Datenschutz aktuell in der Metropolregion Nürnberg sein.
16107
page-template,page-template-blog-small-image,page-template-blog-small-image-php,page,page-id-16107,bridge-core-2.1,qode-quick-links-1.0,ajax_fade,page_not_loaded,boxed,,qode-title-hidden,qode_grid_1300,hide_top_bar_on_mobile_header,qode-child-theme-ver-1.0.0,qode-theme-ver-19.7,qode-theme-bridge,wpb-js-composer js-comp-ver-6.1,vc_responsive
IT-Sicherheit-im-Unternehmen

AKTUELLES ZUM DATENSCHUTZ

April 2021:

internet-abmahnung-gesetz

Über die Pflicht(umsetzung) des Art. 17 DSGVO
„Recht auf Löschung (Recht auf Vergessenwerden)“

Positiv gestimmt trafen sich die Geschäftsführung unseres Mandanten, als auch die Mitarbeiter der Datenschutzbehörde zu einer (freundlicherweise) angemeldeten „anlasslosen“ Prüfung am Unternehmenssitz. Die Stimmung war positiv, denn das Unternehmen war gut vorbereitet.
Nach einem angenehmen „Kennenlernen“ fingen die beiden Vertreter der Behörde an, die Unterlagen zu sichten.

Ziemlich zügig wurden AV Verträge, die gesamten kaufmännischen und technischen Prozesse mit ihren Konzepten, als auch das vorliegende Datenschutzkonzept gesichtet.
Interessant wurde es, als das Unternehmen feststellte, dass die Vertreter der Behörde vorbereitet waren und über die „gemeldeten Pannen“ der Vergangenheit bereits vorab informiert waren. Nun wurde das interne Pannenkonzept mit seinen vorhandenen und „zum Glück“ dokumentierten internen Pannen geprüft.

Dann aber kam die Frage nach dem vorhandenen Löschkonzept…. und die positive Stimmung war beim Unternehmen leider weg.
Entgegenkommenderweise war der Besuch freundlich und das Unternehmen konnte in den nächsten Wochen alles erstellen und nachreichen.

Als Grundregel gilt:

1.

Wenn pb Daten ihre Zweckerfüllung erreicht haben (somit eigentlich nicht mehr benötigt werden)

2. Zusätzlich die gesetzliche Aufbewahrungspflicht (z.B. Handelsrecht 6 Jahre, Steuerrecht 10 Jahre…)
3. Zuzüglich eines kleinen Puffers (z.B. eine Woche, ein Monat, ein Jahr) zur finalen Bearbeitung / Löschung

Dann gilt es den Personenbezug der Daten zu löschen oder zu anonymisieren!

Grundlagen zur Bearbeitung sollte hierfür sein:

  • ein sauberes Verfahrensverzeichnis
  • Löschtabelle / Löschkonzeption
  • Prozessbeschreibung zum Löschkonzept

Selbstverständlich hält die Sepire dies für Ihre Kunden/ Mandanten zur Verfügung und begleitet jeden aktiv bei dieser Projektarbeit.

Falls wir Sie und Ihr Unternehmen bei der Absicherung Ihrer Prozesse unterstützen können, nehmen Sie gerne Kontakt mit uns auf.

März 2021:

meldepflichtige-datenschutzverstoeße-datenschutzverletzung

Warnung vom 09.03.2021 des LDA Bayern / Bundesamtes für Sicherheit in der Informationstechnik

„Kritische Sicherheitslücken bei MS Exchange“

Die nachfolgende Pressemeldung betrifft alle Unternehmen die MS Exchange Server betreiben – Bitte dringend umsetzen (!!) & wer betroffen ist (man geht aktuell von 75 % der Unternehmen aus), bitte ebenso Panne beim LDA melden. Es handelt sich hierbei um eine meldepflichtige Panne!

Pressemeldung: www.lda.bayern.de/media/pm/pm2021_01.pdf

Februar 2021:

internet-abmahnung-gesetz

Abmahnanwälte mit neuer „Masche“

Praxisbeispiel (Kurzfassung):

1.

Das Unternehmen (betreibt einen aktiven Newsletter) und erhält einen neuen Abonnenten für den Newsletter.

2.

Einige Wochen später kommt eine Anfrage auf Auskunft (Art. 15 DSGVO).

3.

Da die Person im Unternehmen selbst absolut unbekannt ist, wird eine korrekte „Negativauskunft“ (innerhalb der 4 Wochen Frist) erteilt. Leider wurde die Analyse der Abonnenten für Newsletter versäumt.

