TOMs – welche Maßnahmen gehören zum „angemessenen Schutzniveau“?

Stand: 08.09.2023 Werden personenbezogene Daten unbefugt offengelegt, verändert oder gehen verloren, kann dies für betroffene Personen je nach Sensibilität der Informationen teilweise enorme negative Auswirkungen haben. Ein wichtiger Bestandteil des Datenschutzes ist deshalb die Sicherheit der Datenverarbeitung nach Art. 24 Abs. 1, 32 DS-GVO. Danach sind sowohl Verantwortliche als auch Auftragsverarbeiter verpflichtet, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung bestimmter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Die Schutzmaßnahmen können technischer Natur (z. B. Vergabe von Benutzerrechten, Verschlüsselung von Notebooks/Tablets) oder organisatorischer Natur (z. B. Empfang/Rezeption, Mitarbeiterschulung und Verpflichtung zur Vertraulichkeit) sein. Werden keine i. S. v. Art. 32 DS-GVO ausreichenden Maßnahmen getroffen, stellt dies [...]

ChatGPT & Co. – Datenschutz und künstliche Intelligenz (KI)

Stand: 16.08.2023 War künstliche Intelligenz (KI) vor einigen Jahren für die meisten noch eher eine abstrakte Zukunftsvision, haben insbesondere KI-basierte Chatbots in letzter Zeit merklich an Bekanntheit gewonnen. Die Diskussion um KI-Software wurde zuletzt durch die sprachbasierte Anwendung ChatGPT des US-Unternehmens OpenAI OpCo, LLC wieder verstärkt. Zwar stellen KI-Anwendungen an vielen Stellen ein leistungsstarkes Werkzeug dar und bieten viel Zukunftspotenzial – ChatGPT kann Nutzer beispielsweise beim effektiven Marketing, bei der Erstellung von Texten, bei IT-Projekten (Analyse von Codes) oder bei der Bestimmung von Kennzahlen unterstützen. Bei einer kommerziellen Version können Unternehmen ChatGPT mittels einer Programmierschnittstelle (API) in die eigene Infrastruktur einbinden. Allerdings bergen solche Technologien auch Risiken im Hinblick auf das Urheberrecht und den Datenschutz sowie in Bezug auf Geheimhaltungspflichten bei Betriebs- und Geschäftsgeheimnissen. [...]

Cybersicherheit: Gefahr durch Phishing

Stand: 26.07.2023 Dass Cyberkriminelle versuchen, durch gefälschte E-Mails oder Internetseiten, Zugangsdaten oder andere sensible Informationen von Usern abzugreifen, ist keine neue Entwicklung. Allerdings haben sie ihre Methoden in den letzten Jahren immer weiter verfeinert, was es für User immer schwerer macht, betrügerische Nachrichten und Websites zu erkennen. Nach dem „Bericht zur Lage der IT-Sicherheit in Deutschland“ (Lagebericht 2022) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) handelte es sich bei 69 Prozent der Spam-Mails um Cyberangriffe, wobei 90 Prozent den Eindruck erweckten, von Banken und Sparkassen versendet worden zu sein (sog. Phishing-Mails). Die geschätzten volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, liegen in Deutschland pro Jahr mindestens im zweistelligen Millionenbereich. Diese Zahlen zeigen, dass die Gefahr durch Phishing-Attacken nicht zu unterschätzen ist. [...]

Wichtige Entscheidungen zur Datenübermittlung in Drittländer

Stand: 17.07.2023 Ein immer wichtiger werdender Bereich des Datenschutzes sind die Voraussetzungen des sog. Drittstaatentransfers. Sollen personenbezogene Daten aus der EU/dem EWR an ein Drittland im Sinne der DS-GVO übermittelt werden, müssen stets die Zulässigkeitsvoraussetzungen der Art. 44–50 DS-GVO eingehalten werden. Dadurch soll sichergestellt werden, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (Art. 44 S. 2 DS-GVO) und personenbezogene Daten außerhalb der EU/des EWR ebenfalls angemessen geschützt sind. Die Übermittlung personenbezogener Daten in ein Drittland stellt einen eigenen Verarbeitungsschritt dar, dessen Zulässigkeit zusätzlich zu den übrigen allgemeinen Vorgaben der DS-GVO zur Datenverarbeitung geprüft und sichergestellt werden muss. In der Praxis wird diese zweistufige Prüfung besonders häufig bei der Wahl bestimmter Software-Produkte wichtig: Beispielsweise ist eine Datenverarbeitung von Kundendaten [...]

Aktuelle Datenpannen & Ereignisse

Stand: 16.06.2023 Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung - auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen. Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, die relevant für datenschutzrechtliche Fragestellungen sind, wie Datenpannen bei Deutsche Leasing und Pflegia, neuen Bußgeld-Leitlinien des EDSA und Entscheidungen zu Facebook-Seiten. Welche Vorgaben zum Schutz [...]

