Schenkt man Medien und "sozialen" Netzwerken Gehör, besteht das Leben nur noch aus schlechten Nachrichten. Realität? Oder Trend zu negativer Berichterstattung für das sog. clickbaiting? Wir wollen mit unseren diesjährigen Weihnachtsgrüßen dem Negativen etwas Positives, zumindest als Anregung entgegensetzen. Allen LeserInnen und ihren Lieben wünschen wir gesegnete Weihnachten und einen guten Rutsch ins neue Jahr 2025.
Gerne und oft von Interessensverbänden und der Politik wiederkehrend erzählt, aber dennoch falsch. Nicht der Datenschutzbeauftragte bzw. dessen Pflicht zur Benennung im BDSG und der DSGVO erzeugen den Arbeitsaufwand im Datenschutz. Der Datenschutzbeauftragte wird geschmäht, denn ohne diese Funktion würde ja die ganze Bürokratie und der Aufwand im Datenschutz entfallen. Wer auch nur ein bisschen das Thema verstanden hat, der weiß, dem ist nicht so. Die ganzen rechtlichen Ansprüche im Datenschutz, die es für Organisationen umzusetzen und einzuhalten gilt, entfallen ja nicht, nur weil man den Datenschutzbeauftragten aus dem Gesetz streicht. Im Gegenteil. Der Aufwand wird noch größer, da nun die einzige Person nicht mehr im Unternehmen ist, die weiß, wie Datenschutz funktioniert und wie die gesetzlichen Anforderungen - idealerweise pragmatisch und mit nicht zu viel Aufwand - umzusetzen gehen. Man schickt ja auch nicht den Lotsen von Bord, wenn man nicht weiß, wo im Nebel die Hafeneinfahrt ist. :-) Welche weiteren Vorteile ein Datenschutzbeauftragter bietet und warum sich jede Organisation diese Vorteile sichern sollte, haben wir mal in unserem Beitrag zusammengefasst. Aber selbst wenn keine Pflicht zur Benennung eines Datenschutzbeauftragten besteht, wer weiß dann in der Organisation, was und wie alles zu erfüllen ist? In dem Fall nutzen Sie uns als externe Datenschutz Berater statt als externe Datenschutzbeauftragte. Aber lesen Sie doch einfach selbst, was es mit der Mär der "Abschaffung der Datenschutzbürokratie" durch Abschaffung des Datenschutzbeauftragten auf sich hat.
Braucht es wirklich drei unterschiedliche Prozesse zur Meldung und Bearbeitung von IT-Störungen, Sicherheitsvorfällen in der Informationssicherheit und Datenschutzverletzungen? Fragt man die Verantwortlichen, heißt es oft eindeutig "Ja klar". Wir werfen einen Blick auf die dazugehörigen Prozesse und legen diese einfach mal neugierig übereinander. Spoiler: Es braucht nur einen Prozess. Mehr im Blogbeitrag.
Welche technischen und organisatorischen Maßnahmen (TOM) schreibt der Gesetzgeber vor? Und was hat es mit diesem Stand der Technik auf sich? In unserem Blogbeitrag gehen wir auf die Anforderungen des Artikel 32 DSGVO "Sicherheit der Verarbeitung" näher ein. Lesen Sie mehr darüber, was der Gesetzgeber im Hinblick auf zu ergreifende Schutzmaßnahmen von Ihrer Organisation fordert. Warum schreibt der Gesetzgeber für gewöhnlich keine konkreten Schutzmaßnahmen in ein Gesetz, sondern legt lediglich das zu erreichende Ziel fest? Wieso 2FA keine Raketenwissenschaft und Bandsicherung zwar "old school" ist, aber dennoch dem Stand der Technik entspricht.
Das aktuelle EuGH-Urteil (Az. C-604/22 IAB Europe) zum Thema Datenverarbeitung bei personalisierter Werbung hat durchaus Zündstoff. Der EuGH bestätigt die Sicht der Belgischen Datenschutzaufsicht, dass bei Nutzung des Transparency and Consent framework (TCF) und dessen sog. TC-String ein personenbezogenes Datum vorliegt. Dadurch wird die relativ kleine IAB Europe als Betreiber aus Sicht des EuGH zum Gemeinsam Verantwortlichen. Die IAB wiegelt derzeit noch ab. Doch die Konsequenzen können weitreichend (und teuer) sein. Mehr dazu und wieso der Datenschutz nicht an den unleidigen Cookie-Bannern schuld ist im Blogbeitrag.
Wer auf die Idee kommen sollte, der Verarbeitung seiner personenbezogenen Daten durch das Finanzamt basierend auf den Betroffenenrechten der DSGVO zu widersprechen, sollte sich mit diesem Urteil aus 2023 des Bundesfinanzhofs befassen. Kategorie: Ein netter Versuch. Doch lies selbst mehr in unserem Blogbeitrag.
Das "neue" Outlook für den Desktop von Microsoft (als Nachfolger der "klassischen" Version) zieht nicht nur die Zugangsdaten aller eingerichteten Mailkonten ab, sondern "spiegelt" die Inhalte in die Microsoft Cloud. Microsoft äußert sich dazu nur nebulös, was damit bezweckt werden soll. Datenschutz schlagen Alarm. Der Landesdatenschutzbeauftragte Thüringen warnte am 17.11.2023 in einer offiziellen Pressemeldung.
Das Langericht Berlin urteilt: Signalisiert ein Webseitenbesucher mittels der Einstellung Do-Not-Track (DNT), dass sein Surfverhalten nicht aufgezeichnet, nicht analysiert und damit auch nicht an Dritte weitergegeben werden soll, so hat der Webseitenbetreiber dies als wirksamen Widerspruch zu behandeln und darf diesen nicht ignorieren. Erstritten hat das Urteil der Verbraucherzentrale Bundesverband e.V. Details im Blogbeitrag.
Zu Beginn der Corona-Pandemie mussten sich viele Organisationen etwas einfallen lassen, wie auch ohne das tägliche Ins-Büro-Gehen die Arbeitsleistungen der Mitarbeiter abgerufen werden konnten. Je nach Sichtweise läutete Corona nicht nur eine Pandemie neuen Ausmaßes, sondern auch das Thema "new work" bei vielen Organisationen ein. Gewohnte und eingefahrene Arbeitsweisen und Rituale mussten über Bord geworfen und durch neue Methoden und teilweise auch neue Technologien ersetzt werden. In vielen Fällen war damals bzw. ist heute noch das Home Office Mittel erster Wahl. Das beflügelte wiederum die Fantasie einiger Führungskräfte, wie die Arbeitsleitung der Mitarbeiter im Home Office - idealerweise vollumfänglich - überwacht werden kann. Einige dieser Überwachungsmaßnahmen schafften es in den 12. Tätigkeitsbericht 2022 des BayLDA. So viel sei verraten: Der Datenschutz ist hier nicht das Problem :-) Mehr im Blogbeitrag.