No posts were found.
Juni 2023:
Das Hinweisgeberschutzgesetz greift ab sofort
… und bei vielen Unternehmen besteht Handlungsbedarf!
Der Name sagt es bereits: Das Hinweisgeberschutzgesetz schützt Hinweisgeber. Also alle, die Hinweise geben auf gesetzeswidriges Verhalten von oder in einem Unternehmen. Musste man früher mit Repressalien wie Kündigung rechnen, so kann man heute Missstände melden, ohne sich selbst in Gefahr zu bringen. Diskriminierung, Belästigung, Umweltschutzverstöße oder Korruption sollen damit der Vergangenheit angehören. Unternehmen mit mindestens 50 Mitarbeitern müssen ab Dezember 2023, Unternehmen mit über 250 Mitarbeitern bereits ab sofort eine interne Meldestelle einrichten, bei der jeder Mitarbeiter mündlich oder schriftlich seine Meldung einreichen kann. Geschieht dies nicht, können Strafen bis zu 50.000 Euro drohen.
Die mit der internen Meldestelle beauftragten Personen müssen unabhängig, weisungsungebunden sowie fachkundig sein und können sowohl intern als auch extern gestellt werden. Besonders geeignet sind Juristen, Steuerberater, Wirtschaftsprüfer und weil Sie sich am besten mit dem Umgang mit sensiblen Daten auskennen: Datenschutzbeauftragte. Durch ein externes System kann zudem ohne Weiteres gewährleistet werden, dass niemand, nicht einmal der IT-Admin des Unternehmens, in der Lage ist, die Informationen herauszufiltern.
März 2022:
Neues Urteil – Weiterleitung einer IP-Adresse (ohne Einwilligung)
Es handelt sich bei diesem Urteil zwar noch um eine niedrige Instanz – allerdings wird dieses Urteil (nach Meinung der Fachkreise) zur höchsten Wahrscheinlichkeit von allen weiteren Gerichten 1:1 übernommen werden. Es wird sogar davon ausgegangen, dass dieses Urteil nicht einmal mehr zum BGH kommt – weil es hier bereits zwei „tangierende Urteile“ seitens des BGH’s & des EuGH’s existieren.
Um was geht es?
Es geht um die Regelung von Cookies und Trackern (nicht essenziell notwendig) sogenannten „Third Party“ Cookies
| * | Es erstmalig einen Entschädigungsanspruch (100 €/ pro) für eine Privatperson gegeben hat – dieser wird übrigens auch von den Behörden schon längst gefordert – als auch einen Unterlassungsanspruch (bei Wiederholung) von 250.000 €. Selbstverständlich musste die Beklagte auch die Gerichtskosten übernehmen – die erheblich höher waren… |
| * | Es seit 01.12.2021 ein neues (novelliertes) Gesetz „TTDSG“ gibt was entsprechend deutlich klarer und schärfer in Sache „Third Party“ geworden ist – natürlich auch teurer bei Nichteinhaltung |
| * | Dass die Behörden (siehe Anhang) dieses neue Gesetz (Umsetzung nach der weihnachtlichen Friedenszeit) abgewartet haben und nun bundesweit dagegen vorgehen werden – bzw. dies zum Prüfungsschwerpunkt für 2022 benannt haben |
| * | Und nun jedem Wettbewerber, Abmahnanwalt /-verein hiermit Tür und Tor geöffnet ist |
Anlagen:
| * | Urteil (im Artikel) https://www.golem.de/news/landgericht-muenchen-einbindung-von-google-fonts-ist-rechtswidrig-2202-162826.html |
| * | Position der deutschen Datenschutzbehörden https://www.lda.bayern.de/media/pm/pm2021_06.pdf |
Januar 2022:
Neue Standardvertragsklauseln (scc´s) |
– Verarbeitungen (ins) im Drittland (vor allem USA!!) |
In der Praxis erfolgt eine Übermittlung personenbezogener Daten häufig auf der Grundlage sogenannter Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 Buchstabe c DS-GVO.
Bei Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Mit den Standardvertragsklauseln werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vereinbart. Bei der Verwendung der von der Kommission verabschiedeten Vertragsmuster kann die Übermittlung personenbezogener Daten in Drittländer ohne weitere Genehmigung der Aufsichtsbehörden erfolgen.
Die neuen Standardvertragsklauseln sind modular aufgebaut und können in folgenden Konstellationen eingesetzt werden:
|
* Verantwortlicher an Verantwortlichen |
– (Controller-Controller) |
|
* Verantwortlicher an Auftragsverarbeiter |
– (Controller-Prozessor) |
|
* Auftragsverarbeiter an (Unter-)Auftragsverarbeiter |
– (Prozessor-Prozessor) |
|
* Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland |
– (Prozessor-Controller) |
Die neuen Standardvertragsklauseln sind seit dem 27.09.2021 zwingend für Neuverträge zu verwenden.
Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein. Bitte vergessen Sie auch hier nicht die vom EuGH (Schrems 2) zusätzlich geforderten Sicherheiten (Verschlüsselung,..).
November 2021:
TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) – Neues „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“
Am 20. Mai 2021 verabschiedete der Bundestag das TTDSG, am 1. Dezember 2021 tritt es in Kraft. Das Gesetz beinhaltet neue Regelungen für Cookies und Tracking. Eine echte Einwilligung der Nutzer ist dann zwingend nötig.
Es gilt vor allem für Betreiber von Webseiten und Apps sowie für Betreiber von Messenger- und E-Mail-Diensten oder Smart-Home-Anwendungen.
Was ist zu tun?
| 1. | Die Webseiten müssen auf die Nutzung von Cookies und Trackingwerkzeugen überprüft werden. Soweit Cookies etc. zur Übertragung der Nachricht über ein öffentliches Telekommunikationsnetz eingesetzt werden oder unbedingt erforderlich sind, um den Telemediendienst zur Verfügung stellen zu können, z. B. Warenkorbcookies, ist keine Einwilligung erforderlich. Für den Einsatz der übrigen Cookies und Trackingwerkzeuge müssen die Webseitennutzer informiert und es muss anhand des Einwilligungsbanners eine Einwilligung eingeholt werden. Die Datenschutzinformation muss eventuell angepasst werden. |
| 2. | Die Nutzung von Verkehrsdaten ist zu prüfen. Soweit Verkehrsdaten für Marketingzwecke genutzt werden, muss eine Einwilligung eingeholt werden (§ 9 TTDSG). |
| 3. | Die Befugnisse und das Verfahren für die Erteilung von Auskünften, z. B. an Behörden, sind zu regeln (§ 22 und § 23 TTDSG). |
| 4. | Das Verfahren zur Altersüberprüfung bei Vertragsabschlüssen und die Löschung bzw. Vernichtung der Ausweisdaten ist zu regeln (§ 7 TTDSG). |
| 5. | Technische und organisatorische Maßnahmen sind zu überprüfen und ggf. einzurichten (§ 19 TTDSG). |
Wenn Sie hierbei Unterstützung benötigen, setzen Sie sich mit uns in Verbindung.
Juni 2021:
Pressemitteilung des LDA Bayern (Juni 2021):
Nachdem nun Gastronomie, Handel und Veranstaltungsstätten „step by step“ wieder öffnen dürfen – aber immer noch gesetzlich vorgeschriebene Regelungen beachten müssen, hat das LDA Bayern eine sehr übersichtliche und pragmatische Hilfestellung herausgegeben. Enthalten sind nicht nur Informationen sondern auch diverse Vorlagen die sofort genutzt werden können.
https://www.lda.bayern.de/media/pm/pm2021_04.pdf
April 2021:
Über die Pflicht(umsetzung) des Art. 17 DSGVO
„Recht auf Löschung (Recht auf Vergessenwerden)“
Positiv gestimmt trafen sich die Geschäftsführung unseres Mandanten, als auch die Mitarbeiter der Datenschutzbehörde zu einer (freundlicherweise) angemeldeten „anlasslosen“ Prüfung am Unternehmenssitz. Die Stimmung war positiv, denn das Unternehmen war gut vorbereitet.
Nach einem angenehmen „Kennenlernen“ fingen die beiden Vertreter der Behörde an, die Unterlagen zu sichten.
Ziemlich zügig wurden AV Verträge, die gesamten kaufmännischen und technischen Prozesse mit ihren Konzepten, als auch das vorliegende Datenschutzkonzept gesichtet.
Interessant wurde es, als das Unternehmen feststellte, dass die Vertreter der Behörde vorbereitet waren und über die „gemeldeten Pannen“ der Vergangenheit bereits vorab informiert waren. Nun wurde das interne Pannenkonzept mit seinen vorhandenen und „zum Glück“ dokumentierten internen Pannen geprüft.
Dann aber kam die Frage nach dem vorhandenen Löschkonzept…. und die positive Stimmung war beim Unternehmen leider weg.
Entgegenkommenderweise war der Besuch freundlich und das Unternehmen konnte in den nächsten Wochen alles erstellen und nachreichen.
