Datenschutz aktuell in der Metropolregion Nürnberg sein.
16107
page-template,page-template-blog-small-image,page-template-blog-small-image-php,page,page-id-16107,bridge-core-3.0.1,qode-quick-links-1.0,qode-page-transition-enabled,ajax_fade,page_not_loaded,boxed,,qode-title-hidden,qode_grid_1300,hide_top_bar_on_mobile_header,qode-child-theme-ver-1.0.0,qode-theme-ver-28.7,qode-theme-bridge,wpb-js-composer js-comp-ver-6.8.0,vc_responsive
IT-Sicherheit-im-Unternehmen

AKTUELLES ZUM DATENSCHUTZ

März 2022:

internet-abmahnung-gesetz

Neues Urteil – Weiterleitung einer IP-Adresse (ohne Einwilligung)

Es handelt sich bei diesem Urteil zwar noch um eine niedrige Instanz – allerdings wird dieses Urteil (nach Meinung der Fachkreise) zur höchsten Wahrscheinlichkeit von allen weiteren Gerichten 1:1 übernommen werden. Es wird sogar davon ausgegangen, dass dieses Urteil nicht einmal mehr zum BGH kommt – weil es hier bereits zwei „tangierende Urteile“ seitens des BGH’s & des EuGH’s existieren.

Um was geht es?
Es geht um die Regelung von Cookies und Trackern (nicht essenziell notwendig) sogenannten „Third Party“ Cookies

* Es erstmalig einen Entschädigungsanspruch (100 €/ pro) für eine Privatperson gegeben hat – dieser wird übrigens auch von den Behörden schon längst gefordert – als auch einen Unterlassungsanspruch (bei Wiederholung) von 250.000 €. Selbstverständlich musste die Beklagte auch die Gerichtskosten übernehmen – die erheblich höher waren…
* Es seit 01.12.2021 ein neues (novelliertes) Gesetz „TTDSG“ gibt was entsprechend deutlich klarer und schärfer in Sache „Third Party“ geworden ist – natürlich auch teurer bei Nichteinhaltung
* Dass die Behörden (siehe Anhang) dieses neue Gesetz (Umsetzung nach der weihnachtlichen Friedenszeit) abgewartet haben und nun bundesweit dagegen vorgehen werden – bzw. dies zum Prüfungsschwerpunkt für 2022 benannt haben
* Und nun jedem Wettbewerber, Abmahnanwalt /-verein hiermit Tür und Tor geöffnet ist

Anlagen:

* Urteil (im Artikel)
https://www.golem.de/news/landgericht-muenchen-einbindung-von-google-fonts-ist-rechtswidrig-2202-162826.html
* Position der deutschen Datenschutzbehörden
https://www.lda.bayern.de/media/pm/pm2021_06.pdf

Januar 2022:

internet-abmahnung-gesetz

Neue Standardvertragsklauseln (scc´s)

– Verarbeitungen (ins) im Drittland (vor allem USA!!)

In der Praxis erfolgt eine Übermittlung personenbezogener Daten häufig auf der Grundlage sogenannter Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 Buchstabe c DS-GVO.
Bei Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Mit den Standardvertragsklauseln werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vereinbart. Bei der Verwendung der von der Kommission verabschiedeten Vertragsmuster kann die Übermittlung personenbezogener Daten in Drittländer ohne weitere Genehmigung der Aufsichtsbehörden erfolgen.

Die neuen Standardvertragsklauseln sind modular aufgebaut und können in folgenden Konstellationen eingesetzt werden:

* Verantwortlicher an Verantwortlichen

– (Controller-Controller)

* Verantwortlicher an Auftragsverarbeiter

– (Controller-Prozessor)

* Auftragsverarbeiter an (Unter-)Auftragsverarbeiter

– (Prozessor-Prozessor)

* Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland

– (Prozessor-Controller)

Die neuen Standardvertragsklauseln sind seit dem 27.09.2021 zwingend für Neuverträge zu verwenden.
Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein. Bitte vergessen Sie auch hier nicht die vom EuGH (Schrems 2) zusätzlich geforderten Sicherheiten (Verschlüsselung,..).

