Der Countdown läuft … #DSGVO
25. Mai 2017

In genau einem Jahr, am 25. Mai 2018, löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. An diesem Tag endet die Übergangszeit von zwei Jahren, die nach der Veröffentlichung und dem Inkrafttreten der DSGVO begann und […]

In genau einem Jahr, am 25. Mai 2018, löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. An diesem Tag endet die Übergangszeit von zwei Jahren, die nach der Veröffentlichung und dem Inkrafttreten der DSGVO begann und nun bereits zur Hälfte verstrichen ist.

Die teilweise massiven Veränderungen bei der Datenverarbeitung im Unternehmensbereich, die durch das neue europäische Datenschutzrecht eintreten werden, lassen sich grob in drei Kategorien unterteilen:

  • erweiterte Informations- und Meldepflichten (gegenüber Betroffenen und Aufsichtsbehörden)
  • ausführlichere Dokumentationspflichten und der Nachweis der Rechtmäßigkeit der Datenverarbeitung (Rechenschaftspflicht)
  • verstärkte Anforderungen an die IT-Sicherheit (nach dem Stand der Technik)

Außerdem steigt wegen des erhöhten Sanktionsrahmens und der neuen Rechenschaftspflicht das Risiko bei Datenschutzverstößen auch noch im Nachhinein empfindlich belangt zu werden. Die Geldbußen werden mindestens um den Faktor 60 erhöht und orientieren sich an den Größenordnungen, die aus dem Kartellrecht bekannt sind.

Alle Unternehmen sollten sich also mit dem neuen Gesetz rechtzeitig vertraut machen und ein internes Projekt zur Umsetzung der Anforderungen aufsetzen. Nach aktuellen Schätzungen haben derzeit noch über 50 % der Unternehmen in Deutschland überhaupt nicht mit einem Umsetzungsprojekt zur DSGVO begonnen.

Für diese Unternehmen wird es jetzt höchste Zeit sich dem Thema zu widmen. Gute Möglichkeiten zum Einstieg finden sich in den Leitfäden zur DSGVO, die der Arbeitskreis Datenschutz des Bitkom e.V. entwickelt hat.

0 Kommentare
EuGH kippt Vorratsdatenspeicherung
23. April 2014

Vorratsdatenspeicherung adé: Die EU-Kommission hat Anfang April 2014 vom Europäischen Gerichtshof einen klaren Arbeitsauftrag erhalten. Sie muss die Richtlinien zur Vorratsdatenspeicherung neu aufsetzen. Eine Speicherung von Kommunikationsdaten ist nur erlaubt im Verdachtsfall und mit richterlicher Anordnung. Der EuGH hat die aktuelle Gesetzgebung für verfassungswidrig erklärt – wie bereits das deutsche Bundesverfassungsgericht im März 2010. Der aktuelle […]

Vorratsdatenspeicherung adé: Die EU-Kommission hat Anfang April 2014 vom Europäischen Gerichtshof einen klaren Arbeitsauftrag erhalten. Sie muss die Richtlinien zur Vorratsdatenspeicherung neu aufsetzen. Eine Speicherung von Kommunikationsdaten ist nur erlaubt im Verdachtsfall und mit richterlicher Anordnung.

Der EuGH hat die aktuelle Gesetzgebung für verfassungswidrig erklärt – wie bereits das deutsche Bundesverfassungsgericht im März 2010. Der aktuelle Tenor auf EU-Ebene: Solange bei Bürgern kein Verdacht auf Straftaten vorliegt, ist das Sammeln ihrer Daten rechtswidrig. Die Richtlinie sei „ein besonders schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten“, so das Urteil. 

Die Richter des EuGH bestätigten damit die Kritiker der Vorratsdatenspeicherung, analysiert der ehemalige Bundesdatenschutzbeauftragte Peter Schaar bei heise.de. Die darüber liegende Botschaft laute, dass sich der EuGH als Hüter der in der Europäischen Grundrechtecharta garantierten Bürgerrechte verstehe und den europäischen Gesetzgeber korrigiere, wenn er darin gezogene Grenzen überschreitet.

Was wird gekippt? Internetprovider in der EU durften die Verbindungsdaten ihrer Kunden für eine Dauer von mindestens sechs Monate und maximal zwei Jahren speichern – ohne Tatverdacht. Aufbewahrt werden die Metadaten eines Kommunikationaktes, also Ort, Zeit, Dauer, Teilnehmer und Art eines Telefonats (Festnetz, mobil, IP) bzw. der Nachricht (E-Mail, SMS). Der Inhalt der Kommunikation wird hingegen nicht erfasst.

