figur aus der griechischen Mythologie? Kennen Sie nicht wirklich…? Ist auch nicht schlimm!

Kennen Sie denn „SiSyPHuS Win10“? Die „Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ vom Bundesamt für Sicherheit in der Informationstechnik? Falls nicht, sollten Sie sich damit beschäftigen. Denn was mit „SySyPHuS Win10“ auf die Windows-Welt zurollt, wird für Systemadministratoren und IT-Systemhäuser eine Menge Arbeit mit sich bringen.

Denn für Anfang April des Jahres 2019 ist durch die Datenschutzkonferenz der Länder eine datenschutzrechtliche Bewertung zu Windows 10 Telemetrie angekündigt. Diese kommt (nach eigenen Informationen) zu dem Ergebnis, dass Windows 10 ohne zusätzliche Maßnahmen nicht datenschutzkonform betrieben werden kann. Merken Sie sich also den 3.-4. April 2019 an dem die 97. Datenschutzkonferenz stattfindet.

Serie „Aus gegebenem Anlass“ – Auftragsverarbeiter, die keine sind

Ich weiß nicht genau, woran es liegt. Aber von überall her kriege ich aktuell Anfragen zum Abschluss von Vereinbarungen zur Auftragsverarbeitung (AVV). Entweder kriegen meine Kunden diese von Auftragsverarbeitern (deren Auftragnehmer), die keine sind. Oder Auftraggeber – die keine „Verantwortlichen“ nach DSGVO sind – fordern von meinen Kunden den Abschluss einer AVV.

Häufig sollen AVV abgeschlossen werden zu Tätigkeiten, die keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO sind. Bisher untergekommen sind mir die beauftragte Warenzusendung, Tätigkeiten von Berufsgeheimnisträgern, Materialuntersuchungen im Auftrag oder die Fertigung individueller medizinischer Produkte.

Ein anderes Negativ-Beispiel sind AVV zu Tätigkeiten, die im Kern keine Verarbeitung personenbezogener Daten darstellen. Hier zielt der Auftrag auf eine andere Tätigkeit, wie z. B. Bewachungsdienstleistungen, vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten, Druck von Prospekten oder Katalogen mit Bildern von Beschäftigten oder Fotomodellen und sogar die Reinigung von Berufskleidung mit Namensschildern(!).

Datenschutz-Folgenabschätzung mit dem kostenlosen Werkzeug PIA - privacy impact assessment von CNIL (Teil 1)

Mit dem kostenlosen Werkzeug PIA (privacy impact assessment) der französischen Datenschutz-Aufsichtsbehörde können Sie eine eine strukturierte und nachvollziehbar dokumentierte Datenschutz-Folgenabschätzung erstellen. In diesem Tutorial erläutere ich Ihnen Schritt-für-Schritt, wie Sie die Software bedienen und welche Inhalte Sie befüllen müssen.

Zuerst laden Sie die Software runter und starten Sie das Programm. Ich empfehlen Ihnen zum Ausprobieren erstmal die Desktop-Version. Falls Sie einen unternehmensweiten Einsatz der Software planen, können Sie später immer noch eine Server-Version installieren. Die erstellten DSFA sind nachträglich in andere Installationen einfach importierbar.

Datenschutz im (Fußball-)Verein - Zusammenarbeit mit dem FVN und dem FVM

Der Fußballverband Niederrhein und der Fußballverband Mittelrhein vertreten beide die Interessen von Fußballvereinen mit insgesamt über 750.000 Mitgliedern. Bei dieser Vielzahl von Betroffenen sind Fragen und der Bedarf an Lösungen zum Datenschutz vorprogrammiert. Insbesondere auch weil sehr viele Mitglieder der Fußballvereine minderjährig und damit nach der DSGVO besonders schutzwürdig sind.

In diesem Zusammenhang organisieren beide Fußballverbände einen gemeinsamen Lizenz-Fortbildungslehrgang zum Vereinsmanager B. Neu dabei ist, dass darin auch die Aspekte "Datenschutz und Informationssicherheit im Verein" vermittelt werden. Ich bin stolz, dass mich sowohl der FVM als auch der FVN als Referenten zum Thema Datenschutz angefragt und gebucht haben.

Auftragsverarbeitung durch Dienstleister (AVV) - was Sie beachten müssen

Der vom Hamburgischen Beauftragten für Datenschutz und Informationssicherheit verhängte Bußgeldbescheid über 5.000 Euro wegen einer Verarbeitung von Daten im Auftrag ohne entsprechende Vereinbarung zeigt einmal mehr, dass die Datenschutzaufsichtsbehörden es nun Ernst meinen. Allen voran Datenverarbeitungen im Auftrag ohne entsprechende Auftragsverarbeitungsvereinbarungen (AVV) scheinen bußgeldbewehrt zu sein. Dies ist ein Grund mehr, sich mit dieser Thematik zu beschäftigen.

