Hinweisgeberschutzgesetz – Zwischen Verantwortlichkeit und Vertraulichkeit
11. Januar 2024

Das neue Hinweisgeberschutzgesetz verlangt von Unternehmen mit mehr als 50 Beschäftigten die Einrichtung interner Meldestellen. Beim Datenschutz stellt dies die Unternehmen vor die Herausforderung, eine Balance zwischen dem Schutz der Whistleblower und dem Schutz der Beschuldigten zu finden. In diesem Artikel behandeln wir die Datenschutzaspekte, die bei der Einrichtung einer Meldestelle zu beachten sind. Was […]

Das neue Hinweisgeberschutzgesetz verlangt von Unternehmen mit mehr als 50 Beschäftigten die Einrichtung interner Meldestellen. Beim Datenschutz stellt dies die Unternehmen vor die Herausforderung, eine Balance zwischen dem Schutz der Whistleblower und dem Schutz der Beschuldigten zu finden. In diesem Artikel behandeln wir die Datenschutzaspekte, die bei der Einrichtung einer Meldestelle zu beachten sind.

Was ist das Whistleblower-Gesetz?

Mit dem Hinweisgeberschutzgesetz, das seit dem 2. Juli 2023 gilt, hat sich Deutschland daran gemacht, die EU-Richtlinie zum Schutz von Hinweisgebern (Whistleblowern)  in nationales Recht zu übertragen. 

Was ist das Ziel des Gesetzes? Es soll den Rücken von Personen stärken, die auf Missstände im Job aufmerksam machen. Unternehmen mit über 50 Beschäftigten müssen nun interne Meldestellen einrichten. Für bestimmte Unternehmen der Finanzbranche ist die Einrichtung einer Meldestelle unabhängig von der Mitarbeiterzahl Pflicht.

Die Aufgabe der Meldestellen: Sie müssen unter Wahrung der Vertraulichkeit Meldungen entgegennehmen, bewerten und gegebenenfalls Ermittlungen gegen die beschuldigte Person einleiten.

Das Fehlen einer Hinweisgeberstelle kann das Unternehmen 20.000 Euro kosten. Wer eine Meldung verhindert, muss bis zu 50.000 Euro zahlen.

Wie funktioniert die Meldung?

Meldungen können grundsätzlich mündlich oder in Textform abgegeben werden. Die Einrichtung einer Hotline mit einem befähigten Gegenüber ist genauso zulässig wie z.B. die Benennung einer Vertrauensperson. Die Meldung kann sowohl mündlich als auch in Textform abgegeben werden, was elektronische Meldungen einschließt. Um die Anonymität der Hinweisgeber zu schützen und Ressourcen zu schonen, verwenden viele Unternehmen Online-Plattformen, die von einer Vielzahl von Anbietern bereitgestellt werden.

In der Regel verläuft der Meldeprozess bei Online-Meldestellen nach dem folgenden Schema ab: 

Der Hinweisgeber nutzt das sichere Online-Formular des Fallmanagement-Systems, um die Meldung über den vermuteten Missstand oder Verstoß einzureichen. Dies kann eine Beschreibung des Vorfalls, Namen von Personen oder Abteilungen, Orte und Daten sowie andere relevante Details umfassen. Der Hinweisgeber sollte die Möglichkeit haben, eine Meldung anonym abzugeben, kann aber auch entscheiden, unter Angabe der Identität zu melden.

Nachdem die Meldung online eingereicht wurde, erhält der Hinweisgeber automatisch, spätestens aber nach sieben Tagen, eine Bestätigung über den Eingang seiner Meldung. Wird die Meldung vom Meldestellenverantwortliche (auch Ombudsmann genannt) als relevant eingestuft, koordiniert dieser anschließend das gesamte Verfahren. 

Der Ombudsmann informiert innerhalb von drei Monaten den Hinweisgeber über den Fortschritt der Untersuchung und die ergriffenen Maßnahmen und fordert bei Bedarf weitere Dokumente und Informationen beim Hinweisgeber an. Wenn die Untersuchung Verstöße oder Missstände bestätigt, wird ein internes Ermittlungsverfahren durchgeführt. 

Das Verfahren endet, wenn die Untersuchung abgeschlossen ist und alle erforderlichen Maßnahmen ergriffen wurden. Der Ombudsmann übermittelt dem Hinweisgeber das Ergebnis der Ermittlungen, soweit dies mit gesetzlichen Verschwiegenheitspflichten vereinbar ist. Üblicherweise wird die Meldung zusammen mit allen zum Fall gehörenden Ermittlungsergebnisse und Dokumente an diesem Punkt archiviert und aus dem Hinweisgeber-System entfernt. 

Kann eine interne Meldestelle extern beauftragt werden? 

Die Einrichtung und der Betrieb einer internen Meldestelle im eigenen Hause gemäß dem Hinweisgeberschutzgesetz kann für Unternehmen aus verschiedenen Gründen unpraktisch sein. 