Als Grundregel gilt:
| 1. |
Wenn pb Daten ihre Zweckerfüllung erreicht haben (somit eigentlich nicht mehr benötigt werden) |
| 2. | Zusätzlich die gesetzliche Aufbewahrungspflicht (z.B. Handelsrecht 6 Jahre, Steuerrecht 10 Jahre…) |
| 3. | Zuzüglich eines kleinen Puffers (z.B. eine Woche, ein Monat, ein Jahr) zur finalen Bearbeitung / Löschung
Dann gilt es den Personenbezug der Daten zu löschen oder zu anonymisieren! Grundlagen zur Bearbeitung sollte hierfür sein:
|
Selbstverständlich hält die Sepire dies für Ihre Kunden/ Mandanten zur Verfügung und begleitet jeden aktiv bei dieser Projektarbeit.
Falls wir Sie und Ihr Unternehmen bei der Absicherung Ihrer Prozesse unterstützen können, nehmen Sie gerne Kontakt mit uns auf.
März 2021:
Warnung vom 09.03.2021 des LDA Bayern / Bundesamtes für Sicherheit in der Informationstechnik
„Kritische Sicherheitslücken bei MS Exchange“
Die nachfolgende Pressemeldung betrifft alle Unternehmen die MS Exchange Server betreiben – Bitte dringend umsetzen (!!) & wer betroffen ist (man geht aktuell von 75 % der Unternehmen aus), bitte ebenso Panne beim LDA melden. Es handelt sich hierbei um eine meldepflichtige Panne!
Pressemeldung: www.lda.bayern.de/media/pm/pm2021_01.pdf
Februar 2021:
Abmahnanwälte mit neuer „Masche“
Praxisbeispiel (Kurzfassung):
| 1. |
Das Unternehmen (betreibt einen aktiven Newsletter) und erhält einen neuen Abonnenten für den Newsletter. |
| 2. |
Einige Wochen später kommt eine Anfrage auf Auskunft (Art. 15 DSGVO). |
| 3. |
Da die Person im Unternehmen selbst absolut unbekannt ist, wird eine korrekte „Negativauskunft“ (innerhalb der 4 Wochen Frist) erteilt. Leider wurde die Analyse der Abonnenten für Newsletter versäumt. |
| 4. |
Wiederum 4-6 Wochen danach kommt das Schreiben des Abmahnanwaltes (i.A. des Mandanten und mit Bezug auf die unvollständige, falsche,…. Auskunft) und einem „außergerichtlichen Vergleichsvorschlag“.
|
Fragestellung:
Haben die Betroffenen tatsächlich einen Schadensersatzanspruch?
- Leider ja (in diesem Fall) – siehe Art. 82, Abs. (1) DSGVO
- Die Gerichte entscheiden hierbei noch unterschiedlich (auch über die Höhe der Entschädigung), aber es ist eine klare Tendenz zu erkennen.
https://www.gdd.de/downloads/aktuelles/stellungnahmen/21MGInfounredlicheBetroffenenbegehren.pdf
Falls wir Sie und Ihr Unternehmen bei der Absicherung Ihrer Prozesse unterstützen können, nehmen Sie gerne Kontakt mit uns auf.
Oktober 2020:
16.7.2020 EuGH kippt „Privacy Shield“
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt.
| ➢ |
Trotzdem durchgeführte Datentransfers sind rechtswidrig und können Schadensersatzforderungen und Bußgelder nach sich ziehen! |
Betrifft es auch unser Unternehmen?
|
Ja, nahezu (fast) jedes Unternehmen ist hiervon betroffen: |
|
| • |
Eingesetzte Cookies, Tracker auf der Homepage (z.B. Google Analytics…) |
| • |
Sämtliche Verarbeitungen (Speicherung & Clouddienste) bei US-Unternehmen (Microsoft, Google, Amazon…) |
| • |
Die Subunternehmer der Auftragsverarbeiter aus den AV-Vertragsverhältnissen |
Lösungsansätze:
Hierbei muss differenziert werden:
| 1. |
Homepage |
| 2. |
Datenspeicherung / Cloudspeicherung etc. |
| 3. |
Bearbeitung mittels Überprüfung (Mustervordrucke Checklisten) |
Falls wir Sie und Ihr Unternehmen hierbei unterstützen können nehmen Sie gerne Kontakt mit uns auf!
