5 Jahre DS-GVO: Faktencheck und Highlights zum Jubiläum der DS-GVO

Stand: 25.05.2023 Fünf Jahre ist es nun her, dass die Regelungen der europäischen Datenschutzgrundverordnung (kurz DS-GVO) die Anforderungen an den Datenschutz massiv verändert haben. Die Euphorie oder "Panik" hat damals dazu geführt, dass viele Maßnahmen zur Umsetzung der "neuen" gesetzlichen Pflichten ergriffen worden sind. Inzwischen hat sich viel getan: während der Elan bei einigen Unternehmen wieder etwas eingeschlafen ist, wurden durch die Behörden und Gerichte viele zentrale Grundsatzfragen geklärt oder zumindest Orientierungshilfen geschaffen. So manche Vorgehensweise hat sich bei genauerem Betrachten als unnötig aufwendig erwiesen. Gleichzeitig haben gerade verärgerte Mitarbeiter oder Kunden gelernt, ihre Datenschutzrechte effektiv auszunutzen. Es wird auch immer klarer, dass der Datenschutz gesetzlich verpflichtet, unternehmerische Prozesse aus bestimmten Perspektiven zu betrachten, die sonst allzu oft vernachlässigt werden. So gaben 2022 bereits [...]

On- und Offboarding datenschutzkonform gestalten

Stand: 19.04.2023 Strukturierte und klare On- bzw. Offboarding-Prozesse sind nicht nur aus personalwirtschaftlicher Sicht wichtig, sondern beide Prozesse haben auch aus datenschutzrechtlicher Perspektive eine immense Bedeutung. Als sog. organisatorische Maßnahmen gehören sie nach Art. 32 DS-GVO zu den angemessenen Maßnahmen, um die Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten zu schützen. Aus datenschutzrechtlicher Sicht spielen bei der Einstellung und Entlassung von Mitarbeitern eine Vielzahl von Themen eine Rolle, die in die Prozesse integriert sein müssen. Hierzu gehören insbesondere: Onboarding Information über die Verarbeitung persönlicher Daten Datenschutzkonforme Erhebung der Mitarbeiterdaten Vergabe der Berechtigungen Einholen von speziellen Datenschutzdokumenten Datenschutzrechtliche Schulung und Verpflichtung Offboarding Entzug von Zugangsmöglichkeiten Entzug von Zugriffsrechten Rückgabe von Firmeneigentum Löschung bzw. [...]

Wichtige Entscheidungen zur Datenübermittlung in Drittländer

Stand: 04.04.2023 Ein immer wichtiger werdender Bereich des Datenschutzes sind die Voraussetzungen des sog. Drittstaatentransfers. Sollen personenbezogene Daten aus der EU/dem EWR an ein Drittland im Sinne der DS-GVO übermittelt werden, müssen stets die Zulässigkeitsvoraussetzungen der Art. 44–50 DS-GVO eingehalten werden. Dadurch soll sichergestellt werden, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (Art. 44 S. 2 DS-GVO) und personenbezogene Daten außerhalb der EU/des EWR ebenfalls angemessen geschützt sind. Die Übermittlung personenbezogener Daten in ein Drittland stellt einen eigenen Verarbeitungsschritt dar, dessen Zulässigkeit zusätzlich zu den übrigen allgemeinen Vorgaben der DS-GVO zur Datenverarbeitung geprüft und sichergestellt werden muss. In der Praxis wird diese zweistufige Prüfung besonders häufig bei der Wahl bestimmter Software-Produkte wichtig: Beispielsweise ist eine Datenverarbeitung von Kundendaten [...]