Zunächst besteht das Risiko von Interessenkonflikten. Ein intern beauftragter Ombudsmann könnte befangen sein, insbesondere wenn die Meldung gegen Kollegen oder Vorgesetzte gerichtet ist. Die Objektivität und Unabhängigkeit der Untersuchung könnten dadurch beeinträchtigt werden. 

Zweitens ist der Betrieb einer internen Meldestelle arbeitsintensiv und erfordert spezielle Kompetenzen und Schulungen, die zusätzliche Ressourcen beanspruchen. Nicht jedes Unternehmen kann auf qualifizierte Mitarbeiter zurückgreifen, die unter Berücksichtigung der Vertraulichkeit und der nötigen Fachkunde für die Rolle des Ombudsmannes in Frage kommen.

Drittens werden bei internen Meldestellen sensible Daten verarbeitet, was eine Herausforderung hinsichtlich des Datenschutzes darstellt. 

Ein externer Dienstleister kann dieses Dilemma lösen, indem er Unabhängigkeit und Fachkenntnis bietet und das Unternehmen von der Verwaltung der Meldestelle entlastet​​. Die Meldestelle bleibt auch bei externer Vergabe eine interne Meldestelle. Externe Meldestellen sind im Gesetz gesondert geregelt und werden u.a. vom Bund eingerichtet.

Welche datenschutzrechtlichen Verträge sind notwendig?

Bei der Einrichtung einer Meldestelle liegt die Verantwortung für die Verarbeitung personenbezogener Daten beim verantwortlichen Unternehmen, auch wenn sie von externen Dienstleistern betrieben wird.

In Unternehmensgruppen hängt die Vertragsart für die Datenverarbeitung beim gemeinsamen Betrieb eines Hinweisgebersystems davon ab, wie die Verarbeitung organisiert ist. Bei gemeinsamer Verantwortlichkeit, typischerweise wenn mehrere Konzerngesellschaften die Mittel und Zwecke gemeinsam bestimmen (was bei einem gemeinsamen Datenpool der Fall sein dürfte), wird eine entsprechende Vereinbarung über die gemeinsame Verantwortlichkeit (Joint Controller Agreement) nach Art. 26 DSGVO benötigt. 

Die Bereitstellung des Tools für die interne Meldestelle durch einen Dienstleister (egal ob intern oder extern) ist in jedem Fall Auftragsverarbeitung und muss vertraglich geregelt werden.

Braucht es eine Datenschutzfolgenabschätzung (DSFA) für die Verarbeitung im Rahmen der internen Meldestelle?

xIm Jahr 2018 hat die Datenschutzkonferenz in einer Orientierungshilfe ohne weitere Begründung festgestellt, dass ein Verfahren zur Meldung von Missständen aufgrund des hohen Risikos für die Rechte und Freiheiten natürlicher Personen einer Datenschutz-Folgenabschätzung unterliegt. Zu diesem Zeitpunkt war die Einrichtung einer internen Meldestelle noch eine freiwillige Maßnahme. Seit der Einführung des Hinweisgeberschutzgesetzes, ist der Sachverhalt jedoch völlig anders und die Orientierungshilfe der Aufsichtsbehörden sollte überarbeitet oder zurückgezogen werden. Im Gegensatz zum österreichischen Gesetzgeber hat es der Deutsche Bundestag leider versäumt, die DSFA gleich mit ins Gesetz zu schreiben. Es stellt sich die Frage, warum eine vom Gesetzgeber geforderte automatisierte Verarbeitung (hier: Meldung in Textform), die unter Einhaltung der Anforderungen der DSGVO (Artikel 25, 28 und 32) implementiert wird überhaupt zu einem hohen Risiko, das im Rahmen einer DSFA gesondert geprüft werden muss, führen kann. Dass Aufsichtsbehörden und Berater die Notwendigkeit einer DSFA bejahen ist nur verständlich, aber rechtlich begründet ist es nicht.

Warum ist es gut, wenn Sie Daten löschen?
09. Oktober 2023

Seit einem halben Jahrzehnt ist die DSGVO in Kraft. Zu Beginn haben wir alle mit viel Energie versucht, dem detaillierten Regelwerk gerecht zu werden. Doch da die enthaltenen Löschfristen anfangs noch in weiter Ferne lagen, hatte ihre Umsetzung oft keine hohe Priorität. Inzwischen sitzen viele Unternehmen auf Bergen von Daten, die eigentlich längst gelöscht sein […]

Seit einem halben Jahrzehnt ist die DSGVO in Kraft. Zu Beginn haben wir alle mit viel Energie versucht, dem detaillierten Regelwerk gerecht zu werden. Doch da die enthaltenen Löschfristen anfangs noch in weiter Ferne lagen, hatte ihre Umsetzung oft keine hohe Priorität. Inzwischen sitzen viele Unternehmen auf Bergen von Daten, die eigentlich längst gelöscht sein sollten.
Wissen Sie, welche Daten wann in Ihrer Organisation gelöscht werden müssen?

