Kategorie: Allgemein • Seite 2 • EggSec GmbH

Big Brother is watching you!

22. September 2022

Europäische Tochterunternehmen von US-Cloud-Anbietern

In einem so neuen Rechtsgebiet, wie es das Datenschutzrecht ist, spielt die Rechtsprechung eine besonders wichtige Rolle. Immer wieder leiten Urteile eine neue Strömung ein oder sind so wegweisend, dass sich die Praxis neu einstellen muss. Im Datenschutz behandeln die angesprochenen Urteile meist die Rolle der USA.

Den meisten wird nun das Schrems-II Urteil in den Sinn kommen und beinahe hätten wir den nächsten Kracher erhalten. Am 13.07.2022 veröffentlichte die Vergabekammer Baden-Württemberg einen Beschluss, der den Anspruch im öffentlichen Vergabeverfahren für europäische Tochterunternehmen von US-amerikanischen Cloud-Anbietern verneinte. Grund für das Nichtbestehen des Anspruchs sei das Risiko von Zugriffen auf personenbezogene Daten durch US-Behörden. Folglich wären Anbieter wie Amazon Web Service bei einer öffentlichen Ausschreibung ausgeschlossen gewesen.

Die Vergabekammer konnte auch nicht dadurch überzeugt werden, dass nach Angaben der Anbieter die personenbezogenen Daten nur auf Servern in Europa verarbeitet werden und nur die deutsche Gesellschaft auf diesen Zugriff hätte.
Aber das Beben dieses Beschlusses hielt nur kurz an. Anfang September hob das OLG Karlsruhe den Beschluss der Vergabekammer auf.

In der Pressemitteilung hieß es zur Sache, dass die Zusage der Anbieter ausreichend sei, dass die Daten nicht in ein Drittland übermittelt und nur in Deutschland verarbeitet werden. Die Konzernzugehörigkeit der europäischen Tochterunternehmen indiziert noch keinen direkten Zugriff durch die Muttergesellschaft aus den USA. In der Sache überzeugt die Argumentation des OLG Karlsruhe.

Es dürfte aber auch praktische Konstellationen geben, in denen sich die Bedenken der Vergabekammer konkret niederschlagen. Die Thematik rund um die Übermittlung in ein Drittland bleibt also heiß.

Q1: Vergabekammer Baden-Württemberg, Entscheidung vom 13.7.2022, Aktenzeichen: 1 VK 23/22

Q2: Oberlandesgericht Karlsruhe, Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22

Übermittlung in ein Drittland

Die Übermittlung in ein Drittland ist, nicht zuletzt durch das „Schrems-II“ Urteil des EuGH, kniffliger als viele denken.

Wir helfen Ihnen sicherzustellen, dass die Datenübermittlung DSGVO-konform abläuft.

Kontakt aufnehmen

Schreibtisch auf – Job weg?

20. September 2022

Nicht abgeschlossener Schreibtisch kann den Job kosten!

Von Datenschützern wird immer wieder gepredigt, dass die Thematik lebendig sein muss.

„Tote“ Dokumente, die in Schubladen verweilen und wenig mit der Praxis zu tun haben, helfen nicht, um das Datenschutzniveau anzuheben. Eine durchaus bedeutende Rolle spielen hier die internen Anweisungen.

Häufig gibt es interne Anweisungen, die dann aber in der Praxis kaum umgesetzt werden. Sowohl Arbeitgeber als auch Arbeitnehmer müssen hier grundsätzlich in die Pflicht genommen werden. Gehen beide Parteien nachlässig mit dem Thema um, wird der Verantwortliche die Konsequenzen tragen müssen.

Anders war es nun in Sachsen. Das Landesarbeitsgericht kam zu dem Schluss, dass die wiederholte Nichteinhaltung der internen Datenschutz- und Informationssicherheitsrichtlinien, eine Pflichtverletzung aus dem Arbeitsvertrag darstellt. Die Klägerin verstieß mehrfach gegen die Richtlinien, worauf mehrere Abmahnungen folgten. Die Klägerin hatte Schreibtischfächer nicht abgeschlossen, in denen sich sensible Daten befanden.