November 2021:

internet-abmahnung-gesetz

TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) – Neues „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“

Am 20. Mai 2021 verabschiedete der Bundestag das TTDSG, am 1. Dezember 2021 tritt es in Kraft. Das Gesetz beinhaltet neue Regelungen für Cookies und Tracking. Eine echte Einwilligung der Nutzer ist dann zwingend nötig.
Es gilt vor allem für Betreiber von Webseiten und Apps sowie für Betreiber von Messenger- und E-Mail-Diensten oder Smart-Home-Anwendungen.

Was ist zu tun?

1. Die Webseiten müssen auf die Nutzung von Cookies und Trackingwerkzeugen überprüft werden. Soweit Cookies etc. zur Übertragung der Nachricht über ein öffentliches Telekommunikationsnetz eingesetzt werden oder unbedingt erforderlich sind, um den Telemediendienst zur Verfügung stellen zu können, z. B. Warenkorbcookies, ist keine Einwilligung erforderlich. Für den Einsatz der übrigen Cookies und Trackingwerkzeuge müssen die Webseitennutzer informiert und es muss anhand des Einwilligungsbanners eine Einwilligung eingeholt werden. Die Datenschutzinformation muss eventuell angepasst werden.
2. Die Nutzung von Verkehrsdaten ist zu prüfen. Soweit Verkehrsdaten für Marketingzwecke genutzt werden, muss eine Einwilligung eingeholt werden (§ 9 TTDSG).
3. Die Befugnisse und das Verfahren für die Erteilung von Auskünften, z. B. an Behörden, sind zu regeln (§ 22 und § 23 TTDSG).
4. Das Verfahren zur Altersüberprüfung bei Vertragsabschlüssen und die Löschung bzw. Vernichtung der Ausweisdaten ist zu regeln (§ 7 TTDSG).
5. Technische und organisatorische Maßnahmen sind zu überprüfen und ggf. einzurichten (§ 19 TTDSG).

Wenn Sie hierbei Unterstützung benötigen, setzen Sie sich mit uns in Verbindung.

TTDSG: das neue Datenschutzgesetz | eRecht24 (e-recht24.de)

Juni 2021:

internet-abmahnung-gesetz

Pressemitteilung des LDA Bayern (Juni 2021):

Nachdem nun Gastronomie, Handel und Veranstaltungsstätten „step by step“ wieder öffnen dürfen – aber immer noch gesetzlich vorgeschriebene Regelungen beachten müssen, hat das LDA Bayern eine sehr übersichtliche und pragmatische Hilfestellung herausgegeben. Enthalten sind nicht nur Informationen sondern auch diverse Vorlagen die sofort genutzt werden können.
https://www.lda.bayern.de/media/pm/pm2021_04.pdf

April 2021:

internet-abmahnung-gesetz

Über die Pflicht(umsetzung) des Art. 17 DSGVO
„Recht auf Löschung (Recht auf Vergessenwerden)“

Positiv gestimmt trafen sich die Geschäftsführung unseres Mandanten, als auch die Mitarbeiter der Datenschutzbehörde zu einer (freundlicherweise) angemeldeten „anlasslosen“ Prüfung am Unternehmenssitz. Die Stimmung war positiv, denn das Unternehmen war gut vorbereitet.
Nach einem angenehmen „Kennenlernen“ fingen die beiden Vertreter der Behörde an, die Unterlagen zu sichten.

Ziemlich zügig wurden AV Verträge, die gesamten kaufmännischen und technischen Prozesse mit ihren Konzepten, als auch das vorliegende Datenschutzkonzept gesichtet.
Interessant wurde es, als das Unternehmen feststellte, dass die Vertreter der Behörde vorbereitet waren und über die „gemeldeten Pannen“ der Vergangenheit bereits vorab informiert waren. Nun wurde das interne Pannenkonzept mit seinen vorhandenen und „zum Glück“ dokumentierten internen Pannen geprüft.