Das Datenleck bei Motel One: Ein kurzer Überblick

Ende September 2023 wurde die Hotelkette Motel One Opfer eines groß angelegten Hackerangriffs. Millionen Kundendaten  landeten im Darknet. Darunter waren die komplette Gästeliste seit 2016, private Rechnungsadressen und Geburtsdaten von Kunden, interne Geschäftszahlen aber auch Handynummern von Beschäftigten. Besonders brisant: 150 Kreditkartendaten von Gästen, wie Motel One bestätigen musste.

Die Konsequenzen

Für Motel One ist das Datenleck ein Desaster. Das Unternehmen verliert Vertrauen bei seinen Kunden und Mitarbeiterinnen – denn auch deren Daten sind betroffen, sofern sie auf Reisen selbst Gäste ihres Arbeitgebers waren.

In Deutschland führten schon kleinere Fälle zu sechsstelligen Bußgeldzahlungen.
Bereits für das Fehlen von klar definierten Löschregeln für personenbezogene Daten wurden in der Vergangenheit schmerzhafte Strafzahlungen verhängt. 

Betroffene können online leicht Ansprüche prüfen – eine Klagewelle gegen Motel One ist zu erwarten.
Dazu der immense Reputationsverlust: Wer den Datenschutz missachtet, dem wird auch in anderen Bereichen Nachlässigkeit unterstellt.

Die Idee “Der Staat müsste sich mehr um Datensicherheit kümmern” zeugt von Unverständnis: Wer Daten verarbeitet, ist für die Sicherheit der Daten verantwortlich.

Die Blamage und der wirtschaftliche Schaden wären viel kleiner ausgefallen, wenn das Unternehmen Zeit in ein sinnvolles Löschkonzept investiert und auch gelöscht hätte. Gelöschte Daten können nicht mehr gestohlen werden.
Das Paradoxe dabei: Wir müssen viele Daten aufbewahren.  Je weniger exponiert die Daten mit langer Aufbewahrungsfrist gespeichert werden (z.B. in speziell gesicherten Archiv-Systemen), desto kleiner ist das Risiko für Ihr Unternehmen.

Was man nicht mehr braucht, muss weg

Alle Daten ohne rechtliche Aufbewahrungspflicht oder bei denen der Zweck der Verarbeitung nicht mehr vorliegt, müssen gelöscht werden. Ein effektives, gut in das Unternehmen integriertes Löschkonzept kann das sicherstellen. Es schützt Reputation, Kundenvertrauen und Finanzen im Falle eines Cyberangriffs vor Schaden.

Löschkonzept

Ein Löschkonzept ist ein strukturierter Ansatz zur Datenverwaltung, der den gesamten Lebenszyklus der Daten von der Erhebung bis zur Löschung abdeckt. Es hilft Unternehmen, veraltete und nicht mehr benötigte Daten sicher zu entfernen und somit die Risiken von Datenlecks zu minimieren. Doch ein Löschkonzept geht über die bloße Löschung hinaus. Es umfasst auch die Prüfung der Rechtmäßigkeit der Datenspeicherung und die Implementierung effektiver Sicherheitsmaßnahmen zum Schutz der Daten.

Was müssen Sie tun?

  1. Bestandsaufnahme: Prüfen sie alle Verarbeitungstätigkeiten im Unternehmen

Welche Datenkategorien werden verarbeitet und welche Löschfristen bestehen für diese Daten? Die Löschfrist ergibt sich in der Regel aus der Rechtsgrundlage zur eigentlichen Verarbeitung. Es können aber auch weitere gesetzliche Verpflichtungen zur Aufbewahrung bestehen, die sie berücksichtigen müssen.

Beispielsweise könnten Geschäftsbriefe, die zu keinem Abschluss geführt haben, aus Sicht eines Unternehmens vernichtet werden. Die Steuergesetzgebung schreibt jedoch vor, dass Geschäftsbriefe 6 Jahre aufbewahrt werden müssen. 