Die eingangs geschilderte Problematik der „toten“ Dokumenten und Richtlinien, welche nur auf dem Papier existieren und in der Praxis nicht gelebt werden, bewahrheitet sich hier erneut.

Q1: LAG Sachsen, 07.04.2022 – 9 Sa 250/21

Schulungen

Datenschutz ist Teamsache! Nur gemeinsam lassen sich die Vorgaben der DSGVO einhalten.

Mit unserer Datenschutzschulung ist dein Team perfekt aufgestellt, sodass keine Lücken bleiben.

Kontakt aufnehmen

Millionenstrafe für Meta

15. September 2022

Instagram-Patzer kostet 405 Mio. Euro

Hohe Bußgelder sind im Datenschutz keine Seltenheit. Dass diese Bußgelder häufig amerikanische Konzerne treffen, ist auch nicht selten. Und immer wieder im Blick der Aufsichtsbehörde ist der Meta-Konzern.

Dieses Mal trifft es Instagram mit Sage und Schreibe 405 Millionen Euro. Grund für dieses Bußgeld ist der kritische Umgang mit Daten von Kindern und Jugendlichen. In der Vergangenheit war es Kindern und Jugendlichen möglich, ihren Account auf ein Geschäftskonto hoch zu stufen. Dadurch werden persönliche Daten, wie Kontaktdaten veröffentlicht, genau so, wie es im Geschäftskontext üblich ist.

Dass diese Verarbeitungen von Daten Minderjähriger äußerst kritisch zu betrachten sind, ist relativ offensichtlich.

Meta hat bereits angekündigt, sich gegen das Bußgeld zu wehren. Der Ausgang des Falls ist offen und es dürfte auch noch etwas Zeit verstreichen, bis eine Entscheidung gefällt wird.

Q1: https://www.spiegel.de/netzwelt/netzpolitik/datenschutz-instagram-muss-in-irland-405-millionen-euro-strafe-zahlen-a-50fe2d10-c014-4a68-9cb8-b0b590d7cca5

Rechte der betroffenen Person

Es mag selten vorkommen, aber es besteht immer die Möglichkeit, dass die betroffenen Personen ihre Rechte geltend machen.

Mit unserer Unterstützung wird dein Unternehmen gut vorbereitet sein, wenn die Rechte der betroffenen Person geltend gemacht werden.

Kontakt aufnehmen

Datenschutz lauert auch im Wald

14. September 202213. September 2022

Wildüberwachungskameras im Wald

Wenn man an Datenschutz denkt, dann denkt man normalerweise an die Arbeit im Büro oder die sozialen Medien. Dass man im Wald aber auch mit Datenschutz zu tun hat, wird die meisten doch verwundern.

Folgendes Szenario ist aber tatsächlich vermehrt aufgetreten: Jäger und Naturwissenschaftler hängen aus eigenem Interesse, Wildüberwachungskameras im Wald auf. Allerdings nehmen diese Kameras nicht nur die Tiere auf, die sich im Wald so tummeln, sondern auch Spaziergänger, Jogger und Reiter.

Als Rechtsgrundlage kommt hier nur Art. 6 Abs. 1 S.1 lit. f DSGVO in Betracht. Offen bleibt jedoch die Frage, wie es mit den Informationspflichten aussieht.

Die Datenschutzkonferenz hat 2020 eine Orientierungshilfe für Videoüberwachung durch nicht-öffentliche Stellen veröffentlicht. Neben einem Hinweisschild, welches nah der Kamera angebracht werden soll, soll die Kamera möglichst zielgerichtet eingestellt werden. Das bedeutet, dass Kameras auf bzw. unter Kniehöhe angebracht werden sollen, und wenn das Aufnehmen von nachtaktiven Tieren angepeilt wird, die Kamera tagsüber deaktiviert wird.

Inwieweit nun ein Streit zwischen Jägern und Datenschützern entbrennen wird, ist aber höchst fraglich.

Q1: https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzdaktuell%2F2022%2Fcont%2Fzdaktuell.2022.01285.htm&anchor=Y-300-Z-ZDAKTUELL-B-2022-N-01285

Q2: https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_vü_dsk.pdf

Informationspflichten

Die betroffenen Personen sind stets vor der Datenverarbeitung, in verständlicher und leicht zugänglicher Form, zu informieren.