Schulung und Sensibilisierung von Mitarbeitern – Standardpflicht für alle Unternehmen

Stand: 27.03.2023 Im Betriebsalltag werden die meisten Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden und Datenschutzpflichten verletzt werden könnten, von Beschäftigten der verantwortlichen Stellen durchgeführt. Eine direkte Pflicht zur Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter ergibt sich für Verantwortliche aus der DS-GVO zwar nicht. Die Wichtigkeit der Mitarbeitersensibilisierung sollte dennoch nicht unterschätzt werden, denn eine der größten Gefahrenquellen für Datenschutzverletzungen ist der Mensch – und dies nicht zwingend aus bösem Willen oder Vorsatz. Bereits eine kleine Unachtsamkeit oder Unwissenheit kann zu einer Verletzung des Schutzes personenbezogener Daten („Datenpanne“) führen. Aus diesem Grund ist es unerlässlich, Beschäftigten klare Vorgaben zum Umgang mit Daten im Arbeitsalltag zu geben sowie sie regelmäßig zu schulen und zu sensibilisieren. Die Schulung und Sensibilisierung von Mitarbeitern ist eine der wichtigsten [...]

Vorsicht Sicherheitsrisiko: aktuelle Warnungen des BSI

Stand: 27.02.2023 In der aktuellen Polizeilichen Kriminalstatistik (PKS) für das Jahr 2021 wurden 146.363 Cyberdelikte verzeichnet – dies bedeutet eine Zunahme um mehr als zwölf Prozent gegenüber dem Jahr 2020. Diese Entwicklung macht deutlich, dass die Cyberkriminalität weiter zunimmt. So waren die Schäden durch Cyberangriffe, die nach offiziellen Zahlen im Jahr 2021 allein für Deutschland auf 223,5 Milliarden Euro beziffert wurden, doppelt so hoch wie im Jahr 2019. Aus diesem Grund soll dieser Artikel einen Überblick über aktuellen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben. Schwachstelle in VMware ESXi Laut einer BSI-Meldung aus dem Februar 2023 wurden bei einem weltweiten Angriff tausende Server, auf dem die Virtualisierungslösung ESXi des Anbieters VMware eingesetzt wird, mit Ransomware infiziert und verschlüsselt. Dabei haben [...]

Anspruch auf Schadensersatz – wie entscheiden die Gerichte

Stand: 16.02.2023 Vor Inkrafttreten der DS-GVO wurde Betroffenen bei einer Verletzung des Schutzes ihrer personenbezogenen Daten von Gerichten selten bis nie Schadensersatz zugesprochen. Inzwischen hat sich dies allerdings geändert. Betroffene sind in Bezug auf den Datenschutz sowie ihre Rechte sensibilisiert und wehren sich gegen (vermeintliche) Verstöße. Infolgedessen müssen Gerichte in ganz Deutschland immer häufiger Problemstellungen zum Datenschutz und damit zusammenhängenden Verletzungen klären und entscheiden, ob betroffenen Personen Schadensersatz zusteht. Eine Zusammenfassung der neuesten Rechtsprechung und der verhängten Bußgelder finden Sie in unserem Artikel „Aktuelle Urteile und Bußgelder“. Vier Jahre nach Inkrafttreten der DS-GVO steht der Schutz personenbezogener Daten immer häufiger im Fokus von Rechtsstreitigkeiten. Ein wichtiger Bereich ist hier der Schadensersatzanspruch betroffener Personen aus Art. 82 DS-GVO bei Verstößen gegen [...]

Cybersicherheit: Gefahr durch Phishing

Stand: 02.02.2023 Dass Cyberkriminelle versuchen, durch gefälschte E-Mails oder Internetseiten, Zugangsdaten oder andere sensible Informationen von Usern abzugreifen, ist keine neue Entwicklung. Allerdings haben sie ihre Methoden in den letzten Jahren immer weiter verfeinert, was es für User immer schwerer macht, betrügerische Nachrichten und Websites zu erkennen. Nach dem „Bericht zur Lage der IT-Sicherheit in Deutschland“ (Lagebericht 2022) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) handelte es sich bei 69 Prozent der Spam-Mails um Cyberangriffe, wobei 90 Prozent den Eindruck erweckten, von Banken und Sparkassen versendet worden zu sein (sog. Phishing-Mails). Die geschätzten volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, liegen in Deutschland pro Jahr mindestens im zweistelligen Millionenbereich. Diese Zahlen zeigen, dass die Gefahr durch Phishing-Attacken nicht zu unterschätzen ist. Das [...]