Hier im Überblick:

Die Richtlinie von 2006: sie muss außer Kraft gesetzt werden.

Die Pressemitteilung des EuGH zum aktuellen Urteil: hier.

Das Urteil des Gerichtshofes: hier.

Zur Autorin: Von nun an wird Kathrin Koehler hier in regelmäßiger Folge für Brainosphere Themen aus der Branche zusammenstellen. Sie ist freiberuflich tätige Journalistin sowie Trainerin und Speakerin für Social Media Themen.

 

0 Kommentare
Datenschutz bei Compliance Programmen
28. März 2013

Immer mehr Unternehmen ernennen Compliance Officer und implementieren zum Teil umfassende Compliance Programme. Deren Aufgabe ist es, die Einhaltung von Rechtsvorschriften durch das Unternehmen sicherzustellen. Sie helfen zum Beispiel Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären. Doch auch das Compliance-Programm selbst muss stets den gesetzlichen Anforderungen genügen. Vor allem […]

Immer mehr Unternehmen ernennen Compliance Officer und implementieren zum Teil umfassende Compliance Programme. Deren Aufgabe ist es, die Einhaltung von Rechtsvorschriften durch das Unternehmen sicherzustellen. Sie helfen zum Beispiel Korruption und unzulässige Kartellabsprachen, Geldwäsche sowie Betrugs- und Untreuefälle zu verhindern und aufzuklären. Doch auch das Compliance-Programm selbst muss stets den gesetzlichen Anforderungen genügen. Vor allem das Datenschutzrecht stellt hierbei viele Anforderungen und setzt Grenzen.

Fälle aus der Vergangenheit haben gezeigt, dass selbst vermeintliche Verstöße des Compliance-Programms gegen den Datenschutz erhebliche Imageschäden für das Unternehmen und sogar persönliche Konsequenzen für das Management haben können. Es drohen Bußgelder und im Extremfall strafrechtliche Verfolgung.

Rechtsanwalt Dr. Thomas Helbing, Inhaber der Kanzlei für Datenschutz und IT-Recht, hat eine 12-seitige Checkliste mit dem Titel „Datenschutz bei Compliance Programmen – eine Checkliste mit Erläuterungen und Best Practices“ entworfen. Diese hilft, datenschutzrelevante Themen bei Compliance-Programmen zu erkennen. Neben Kontrollfragen enthält die Checkliste Erläuterungen sowie Empfehlungen und Best Practices. Die Checkliste wendet sich an Compliance Officer, Mitarbeiter von Compliance-, Rechts- und Revisions-Abteilungen sowie Datenschutzbeauftragte.

Die Checkliste deckt derzeit folgende Bereiche ab:

  1. Interne Compliance Ermittlungen
  2. Einsichtnahme und Auswertung von Mitarbeiter E-Mails
  3. IT-Forensische Untersuchungen / Compliance Screenings / Massendatenanalysen
  4. Hinweisgebersysteme (Whistleblowing)
  5. Zentrale Compliance im Konzern / Verbund

Weitere geplante Themen: E-Discovery, Pre-Employment Screenings, Terrorlisten Screenings und Geldwäscheprävention

Die Checkliste wird regelmäßig aktualisiert und ergänzt. Auf der Webseite der Kanzlei können Sie die jeweils aktuelle Version kostenlos herunterladen.

0 Kommentare
Double-Opt-In steht in Frage
20. Dezember 2012

Das Oberlandesgericht (OLG) München hat in einer vieldiskutierten Entscheidung die etablierte Praxis des Double-Opt-In in Frage gestellt. Das Urteil (Az. 29 U 1682/12) sorgt für Verwirrung und Unverständnis unter Rechtsexperten. Im Herbst 2012 hat das Gericht entgegen der gängigen Rechtsprechung entschieden, dass selbst die Bestätigungs-E-Mail nach der Anmeldung zu einem Newsletter belästigende Werbung, Spam, darstellt. In […]

Das Oberlandesgericht (OLG) München hat in einer vieldiskutierten Entscheidung die etablierte Praxis des Double-Opt-In in Frage gestellt. Das Urteil (Az. 29 U 1682/12) sorgt für Verwirrung und Unverständnis unter Rechtsexperten.

Im Herbst 2012 hat das Gericht entgegen der gängigen Rechtsprechung entschieden, dass selbst die Bestätigungs-E-Mail nach der Anmeldung zu einem Newsletter belästigende Werbung, Spam, darstellt. In vielen Internetblogs sorgt das Urteil für Ratlosigkeit. Vom faktischen Untergang des Newsletter-Marketings ist die Rede.