Wir helfen ihnen bei der Erstellung von Datenschutzhinweisen z.B. für ihre Webseite oder auch ihre Beschäftigten.

Kontakt aufnehmen

DSGVO = Rohrkrepierer für Geschäftsführer?

8. September 2022

Datenschutz als Geschäftsführerpflicht

Für viele ist Datenschutz eine eher lästige Materie. Datenschützer betonen hingegen immer wieder die Wichtigkeit der Thematik. Doch meist bewegen die hohen Bußgelder der DSGVO die Unternehmen zur Umsetzung.

Wichtig zu wissen ist aber, dass neben der DSGVO auch das Gesellschaftsrecht Haftungskonstellationen für Thematiken des Datenschutzes bereithält. Genauer geht es um die Pflicht des Geschäftsführers, im Wohle der Gesellschaft zu handeln.

Verletzt der Geschäftsführer diese Pflicht, so haftet er für den entstandenen Schaden gem. § 43 Abs. 2 GmbHG.

Das OLG Nürnberg hat nun in einem Urteil festgestellt, dass es zur Pflicht des Geschäftsführers zählt, Compliance-Maßnahmen einzurichten. Die Einrichtung von Compliance-Maßnahmen soll der Überwachung und Kontrolle der wirtschaftlichen Lage des Unternehmens dienen und Rechtsverstöße vorbeugen.

Für uns interessant: Rechtsverstöße meint auch solche der DSGVO.

Es bleibt also festzuhalten, dass der Geschäftsführer verpflichtet ist, im Wohle der Gesellschaft zu handeln. Das beinhaltet unter anderem, dass der Geschäftsführer das Geschehen in der Gesellschaft zu überprüfen hat, was wiederum auf den Datenschutz anwendbar ist. Sprich: Der Geschäftsführer hat für die Einhaltung der Vorgaben der DSGVO zu sorgen, sonst könnte er sich schadensersatzpflichtig machen.

Q1: https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-9637?hl=true

Datenschutzmanagement-System

Um stets einen Überblick zu behalten, empfiehlt sich ein Datenschutzmanagement-System.

Wir unterstützen hier gerne, damit du immer einen Überblick über den Datenschutz im Unternehmen hast.

Kontakt aufnehmen

Wem droht hier eine hohe Strafe?

6. September 2022

Hohe Bußgelder in Niedersachsen

Die Landesbeauftragte für den Datenschutz Niedersachsen hat in kurzer Zeit, zwei größere Bußgelder verhängt. Das erste Bußgeld in Höhe von 1,1 Millionen Euro wurde gegen die VW Aktiengesellschaft verhängt.

Um Fahrassistenzsysteme zu testen und diese anzulernen, hatte VW auf Forschungsfahrten, die Fahrzeuge mit Kameras ausgestattet, welche die Umgebung aufzeichneten.

Im Zuge dieser Datenverarbeitung stellte die LfD Niedersachsen fest, dass sowohl den Informationspflichten nicht nachgekommen war, als auch kein Auftragsverarbeitungsvertrag mit dem Unternehmen, welches die Fahrten durchführte, geschlossen wurde.

Außerdem fehlte es einer Datenschutz-Folgenabschätzung und einer Erläuterung der TOM im Verzeichnis von Verarbeitungstätigkeiten. Für die Behörde stellten diese Verstöße eines niedrigen Schweregrades dar.

In die Berechnung des Bußgeldes flossen unter anderem mit ein, dass die Zusammenarbeit mit VW gut ablief und der Umstand, dass VW die Mängel umgehend eingestellt hat. So konnte VW ein höheres Bußgeld noch vermeiden.

Das zweite Bußgeld traf ein Kreditinstitut, welches Profile erstellt hatte, ohne vorherige Einwilligung. Im Konkreten hatte das Kreditinstitut Daten von Bestandskunden nach Neigungen für digitale Medien untersucht.

Ziel war es, den Kunden personalisierte Werbung zukommen zu lassen. Rechtsgrundlage der Verarbeitung war Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Nach Auffassung der Behörde, ist die Verarbeitung allerdings nicht mit der Rechtsgrundlage vereinbar. Der Bescheid ist allerdings noch nicht rechtskräftig.