Datenschutzerklärung bei der Nutzung von Google-Diensten (Maps, Analytics, ReCaptcha, usw.)

Sicherlich gehören auch Sie zu den Personen, die im Jahr 2018 die Datenschutz-Erklärungen auf ihren Internetseiten angepasst haben. Darin enthalten sind sicherlich auch Hinweise zu Diensten von Google, also zum Beispiel Google WebFonts, Google Analytics, Google ReCaptcha, Google Maps, usw. Wenn dem so ist, kontrollieren Sie mal die Adresse des Verantwortlichen der Datenverarbeitung: Steht da was von Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA? Ja, dann sollten Sie das zum 22.01.2019 ändern. Denn ab dem Tag führt Google weitreichende Änderungen in der internen Organisation ein.

Datenschutz-Folgenabschätzung - Teil 2: Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und Muster (freie Software PIA von CNIL)

Datenschutz-Folgenabschätzung - Teil 2: Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und Muster (freie Software PIA von CNIL)

Im letzten Blog-Artikel habe ich die Voraussetzungen erläutert, welche die Durchführung einer Datenschutz-Folgenabschätzung nach DSGVO bedingen. Dazu gehörten Ausschlusskriterien (z. B. Whitelist), Zwangskriterien (den möglichen Eintrag in einer Blacklist) sowie die eigene Risikoanalyse in Form einer die Schwellwertanalyse. Wenn Sie nach all diesen Punkten zu dem Ergebnis gekommen sind, dass Sie eine Datenschutz-Folgenabschätzung für den konkreten Verarbeitungsvorgang durchführen müssen, sollten Sie jetzt weiterlesen...

Datenschutz-Folgenabschätzung - Teil 1: Datenschutzrechtliche Anforderungen, Whitelist, Blacklist und Muster-Prüfschema

Datenschutz-Folgenabschätzung - Teil 1: Datenschutzrechtliche Anforderungen, Whitelist, Blacklist und Muster-Prüfschema

Den Begriff Datenschutz-Folgenabschätzung (DSFA) habe ich in der Vergangenheit in den Blogartikeln Datenschutzanforderungen bei Videoüberwachung und WhatsApp-Business datenschutzkonform einsetzen wie selbstverständlich verwendet. Dabei ist eine Datenschutz-Folgenabschätzung alles andere als selbsterklärend: Sie ist ein wirkungsvolles Werkzeug, um vor der Verarbeitung personenbezogener Daten effektive und effiziente technisch-organisatorische Maßnahmen auszuwählen, welche die Rechte und Freiheiten natürlicher, betroffener Personen schützen. Aber der Reihe nach…

Datenschutz-Anforderungen bei Videoüberwachung: Über Schilder, Hinweispflicht, Bußgeld und Datenschutz-Folgenabschätzung

Videoüberwachung – Jetzt übertreiben die Datenschützer aber!

Wir schreiben den 15.12.2018 - in etwas mehr als einer Woche ist Weihnachten. Sicherlich nicht der ideale Zeitpunkt, um sich mit Datenschutzanforderungen bei Videoüberwachung zu beschäftigen. Eigentlich sollte ich an diesem Samstag in der Aachener Innenstadt sein und die letzten Geschenke einkaufen. Doch auch dort verfolgt mich die DSGVO in Form von Videokameras. Ich erwische mich regelmäßig dabei, wie ich die neuen Informationsschilder bei den Videokameras durchlese und die Welt um mich herum vergesse...

Blogserie Datenschutz in der Arztpraxis - Teil 4: Verzeichnis von Verarbeitungstätigkeiten und Auftragsverarbeiter

Verzeichnis von Verarbeitungstätigkeiten und Auftragsverarbeiter – Vorbereitet sein auf den Ernstfall

Das Verzeichnis von Verarbeitungstätigkeiten und der Umgang mit Auftragsverarbeitern sind nicht wegzuredende Anforderungen der EU-Datenschutz-Grundverordnung. Diesen Anforderungen müssen sich alle Unternehmen (nicht nur Ärzte), die personenbezogene Daten verarbeiten oder verarbeiten lassen, stellen.