Juni 2020:
Betriebliche Notwendigkeiten / Besonderheiten in Zeiten von „Corona“
Homeoffice und Online-Meetings, diese Begriffe kennen viele Unternehmen nun seit „Corona“ auch in der täglichen Praxis. Was einige nicht wissen ist, dass sie hiermit komplett neue Verfahren in ihrem Unternehmen installieren, die auch einer entsprechenden gesetzlichen Dokumentation unterliegen.
|
Homeoffice |
|
| • |
Dies beginnt bei Fragen rund um die Technik |
| • |
und endet mit dem zusätzlichem Anhang zum Arbeitsvertrag bzgl. des „Betretungsrechtes der privaten Wohnung“ (falls Sie Auftragnehmer bei AV-Vertragsverhältnissen sind) |
|
Anbei eine Mustercheckliste des LDA Bayern zum „Homeoffice“ |
|
|
Online-Meetings |
|
| • |
Sie benötigen vorab einen AV- Vertrag mit dem Anbieter |
| • |
Sie benötigen einen Datenschutzhinweis für das verwendetet Produkt |
| • |
Diesen sollten Sie als Blindlink der Einladung zur Sitzung mitsenden (am effizientesten) |
April 2020:
Bestätigung des EuGH-Urteiles durch den BGH
Kurzfassung:
| • |
Letztendlich hat der BGH erwartungsgemäß das Urteil des EuGH übernommen, wonach voreingestellte Einwilligungen & Cookies, nicht gültig sind. Es bedarf immer einer aktiven Einwilligung des Betroffenen. |
|
| • |
Dies beinhaltet auch die notwendigen neuen Cookiebanner (inkl. aller Pflichtinformationen) als auch einer gesetzlich vorgeschriebenen „Interessensabwägung“ der eingesetzten Cookies, Tracker etc. |
|
| • |
Pressemitteilung des BGH |
|
Februar 2020:
Abmahnanwälte/ Wettbewerbsverbände dürfen im Bereich der DSGVO abmahnen (OLG Stuttgart)
Kurzfassung:
Bis jetzt war sehr umstritten, ob Verstöße gegen die DSGVO abgemahnt werden können. Das OLG Stuttgart hat dies nun am 27.02. bejaht. Hierbei geht es um die Informationspflichten der Unternehmen gem. Art. 12-14 DSGVO, weil ein Verstoß dagegen auch ein Verstoß gegen Marktverhaltensregeln sein kann und dann gem. UWG abmahnfähig ist.
www.online-und-recht.de/urteile/Oberlandesgericht-Stuttgart-20200227/
Dezember 2019:
Relaunch der neuen Homepage.
Wir freuen uns mit der neue Webseite (Relaunch) live gehen zu können.
Vielen Dank an alle mitwirkenden Texter, Grafiker, Webdesigner, Korrektoren, … ohne die unsere Internetseite nicht so informativ und übersichtlich geworden wäre.
November 2019:
EuGH macht Vorgaben für Einwilligung bei Cookies
Keine vom BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) überprüfte Cookie-Regelung hat dem gesetzlichen Anspruch erfüllt. Hierzu gibt es durch das neue Urteil des EuGHs nun Klarheit bei der Anforderung bzw. bei dem, was kommuniziert und wie es umgesetzt (z.B. keine voreingestellten Häkchen, Einwilligung einholen …) werden muss …
www.datenschutz-praxis.de/fachartikel/eugh-vorgaben-fuer-einwilligungen-bei-cookies/
September 2019:
Webmaildienste … sind keine Dienste nach Telekommunikationsgesetz (TKM)- Urteil vom EuGH
Aufgrund dieses Urteils unterliegen nun nicht mehr nur die großen „Player“ wie Google … dem TKM, sondern es entfällt auch für jedes Unternehmen, in diesem Punkt die bis dato gültige Zuständigkeit des TKMs. Dies erleichtert einiges …
www.netzpolitik.org/2019/eu-richter-gmail-ist-kein-telekommunikationsdienst
Juli 2019:
Konsequenzen aus dem Urteil zum Betreiben von Facebook-Fanpages!
Facebook-Fanpages und die DSGVO: Was sollten Betreiber wissen?
Im Juni 2018 entschied der Europäische Gerichtshof (EuGH): „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.“
März 2018:
Akkreditierung durch BAFA seit 15.03.2018
17. März 2018 Geschrieben von Sven Lünke
Wir freuen uns sehr, dass die Qualität der Sepire GmbH dieses behördliche Qualifikationssiegel erhält und wir unseren Kunden und Mandanten nun als akkreditierte Unternehmensberatung ein weiteres “Bonbon” anbieten können:
Erstanalyse und Beratungskonzept durch die Sepire GmbH werden durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) bis zu 50 Prozent gefördert. Weitere Informationen über die Sepire GmbH finden Sie unter www.sepire.de oder vereinbaren Sie ganz unverbindlich ein kostenloses Erstgespräch.