Datenschutz

Beiträge zu Datenschutz-Themen

Darf ich noch US-Dienstleister nutzen oder nicht? Wenn ja, wie?

Seit dem „Schrems II“-Urteil des EuGH vom Sommer 2020 steht die „Datenschutz-Welt“ ein wenig Kopf. Kann ich jetzt noch US-Dienstleister einsetzen und wenn ja…was muss ich tun? Diese Fragen sind selbst für uns Datenschutz-Anwälte ausgesprochen schwierig zu beantworten. Das hat auch damit zu tun, dass das Urteil des EuGH zwar im Hinblick darauf, dass das bisherige „Privacy Shield“ unwirksam ist, erfreulich klar ist; es ist aber im Hinblick auf die einschlägige Alternative der EU-Standardvertragsklauseln leider sehr vage. Gesprochen wird hier von erforderlichen Zusatzmaßnahmen, die Unternehmen oder öffentliche Stellen zu treffen haben, wenn US-Dienstleister zum Einsatz kommen. Leider waren auch die …

Darf ich noch US-Dienstleister nutzen oder nicht? Wenn ja, wie? Weiter lesen »

Datenschutz 2020 – Liste der Dinge, um die Unternehmen sich (noch) kümmern sollten

Anfang des Jahres habe ich eine Schulung angeboten. Das Thema lautete: Datenschutz 2020 – Effektive Strategien zur Umsetzung von Datenschutz in Unternehmen und öffentlichen Stellen In dieser Schulung habe ich die Liste der Themen vorgestellt, um die sich Unternehmen und öffentliche Stellen dieses Jahr kümmern sollten. Und zwar am besten Monat für Monat. Nicht alles gleichzeitig, denn das funktioniert sicher nicht. Die Idee war vielmehr, sich für jedes Thema 4 – 6 Wochen Zeit zu nehmen, Fragen zu stellen, Antworten einzuholen und Ergebnisse darauf zu verarbeiten. Und dann kam „Corona“. Das hat diese Planung für dieses Jahr bei den meisten …

Datenschutz 2020 – Liste der Dinge, um die Unternehmen sich (noch) kümmern sollten Weiter lesen »

Boom! Das „Privacy Shield“ ist tot & wenig Alternativen für Drittlandsverarbeitungen

Erwartungsgemäß bzw. wie befürchtet hat der EuGH gestern in seinem „Schrems II“-Urteil (EuGH, Urteil vom 16.07.2020, Az.: C-311/18) den Beschluss der EU-Kommission zum „Privacy Shield“ als Grundlage für eine Datenverarbeitung in den USA für unwirksam erklärt. In diesem Beitrag soll es weniger um das Urteil an sich, sondern um die praktischen Folgen und vorläufige Alternativen gehen. Das Urteil Das Urteil selbst ist mit seinen 48 Seiten keine leichte Lektüre. Vielen wird daher die Pressemitteilung des EuGH als erster Einblick etwas angenehmer sein. Wer eine erste datenschutzrechtliche Einschätzung haben möchte, kann hier, hier oder natürlich bei einer der Stellungnahmen der Aufsichtsbehörden …

Boom! Das „Privacy Shield“ ist tot & wenig Alternativen für Drittlandsverarbeitungen Weiter lesen »

Muster für Datenschutzhinweise für Teilnehmende an „Zoom“-Meetings

Ich komme mir langsam vor wie der Kundensupport von „zoom“. Jeden Tag prasseln hier – bedingt durch die Home Office Expansion wegen des Corona-Virus – die Anfragen zu „zoom“ rein. Ich kann nicht alle Anfragen beantworten, möchte hier aber gerne kostenlos helfen bzw. meinen Teil zur Lösung der aktuellen Herausforderungen leisten. Unternehmen und öffentliche Stellen, die jetzt „zoom“ einsetzen, fragen danach, ob und wie sie Teilnehmende an einem Online-Meeting vorab über die Datenverarbeitung bei „Zoom“ i.S.d. Art. 13 DSGVO informieren können. Meiner Meinung nach ist es ausreichend, wenn dazu im Kontext mit einer Einladung zu einem Meeting per E-Mail dieser Hinweis aufgenommen …

Muster für Datenschutzhinweise für Teilnehmende an „Zoom“-Meetings Weiter lesen »