Der Bundesgerichtshof (BGH) in Karlsruhe sollte in naher Zukunft die Gelegenheit erhalten, die Entscheidung zu korrigieren. Die Revision zum BGH wurde zugelassen. Der BGH wird dem OLG München aber wohl nicht folgen. Als Reaktion auf das Urteil vom OLG München ist nun eine erneute Abmahnwelle nicht auszuschließen. Die zugrunde liegende Krux zum Double-Opt-In wird bei optivo, einem der größten E-Mail-Marketing-Dienstleister im deutschsprachigen Europa, in Form einer Infografik dargestellt.

Im Fachbeitrag von Dr. Philipp Kramer und David Oberbeck, Experten für Datenschutzrecht und Recht der neuen Medien, sind hierzu Hinweise für Unternehmen im Magazin von Gründerszene erschienen.

0 Kommentare
Rechtliche Aspekte von Social Media
27. November 2012

Ein prima Vortrag beim Aktionstag der IHK Berlin zum Thema Social Media in der Praxis gab uns kürzlich einen groben Überblick zu Chancen und Risiken von Social Media. Referent Karsten U. Bartels, Rechtsanwalt bei HK2 Rechtsanwälte und auf IT-Recht spezialisiert, ist erfahren im IT-Vertragsrecht, Internetrecht sowie in Fragen rund um E-Commerce, Social Media und Cloud Computing. […]

Ein prima Vortrag beim Aktionstag der IHK Berlin zum Thema Social Media in der Praxis gab uns kürzlich einen groben Überblick zu Chancen und Risiken von Social Media. Referent Karsten U. Bartels, Rechtsanwalt bei HK2 Rechtsanwälte und auf IT-Recht spezialisiert, ist erfahren im IT-Vertragsrecht, Internetrecht sowie in Fragen rund um E-Commerce, Social Media und Cloud Computing. Er ist zertifizierter TÜV-Datenschutzbeauftragter (TÜV) und akkreditierter Auditor für mehrere Datenschutzzertifikate.

Bartels schöpfte aus seinem breiten Fachwissen und sprach über die rechtlichen Aspekte und Hürden, die bei der Anwendung von Social Media zu beachten sind. Eine zentrale Klippe, die für private sowie die gewerbliche Nutzung von sozialen Netzwerken relevant ist: Allgemeine Geschäftsbedingungen – die AGB der Plattformbetreiber. Facebook aktualisiert und erweitert beispielsweise seine Nutzer-AGB, Nutzungsbedingungen für Facebook-Seiten, Facebook-Werberichtlinien und Datenschutzrichtlinien permanent. Im November 2012 umfassten diese fast 17.000 Wörter, ein Jahr vorher waren es noch 4000 Wörter weniger.

Auch weitere rechtliche Aspekte bieten potentielle Hindernisse:

  • Anbieterkennzeichnung
  • Werbung über Social Media
  • Informationspflichten bei Handel über Soziale Netzwerke
  • Datenschutzrecht in Sozialen Netzwerken
  • Betriebliche und arbeitrechtliche Maßnahmen bei Sozialen Netzwerken

Unternehmen, die Social Media für ihr Gewerbe verwenden, sollten die sich stets verändernden rechtlichen Rahmenbedingungen im Blick behalten. Ganz besonders ist hier das Datenschutzrecht zu beachten, um zum Beispiel Abmahnungen zu umgehen.

Weitere Informationen: Karsten U. Bartels bei Google +

0 Kommentare
Fortbildung Datenschutz beim BvD
08. November 2012

„Regelmäßige Überprüfung der ordnungsgemäßen Datenverarbeitung ist ein Muss für alle Datenschutzbeauftragten“, so das Fazit von Gregor Klar, Geschäftsführer Klar EDV, nach einem 2-tägigen Praxisworkshop beim Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) in Berlin. „Sicherheitschecks, Audits und Kontrollen als betrieblicher Datenschutzbeauftragter begleiten und bewerten“ lautete das Thema der BvD-Fortbildung, die Heiko Behrendt führte. Er ist viele Jahre […]

„Regelmäßige Überprüfung der ordnungsgemäßen Datenverarbeitung ist ein Muss für alle Datenschutzbeauftragten“, so das Fazit von Gregor Klar, Geschäftsführer Klar EDV, nach einem 2-tägigen Praxisworkshop beim Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) in Berlin.

„Sicherheitschecks, Audits und Kontrollen als betrieblicher Datenschutzbeauftragter begleiten und bewerten“ lautete das Thema der BvD-Fortbildung, die Heiko Behrendt führte. Er ist viele Jahre beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in leitender Funktion für die Durchführung datenschutzrechtlicher und sicherheitstechnischer Audits verantwortlich.

