In genau einem Jahr, am 25. Mai 2018, löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. An diesem Tag endet die Übergangszeit von zwei Jahren, die nach der Veröffentlichung und dem Inkrafttreten der DSGVO begann und […]

In genau einem Jahr, am 25. Mai 2018, löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. An diesem Tag endet die Übergangszeit von zwei Jahren, die nach der Veröffentlichung und dem Inkrafttreten der DSGVO begann und nun bereits zur Hälfte verstrichen ist.

Die teilweise massiven Veränderungen bei der Datenverarbeitung im Unternehmensbereich, die durch das neue europäische Datenschutzrecht eintreten werden, lassen sich grob in drei Kategorien unterteilen:

• erweiterte Informations- und Meldepflichten (gegenüber Betroffenen und Aufsichtsbehörden)
• ausführlichere Dokumentationspflichten und der Nachweis der Rechtmäßigkeit der Datenverarbeitung (Rechenschaftspflicht)
• verstärkte Anforderungen an die IT-Sicherheit (nach dem Stand der Technik)

Außerdem steigt wegen des erhöhten Sanktionsrahmens und der neuen Rechenschaftspflicht das Risiko bei Datenschutzverstößen auch noch im Nachhinein empfindlich belangt zu werden. Die Geldbußen werden mindestens um den Faktor 60 erhöht und orientieren sich an den Größenordnungen, die aus dem Kartellrecht bekannt sind.

Alle Unternehmen sollten sich also mit dem neuen Gesetz rechtzeitig vertraut machen und ein internes Projekt zur Umsetzung der Anforderungen aufsetzen. Nach aktuellen Schätzungen haben derzeit noch über 50 % der Unternehmen in Deutschland überhaupt nicht mit einem Umsetzungsprojekt zur DSGVO begonnen.

Für diese Unternehmen wird es jetzt höchste Zeit sich dem Thema zu widmen. Gute Möglichkeiten zum Einstieg finden sich in den Leitfäden zur DSGVO, die der Arbeitskreis Datenschutz des Bitkom e.V. entwickelt hat.

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass die Safe Harbor Regelung zum Transfer von personenbezogenen Daten in die USA aus dem Jahr 2000 ungültig ist. Begründet wurde dies im Verfahren, das Max Schrems gegen irische Datenschutzbehörde in Sachen Facebook führt u.a. mit den Enthüllungen von Edward Snowden im NSA-Skandal. Hier gibt es das Urteil im […]

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass die Safe Harbor Regelung zum Transfer von personenbezogenen Daten in die USA aus dem Jahr 2000 ungültig ist. Begründet wurde dies im Verfahren, das Max Schrems gegen irische Datenschutzbehörde in Sachen Facebook führt u.a. mit den Enthüllungen von Edward Snowden im NSA-Skandal. Hier gibt es das Urteil im deutschen Volltext. Im Folgenden werde ich einige Links und Kommentare zum Thema sammeln:

Max Schrems: Initial Response

Anna Biselli auf netzpolitik.org: Europäischer Gerichtshof: Safe Harbor ist ungültig! Schluss mit der blauäugigen Datenübertragung in die USA.

Sascha Lobo auf Spiegel Online: Safe-Harbor-Urteil: Entschuldigung, ich verstehe nur Verschiebebahnhof

Joerg Heidrich auf Heise Online: Nach dem EuGH-Urteil: Alternativen zu Safe Harbor

Niko Härting: Safe Harbor: Geburtsstunde eines europäischen Verfassungsgerichts?

Pressemittelung des Berufsverbands der Datenschützer (BvD): EuGH: Safe Harbor gekippt

Patrick Beuth auf Zeit Online: Ein leises Donnerwetter vom EuGH

Matthias Lachmann: Safe Harbor-Urteil: EuGH setzt Zeichen gegen Massenausspähung mit wirrer Argumentation

Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 26.10.1015

Vorratsdatenspeicherung adé: Die EU-Kommission hat Anfang April 2014 vom Europäischen Gerichtshof einen klaren Arbeitsauftrag erhalten. Sie muss die Richtlinien zur Vorratsdatenspeicherung neu aufsetzen. Eine Speicherung von Kommunikationsdaten ist nur erlaubt im Verdachtsfall und mit richterlicher Anordnung. Der EuGH hat die aktuelle Gesetzgebung für verfassungswidrig erklärt – wie bereits das deutsche Bundesverfassungsgericht im März 2010. Der aktuelle […]

Vorratsdatenspeicherung adé: Die EU-Kommission hat Anfang April 2014 vom Europäischen Gerichtshof einen klaren Arbeitsauftrag erhalten. Sie muss die Richtlinien zur Vorratsdatenspeicherung neu aufsetzen. Eine Speicherung von Kommunikationsdaten ist nur erlaubt im Verdachtsfall und mit richterlicher Anordnung.

