Welche technischen und organisatorischen Maßnahmen (TOM) schreibt der Gesetzgeber vor? Und was hat es mit diesem Stand der Technik auf sich? In unserem Blogbeitrag gehen wir auf die Anforderungen des Artikel 32 DSGVO "Sicherheit der Verarbeitung" näher ein. Lesen Sie mehr darüber, was der Gesetzgeber im Hinblick auf zu ergreifende Schutzmaßnahmen von Ihrer Organisation fordert. Warum schreibt der Gesetzgeber für gewöhnlich keine konkreten Schutzmaßnahmen in ein Gesetz, sondern legt lediglich das zu erreichende Ziel fest? Wieso 2FA keine Raketenwissenschaft und Bandsicherung zwar "old school" ist, aber dennoch dem Stand der Technik entspricht.
Das aktuelle EuGH-Urteil (Az. C-604/22 IAB Europe) zum Thema Datenverarbeitung bei personalisierter Werbung hat durchaus Zündstoff. Der EuGH bestätigt die Sicht der Belgischen Datenschutzaufsicht, dass bei Nutzung des Transparency and Consent framework (TCF) und dessen sog. TC-String ein personenbezogenes Datum vorliegt. Dadurch wird die relativ kleine IAB Europe als Betreiber aus Sicht des EuGH zum Gemeinsam Verantwortlichen. Die IAB wiegelt derzeit noch ab. Doch die Konsequenzen können weitreichend (und teuer) sein. Mehr dazu und wieso der Datenschutz nicht an den unleidigen Cookie-Bannern schuld ist im Blogbeitrag.
Im Rahmen einer ersten automatisierten Prüfung von Webseiten von Unternehmen, Freiberuflern und Vereinen in Bayern gibt das für die Datenschutzaufsicht zuständige BayLDA mit Sitz in Ansbach 350 Organisationen derzeit Gelegenheit zur Stellungnahme und Korrektur. Geprüft wurden die Umsetzung von Cookie-Bannern und des Consent-Managements. Beanstandet werden konkret zwei Sachverhalte: Unzulässige Zugriffe auf und Datenabflüsse von Endgeräten, bevor es zu einer Zustimmung nach Art. 25 TTDSG durch den Besucher gekommen ist sowie unwirksame Einwilligungen aufgrund der fehlenden Möglichkeit des einfachen Ablehnens auf der ersten Ebene des Consent-Managements. Die Überprüfung weiterer Webseiten durch das BayLDA wurde in einer Pressemitteilung von Anfang Februar 2024 bereits angekündigt. Mehr Infos im Blog-Beitrag.
Wer auf die Idee kommen sollte, der Verarbeitung seiner personenbezogenen Daten durch das Finanzamt basierend auf den Betroffenenrechten der DSGVO zu widersprechen, sollte sich mit diesem Urteil aus 2023 des Bundesfinanzhofs befassen. Kategorie: Ein netter Versuch. Doch lies selbst mehr in unserem Blogbeitrag.
Das "neue" Outlook für den Desktop von Microsoft (als Nachfolger der "klassischen" Version) zieht nicht nur die Zugangsdaten aller eingerichteten Mailkonten ab, sondern "spiegelt" die Inhalte in die Microsoft Cloud. Microsoft äußert sich dazu nur nebulös, was damit bezweckt werden soll. Datenschutz schlagen Alarm. Der Landesdatenschutzbeauftragte Thüringen warnte am 17.11.2023 in einer offiziellen Pressemeldung.
Das Langericht Berlin urteilt: Signalisiert ein Webseitenbesucher mittels der Einstellung Do-Not-Track (DNT), dass sein Surfverhalten nicht aufgezeichnet, nicht analysiert und damit auch nicht an Dritte weitergegeben werden soll, so hat der Webseitenbetreiber dies als wirksamen Widerspruch zu behandeln und darf diesen nicht ignorieren. Erstritten hat das Urteil der Verbraucherzentrale Bundesverband e.V. Details im Blogbeitrag.
Zu Beginn der Corona-Pandemie mussten sich viele Organisationen etwas einfallen lassen, wie auch ohne das tägliche Ins-Büro-Gehen die Arbeitsleistungen der Mitarbeiter abgerufen werden konnten. Je nach Sichtweise läutete Corona nicht nur eine Pandemie neuen Ausmaßes, sondern auch das Thema "new work" bei vielen Organisationen ein. Gewohnte und eingefahrene Arbeitsweisen und Rituale mussten über Bord geworfen und durch neue Methoden und teilweise auch neue Technologien ersetzt werden. In vielen Fällen war damals bzw. ist heute noch das Home Office Mittel erster Wahl. Das beflügelte wiederum die Fantasie einiger Führungskräfte, wie die Arbeitsleitung der Mitarbeiter im Home Office - idealerweise vollumfänglich - überwacht werden kann. Einige dieser Überwachungsmaßnahmen schafften es in den 12. Tätigkeitsbericht 2022 des BayLDA. So viel sei verraten: Der Datenschutz ist hier nicht das Problem :-) Mehr im Blogbeitrag.
Der korrekte Umgang mit Bewerberdaten hält einige Stolperfallen bereit. Welche grundlegenden Anforderungen im Umgang mit Bewerberdaten zu beachten sind, erfahren Sie in unserem Kurzbeitrag.
Berufliche soziale Netzwerke wie LinkedIn oder XING erfreuen Personaler und Personaldienstleister als unerschöpflicher Quell an potentiellen Jobkandidaten. Dasselbe gilt für im beruflichen Kontext betriebene Webseiten. Doch einfach Kontaktdaten abschöpfen, ist nicht lt. dem Hessischen Datenschutz- und Informationsfreiheitsbeauftragten (HBDI). In seinem 51. Tätigkeitsbericht für das Jahr 2022 zeigt er ausführlich die Anforderungen an die Rechtmäßigkeit der Datenerhebung sowie die Erteilung der vollständigen und transparenten Informationspflichten nach Art. 14 DSGVO auf. Wie das rechtskonform gelingen kann und weitere Details dazu in unserem Blogbeitrag.
Zeit für den Frühjahrsputz im Verzeichnis von Verarbeitungstätigkeiten (VVT). Der Start der DSGVO ist mittlerweile ein paar Jahre her. Und das damals - hoffentlich - erstellte VVT vielleicht etwas angestaubt mittlerweile. Ein guter Zeitpunkt, sowohl die dazugehörigen organisatorischen Grundlagen und Prozesse, aber auch die Aktualität des VVT zu prüfen. Bei Bedarf kann und sollte man auch gleich die verantwortlichen Führungskräfte zum Thema wieder sensibilisieren. Der BayLfD hat dazu eine Kurzinformation veröffentlicht, die nicht nur für öffentliche Stellen gute Tipps und Vorgehensweisen parat hält.
Partner / Kooperationen
Anwaltskanzlei Diercks, Hamburg
Spirit Legal Rechtsanwälte, Leipzig
RA Stephan Hansen-Oest, Flensburg
Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
Gesellschaft für kommunalen Datenschutz (GKDS), München
Whistle Safe e.K., Berlin — Whistleblowing-Lösungen für Unternehmen und Kommunen
Datenschutz Schmidt (Datenschutz Assistent), Lauf a.d. Pegnitz
Hahn IT Services, Schwaig
Mitgliedschaften