Blogserie Datenschutz in der Arztpraxis - Teil 3: Datenschutz bei Mitarbeiterinnen und Mitarbeitern

Datenschutz bei Mitarbeiterinnen und Mitarbeitern – Datenschutz kann nur von Innen gelebt werden

Neben Patientinnen und Patienten gehören auch Mitarbeiterinnen und Mitarbeiter von Arztpraxen zu den betroffenen Personen, deren personenbezogenen Daten zu schützen sind. Hinzu kommt, dass die Praxismitarbeiter die Gesundheitsdaten der Patienten verarbeiten und dabei die Datenschutzgrundsätze, welche der Arzt als Verantwortlicher nach DSGVO für seine Praxis vorgegeben hat, einhalten müssen. Diesen Beitrag teile ich in zwei Kapitel:

  1. Anforderungen zu Datenschutz bei der Verarbeitung personenbezogener Daten von Mitarbeitern
  2. Anforderungen zu Datenschutz bei der Verarbeitung personenbezogener Daten von Bewerbern

Datenschutzprüfungen bei Ärzten - Fragebogen Verschlüsselungstrojaner (Ransomware) in Arztpraxen

In einer Pressemitteilung hat das Bayerische Landesamt für Datenschutzaufsicht darauf aufmerksam gemacht, dass Sie nun Datenschutzprüfungen bei Unternehmen durchführt.

Eine der ersten Verantwortlichen, bei denen eine Prüfung durchgeführt wird, sind Arztpraxen. Dort werden mit Hilfe eines "Fragebogen Verschlüsselungstrojaner (Ransomware) in Arztpraxen" folgende Aspekte abgefragt:

OLG Hamburg: Verstöße gegen die DSGVO können durch Mitbewerber abgemahnt werden!

Worum geht es?

Unternehmen, die sich nicht datenschutzkonform verhalten, haben vier Dinge zu befürchten: Reputationsschäden, Bußgelder, immaterielle Schadensersatzforderungen und - im Hinblick auf die nun getroffenen Urteile - auch Abmahnkosten aufgrund klagender Mitbewerber.

Denn sowohl das OLG Hamburg[1] als auch das LG Würzburg[2] haben entschieden, dass Verstöße gegen die DSGVO auch Verstöße gegen Marktverhaltensregeln nach dem UWG darstellen und diese durch Mitbewerber abgemahnt werden können. Leider begründet das LG Würzburg nicht, wie sie zu der Ansicht kommen, dass Verstöße gegen die DSGVO auch Verstöße gegen Marktverhaltensregeln nach dem UWG darstellen. Andererseits hat sich das OLG Hamburg hierzu im Detail geäußert.

Podcast: Accountability nach EU-DSGVO

Im Rahmen eines Vortrags bei den Versicherungsforen/Softwareforen Leipzig habe ich mich mit dem Geschäftsführer Dr. André Köhler darüber unterhalten, wie man die bestehenden Kontrollsysteme eines Unternehmens mit der Rechenschaftspflicht durch die DSGVO abstimmt.

Blogserie Datenschutz in der Arztpraxis - Teil 2: Patienteneinwilligung und -information

Patienteneinwilligung und Patienteninformation - es kommt auf die Details an

Es gibt nicht viele neue Aspekte, welche mit der EU-Datenschutz-Grundverordnung eingeführt wurden. Ein wesentlicher Punkt ist jedoch die Informationspflicht vor der Erhebung von personenbezogenen Daten (nach Art. 13 DSGVO) der Ärzte gegenüber Patienten. Diese Informationspflicht besteht nicht nur bei Ärzten und sie besteht gegenüber alle „Kategorien betroffener Personen“ - also nicht nur gegenüber Patienten. Sie besteht auch gegenüber Nutzer Ihres Internetauftritts oder gegenüber ihren Mitarbeitern.

Mein Blogartikel ist in zwei Teile gesplittet: Erstens die reine Information über Patienteneinwilligung und Patienteninformation (Was ist zu tun?) und zweitens eine persönliche, kritische Auseinandersetzung mit den Informationspflichten und den Reaktionen verschiedener Stakeholder (Was ist passiert?).

Blogserie Datenschutz in der Arztpraxis - Teil 1: Datenschutz für Ihre Praxis-Webseite

Datenschutz für Ihre Praxis-Webseite – mehr als nur ein Muster aus dem Generator

Ich wage eine kühne Behauptung: Annähernd jede Webseite (einer Arztpraxis) ist abmahnfähig. Sei es wegen Cookies, Google Analytics, fehlendem SSL, der fehlenden Information beim Formular bzw. den Stellenanzeigen oder wegen des falschen Verweises zur Datenschutzerklärung nach dem letzten Update … überall kann sich noch ein Fehler eingeschlichen haben oder unerkannt geblieben sein.