Der EuGH hat die aktuelle Gesetzgebung für verfassungswidrig erklärt – wie bereits das deutsche Bundesverfassungsgericht im März 2010. Der aktuelle Tenor auf EU-Ebene: Solange bei Bürgern kein Verdacht auf Straftaten vorliegt, ist das Sammeln ihrer Daten rechtswidrig. Die Richtlinie sei „ein besonders schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten“, so das Urteil. 

Was wird gekippt? Internetprovider in der EU durften die Verbindungsdaten ihrer Kunden für eine Dauer von mindestens sechs Monate und maximal zwei Jahren speichern – ohne Tatverdacht. Aufbewahrt werden die Metadaten eines Kommunikationaktes, also Ort, Zeit, Dauer, Teilnehmer und Art eines Telefonats (Festnetz, mobil, IP) bzw. der Nachricht (E-Mail, SMS). Der Inhalt der Kommunikation wird hingegen nicht erfasst.

Hier im Überblick:

Die Richtlinie von 2006: sie muss außer Kraft gesetzt werden.

Die Pressemitteilung des EuGH zum aktuellen Urteil: hier.

Das Urteil des Gerichtshofes: hier.

Zur Autorin: Von nun an wird Kathrin Koehler hier in regelmäßiger Folge für Brainosphere Themen aus der Branche zusammenstellen. Sie ist freiberuflich tätige Journalistin sowie Trainerin und Speakerin für Social Media Themen.

Das Oberlandesgericht (OLG) München hat in einer vieldiskutierten Entscheidung die etablierte Praxis des Double-Opt-In in Frage gestellt. Das Urteil (Az. 29 U 1682/12) sorgt für Verwirrung und Unverständnis unter Rechtsexperten. Im Herbst 2012 hat das Gericht entgegen der gängigen Rechtsprechung entschieden, dass selbst die Bestätigungs-E-Mail nach der Anmeldung zu einem Newsletter belästigende Werbung, Spam, darstellt. In […]

Das Oberlandesgericht (OLG) München hat in einer vieldiskutierten Entscheidung die etablierte Praxis des Double-Opt-In in Frage gestellt. Das Urteil (Az. 29 U 1682/12) sorgt für Verwirrung und Unverständnis unter Rechtsexperten.

Im Herbst 2012 hat das Gericht entgegen der gängigen Rechtsprechung entschieden, dass selbst die Bestätigungs-E-Mail nach der Anmeldung zu einem Newsletter belästigende Werbung, Spam, darstellt. In vielen Internetblogs sorgt das Urteil für Ratlosigkeit. Vom faktischen Untergang des Newsletter-Marketings ist die Rede.

Der Bundesgerichtshof (BGH) in Karlsruhe sollte in naher Zukunft die Gelegenheit erhalten, die Entscheidung zu korrigieren. Die Revision zum BGH wurde zugelassen. Der BGH wird dem OLG München aber wohl nicht folgen. Als Reaktion auf das Urteil vom OLG München ist nun eine erneute Abmahnwelle nicht auszuschließen. Die zugrunde liegende Krux zum Double-Opt-In wird bei optivo, einem der größten E-Mail-Marketing-Dienstleister im deutschsprachigen Europa, in Form einer Infografik dargestellt.

Im Fachbeitrag von Dr. Philipp Kramer und David Oberbeck, Experten für Datenschutzrecht und Recht der neuen Medien, sind hierzu Hinweise für Unternehmen im Magazin von Gründerszene erschienen.

Datenspeicherung in der Cloud ist ja momentan sehr modern und auch praktisch. Schließlich ist der Zugriff auf die Daten mittels Cloud von jedem Gerät, das am Internet hängt, möglich. Trotzdem ist Vorsicht geboten, denn man weiß nie so genau, wer mitliest oder – wie im folgenden Fall – mithört. Für das iPhone und das iPad […]

Datenspeicherung in der Cloud ist ja momentan sehr modern und auch praktisch. Schließlich ist der Zugriff auf die Daten mittels Cloud von jedem Gerät, das am Internet hängt, möglich. Trotzdem ist Vorsicht geboten, denn man weiß nie so genau, wer mitliest oder – wie im folgenden Fall – mithört.