Eine solche Konstellation ist kein Einzelfall. Immer wieder wird Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO als Auffangtatbestand verstanden. Bereits rechtmäßig erhobene Daten, werden weiter verarbeitet. Die geforderte Interessenabwägung bleibt entweder ganz aus, oder wird nur unzureichend durchgeführt.

Q1: 1,1 Millionen Euro Bußgeld gegen Volkswagen https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/1-1-millionen-euro-bussgeld-gegen-volkswagen-213835.html

Q2: 900.000 Euro Bußgeld gegen Kreditinstitut wegen Profilbildung zu Werbezwecken https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/900-000-euro-bussgeld-gegen-kreditinstitut-wegen-profilbildung-zu-werbezwecken-213925.html

Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten ist das A und O im Datenschutz.

Artikel 30 DSGVO stellt hohe Anforderungen an das Verzeichnis von Verarbeitungstätigkeiten.

Wir unterstützen bei der Erstellung des Verzeichnis von Verarbeitungstätigkeiten.

Kontakt aufnehmen

Werden eure Daten in China verarbeitet?

1. September 2022

Neue chinesische Standardvertragsklauseln

Wenn es um Datentransfer geht, dann wird meistens eher an die USA gedacht. Dass der Standort China mittlerweile auch eine große Rolle spielt, dürfte wenig verwundern.

Die nun veröffentlichten Standardvertragsklauseln könnten in Zukunft eine erhebliche Rolle spielen und eine Leitlinie für multinationale Unternehmen sein, welche in China Daten verarbeiten. Inhaltlich sind die Standardvertragsklauseln derer der EU sehr ähnlich, beinhalten aber auch spezielle Aspekte des chinesischen Datenschutzrechts.

Was den Anwendungsbereich angeht, so ist dieser an die Zahl der betroffenen Personen, das übermitteln von sensiblen Daten und die Zahl der betroffenen Personen, deren Daten übermittelt werden, entscheidend.

Trotz der zunächst verblüffenden Höhe der Zahlen (eine Millionen Personen oder Übermittlung sensibler Daten von 10.000 Personen), werden einige große Unternehmen aus diesen Vorgaben herausfallen.

In den Standardvertragsklauseln auch enthalten, ist eine Meldepflicht des Verantwortlichen bei der Cyberspace Administration of China (CAC). Des Weiteren findet sich etwas zum Thema Datenschutzfolgenabschätzung.

Diese sollen bei jedem Transfer ins Ausland durchgeführt werden. Das Thema könnte sich in den nächsten Jahren noch zunehmender Relevanz erfreuen und es bleibt abzuwarten, wann sich der Fokus von den Vereinigten Staaten von Amerika auf China verschiebt. Folglich sollte man hier stets auf dem Laufenden bleiben.

Q1: China veröffentlicht Standardvertragsklauseln für grenzüberschreitende Datentransfers https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzdaktuell%2F2022%2Fcont%2Fzdaktuell.2022.01262.htm&anchor=Y-300-Z-ZDAKTUELL-B-2022-N-01262

Übermittlung in ein Drittland

Die Übermittlung in ein Drittland ist, nicht zuletzt durch das „Schrems-II“ Urteil des EuGH, kniffliger als viele denken.

Wir helfen ihnen sicherzustellen, dass die Datenübermittlung DSGVO-konform abläuft.

Kontakt aufnehmen

Sind deine Auftragsverarbeitungverträge einwandfrei?

30. August 2022

AVV Prüfung durch sächsische Datenschutzaufsichtsbehörde

Auftragsverarbeitungsverträge sind für die Praxis äußerst wichtig. Besonders relevant sind diese beim Thema Hosting von Webseiten. Die unterzeichneten Mustervereinbarungen sind allerdings häufig lückenhaft.

Mehrere Aufsichtsbehörden prüfen nun diverse Vereinbarungen und stellen Checklisten mit Hinweisen bereit. Beteiligt ist auch die sächsische Datenschutzaufsichtsbehörde, die eine relativ umfangreiche Prüfliste erstellt hat und auch mit Hinweisen zum Ausfüllen versehen hat. Sicherlich ein Blick wert, um mal die eigenen AVV mit den Webhostern zu checken.