4.

Wiederum 4-6 Wochen danach kommt das Schreiben des Abmahnanwaltes (i.A. des Mandanten und mit Bezug auf die unvollständige, falsche,…. Auskunft) und einem „außergerichtlichen Vergleichsvorschlag“.

  • Kosten hierfür:
    • 1.500 € – 2.500 € für immateriellen Schadensersatz wegen Verletzung der Betroffenenrechte
    • 500 – 600 € für anwaltliche Tätigkeit
  • Weiter wird „Druck“ aufgebaut – durch Androhung der deutlich höheren Kosten bei einem gerichtlichen Verfahren.

Fragestellung:

Haben die Betroffenen tatsächlich einen Schadensersatzanspruch?

  • Leider ja (in diesem Fall) – siehe Art. 82, Abs. (1) DSGVO
  • Die Gerichte entscheiden hierbei noch unterschiedlich (auch über die Höhe der Entschädigung), aber es ist eine klare Tendenz zu erkennen.

https://www.gdd.de/downloads/aktuelles/stellungnahmen/21MGInfounredlicheBetroffenenbegehren.pdf

Falls wir Sie und Ihr Unternehmen bei der Absicherung Ihrer Prozesse unterstützen können, nehmen Sie gerne Kontakt mit uns auf.

Oktober 2020:

Datenschutz-informationen-auf-unserer-Internetseite

16.7.2020 EuGH kippt „Privacy Shield“

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt.

Trotzdem durchgeführte Datentransfers sind rechtswidrig und können Schadensersatzforderungen und Bußgelder nach sich ziehen!

Betrifft es auch unser Unternehmen?

Ja, nahezu (fast) jedes Unternehmen ist hiervon betroffen:

Eingesetzte Cookies, Tracker auf der Homepage (z.B. Google Analytics…)

Sämtliche Verarbeitungen (Speicherung & Clouddienste) bei US-Unternehmen (Microsoft, Google, Amazon…)

Die Subunternehmer der Auftragsverarbeiter aus den AV-Vertragsverhältnissen

Lösungsansätze:

Hierbei muss differenziert werden:

1.

Homepage
• Art. 49 Abs. 1 DSGVO
• Einstellungsänderungen der Cookies / Tracker (die meisten ermöglichen diese)

2.

Datenspeicherung / Cloudspeicherung etc.
Der einzig gangbare Weg liegt momentan im Abschluss eines Vertrags mit den Standarddatenschutzklauseln (englisch abgekürzt SCC). Dieser darf aber nicht alleine stehen, sondern es muss vom Verantwortlichen in jedem Einzelfall geprüft werden, welche zusätzlichen Maßnahmen (z.B. Verschlüsselungen) ergriffen werden müssen (so das EuGH-Urteil), damit die personenbezogenen Daten, gem. DSGVO, sicher sind.

3.

Bearbeitung mittels Überprüfung (Mustervordrucke Checklisten)

Falls wir Sie und Ihr Unternehmen hierbei unterstützen können nehmen Sie gerne Kontakt mit uns auf!

Juni 2020:

Datenschutz-informationen-auf-unserer-Internetseite

Betriebliche Notwendigkeiten / Besonderheiten in Zeiten von „Corona“

Homeoffice und Online-Meetings, diese Begriffe kennen viele Unternehmen nun seit „Corona“ auch in der täglichen Praxis. Was einige nicht wissen ist, dass sie hiermit komplett neue Verfahren in ihrem Unternehmen installieren, die auch einer entsprechenden gesetzlichen Dokumentation unterliegen.

Homeoffice
Nachdem Mitarbeiter nun von zu Hause aus die personenbezogenen Daten bearbeiten, muss unbedingt (falls noch nicht geschehen) die konzeptionell damit eingehende Unternehmensdokumentation mit angepasst / erstellt werden. Das Haftungsrisiko würde sonst unnötig erhöht werden.

Dies beginnt bei Fragen rund um die Technik

und endet mit dem zusätzlichem Anhang zum Arbeitsvertrag bzgl. des „Betretungsrechtes der privaten Wohnung“ (falls Sie Auftragnehmer bei AV-Vertragsverhältnissen sind)

Anbei eine Mustercheckliste des LDA Bayern zum „Homeoffice“
https://www.lda.bayern.de/media/best_practise_homeoffice_baylda.pdf

Online-Meetings
Egal ob Sie Zoom, Teams, Webex, Skype, GoToMeeting etc. einsetzen, Sie dürfen nicht vergessen Ihre gesetzlichen Informationspflichten zu erfüllen.