LöschklasseDokumentartenRechtsgrundlagegesetzl. Aufbewahrungs-fristFrist
berecht.
Interesse
Standard-Aufbewahrungs-fristBeginn der Laufzeit
LK01Video-ÜberwachungArt. 6, Abs. 1, lit. f DSGVOnicht definiert72 h72 hZeitpunkt der Aufnahme
LK02Handels- und Geschäftsbriefe, E-Mails und andere digitale Dokumente, BeratungsprotokolleArt. 6 Abs. 1, lit. c DSGVO in Verbindung mit § 147 AO, Abs. 36 Jahre3 Jahre6 JahreEnde des Geschäftsjahres, in dem der Brief erstellt wurde.
Beispiel für typische Löschklassen in Unternehmen
  1. Definition von Löschklassen und Löschregeln
    Um die Komplexität der Löschanforderungen überschaubar zu halten, definieren sie Löschklassen. Das sind Gruppen von Daten, für die gleiche Aufbewahrungsfristen bestehen. Die Zuordnung von Löschklassen zu den einzelnen Verarbeitungsschritten der Verarbeitung erlaubt die Ableitung von Löschregeln. Löschregeln definieren für jede Verarbeitung, welche Daten konkret wann gelöscht werden müssen.
  1. Die Implementierung eines effektiven Löschkonzepts kann anspruchsvoll sein, doch mit der richtigen Unterstützung ist es durchaus machbar. Brainosphere hat Erfahrung bei der Erstellung und Umsetzung von umfangreichen Löschkonzepten auch in Konzernstrukturen. Gerne helfen wir auch Ihrem Unternehmen, datenschutzkonform zu arbeiten. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihnen helfen können, Ihr Löschkonzept zu erarbeiten und umzusetzen.

Übersicht eines Löschprozesses für Unternehmen

Für Unterstützung beim Thema Löschkonzept, kontaktieren Sie uns gerne unter service@brainosphere.de.

EU-U.S. Data Privacy Framework – endlich Rechtssicherheit?
27. August 2023

Die EU-Kommission hat 10.7.2023  einen Adäquanzbeschluß gefällt, der den Datentransfer zwischen EU und USA vereinfachen soll. Dadurch gelten die USA unter bestimmten Voraussetzungen wieder als sicherer Drittstaat im Sinne der DSGVO. Damit endet eine dreijährige Phase der Verunsicherung. Denn nachdem der Europäische Gerichtshof 2020 das Vorgängerabkommen (EU-US Privacy Shield) kassiert hatte, war eine rechtssichere Übertragung […]

Die EU-Kommission hat 10.7.2023  einen Adäquanzbeschluß gefällt, der den Datentransfer zwischen EU und USA vereinfachen soll. Dadurch gelten die USA unter bestimmten Voraussetzungen wieder als sicherer Drittstaat im Sinne der DSGVO.

Damit endet eine dreijährige Phase der Verunsicherung. Denn nachdem der Europäische Gerichtshof 2020 das Vorgängerabkommen (EU-US Privacy Shield) kassiert hatte, war eine rechtssichere Übertragung sensibler Daten nur noch mit zusätzlichem Aufwand möglich.

Das Urteil des EuGH damals: Personenbezogene Daten dürfen nur in Länder übertragen werden, deren Datenschutz so streng ist wie der europäische. Diese Bedingung erfüllten die USA aus Sicht der Richter nicht, da US-Behörden trotz “Privacy Shield” fast ungehindert Zugang zu den Daten von EU-Bürgern hatten, wenn diese auf US-Servern lagen. Außerdem existierte kein angemessener Rechtsschutz für EU-Bürger, die gegen die Nutzung ihrer Daten vorgehen wollten.

Geklagt hatte der österreichische Datenschutzaktivist Max Schrems gegen die Übertragung von Daten durch Facebook aus Europa in die USA. Dort hätten NSA und FBI legal Zugriff auf persönliche Daten von Europäern. 

Das sahen die Richter am EuGH genauso. Das Urteil wurde als Schrems-II bekannt und machte den EU-US Privacy Shield über Nacht ungültig. Betroffen war somit nicht nur Facebook, sondern auch Microsoft, Google, Apple, Yahoo und jeder andere Serviceanbieter mit Kunden in Europa.

Aber auch die Datenschutzerklärungen vieler europäischer Unternehmen wurden hinfällig.

Wer danach immer noch personenbezogene Daten in die USA übertragen wollte, musste dafür Standardvertragsklauseln (SCC) abschließen und ein Transfer Impact Assessment (TIA) durchführen.

Was ändert sich?

Das EU-U.S. Data Privacy Framework (DPF) schafft eine allgemein gültige Rechtsgrundlage für Datentransfers in die USA. Es wird wieder deutlich einfacher, personenbezogene Daten in den USA zu speichern oder zu verarbeiten. Die bislang erforderlichen Maßnahmen hatten gerade für kleinere Unternehmen oft erheblichen Aufwand bedeutet. 

Was ist zu tun?

  • Voraussetzung ist, dass das US-Unternehmen auch beim Department of Commerce (DOC) zertifiziert ist. Solche Anbieter sind in der Data Privacy Framework List aufgeführt. 
  • Für alle anderen US-Datenverarbeiter ändert das neue Abkommen überhaupt nichts. In diesen Fällen gelten die gleichen Regeln wie für Unternehmen aus Ländern ohne Angemessenheitsbeschluss. Prüfen Sie also, ob Ihre Vertragspartner dem DPF beigetreten sind.
  • Vorhandene SCC bleiben bis dahin nötig, sollten also nicht gekündigt werden, bis Sie einen neuen DPF-basierten Vertrag mit Ihrem US-Partner abgeschlossen haben.
  • Prüfen Sie, ob Sie Ihre Datenschutzdokumentation anpassen müssen. Datenschutzerklärung, Informationspflichten und Ihr Verzeichnis von Verarbeitungstätigkeiten können betroffen sein.

