Datenschutzvorfälle passieren aus verschiedenen Gründen. So können sie vorsätzlich eintreten, aber auch aus Versehen. Dabei zählt der Fehlversand personenbezogener Daten zu den wahrscheinlich häufigen Vorfällen.
Die Datenschutzerklärung (der meistens genutzte Begriff) bzw. der Datenschutzhinweis auf der Webseite ist eine Fehlerquelle, derer sich so manch Webseiten-Betreiber gar nicht bewusst zu sein scheint. Um Bußgelder zu vermeiden, ist es umso wichtiger, dass Sie als Webseiten-Betreiber wissen, wie Sie häufige Fehler bei der Datenschutzerklärung vermeiden können.
Das Marketing ist ein wichtiger Bestandteil jedes Unternehmens. Einzelne Marketing-Maßnahmen können verschiedene Einzelziele verfolgen, aber das große Ziel ist immer, den Unternehmensprofit zu steigern. Ein wichtiger Bestandteil dessen sind CRM-Systeme. Kommen diese zum Einsatz, darf ein Verantwortlicher den Datenschutz nicht außer Augen lassen.
Die DSGVO und die Medien erwähnen es entweder nicht explizit oder nicht oft, aber ein brisantes Thema und wichtiger Aspekt des Datenschutzmanagements ist es dennoch. Schon anhand des aktuell viel diskutierten – inzwischen unwirksamen – Bußgeldbescheides gegen Deutsche Wohnen SE wird ersichtlich, dass ein Löschkonzept von hoher Wichtigkeit ist.
Die Aufforderung hierzu trifft Beschäftigte manchmal unerwartet und dennoch ist dies unabdinglich: die Erstellung eines sicheren Passworts. Erfüllt man diese Vorgabe nicht, verstößt man gegen Art. 32 Abs. 1 DSGVO. Dabei ist es ein einfacher Schritt, im Unternehmen personenbezogene Daten durch Passwörter, PINs o. Ä. zu schützen. In diesem Beitrag gehen wir näher darauf ein, wie Sie dies in Ihrem Unternehmen umsetzen können.
Die Bürger sind im Bezug zu der Verarbeitung ihrer personenbezogenen Daten aufgeklärter und besitzen mehr Wissen zu ihren Rechten gemäß der DSGVO. Fühlt sich ein Bürger dann beispielsweise durch unerwünschte Anrufe von Unternehmen belästigt und meldet dies, kann es für den Verantwortlichen ein Bußgeld wegen unerlaubter Telefonwerbung nachziehen.
In diesem Beitrag betrachten wir weitere Beispiele näher, die auf die Notwendigkeit von Meldungen von Dokumentenverlusten und organisatorischen Fehlerquellen hinweisen.
Im Folgenden betrachten wir die Notwendigkeit einer Meldung von Cyber- und Social Engineering-Angriffen (Beispiele auf denen des Entwurfs für „Richtlinien anhand von Beispielen zur Meldung eines Datenschutzvorfalls“ des Europäischen Datenschutzausschusses basierend) näher.
Die Notwendigkeit einer Meldung eines Ransomware-Angriffs ist nicht immer vorhanden, aber generell eine Option. In unserem Beitrag „Meldung einer Datenpanne“ gehen wir darauf an, was zu beachten ist, wenn ein Datenschutzvorfall gemeldet werden muss. In diesem Beitrag erläutern wir, wann ein Datenschutzverstoß gemeldet werden muss anhand verschiedener Szenarien eines Ransomware-Angriffs.
Eine mögliche Meldung einer Datenpanne an die Datenschutzaufsichtsbehörde und auch den betroffenen Personen ist immer ein Ereignis, was möglichst jeder Verantwortliche vermeiden möchte. Dabei sollte ein Verantwortlicher aber auch beachten, welchem Prozedere er bei der Meldung folgen muss, sofern denn eine zu melden ist.
Das Thema Corona hält weiterhin die Welt in Atem. Dabei ergeben sich immer wieder neue Fragen bezüglich Corona und Datenschutz. Im vorhergegangenen Beitrag beschäftigten wir uns mit einer ersten Auswahl solcher Fragen. Folgend beantworten wir weitere Fragen in unserem Beitrag Corona und Gesundheitsdaten im Beschäftigungsverhältnis – Teil II.
Seit fast einem Jahr beherrscht Covid-19 die Medien und ist Gesprächsthema Nr. 1. Dabei kommen immer wieder Fragen zum Beschäftigtendatenschutz auf. In diesem Beitrag möchten wir der Rechtsunsicherheit entgegenwirken und mit ersten Antworten zu Corona und Gesundheitsdaten im Beschäftigungsverhältnis – Teil I aufklären.
Inzwischen dürfte allgemein bekannt sein, wie mit Bewerberdaten umzugehen ist, um die in diesen Dokumenten enthaltenen personenbezogenen Daten zu schützen. Ist allerdings die DSGVO-konforme Nutzung von Bewerberdaten in einem Bewerberpool bekannt? Wenn nicht, dann informieren wir im Folgenden näher darüber.
Datenschutzaufsichtsbehörden möchten annehmen, dass Unternehmen ein verlässliches Datenschutzmanagement eingeführt haben. Ist dies nicht der Fall, droht bei einem DSGVO-Verstoß ein Bußgeld.
Seit dem EuGH-Urteil vom 14. Mai 2019 (C-55/18) sind Arbeitgeber verpflichtet, ein System einzuführen, dass die Arbeitszeit der Beschäftigten erfasst. In diesem Beitrag betrachten wir den Einsatz von Fingerabdruckscannern zur Erfassung der Arbeitszeit im Zusammenhang mit der DSGVO.