Geschult wurde mit Fokus auf folgende Inhalte:

  • Grundlagen und Begriffsabgrenzungen: Erfüllung der gesetzlichen Anforderungen des Datenschutzbeauftragten (BDSG)
  • Methodische Vorgehensweise: Erstellung eines Prüfplans als roter Faden für die Durchführung des Audits
  • Datenschutz- und IT-Sicherheitskonzept: Bewertung von mehreren „Muster-Sicherheitskonzpeten“ aus der Praxis

Wenden Sie sich vertrauensvoll an brainosphere, wir helfen Ihnen in Sachen Datenschutz gerne praxisorientiert weiter.

0 Kommentare
Das AGG feiert fünften Geburtstag
18. August 2011

Heute vor fünf Jahren ist das Allgemeine Gleichbehandlungsgesetz (AGG) in Kraft getreten. Es verbietet Diskriminierung in Beruf und Alltag – sei dies aus Gründen der Rasse, der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität. Zudem wurde mit Einführung des Gesetzes auch die Anti-Diskriminierungsstelle des Bund (ADS) […]

Heute vor fünf Jahren ist das Allgemeine Gleichbehandlungsgesetz (AGG) in Kraft getreten. Es verbietet Diskriminierung in Beruf und Alltag – sei dies aus Gründen der Rasse, der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität. Zudem wurde mit Einführung des Gesetzes auch die Anti-Diskriminierungsstelle des Bund (ADS) – als unabhängige Anlaufstelle für Menschen, die von Diskriminierung betroffen sind –  ins Leben gerufen. Um die 600 AGG-Prozesse hat es – laut der TAZ – seitdem gegeben. Die befürchtete Klagewelle ist allerdings ausgeblieben.

Aufsehen erregte zum Beispiel der Fall einer Versicherungsangestellten, die die R+V-Versicherung auf 500.000 Euro Schadensersatz wegen eindeutiger Geschlechtsdiskriminierung und möglicher ethnischer Diskriminierung verklagte – allerdings ohne Erfolg: Die Klage vor dem Arbeitsgericht Wiesbaden ist zum Großteil gescheitert. Ebenfalls bemerkenswert ist die Klage dreier Piloten der Lufthansa. Sie wehrten sich gegen eine Klausel in ihrem Tarifvertrag, die vorsah, dass das Arbeitsverhältnis mit Beendigung des 60. Lebensjahr automatisch erlischt. In den Vorinstanzen wurde die Klage abgewiesen. Zur Zeit wird die Reglung vom Europäischen Gerichtshof (EuGH) geprüft. Auch brisant war die Klage einer in Ostdeutschland geborenen Bewerberin, die sich in Stuttgart erfolglos um eine Stelle bewarb. Auf den ihr zurückgesandten Bewerbungsunterlagen fand sie die handschriftlichen Vermerke „(-) Ossi“ und „DDR“ und nahm an, dass sie aufgrund ihrer ostdeutschen Herkunft abgelehnt wurde. Das Stuttgarter Arbeitsgericht lehnte die Klage ab und stellte fest, dass “Ossis” keine ethnische Gruppe im Sinne des AGG darstellen und daher auch nicht diskriminiert werden könnten. Weitere ausgewählte Entscheidungen zum AGG gibt es auf der Seite der ADS.

Wir sind gespannt wie sich das AGG weiter entwickelt und werden an dieser Stelle auch weiterhin über interessante Fälle berichten. Ebenfalls empfehlen wir den AGG Online Blog des Rechtsanwalts Dr. Michael Schreier. Unsere Online-Schulungen zum AGG gibt es unter AGG-Wissen.de.

0 Kommentare
Bei Datenklau ist §42a BDSG zu prüfen
22. Juni 2011

Mithilfe mobiler Geräte und Cloud Computing ist es heute möglich, sich jederzeit und nahezu überall Zugang zu seinen Daten zu verschaffen. Probleme ergeben sich allerdings, wenn beispielsweise der Laptop geklaut wird oder der Cloud Anbieter die Daten durch ein Sicherheitsproblem offen legt. Handelt es sich bei den geklauten oder offen gelegten Daten um besondere personenbezogene […]