Dann aber kam die Frage nach dem vorhandenen Löschkonzept…. und die positive Stimmung war beim Unternehmen leider weg.
Entgegenkommenderweise war der Besuch freundlich und das Unternehmen konnte in den nächsten Wochen alles erstellen und nachreichen.

Als Grundregel gilt:

1.

Wenn pb Daten ihre Zweckerfüllung erreicht haben (somit eigentlich nicht mehr benötigt werden)

2. Zusätzlich die gesetzliche Aufbewahrungspflicht (z.B. Handelsrecht 6 Jahre, Steuerrecht 10 Jahre…)
3. Zuzüglich eines kleinen Puffers (z.B. eine Woche, ein Monat, ein Jahr) zur finalen Bearbeitung / Löschung

Dann gilt es den Personenbezug der Daten zu löschen oder zu anonymisieren!

Grundlagen zur Bearbeitung sollte hierfür sein:

  • ein sauberes Verfahrensverzeichnis
  • Löschtabelle / Löschkonzeption
  • Prozessbeschreibung zum Löschkonzept

Selbstverständlich hält die Sepire dies für Ihre Kunden/ Mandanten zur Verfügung und begleitet jeden aktiv bei dieser Projektarbeit.

Falls wir Sie und Ihr Unternehmen bei der Absicherung Ihrer Prozesse unterstützen können, nehmen Sie gerne Kontakt mit uns auf.

März 2021:

meldepflichtige-datenschutzverstoeße-datenschutzverletzung

Warnung vom 09.03.2021 des LDA Bayern / Bundesamtes für Sicherheit in der Informationstechnik

„Kritische Sicherheitslücken bei MS Exchange“

Die nachfolgende Pressemeldung betrifft alle Unternehmen die MS Exchange Server betreiben – Bitte dringend umsetzen (!!) & wer betroffen ist (man geht aktuell von 75 % der Unternehmen aus), bitte ebenso Panne beim LDA melden. Es handelt sich hierbei um eine meldepflichtige Panne!

Pressemeldung: www.lda.bayern.de/media/pm/pm2021_01.pdf

Februar 2021:

internet-abmahnung-gesetz

Abmahnanwälte mit neuer „Masche“

Praxisbeispiel (Kurzfassung):

1.

Das Unternehmen (betreibt einen aktiven Newsletter) und erhält einen neuen Abonnenten für den Newsletter.

2.

Einige Wochen später kommt eine Anfrage auf Auskunft (Art. 15 DSGVO).

3.

Da die Person im Unternehmen selbst absolut unbekannt ist, wird eine korrekte „Negativauskunft“ (innerhalb der 4 Wochen Frist) erteilt. Leider wurde die Analyse der Abonnenten für Newsletter versäumt.

4.

Wiederum 4-6 Wochen danach kommt das Schreiben des Abmahnanwaltes (i.A. des Mandanten und mit Bezug auf die unvollständige, falsche,…. Auskunft) und einem „außergerichtlichen Vergleichsvorschlag“.

  • Kosten hierfür:
    • 1.500 € – 2.500 € für immateriellen Schadensersatz wegen Verletzung der Betroffenenrechte
    • 500 – 600 € für anwaltliche Tätigkeit
  • Weiter wird „Druck“ aufgebaut – durch Androhung der deutlich höheren Kosten bei einem gerichtlichen Verfahren.

Fragestellung:

Haben die Betroffenen tatsächlich einen Schadensersatzanspruch?

  • Leider ja (in diesem Fall) – siehe Art. 82, Abs. (1) DSGVO
  • Die Gerichte entscheiden hierbei noch unterschiedlich (auch über die Höhe der Entschädigung), aber es ist eine klare Tendenz zu erkennen.

https://www.gdd.de/downloads/aktuelles/stellungnahmen/21MGInfounredlicheBetroffenenbegehren.pdf

Falls wir Sie und Ihr Unternehmen bei der Absicherung Ihrer Prozesse unterstützen können, nehmen Sie gerne Kontakt mit uns auf.