Datenschutzanforderungen bei Videokonferenzen

Stand: 26.01.2023 Online-Meetings sind in den letzten Jahren zu einem unverzichtbaren Element im Arbeitsalltag geworden. Allerdings gibt es bei Videokonferenzen aus Datenschutzsicht einige Punkte zu beachten – von der Wahl eines geeigneten Videokonferenz-Tools bis zur Durchführung des virtuellen Treffens. Dieser Beitrag vermittelt einen Überblick über die Datenschutzanforderungen bei Videokonferenzsystemen auch im Hinblick auf Neuerungen in Verbindung mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Die wichtigsten Datenschutzanforderungen Im Rahmen von Videokonferenzen wird eine große Bandbreite an personenbezogenen Daten der Teilnehmer verarbeitet. Neben Anmelde- und Metadaten sind hier durch das virtuelle Meeting selbst verarbeitete Daten besonders kritisch. Hierzu zählen Bild- und Tonaufnahmen inklusive des Inhaltes von Äußerungen sowie ggf. Einblicke in das Privatleben der Teilnehmer, wenn sie vom heimischen Arbeitsplatz aus teilnehmen. Damit die Verarbeitung dieser Daten bei [...]

DS-GVO-konform durch die Adventszeit – was müssen Unternehmen beachten?

Stand: 11.11.2022 Das Weihnachtsgeschäft steht vor der Tür und auf klassische Aktionen wie Weihnachtskarten und -präsente an Kunden, den Online-Adventskalender, Wunschzettelaktionen, Weihnachtsgewinnspiele und Co. soll auch dieses Jahr nicht verzichtet werden. Nach Möglichkeit soll der Absatz mit Werbeaktionen noch einmal angekurbelt und die Beziehungen zu Kunden und Lieferanten gestärkt werden. Viele wollen auch die Gelegenheit nutzen und – zumindest in kleinem Rahmen – den Mitarbeitern zum Jahresabschluss für ihren Einsatz zu danken, insbesondere da die noch immer anhaltende Corona-Pandemie und die steigende Inflation die meisten Unternehmen und ihre Mitarbeiter vor besondere Herausforderungen gestellt hat. Damit bei all diesen Aktionen nicht der teure Bumerang in Form von Abmahnungen, Beschwerden oder gar Bußgeldern aufgrund von Datenschutzverstößen zurückkommt, gilt es, einiges zu beachten. Unabhängig davon, welche [...]

Cybersicherheit in der Adventszeit

Stand: 03.11.2022 Mit der Advents- und Weihnachtszeit beginnt für Unternehmen der „Jahresendspurt“, der ihre Beschäftigten in der Regel noch einmal besonders fordert. Im (Einzel-)Handel herrscht Hochsaison für die zahlreichen Weihnachtseinkäufe und auch in anderen Bereichen gilt es, Projekte abzuschließen und die letzten To-Do's für das Jahr 2022 abzuarbeiten. Allerdings machen sich auch Cyberkriminelle die Advents- und Weihnachtssaison zu Nutze, um im Trubel Daten von Personen und datenverarbeitenden Stellen abzugreifen oder durch Schadsoftware-Angriffe und Fake-Shops Geld einzunehmen. Insbesondere auch durch den Ukraine-Krieg hat die Cyberkriminalität in den letzten Jahren stark zugenommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland“ (Lagebericht 2022) fest: „Die Bedrohung im Cyber-Raum ist damit so hoch wie nie“. Beispielsweise hat innerhalb [...]

Nach oben