Wie geht es weiter?

Damit das Data Privacy Framework ausgehandelt werden konnte, erließ US-Präsident Joe Biden am 07.10.2022 eine Executive Order. Darin wird den US-Geheimdiensten weiterhin Zugriff auf die Daten von Europäern gestattet. Genau dieser Zugriff aber war in der Vergangenheit Grund für die Ablehnung der Vorgängerabkommen durch den EuGH. 

Bidens Präsidentenerlass legt nun fest, dass der Datenzugriff der Geheimdienste “verhältnismäßig” sein solle. Ob das dem “angemessenen” Schutz personenbezogener Daten genügt, den die DSGVO fordert, wird den Europäischen Gerichtshof bald wieder beschäftigen. 

In Bezug auf den Rechtsschutz gibt es einen Fortschritt: EU-Bürger können jetzt nicht nur Beschwerde gegen die Verarbeitung ihrer Daten einlegen, sondern auch vor einem US-Gericht dagegen klagen.

Die Datenschutzbeauftragten von Hessen, Niedersachsen und Thüringen gehen nicht davon aus, dass das Data Privacy Framework dauerhaft Bestand haben wird. Max Schrems hat seine Einwände gegen das EU-U.S. Data Privacy Framework bereits öffentlich gemacht. Seine Klage dürfte folgen.

3, 2, 1, hurra … die #DSGVO ist da. Hier sind die 10 beliebtesten Aufgaben.
25. Mai 2018

Nun ist es also soweit: Die Datenschutz-Grundverordnung oder (DSGVO) wird angewendet und hat die bisherige nationale und europäische Datenschutz-Gesetzgebung abgelöst. Das neue BDSG ist ebenfalls in Kraft getreten. Die Auswirkungen werden in den Medien und bei Fachgesprächen heftig diskutiert und es bleibt abzuwarten, welche Folgen die DSGVO langfristig haben wird. Wenn Sie als Unternehmen noch […]

Nun ist es also soweit: Die Datenschutz-Grundverordnung oder (DSGVO) wird angewendet und hat die bisherige nationale und europäische Datenschutz-Gesetzgebung abgelöst. Das neue BDSG ist ebenfalls in Kraft getreten. Die Auswirkungen werden in den Medien und bei Fachgesprächen heftig diskutiert und es bleibt abzuwarten, welche Folgen die DSGVO langfristig haben wird. Wenn Sie als Unternehmen noch keinen Einstieg in die neue Gesetzgebung gefunden haben, hilft evtl. der von uns entwickelte 10-Punkte-Plan:

  1. Aktualisieren Sie die Datenschutz-Erklärung Ihrer Website. Ein gutes Muster finden Sie beim Anwaltsverein. Etwas komfortabler geht es bei Thomas Schwenke (Kosten ab 99 EUR).
  2. Kümmern Sie sich um die Informationspflicht gegenüber Kunden, Mandanten, Patienten, Beschäftigten oder Bewerbern. Eine gute Praxishilfe finden Sie hier.
  3. Schalten Sie Ihre Video-Überwachung ab oder kümmern sich wenigstens um die Informationspflicht sowie die Beschilderung. Wie das geht, erfahren Sie beim LfD Niedersachsen.
  4. Analysieren Sie Ihre CRM-Daten und die Prozesse beim E-Mail-Marketing. Warum Sie dabei nicht in Panik geraten sollten, erfahren Sie von Martin Schirmbacher.
  5. Verzichten Sie auf Facebook Custom Audience und arbeiten Sie die Checkliste zu Google Analytics von Nina Diercks ab.
  6. Überlegen Sie sich interne Prozesse zum Auskunftsrecht und zur Meldepflicht bei Datenpannen.
  7. Benennen Sie einen DSB ab 10 Beschäftigten (Artikel 37 & § 38 BDSG) und teilen dessen Kontaktdaten (E-Mail-Adresse) der Aufsichtsbehörde mit.
  8. Schulen Sie Ihre Beschäftigten und verpflichten Sie sie auf die DSGVO. Ein gutes Muster erhalten Sie vom Bayerischen Landesamt für Datenschutzaufsicht.
  9. Beginnen Sie mit der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten. Wenn Sie Gesundheitsdaten verarbeiten, denken Sie an die Risikoanalyse. Vergessen Sie nicht die TOM-Liste.
  10. Erstellen Sie eine Übersicht Ihrer Auftragsverarbeiter. Eine Übersicht mit 100 Beispielen finden Sie hier.
Der Countdown läuft … #DSGVO
25. Mai 2017

In genau einem Jahr, am 25. Mai 2018, löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. An diesem Tag endet die Übergangszeit von zwei Jahren, die nach der Veröffentlichung und dem Inkrafttreten der DSGVO begann und […]

In genau einem Jahr, am 25. Mai 2018, löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. An diesem Tag endet die Übergangszeit von zwei Jahren, die nach der Veröffentlichung und dem Inkrafttreten der DSGVO begann und nun bereits zur Hälfte verstrichen ist.