Q1: https://www.saechsdsb.de/images/stories/sdb_inhalt/allgemein/2022-SDB-Checkliste_Pruefung_AVV_v10.pdf

Q2: https://www.saechsdsb.de/images/stories/sdb_inhalt/allgemein/2022-SDB-Checkliste_Pruefung_AVV_v10_Ausfuellhinweise.pdf

Q3: SDB: Prüfung von Auftragsverarbeitungsverträgen bei Webhostern

AVV

Verarbeitungstätigkeiten aus der eigenen Hand geben ist häufig notwendig, aber stets mit einem Risiko verbunden. Mit unserer Hilfe stellen Sie sicher, dass die Abwicklung der Auftragsverarbeitung DSGVO-konform gestaltet wird.

Kontakt aufnehmen

Datenschutzaufsichtsbehörden legen Rechenschaft ab

25. August 2022

Datenschutzbericht 2021 NRW

Einmal im Jahr veröffentlichen die Datenschutzaufsichtsbehörden einen Bericht, in dem Sie Rechenschaft über ihre Arbeit gegenüber dem Landtag ablegen und auch über die Entwicklung in dem Bereich Datenschutz informiert.

Die Landesbeauftragte für Datenschutz NRW, Bettina Gayk, fasst auf den über 100 Seiten die Arbeit des Kalenderjahres 2021 zusammen, nennt Zahlen, Daten und Fakten und spricht einige interessante Thematiken an. So sind 6849 Beschwerden gem. Art. 77 DSGVO eingegangen. 57 Bußgeldbescheide wurden erlassen und 115 neue Verfahren registriert.

Die bearbeiteten Thematiken sind vielfältig. Von der Rubrik „Internet und Medien“ über „Schule und Bildung“ bis hin zu „Videoüberwachung“ und „Datenschutz am Arbeitsplatz“ ist alles dabei. In den folgenden Ausgaben werde ich mit Sicherheit mal das ein oder andere Thema rauspicken und darstellen. Für alle besonders wissenshungrigen Lesern ist die Lektüre des Berichts natürlich zu empfehlen.

Q1: 27. Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen https://www.ldi.nrw.de/system/files/media/document/file/27_datenschutzbericht_2022_ldi_nrw.pdf

Datenschutzverletzung

Wenn es doch mal zu einer Datenschutzverletzung kommt, dann ist eine gute Struktur gefragt, um die Fristen der DSGVO einzuhalten. Wir helfen bei der Prävention von Datenschutzverletzungen und beim richtigen Umgang mit ebensolchen.

Kontakt aufnehmen

Tesla im Fadenkreuz der Verbraucherzentrale

23. August 2022

Wächtermodus?

Neben dem Vorwurf der irreführenden Werbung zu den Einsparungen der CO2-Emissionen beim Kauf eines Teslas, steht auch die Thematik des Datenschutzes auf dem Programm.

Die Verbraucherzentrale bemängelt den Wächtermodus und meint, dieser verstoße gegen das Datenschutzrecht. Der Wächtermodus funktioniert so, dass abgestellte Fahrzeuge Videoaufzeichnungen von der Umgebung und auch Menschen machen können. In manchen Fällen werden diese Aufzeichnungen auch gespeichert.

Neben der Problematik der ständigen Überwachung der Fahrzeugumgebung, ist auch die Informiertheit der betroffenen Person ein großes Problem. Kommen also bald die Datenschutzhinweise in den Windschutzscheiben der Tesla?

Hier ist auf jeden Fall Bedarf für Nachbesserung. Nicht nur Tesla und die Fahrzeughalter werden hier in die Pflicht genommen, sondern auch das Kraftfahrtbundesamt, welches die Zulassung dieser Autos genehmigt hat.

In der Zukunft wird das Kraftfahrtbundesamt enger mit den Datenschützern zusammenarbeiten.

Q1: vzbv verklagt Tesla https://www.vzbv.de/pressemitteilungen/vzbv-verklagt-tesla

Informationspflichten

Die betroffenen Personen sind stets vor der Datenverarbeitung, in verständlicher und leicht zugänglicher Form, zu informieren.

Wir helfen ihnen bei der Erstellung von Datenschutzhinweisen z.B. für ihre Webseite oder auch ihre Beschäftigten.

Kontakt aufnehmen