Es reicht nicht aus, die Datenschutzerklärung durch einen Generator erzeugen zu lassen und am Ende zu hoffen, dass Ihre Webagentur oder die Kassenärztliche Vereinigung (von denen haben Sie ja die Vorlage für die Datenschutzerklärung) für die Abmahnung aufkommt. Denn die Webseite ist die Visitenkarte Ihrer Arztpraxis und es soll nicht das Eldorado von Abmahnanwälten werden. Deswegen sollte der Datenschutz für die Webseite Ihrer Arztpraxis auch mit der höchsten Priorität angegangen werden. Sie glauben, Ihre Webagentur hat das schon erledigt? Na, dann müssen Sie ja nicht weiterlesen…

Datenschutz in der Arztpraxis - Ankündigung unserer Blog-Serie

Datenschutz in der Arztpraxis umzusetzen scheint auf den ersten Blick komplex zu sein, denn

  1. die Verarbeitung personenbezogener Daten in der Arztpraxis ist umfangreich (Tausende Patienten, Mitarbeiter, etc.),
  2. es werden besonders sensiblen Gesundheitsdaten verarbeitet und
  3. die gesetzlichen und regulatorischen Vorgaben (BO, BGB, RöV, StrSchV, TFG) sind vielfältig (und nicht immer zueinander widerspruchsfrei).

Strukturiert und inhaltlich richtig angepackt ist es jedoch machbar, ein angemessenes Datenschutzniveau in der eigenen Arztpraxis zu etablieren.

Was Sie mit dem Fax der Datenschutzauskunft-Zentrale am besten machen sollten

Möglicherweise erreicht Sie in den nächsten Tagen ein Fax der Datenschutzauskunft-Zentrale. Beliebte Adressaten des Fax sind Freiberufler wie Ärzte, Physiotherapeuten etc.

Datenschutz-Anforderungen bei Formularen auf Internetseiten

Kontaktformulare sind auf vielen Internetseiten implementiert. Über diese können Besucher der Seiten mit dem jeweiligen Betreiber in Kontakt treten. Leider erfüllen immer noch viele Kontaktformulare nicht die wichtigsten datenschutzrechtlichen Anforderungen. Aus diesem Grund stelle ich im Folgenden die wichtigsten Aspekte[1] vor, die aus datenschutzrechtlicher Sicht bei Kontaktformularen zu beachten sind. Darüber hinaus stelle ich Lösungen vor, um die Formulare datenschutzkonform zu gestalten.

Referentenentwurf des Gesetzes zur Stärkung des fairen Wettbewerbs

Auch wenn die große Abmahnwelle zur DSGVO ausgeblieben ist, macht dieser Referentenentwurf aus dem SPD-geführten Justizministerium Sinn: "Gesetz zur Stärkung des fairen Wettbewerbs". Der vorliegende Referentenentwurf führt in den Fällen eine Abmahnbremse ein, in denen Verstöße "in nur unerheblichem Maße" die Interessen der anderen Marktteilnehmer beeinträchtigt. Prima, könnte man meinen.

WhatsApp-Business datenschutzkonform einsetzen

WhatsApp ist der erfolgreichste Messengerdienst weltweit. Was liegt da näher als WhatsApp auch im geschäftlichen Umfeld zu nutzen. Im folgenden Artikel gehe ich auf die datenschutzrechtlichen Voraussetzungen zur Nutzung von Whatsapp-Business im geschäftlichen Umfeld ein. Dabei werde ich eine Lösung vorstellen, welche in den meisten Fällen betrieblich anwendbar ist. Diese bietet Ihnen Antworten auf die drei kritischsten rechtlichen Probleme bei Einsatz von WhatsApp-Business:

  • Vorheriges Einholen einer Einwilligung zur Kommunikation
  • Nachkommen der Informationspflichten
  • Separate Verwaltung der Kontaktdaten

Top 10 der Quick Wins zu „Datenschutz im Verein“

Seit ich denken kann bin ich in Vereinen unterwegs: Erst war es der St. Katharina Schützen Aachen-Forst 1700 e.V., dann der Burtscheider Turnerbund Aachen 1908 e.V. und aktuell bin ich Mitglied im FC Inde Hahn e.V.

Umso wichtiger ist mir „Datenschutz im Verein“. Als Referent für Datenschutz beim Fußballverband Mittelrhein habe ich schon einige Vorträge dazu gehalten und Diskussionen mit Vereinsvorständen und-managern geführt. Alle Vereine haben dieselben Probleme und stecken in der gleichen Unsicherheit in Bezug auf die EU Datenschutz-Grundverordnung fest.

Really 100 days to GDPR?

I can already see the headlines that move IT managers next week: "100 days until the GDPR is getting valid."

Do these "100 days" really hit the mark? I do not think so.

Sie haben Fragen ?

Rufen Sie uns jetzt an oder schreiben Sie uns eine Nachricht!
Ingo Goblirsch LL.M.

Datenschutz & Informationssicherheit
Externer Datenschutzbeauftragter
EuroPriSe Certified European Privacy Expert // CEPE LT

52076 Aachen / NRW