Oktober 2020:

Datenschutz-informationen-auf-unserer-Internetseite

16.7.2020 EuGH kippt „Privacy Shield“

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt.

Trotzdem durchgeführte Datentransfers sind rechtswidrig und können Schadensersatzforderungen und Bußgelder nach sich ziehen!

Betrifft es auch unser Unternehmen?

Ja, nahezu (fast) jedes Unternehmen ist hiervon betroffen:

Eingesetzte Cookies, Tracker auf der Homepage (z.B. Google Analytics…)

Sämtliche Verarbeitungen (Speicherung & Clouddienste) bei US-Unternehmen (Microsoft, Google, Amazon…)

Die Subunternehmer der Auftragsverarbeiter aus den AV-Vertragsverhältnissen

Lösungsansätze:

Hierbei muss differenziert werden:

1.

Homepage
• Art. 49 Abs. 1 DSGVO
• Einstellungsänderungen der Cookies / Tracker (die meisten ermöglichen diese)

2.

Datenspeicherung / Cloudspeicherung etc.
Der einzig gangbare Weg liegt momentan im Abschluss eines Vertrags mit den Standarddatenschutzklauseln (englisch abgekürzt SCC). Dieser darf aber nicht alleine stehen, sondern es muss vom Verantwortlichen in jedem Einzelfall geprüft werden, welche zusätzlichen Maßnahmen (z.B. Verschlüsselungen) ergriffen werden müssen (so das EuGH-Urteil), damit die personenbezogenen Daten, gem. DSGVO, sicher sind.

3.

Bearbeitung mittels Überprüfung (Mustervordrucke Checklisten)

Falls wir Sie und Ihr Unternehmen hierbei unterstützen können nehmen Sie gerne Kontakt mit uns auf!

Juni 2020:

Datenschutz-informationen-auf-unserer-Internetseite

Betriebliche Notwendigkeiten / Besonderheiten in Zeiten von „Corona“

Homeoffice und Online-Meetings, diese Begriffe kennen viele Unternehmen nun seit „Corona“ auch in der täglichen Praxis. Was einige nicht wissen ist, dass sie hiermit komplett neue Verfahren in ihrem Unternehmen installieren, die auch einer entsprechenden gesetzlichen Dokumentation unterliegen.

Homeoffice
Nachdem Mitarbeiter nun von zu Hause aus die personenbezogenen Daten bearbeiten, muss unbedingt (falls noch nicht geschehen) die konzeptionell damit eingehende Unternehmensdokumentation mit angepasst / erstellt werden. Das Haftungsrisiko würde sonst unnötig erhöht werden.

Dies beginnt bei Fragen rund um die Technik

und endet mit dem zusätzlichem Anhang zum Arbeitsvertrag bzgl. des „Betretungsrechtes der privaten Wohnung“ (falls Sie Auftragnehmer bei AV-Vertragsverhältnissen sind)

Anbei eine Mustercheckliste des LDA Bayern zum „Homeoffice“
https://www.lda.bayern.de/media/best_practise_homeoffice_baylda.pdf

Online-Meetings
Egal ob Sie Zoom, Teams, Webex, Skype, GoToMeeting etc. einsetzen, Sie dürfen nicht vergessen Ihre gesetzlichen Informationspflichten zu erfüllen.

Sie benötigen vorab einen AV- Vertrag mit dem Anbieter

Sie benötigen einen Datenschutzhinweis für das verwendetet Produkt

Diesen sollten Sie als Blindlink der Einladung zur Sitzung mitsenden (am effizientesten)

April 2020:

Datenschutz-informationen-auf-unserer-Internetseite

Bestätigung des EuGH-Urteiles durch den BGH

Kurzfassung:

Letztendlich hat der BGH erwartungsgemäß das Urteil des EuGH übernommen, wonach voreingestellte Einwilligungen & Cookies, nicht gültig sind. Es bedarf immer einer aktiven Einwilligung des Betroffenen.