Die teilweise massiven Veränderungen bei der Datenverarbeitung im Unternehmensbereich, die durch das neue europäische Datenschutzrecht eintreten werden, lassen sich grob in drei Kategorien unterteilen:

  • erweiterte Informations- und Meldepflichten (gegenüber Betroffenen und Aufsichtsbehörden)
  • ausführlichere Dokumentationspflichten und der Nachweis der Rechtmäßigkeit der Datenverarbeitung (Rechenschaftspflicht)
  • verstärkte Anforderungen an die IT-Sicherheit (nach dem Stand der Technik)

Außerdem steigt wegen des erhöhten Sanktionsrahmens und der neuen Rechenschaftspflicht das Risiko bei Datenschutzverstößen auch noch im Nachhinein empfindlich belangt zu werden. Die Geldbußen werden mindestens um den Faktor 60 erhöht und orientieren sich an den Größenordnungen, die aus dem Kartellrecht bekannt sind.

Alle Unternehmen sollten sich also mit dem neuen Gesetz rechtzeitig vertraut machen und ein internes Projekt zur Umsetzung der Anforderungen aufsetzen. Nach aktuellen Schätzungen haben derzeit noch über 50 % der Unternehmen in Deutschland überhaupt nicht mit einem Umsetzungsprojekt zur DSGVO begonnen.

Für diese Unternehmen wird es jetzt höchste Zeit sich dem Thema zu widmen. Gute Möglichkeiten zum Einstieg finden sich in den Leitfäden zur DSGVO, die der Arbeitskreis Datenschutz des Bitkom e.V. entwickelt hat.

0 Kommentare
EuGH kippt Safe Harbor
06. Oktober 2015

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass die Safe Harbor Regelung zum Transfer von personenbezogenen Daten in die USA aus dem Jahr 2000 ungültig ist. Begründet wurde dies im Verfahren, das Max Schrems gegen irische Datenschutzbehörde in Sachen Facebook führt u.a. mit den Enthüllungen von Edward Snowden im NSA-Skandal. Hier gibt es das Urteil im […]

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass die Safe Harbor Regelung zum Transfer von personenbezogenen Daten in die USA aus dem Jahr 2000 ungültig ist. Begründet wurde dies im Verfahren, das Max Schrems gegen irische Datenschutzbehörde in Sachen Facebook führt u.a. mit den Enthüllungen von Edward Snowden im NSA-Skandal. Hier gibt es das Urteil im deutschen Volltext. Im Folgenden werde ich einige Links und Kommentare zum Thema sammeln:

Max Schrems: Initial Response

Anna Biselli auf netzpolitik.org: Europäischer Gerichtshof: Safe Harbor ist ungültig! Schluss mit der blauäugigen Datenübertragung in die USA.

Sascha Lobo auf Spiegel Online: Safe-Harbor-Urteil: Entschuldigung, ich verstehe nur Verschiebebahnhof

Joerg Heidrich auf Heise Online: Nach dem EuGH-Urteil: Alternativen zu Safe Harbor

Niko Härting: Safe Harbor: Geburtsstunde eines europäischen Verfassungsgerichts?

Pressemittelung des Berufsverbands der Datenschützer (BvD): EuGH: Safe Harbor gekippt

Patrick Beuth auf Zeit Online: Ein leises Donnerwetter vom EuGH

Matthias Lachmann: Safe Harbor-Urteil: EuGH setzt Zeichen gegen Massenausspähung mit wirrer Argumentation

Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 26.10.1015

 

0 Kommentare
BvD Datenschutztage 2014
04. Juni 2014

In Zeiten von Spähattacken und biometrischen Erkennung: Kann Datenschutz ein zentraler Wettbewerbsfaktor für Deutschland und Europa werden? Dies war zentrales Thema der Verbandstage des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD). Mit der Bundesdatenschutzbeauftragten Andrea Voßhoff und Jan Philipp Albrecht, Datenschutz-Berichterstatter im EU-Parlament, äußersten sich prominente und profunde Experten bei der zweitägigen Tagung Ende Mai in Berlin. Bundesjustizminister […]

In Zeiten von Spähattacken und biometrischen Erkennung: Kann Datenschutz ein zentraler Wettbewerbsfaktor für Deutschland und Europa werden? Dies war zentrales Thema der Verbandstage des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD).