Mithilfe mobiler Geräte und Cloud Computing ist es heute möglich, sich jederzeit und nahezu überall Zugang zu seinen Daten zu verschaffen. Probleme ergeben sich allerdings, wenn beispielsweise der Laptop geklaut wird oder der Cloud Anbieter die Daten durch ein Sicherheitsproblem offen legt. Handelt es sich bei den geklauten oder offen gelegten Daten um besondere personenbezogene Daten (dazu zählen vereinfacht dargestellt: persönliche Daten zu Herkunft, Politik und Gewerkschaften, Banken und Finanzen, Gesundheit und Sexualität sowie Berufsgeheimnissen), die nicht verschlüsselt waren, hat das ernste Konsequenzen. Aus §42a BDSG ergibt sich eine Informationspflicht, die von der Stelle, welche den Datenverlust erlitt, zu erfüllen ist. Es heißt im Gesetz: sobald „Dritte unrechtmässig Kenntnis“ von bestimmten personenbezogenen Daten erlangt haben und dies mit der Gefahr „schwerwiegender Beeinträchtigungen“ der Rechte der Betroffenen einhergeht, ist dies unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Weiterhin sagt das Gesetz:

„Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme.“

Wer schon einmal eine Anzeige in einer Zeitung geschaltet hat, weiß, dass das sehr teuer werden kann. Andererseits kann es sehr teuer werden, die Informationspflicht nicht zu beachten. Hier kann ein Bussgeld von bis zu 300.000 Euro fällig werden. Schützen kann man sich, indem man die Daten auf dem Rechner oder in der Cloud verschlüsselt. Dann muss man nämlich nicht mehr davon ausgehen, dass durch den Diebstahl „Dritte unrechtmässig Kenntnis“ von den Daten erlangt haben und schon greift die Informationspflicht nicht mehr. Gerne beraten wir Sie bei allen Fragen rund um das Thema Datenschutz. Bei Fragen zum Thema Verschlüsselung hilft Ihnen unser Partner Klar EDV GmbH gerne weiter.

0 Kommentare
Neue Regelungen für Webseitenbetreiber?
12. April 2011

Ob Impressum, AGB oder Datenschutzerklärung – wer in Deutschland eine Webseite betreiben möchte, muss sich mit allerlei rechtlichen Beschränkungen und Vorgaben herumschlagen. Weitere Regelungen hat nun die hessische Landesregierung erarbeitet. Einen entsprechenden Gesetzentwurf möchte sie über den Bundesrat einbringen. Im Fokus stehen diesmal soziale Netzwerke, Online-Shops, Foren oder Blogs – sprich alle Webangebote, die eine […]

Ob Impressum, AGB oder Datenschutzerklärung – wer in Deutschland eine Webseite betreiben möchte, muss sich mit allerlei rechtlichen Beschränkungen und Vorgaben herumschlagen. Weitere Regelungen hat nun die hessische Landesregierung erarbeitet. Einen entsprechenden Gesetzentwurf möchte sie über den Bundesrat einbringen. Im Fokus stehen diesmal soziale Netzwerke, Online-Shops, Foren oder Blogs – sprich alle Webangebote, die eine Registrierung erforderlich machen. Vorgesehen sind verschiedene Änderungen am Telemediengesetz.

So sollen User in der Lage sein, mit einem Klick ihr Nutzerkonto aufzulösen. Inaktive Konten müssen automatisch gelöscht werden. Bei der Löschung sind auch alle zum Account gehörenden Inhalte, z.B. Kommentare zu löschen. Zudem muss bei Erstellung eines neuen Nutzerkontos die höchste Sicherheitsstufe per Default eingestellt sein – was das genau heißt, wird nicht gesagt. Auch muss der User einstellen können, ob seine dort angegebenen Daten von Suchmaschinen erfasst werden sollen.

Der Webseitenbetreiber soll zukünftig den User zudem über mögliche Risiken für personenbezogene Daten und damit verbundene Beeinträchtigungen seiner Persönlichkeitsrechte informieren. Zudem sollen Webseitenbetreiber verpflichtet werden, auf ihren Webseiten die zuständige Datenschutzbehörde zu benennen.

Was aus dem Gesetzentwurf letztendlich wird, bleibt abzuwarten. Kommentare gibt es auf Internet-Law und auf dem Blog von Jens Ferner.

0 Kommentare
Aushanggesetze
15. Dezember 2010

Arbeitgeber sind verpflichtet, ihre Mitarbeiter über bestimmte Arbeitsgesetze und -bestimmungen per Aushang zu informieren. Eine Zusammenstellung der betroffenen Gesetze gibt es auf der Seite fischer-kollegen.de.

Arbeitgeber sind verpflichtet, ihre Mitarbeiter über bestimmte Arbeitsgesetze und -bestimmungen per Aushang zu informieren. Eine Zusammenstellung der betroffenen Gesetze gibt es auf der Seite fischer-kollegen.de.

0 Kommentare