Sie benötigen vorab einen AV- Vertrag mit dem Anbieter

Sie benötigen einen Datenschutzhinweis für das verwendetet Produkt

Diesen sollten Sie als Blindlink der Einladung zur Sitzung mitsenden (am effizientesten)

April 2020:

Datenschutz-informationen-auf-unserer-Internetseite

Bestätigung des EuGH-Urteiles durch den BGH

Kurzfassung:

Letztendlich hat der BGH erwartungsgemäß das Urteil des EuGH übernommen, wonach voreingestellte Einwilligungen & Cookies, nicht gültig sind. Es bedarf immer einer aktiven Einwilligung des Betroffenen.

Dies beinhaltet auch die notwendigen neuen Cookiebanner (inkl. aller Pflichtinformationen) als auch einer gesetzlich vorgeschriebenen „Interessensabwägung“ der eingesetzten Cookies, Tracker etc.

Pressemitteilung des BGH
www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html

Februar 2020:

Datenschutz-informationen-auf-unserer-Internetseite

Abmahnanwälte/ Wettbewerbsverbände dürfen im Bereich der DSGVO abmahnen (OLG Stuttgart)

Kurzfassung:

Bis jetzt war sehr umstritten, ob Verstöße gegen die DSGVO abgemahnt werden können. Das OLG Stuttgart hat dies nun am 27.02. bejaht. Hierbei geht es um die Informationspflichten der Unternehmen gem. Art. 12-14 DSGVO, weil ein Verstoß dagegen auch ein Verstoß gegen Marktverhaltensregeln sein kann und dann gem. UWG abmahnfähig ist.
www.online-und-recht.de/urteile/Oberlandesgericht-Stuttgart-20200227/

Dezember 2019:

Datenschutz-informationen-auf-unserer-Internetseite

Relaunch der neuen Homepage.

Wir freuen uns mit der neue Webseite (Relaunch) live gehen zu können.
Vielen Dank an alle mitwirkenden Texter, Grafiker, Webdesigner, Korrektoren, … ohne die unsere Internetseite nicht so informativ und übersichtlich geworden wäre. 

November 2019:

Webseiten-Datenschutz-sicher-gestalten

EuGH macht Vorgaben für Einwilligung bei Cookies 

Keine vom BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) überprüfte Cookie-Regelung hat dem gesetzlichen Anspruch erfüllt. Hierzu gibt es durch das neue Urteil des EuGHs nun Klarheit bei der Anforderung bzw. bei dem, was kommuniziert und wie es umgesetzt (z.B. keine voreingestellten Häkchen, Einwilligung einholen …) werden muss …

www.datenschutz-praxis.de/fachartikel/eugh-vorgaben-fuer-einwilligungen-bei-cookies/

September 2019:

Webmail-und-Webspace-Datenschutz-Richtlinien-beachten

Webmaildienste … sind keine Dienste nach Telekommunikationsgesetz (TKM)- Urteil vom EuGH 

Aufgrund dieses Urteils unterliegen nun nicht mehr nur die großen „Player“ wie Google … dem TKM,  sondern es entfällt auch für jedes Unternehmen, in diesem Punkt die bis dato gültige Zuständigkeit des TKMs. Dies erleichtert einiges …

www.netzpolitik.org/2019/eu-richter-gmail-ist-kein-telekommunikationsdienst

Juli 2019:

Facebookfanpage-nach-Datenschutz-verwenden

Konsequenzen aus dem Urteil zum Betreiben von Facebook-Fanpages!

Facebook-Fanpages und die DSGVO: Was sollten Betreiber wissen?
Im Juni 2018 entschied der Europäische Gerichtshof (EuGH): „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.“

Mehr erfahren …

März 2018:

Datenschutz-informationen-auf-unserer-Internetseite

Akkreditierung durch BAFA seit 15.03.2018

17. März 2018 Geschrieben von Sven Lünke

Wir freuen uns sehr, dass die Qualität der Sepire GmbH dieses behördliche Qualifikationssiegel erhält und wir unseren Kunden und Mandanten nun als akkreditierte Unternehmensberatung ein weiteres “Bonbon” anbieten können:

Erstanalyse und Beratungskonzept durch die Sepire GmbH werden durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) bis zu 50 Prozent gefördert. Weitere Informationen über die Sepire GmbH finden Sie unter www.sepire.de  oder vereinbaren Sie ganz unverbindlich ein kostenloses Erstgespräch.

No posts were found.