Brainosphere Datenschutz

erstellt mit: wordle.net

Mit der Bundesdatenschutzbeauftragten Andrea Voßhoff und Jan Philipp Albrecht, Datenschutz-Berichterstatter im EU-Parlament, äußersten sich prominente und profunde Experten bei der zweitägigen Tagung Ende Mai in Berlin.

Bundesjustizminister Heiko Maas (SPD) betonte gegenüber den rund 200 Datenschützern, dass sich ihr Metier aktuell zu einem bedeutenden Faktor für wirtschaftliche Wettbewerbsvorteile entwickelt. Er wies in diesem Zusammenhang auf die wichtige Stellung der Datenschutzbeauftragten in Deutschland hin und befürwortete, ihre Position weiterhin zu schützen und zu stärken – auch europaweit.

In ihren Redebeiträgen vor 200 Datenschutzbeauftragten betonten Maas, Voßhoff und Albrecht übereinstimmend, wie notwendig und richtig die unabhängige innerbetriebliche Kontrolle von Datenverarbeitung in der von Datenflut und Überwachung geprägten Gesellschaft ist. Sie befürworteten ausdrücklich, dass sich dieses in Deutschland bewährte Modell des betrieblichen Datenschutzbeauftragten in ganz Europa wieder finden soll.

Einen interessanten Beitrag bei den Datenschutztagen kam von Alexander Nouak vom Frauenhofer-Institut für Grafische Datenverarbeitung (IGD) – er zeigte in seiner Präsentation den Stand der Dinge hinsichtlich sicherer Authentifizierung mit biometrischen Methoden sowie Vorteile und Risiken der Biometrie auf.

Sichere Identitäten sind auch Thema eines aktuelles Wettbewerbs, den die Bundesdruckerei GmbH ausgelobt hat: Unternehmen, StartUps, Institutionen, Design-Studenten und Schüler können dabei Ideen, Konzepte und Projekte rund um sicheres und benutzerfreundliches Identitätsmanagement in der digitalen Zukunft einreichen. Einreichungen sind möglich bis zum 17. August diesen Jahres https://www.digitaler-handschlag.de/de – viel Erfolg!

0 Kommentare
EuGH kippt Vorratsdatenspeicherung
23. April 2014

Vorratsdatenspeicherung adé: Die EU-Kommission hat Anfang April 2014 vom Europäischen Gerichtshof einen klaren Arbeitsauftrag erhalten. Sie muss die Richtlinien zur Vorratsdatenspeicherung neu aufsetzen. Eine Speicherung von Kommunikationsdaten ist nur erlaubt im Verdachtsfall und mit richterlicher Anordnung. Der EuGH hat die aktuelle Gesetzgebung für verfassungswidrig erklärt – wie bereits das deutsche Bundesverfassungsgericht im März 2010. Der aktuelle […]

Vorratsdatenspeicherung adé: Die EU-Kommission hat Anfang April 2014 vom Europäischen Gerichtshof einen klaren Arbeitsauftrag erhalten. Sie muss die Richtlinien zur Vorratsdatenspeicherung neu aufsetzen. Eine Speicherung von Kommunikationsdaten ist nur erlaubt im Verdachtsfall und mit richterlicher Anordnung.

Der EuGH hat die aktuelle Gesetzgebung für verfassungswidrig erklärt – wie bereits das deutsche Bundesverfassungsgericht im März 2010. Der aktuelle Tenor auf EU-Ebene: Solange bei Bürgern kein Verdacht auf Straftaten vorliegt, ist das Sammeln ihrer Daten rechtswidrig. Die Richtlinie sei „ein besonders schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten“, so das Urteil. 

Die Richter des EuGH bestätigten damit die Kritiker der Vorratsdatenspeicherung, analysiert der ehemalige Bundesdatenschutzbeauftragte Peter Schaar bei heise.de. Die darüber liegende Botschaft laute, dass sich der EuGH als Hüter der in der Europäischen Grundrechtecharta garantierten Bürgerrechte verstehe und den europäischen Gesetzgeber korrigiere, wenn er darin gezogene Grenzen überschreitet.

Was wird gekippt? Internetprovider in der EU durften die Verbindungsdaten ihrer Kunden für eine Dauer von mindestens sechs Monate und maximal zwei Jahren speichern – ohne Tatverdacht. Aufbewahrt werden die Metadaten eines Kommunikationaktes, also Ort, Zeit, Dauer, Teilnehmer und Art eines Telefonats (Festnetz, mobil, IP) bzw. der Nachricht (E-Mail, SMS). Der Inhalt der Kommunikation wird hingegen nicht erfasst.

Hier im Überblick:

Die Richtlinie von 2006: sie muss außer Kraft gesetzt werden.

Die Pressemitteilung des EuGH zum aktuellen Urteil: hier.

Das Urteil des Gerichtshofes: hier.