Für das iPhone und das iPad gibt es schon seit einiger Zeit die kostenlose Spracherkennungs-App Dragon Dictation. Mit ihrer Hilfe braucht man Text nicht mehr eintippen, sondern kann das, was man schreiben möchte, einfach diktieren – die App wandelt das Gesagte dann in Text um. So lassen selbst beim Autofahren E-Mails oder SMS verfassen.

So praktisch sich das anhört: Die Sache hat einen Hacken und der befindet sich in den Lizenzbedingungen. Mit der Installation der App erlaubt man nämlich dem Anbieter, die Daten – also Kontakte als auch das Diktierte – auf seinen Servern zu speichern. Der Anbieter darf diese Daten dann sogar an Dritte weitergeben.

Insbesondere all diejenigen, die mit sensiblen Kunden-, Mandanten- oder Patientendaten zu tun haben, sollten also lieber die Finger davon lassen. Denn: Wer personenbezogene Daten in der Cloud verarbeitet, muss u.a. die Regelungen von § 11 BDSG zur Auftragsdatenverarbeitung einhalten. Für Rechtsanwälte und Ärzte ist außerdem § 203 StGB zu beachten, der die Verletzung von Privatgeheimnissen unter Strafe stellt.

Ob Impressum, AGB oder Datenschutzerklärung – wer in Deutschland eine Webseite betreiben möchte, muss sich mit allerlei rechtlichen Beschränkungen und Vorgaben herumschlagen. Weitere Regelungen hat nun die hessische Landesregierung erarbeitet. Einen entsprechenden Gesetzentwurf möchte sie über den Bundesrat einbringen. Im Fokus stehen diesmal soziale Netzwerke, Online-Shops, Foren oder Blogs – sprich alle Webangebote, die eine […]

Ob Impressum, AGB oder Datenschutzerklärung – wer in Deutschland eine Webseite betreiben möchte, muss sich mit allerlei rechtlichen Beschränkungen und Vorgaben herumschlagen. Weitere Regelungen hat nun die hessische Landesregierung erarbeitet. Einen entsprechenden Gesetzentwurf möchte sie über den Bundesrat einbringen. Im Fokus stehen diesmal soziale Netzwerke, Online-Shops, Foren oder Blogs – sprich alle Webangebote, die eine Registrierung erforderlich machen. Vorgesehen sind verschiedene Änderungen am Telemediengesetz.

So sollen User in der Lage sein, mit einem Klick ihr Nutzerkonto aufzulösen. Inaktive Konten müssen automatisch gelöscht werden. Bei der Löschung sind auch alle zum Account gehörenden Inhalte, z.B. Kommentare zu löschen. Zudem muss bei Erstellung eines neuen Nutzerkontos die höchste Sicherheitsstufe per Default eingestellt sein – was das genau heißt, wird nicht gesagt. Auch muss der User einstellen können, ob seine dort angegebenen Daten von Suchmaschinen erfasst werden sollen.

Der Webseitenbetreiber soll zukünftig den User zudem über mögliche Risiken für personenbezogene Daten und damit verbundene Beeinträchtigungen seiner Persönlichkeitsrechte informieren. Zudem sollen Webseitenbetreiber verpflichtet werden, auf ihren Webseiten die zuständige Datenschutzbehörde zu benennen.

Was aus dem Gesetzentwurf letztendlich wird, bleibt abzuwarten. Kommentare gibt es auf Internet-Law und auf dem Blog von Jens Ferner.

Arbeitgeber sind verpflichtet, ihre Mitarbeiter über bestimmte Arbeitsgesetze und -bestimmungen per Aushang zu informieren. Eine Zusammenstellung der betroffenen Gesetze gibt es auf der Seite fischer-kollegen.de.

Arbeitgeber sind verpflichtet, ihre Mitarbeiter über bestimmte Arbeitsgesetze und -bestimmungen per Aushang zu informieren. Eine Zusammenstellung der betroffenen Gesetze gibt es auf der Seite fischer-kollegen.de.