5 Jahre DS-GVO: Faktencheck und Highlights zum Jubiläum der DS-GVO

Stand: 25.05.2023 Fünf Jahre ist es nun her, dass die Regelungen der europäischen Datenschutzgrundverordnung (kurz DS-GVO) die Anforderungen an den Datenschutz massiv verändert haben. Die Euphorie oder "Panik" hat damals dazu geführt, dass viele Maßnahmen zur Umsetzung der "neuen" gesetzlichen Pflichten ergriffen worden sind. Inzwischen hat sich viel getan: während der Elan bei einigen Unternehmen wieder etwas eingeschlafen ist, wurden durch die Behörden und Gerichte viele zentrale Grundsatzfragen geklärt oder zumindest Orientierungshilfen geschaffen. So manche Vorgehensweise hat sich bei genauerem Betrachten als unnötig aufwendig erwiesen. Gleichzeitig haben gerade verärgerte Mitarbeiter oder Kunden gelernt, ihre Datenschutzrechte effektiv auszunutzen. Es wird auch immer klarer, dass der Datenschutz gesetzlich verpflichtet, unternehmerische Prozesse aus bestimmten Perspektiven zu betrachten, die sonst allzu oft vernachlässigt werden. So gaben 2022 bereits [...]

Aktuelle Urteile und Bußgelder

Stand: 04.05.2023 Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie den Voraussetzungen für einen Anspruch auf Schadensersatz nach Art. 82 DS-GVO, den Begriff der Datenkopie oder die Abberufung interner Datenschutzbeauftragter sowie über aktuell verhängte interessante Bußgelder aus Deutschland, Ungarn, Schweden, Irland, Italien und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Datenerhebung über unzureichende Schutzmaßnahmen und unzulässiger Videoüberwachung bis hin zur Entsorgung sensibler Gesundheitsdaten über das Altpapier. Urteile EuGH: Keine Erheblichkeitsschwelle für den immateriellen Schaden In Österreich hat die Post AG persönliche Daten erhoben und verarbeitet, um die politische Auffassung der [...]

On- und Offboarding datenschutzkonform gestalten

Stand: 19.04.2023 Strukturierte und klare On- bzw. Offboarding-Prozesse sind nicht nur aus personalwirtschaftlicher Sicht wichtig, sondern beide Prozesse haben auch aus datenschutzrechtlicher Perspektive eine immense Bedeutung. Als sog. organisatorische Maßnahmen gehören sie nach Art. 32 DS-GVO zu den angemessenen Maßnahmen, um die Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten zu schützen. Aus datenschutzrechtlicher Sicht spielen bei der Einstellung und Entlassung von Mitarbeitern eine Vielzahl von Themen eine Rolle, die in die Prozesse integriert sein müssen. Hierzu gehören insbesondere: Onboarding Information über die Verarbeitung persönlicher Daten Datenschutzkonforme Erhebung der Mitarbeiterdaten Vergabe der Berechtigungen Einholen von speziellen Datenschutzdokumenten Datenschutzrechtliche Schulung und Verpflichtung Offboarding Entzug von Zugangsmöglichkeiten Entzug von Zugriffsrechten Rückgabe von Firmeneigentum Löschung bzw. [...]

Schulung und Sensibilisierung von Mitarbeitern – Standardpflicht für alle Unternehmen

Stand: 27.03.2023 Im Betriebsalltag werden die meisten Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden und Datenschutzpflichten verletzt werden könnten, von Beschäftigten der verantwortlichen Stellen durchgeführt. Eine direkte Pflicht zur Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter ergibt sich für Verantwortliche aus der DS-GVO zwar nicht. Die Wichtigkeit der Mitarbeitersensibilisierung sollte dennoch nicht unterschätzt werden, denn eine der größten Gefahrenquellen für Datenschutzverletzungen ist der Mensch – und dies nicht zwingend aus bösem Willen oder Vorsatz. Bereits eine kleine Unachtsamkeit oder Unwissenheit kann zu einer Verletzung des Schutzes personenbezogener Daten („Datenpanne“) führen. Aus diesem Grund ist es unerlässlich, Beschäftigten klare Vorgaben zum Umgang mit Daten im Arbeitsalltag zu geben sowie sie regelmäßig zu schulen und zu sensibilisieren. Die Schulung und Sensibilisierung von Mitarbeitern ist eine der wichtigsten [...]

Grundlagen der Datenverarbeitung im Auftrag

Stand: 14.02.2023 Werden bei der Zusammenarbeit mit anderen Stellen personenbezogene Daten verarbeitet, kennt die DS-GVO drei verschiedene Konstellationen: die Verarbeitung in eigener Verantwortung („Dritte“), die gemeinsame Verantwortung nach Art. 26 DS-GVO und die Auftragsverarbeitung nach Art. 28 DS-GVO. Eine Auftragsverarbeitung liegt immer dann vor, wenn eine Stelle (der Auftragnehmer) im Auftrag einer anderen Stelle (dem Auftraggeber) personenbezogene Daten erhebt, verarbeitet oder nutzt. In Abgrenzung zu anderen Konstellationen der Zusammenarbeit ist der Auftragnehmer dem Auftraggeber gegenüber streng weisungsgebunden und der Auftraggeber bleibt allein verantwortliche Stelle. Typische Beispiele für Auftragsverarbeiter sind IT-Dienstleister, Hersteller von Software, externe Wartungsfirmen und externe Dienstleister für Aktenvernichtung. Dagegen sind Rechtsanwälte und Steuerberater keine Auftragsverarbeiter, da sie ihren Mandanten gegenüber nicht weisungsgebunden sind (eigene Verantwortung). Mehr Informationen zur Auftragsverarbeitung und dem [...]

2023-03-06T15:32:23+01:00Kategorien: Allgemein|
Nach oben