Zur Autorin: Von nun an wird Kathrin Koehler hier in regelmäßiger Folge für Brainosphere Themen aus der Branche zusammenstellen. Sie ist freiberuflich tätige Journalistin sowie Trainerin und Speakerin für Social Media Themen.

 

0 Kommentare
BvD Datenschutztage 2013
22. April 2013

„Datenschutz – Gestalten statt Verwalten“ lautet der Titel der diesjährigen Verbandstage vom Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) am 24. und 25. April 2013 in Berlin. Die BvD-Datenschutztage haben sich mittlerweile zu einem festen Termin für Datenschutzbeauftragte etabliert. Gregor Klar, Geschäftsführer der brainosphere 1 GmbH, ist an beiden Verbandstagen dabei. Von Personen wie ihm, die das […]

„Datenschutz – Gestalten statt Verwalten“ lautet der Titel der diesjährigen Verbandstage vom Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) am 24. und 25. April 2013 in Berlin.

Die BvD-Datenschutztage haben sich mittlerweile zu einem festen Termin für Datenschutzbeauftragte etabliert. Gregor Klar, Geschäftsführer der brainosphere 1 GmbH, ist an beiden Verbandstagen dabei. Von Personen wie ihm, die das komplexe Thema Datenschutz aktiv mitgestalten, wird neben der Kompetenz und dem Sachverstand ebenfalls ein Sinn für die technischen Prozesse und die daran Beteiligten gefordert. Alle Teilnehmer können sich auf den aktuellsten Stand der Diskussionen rund um den Datenschutz und zu aktuellen Entwicklungen, besonders auf europäischer Ebene, bringen lassen.

Gregor Klar freut sich besonders auf die Keynote und das Plenum, u.a. mit Sabine Leutheusser-Schnarrenberger, Bundesministerin der Justiz, Chris Newiger, Konzerndatenschutzbeauftragter Deutsche Bahn und Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Außerdem wird er das BVD-Sonderseminar “Einführung in das Wettbewerbsrecht und Werbereicht für bDSB” besuchen.

Ausführliche Informationen rund um das Programm, die Sonderseminare und die Mitgliederversammlung finden Sie auf der BvD-Homepage.

Hier erhalten Sie das gesamte Programm als pdf-Download.

0 Kommentare
Datenschutz bei Compliance Programmen
28. März 2013

Immer mehr Unternehmen ernennen Compliance Officer und implementieren zum Teil umfassende Compliance Programme. Deren Aufgabe ist es, die Einhaltung von Rechtsvorschriften durch das Unternehmen sicherzustellen. Sie helfen zum Beispiel Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären. Doch auch das Compliance-Programm selbst muss stets den gesetzlichen Anforderungen genügen. Vor allem […]

Immer mehr Unternehmen ernennen Compliance Officer und implementieren zum Teil umfassende Compliance Programme. Deren Aufgabe ist es, die Einhaltung von Rechtsvorschriften durch das Unternehmen sicherzustellen. Sie helfen zum Beispiel Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären. Doch auch das Compliance-Programm selbst muss stets den gesetzlichen Anforderungen genügen. Vor allem das Datenschutzrecht stellt hierbei viele Anforderungen und setzt Grenzen.

Fälle aus der Vergangenheit haben gezeigt, dass selbst vermeintliche Verstöße des Compliance-Programms gegen den Datenschutz erhebliche Imageschäden für das Unternehmen und sogar persönliche Konsequenzen für das Management haben können. Es drohen Bußgelder und im Extremfall strafrechtliche Verfolgung.

Rechtsanwalt Dr. Thomas Helbing, Inhaber der Kanzlei für Datenschutz und IT-Recht, hat eine 12-seitige Checkliste mit dem Titel „Datenschutz bei Compliance Programmen – eine Checkliste mit Erläuterungen und Best Practices“ entworfen. Diese hilft, datenschutzrelevante Themen bei Compliance-Programmen zu erkennen. Neben Kontrollfragen enthält die Checkliste Erläuterungen sowie Empfehlungen und Best Practices. Die Checkliste wendet sich an Compliance Officer, Mitarbeiter von Compliance-, Rechts- und Revisions-Abteilungen sowie Datenschutzbeauftragte.

Die Checkliste deckt derzeit folgende Bereiche ab:

  1. Interne Compliance Ermittlungen
  2. Einsichtnahme und Auswertung von Mitarbeiter E-Mails
  3. IT-Forensische Untersuchungen / Compliance Screenings / Massendatenanalysen
  4. Hinweisgebersysteme (Whistleblowing)
  5. Zentrale Compliance im Konzern / Verbund

Weitere geplante Themen: E-Discovery, Pre-Employment Screenings, Terrorlisten Screenings und Geldwäscheprävention

Die Checkliste wird regelmäßig aktualisiert und ergänzt. Auf der Webseite der Kanzlei können Sie die jeweils aktuelle Version kostenlos herunterladen.

0 Kommentare