Dies beinhaltet auch die notwendigen neuen Cookiebanner (inkl. aller Pflichtinformationen) als auch einer gesetzlich vorgeschriebenen „Interessensabwägung“ der eingesetzten Cookies, Tracker etc.

Pressemitteilung des BGH
www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html

Februar 2020:

Datenschutz-informationen-auf-unserer-Internetseite

Abmahnanwälte/ Wettbewerbsverbände dürfen im Bereich der DSGVO abmahnen (OLG Stuttgart)

Kurzfassung:

Bis jetzt war sehr umstritten, ob Verstöße gegen die DSGVO abgemahnt werden können. Das OLG Stuttgart hat dies nun am 27.02. bejaht. Hierbei geht es um die Informationspflichten der Unternehmen gem. Art. 12-14 DSGVO, weil ein Verstoß dagegen auch ein Verstoß gegen Marktverhaltensregeln sein kann und dann gem. UWG abmahnfähig ist.
www.online-und-recht.de/urteile/Oberlandesgericht-Stuttgart-20200227/

Dezember 2019:

Datenschutz-informationen-auf-unserer-Internetseite

Relaunch der neuen Homepage.

Wir freuen uns mit der neue Webseite (Relaunch) live gehen zu können.
Vielen Dank an alle mitwirkenden Texter, Grafiker, Webdesigner, Korrektoren, … ohne die unsere Internetseite nicht so informativ und übersichtlich geworden wäre. 

November 2019:

Webseiten-Datenschutz-sicher-gestalten

EuGH macht Vorgaben für Einwilligung bei Cookies 

Keine vom BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) überprüfte Cookie-Regelung hat dem gesetzlichen Anspruch erfüllt. Hierzu gibt es durch das neue Urteil des EuGHs nun Klarheit bei der Anforderung bzw. bei dem, was kommuniziert und wie es umgesetzt (z.B. keine voreingestellten Häkchen, Einwilligung einholen …) werden muss …

www.datenschutz-praxis.de/fachartikel/eugh-vorgaben-fuer-einwilligungen-bei-cookies/

September 2019:

Webmail-und-Webspace-Datenschutz-Richtlinien-beachten

Webmaildienste … sind keine Dienste nach Telekommunikationsgesetz (TKM)- Urteil vom EuGH 

Aufgrund dieses Urteils unterliegen nun nicht mehr nur die großen „Player“ wie Google … dem TKM,  sondern es entfällt auch für jedes Unternehmen, in diesem Punkt die bis dato gültige Zuständigkeit des TKMs. Dies erleichtert einiges …

www.netzpolitik.org/2019/eu-richter-gmail-ist-kein-telekommunikationsdienst

Juli 2019:

Facebookfanpage-nach-Datenschutz-verwenden

Konsequenzen aus dem Urteil zum Betreiben von Facebook-Fanpages!

Facebook-Fanpages und die DSGVO: Was sollten Betreiber wissen?
Im Juni 2018 entschied der Europäische Gerichtshof (EuGH): „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.“

Mehr erfahren …

März 2018:

Datenschutz-informationen-auf-unserer-Internetseite

Akkreditierung durch BAFA seit 15.03.2018

17. März 2018 Geschrieben von Sven Lünke

Wir freuen uns sehr, dass die Qualität der Sepire GmbH dieses behördliche Qualifikationssiegel erhält und wir unseren Kunden und Mandanten nun als akkreditierte Unternehmensberatung ein weiteres “Bonbon” anbieten können:

Erstanalyse und Beratungskonzept durch die Sepire GmbH werden durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) bis zu 50 Prozent gefördert. Weitere Informationen über die Sepire GmbH finden Sie unter www.sepire.de  oder vereinbaren Sie ganz unverbindlich ein kostenloses Erstgespräch.

No posts were found.