Sowohl das private als auch das geschäftliche Leben wird zunehmend digitaler. Als Folge dessen gibt es immer mehr und unterschiedlichere Angriffsmöglichkeiten für Hacker. Wir erklären eine Auswahl dieser und zeigen Ihnen, wie Sie personenbezogene Daten erfolgreich gegen Cyber-Angriffe schützen können.
Technische und organisatorische Maßnahmen – ein Unternehmen sollte diesen bei der Umsetzung des Datenschutzes auf jeden Fall Beachtung schenken. Wem sie ein Fremdwort sind, der sollte weiterlesen.
Wenn Menschen vom Datenschutz reden, liegt der Augenmerk meist auf der allgemeinen Umsetzung technischer und organisatorischer Maßnahmen im Unternehmen sowie auf der DSGVO-Konformität der für die Arbeit eingesetzten Technik. Ein Unternehmen denkt aber eventuell nicht sofort daran, dass auch Visitenkarten dem Datenschutz unterliegen.
Beim E-Mail-Verkehr besteht immer das Risiko, dass unbefugte Dritte Zugriff auf personenbezogene Daten erlangen, E-Mails umleiten oder mitlesen usw. Um dem Eintreffen dieser Risiken entgegenzuwirken, sollten ein Verantwortlicher geeignete Maßnahmen ergreifen. Die Verschlüsselung ist eine Möglichkeit, dem entgegenzuwirken.
Beim Datenschutz gibt es Themen, welche immer wieder für Verwirrung sorgen. Eines davon ist die Auftragsverarbeitung. Zum einen rührt die Verwirrung eventuell daher, dass dieser Begriff nach dem BDSG a. F. als Auftragsdatenverarbeitung bekannt ist. Seit dem 25. Mai 2018 nennt es die DSGVO, die an diesem Tag in Kraft trat, aber Auftragsverarbeitung. Zum anderen kann die Ratlosigkeit auch daher kommen, dass es sich generell nicht auf einfache Weise erklären lässt, bei welchen Vorgängen es sich um Auftragsverarbeitung handelt.
Wie in einem der früheren Beiträge zum Thema der Rechte betroffener Personen erwähnt, besitzt ein Betroffener die Hoheit über seine Daten. Dies weitet sich auch auf das Widerspruchsrecht, auch gegen automatisierte Entscheidungen im Einzelfall aus. Allerdings gibt es wiederum auch Einschränkungen zu diesen Rechten: wenn Interessen, Freiheiten etc. die Rechte des einzelnen Betroffenen überwiegen.
Die Datenschutzerklärung ist ein wichtiger Bestandteil beim Aufbau eines guten Datenschutzmanagementsystems. Hat ein Unternehmen diese nicht auf der Webseite oder nicht korrekt, drohen empfindliche Bußgelder, Schadenersatzansprüche Betroffener oder Abmahnverfahren des Wettbewerbs.
Datenschutzbeauftragter zu sein ist einerseits sehr spannend, aber diese Aufgabe kommt auch mit Pflichten einher. Diese legt nicht jedes einzelne Unternehmen willkürlich fest, sondern Art. 39 DSGVO schreibt dies vor. Wer auch immer diese Rolle übernimmt, sollte sich im Zuge dessen der Pflichten bewusst sein.
Rechte nach Artikel 15 – 20 DSGVO – betroffene Personen, deren Daten verarbeitet werden, haben bestimmte Rechte, wenn es um die Verarbeitung ihrer Daten geht. Darüber genauer informieren kann man sich in Art. 15 – 20 DSGVO.
Bei der Erarbeitung des Datenschutzes gibt es ein Dokument, was ein Unternehmen oft vor sich hinschiebt: das Verzeichnis von Verarbeitungstätigkeiten. Wir betrachten es näher und erklären, wann es zu erstellen ist und was es beinhalten sollte.
Ist sich ein Unternehmen einmal darüber im Klaren, dass es einen Datenschutzbeauftragten braucht bzw. gesetzlich zur Benennung verpflichtet ist, stellt sich die nächste Frage: Ist es klüger, einen internen oder externen Datenschutzbeauftragten zu benennen? Beide Varianten haben sowohl ihre Vor- als auch Nachteile.
Oftmals enthalten geschäftliche E-Mails sensible Daten – dies können Firmengeheimnisse oder personenbezogene Daten sein, sogar besonderer Kategorien. Dabei sollte ein Verantwortlicher Maßnahmen ergreifen, um das Risiko eines unbefugten Zugriffs auf diese Daten möglichst gering zu halten. Eine solche wäre, grundlegende technische Anforderungen beim E-Mail-Verkehr zu beachten und einzuführen.
Microsoft 365 – vorher Office 365 genannt – ist inzwischen ein wichtiger Bestandteil vieler Büros und Privathaushalte. Die Cloud-Lösung ermöglicht es, verschiedene Vorgänge und Bearbeitungen in einem Produkt zu vereinen. Einer Frage wird dabei aber oftmals nicht genügend Aufmerksamkeit geschenkt: Wie DSGVO-konform ist Microsoft 365? Wir betrachten diese Thematik aufgrund einer Auswahl der Erkenntnisse des Europäischen Datenschutzbeauftragten (kurz: EDSB; hier) näher.
Kapitel 3 DSGVO beschäftigt sich ausschließlich mit den Rechten betroffener Personen bei der Verarbeitung ihrer Daten. In diesem Beitrag betrachten wir die Rechte nach Artikel 12 – 14 DSGVO etwas näher.
Welche Bedeutung der „Brexit“ für den Datenschutz in der EU hat und welche Konsequenzen sich für Verantwortliche innerhalb der EU ergeben, lesen Sie hier.