So schließt du einen Auftragsverarbeitungsvertrag mit „Zoom“

Wichtiger Hinweis (08.04.2020): „Zoom“ hat den Ablauf zum Abschluss eines Auftragsverarbeitungsvertrag am 07.04.2020 geändert. Die Links und Hinweise in dem ursprünglichen Beitrag sind daher nicht mehr „aktiv“ bzw. nicht mehr aktuell. Die veralteten Passagen habe ich daher gelöscht. Der Auftragsverarbeitungsvertrag mit „Zoom“ wird jetzt automatisch bei der Registrierung eines „Zoom“-Accounts geschlossen. Rechtlich erfolgt das so, dass durch ein Akzeptieren der Nutzungsbedingungen von „Zoom“ automatisch alle unter www.zoom.us/legal verlinkten Dokumente in das Vertragsverhältnis einbezogen werden. Dies ergibt sich aus Ziff. der 19 der Nutzungsbedingungen, die am 13.04.2020 noch einmal konkretisiert worden sind: 19. PRIVACY AND OTHER POLICIES. Use of the Services …

So schließt du einen Auftragsverarbeitungsvertrag mit „Zoom“ Weiter lesen »

Hilfe…ist „Zoom“ etwa eine Datenschleuder?

Neuestes Update: 09.08.2020 Vorwort: „Zoom“ steht aktuell erheblich im Hinblick auf „Datenschutz“ unter Kritik. Ich persönlich finde die Kritik zu großen Teilen unberechtigt. Aber: Es ist nicht zu bestreiten, dass „Zoom“ einen Teil der Kritik zum Anlass genommen hat, besser zu werden. In diesem Beitrag geht es allein um rechtliche Erwägungen. Also um die Frage, ob „Zoom“ in datenschutzrechtlich zulässiger Weise eingesetzt werden kann. Viele rufen diesen Beitrag auf, um zu erfahren, ob „Zoom“ nun aktuell noch in datenschutzrechtlich zulässiger Weise genutzt werden kann. Daher gibt es meine aktuelle Meinung sowie das Datum dieser Aussage jeweils hier zu Beginn des …

Hilfe…ist „Zoom“ etwa eine Datenschleuder? Weiter lesen »

„Corona-Virus“ – Richtlinie zur “Telearbeit” (Home-Office) zum Download

Viele Unternehmen haben bereits Heimarbeit eingeführt bzw. angeordnet, um die Weiterverbreitung von „SARS-CoV-2“, der allgemein als „Corona-Virus“ bezeichnet wird, eindämmen zu helfen. Home-Office und Heimararbeit sind zwar in vielen Unternehmen schon in Teilbereichen möglich. Und es wäre auch ohne die aktuell Gesundheitslage ein Trend, der in der Arbeitswelt festen Einzug erhalten wird. Aber natürlich birgt eine Arbeit zuhause Risiken für die Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit von personenbezogenen Daten. Diese Risiken sind nach Art. 32 DSGVO, Art. 24 Abs. 1 DSGVO und Art. 5 Abs. 1 lit. f) DSGVO zu „behandeln“, indem technische und organisatorische Maßnahmen getroffen werden, die …

„Corona-Virus“ – Richtlinie zur “Telearbeit” (Home-Office) zum Download Weiter lesen »

Datenschutz-Informationen für Beschäftigte (DSGVO / Muster)

Im Juni 2018, das war sozusagen noch die heiße Phase der DSGVO, ist dieser Beitrag das erste mal erschienen. Ich habe ihn jetzt einmal aktualisiert und auf den letzten Stand gebracht. Hierum geht es: Auch die Arbeitnehmerinnen und Arbeitnehmer („Beschäftigte“1) sind nach den Vorgaben der DSGVO über die Verarbeitung der sie betreffenden personenbezogenen Daten durch den Arbeitgeber zu informieren. Natürlich hängen die Details einer solchen Information stets von den individuellen Gegebenheiten ab. Also z.B. davon, welche Tools und Prozesse im Bereich Personalverwaltung, Personalentwicklung etc. verwendet werden. Gleichwohl ist es wahrscheinlich hilfreich, zumindest ein grobes Muster als Vorlage zur Verfügung zu …

Datenschutz-Informationen für Beschäftigte (DSGVO / Muster) Weiter lesen »

Rezension: Aufbau von Datenschutz-Management-Systemen nach der DSGVO

Es ist mal wieder soweit. Nach langer Zeit gibt es eine Buch-Rezension. Weitere werden in Kürze folgen. In dieser Folge geht es um das Buch von Dr. Tobias Korge: Aufbau von Datenschutz-Management-Systemen nach der DS-GVO Den Bindestrich in der DSGVO verzeihe ich ihm bzw. dem Verlag gerade noch einmal. Denn es geht schließlich um den Inhalt. Das Buch kostet 44,00 € und ist damit im Bereich der Datenschutz-Literatur noch als erschwinglich zu bezeichnen. Nur: Lohnt sich die Anschaffung des „Korge“? Nun…wenn du einen Einstieg in das Thema Datenschutzmanagement-Systeme (DSMS) suchst, dann findest du in diesem Buch einen guten Wegbegleiter. Der …

Rezension: Aufbau von Datenschutz-Management-Systemen nach der DSGVO Weiter lesen »

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

In meinem Beitrag „Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?“ hatte ich schon dargestellt, dass nach dem Steuerberatungsgesetz ausgeschlossen ist, dass Steuerberater als Auftragsverarbeiter eingestuft werden. Und zwar auch dann, wenn diese nur die Lohnbuchhaltung übernehmen. Einige Aufsichtsbehörden haben das allerdings (auch dazu mehr im Beitrag) fälschlicherweise anders gesehen. Dies hat in der Praxis zu nicht unerheblichen Problemen geführt. Das ging sogar so weit, dass – wie mir berichtet wurde – eine Aufsichtsbehörde in Süddeutschland einem anfragenden Unternehmen geraten hatte, den Steuerberater zu wechseln, weil dieser sich (zurecht) weigerte, einen Auftragsverarbeitungsvertrag mit dem Mandanten abzuschließen. Ein Unding übrigens. Wenn …

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter Weiter lesen »

Datenschutz 2020 – Fahrplan zur Datenschutzumsetzung

Für das Jahr 2020 habe ich für meine Mandanten eine Art Datenschutz-Fahrplan entwickelt. Die Idee dahinter ist, „Datenschutz“ einfach besser zu machen. Mit einfachen Methoden, kleinen Schritten und guten Ergebnissen. Ohne den Anspruch, perfekt zu sein. Wir Menschen überschätzen gerne, was wir in einem Monat schaffen können (Beispiel: hoch motiviert 10kg abnehmen) und wir unterschätzen aber auch, was wir in einem Jahr schaffen können (Beispiel: 10kg in einem Jahr abzunehmen, ist für viele Menschen gut schaffbar). Und so ist es auch mit der Umsetzung von Datenschutz. Es bringt nämlich nichts, vollkommen übermotiviert schon in ersten Monat „alles an Datenschutz“ umzusetzen. …

Datenschutz 2020 – Fahrplan zur Datenschutzumsetzung Weiter lesen »

Aufsichtsbehörden: Einwilligung für Google Analytics erforderlich?

Meine zwei Cents zu einem „explosiven“ Thema: Und es hat „Boom“ gemacht… BOOM…das dachte ich letzte Woche, als am 14.11.2019 eine Welle von Pressemitteilungen der deutschen Datenschutz-Aufsichtsbehörden aufschlugen. Eine kleine Explosion in Sachen Google Analytics & Datenschutz gab es letzte Woche. 13 Pressemitteilungen von Aufsichtsbehörden aus diesen Bundesländern sowie des Bundesdatenschutzbeauftragten habe ich gezählt: Berlin, Brandenburg, Hamburg, Hessen, Niedersachsen, NRW, Rheinland-Pfalz, Saarland, Sachsen, Schleswig-Holstein, Thüringen, Bayern und Bund Worum geht es? Die Aufsichtsbehörden haben in einer Art von „konzertierter Aktion“ Unternehmen und auch öffentliche Stellen aufgefordert, „Google Analytics“ und andere „Tracking“-Angebote nicht ohne eine Einwilligung einzusetzen. Die Texte der Pressemitteilungen …

Aufsichtsbehörden: Einwilligung für Google Analytics erforderlich? Weiter lesen »