AKTUELL

VERDATA_ DATENSCHUTZ – DER PROFESSIONELLE DATENSCHUTZ-DIENSTLEISTER

Fachkompetenter Datenschutz ist ein Zukunftsschlüssel – VERDATA_ begleitet Sie in allen Themenbereichen zum Datenschutz. Langjährige Erfahrung ist unsere Stärke, auch in Spezialfragen. Bei uns finden Sie Antworten – denn wir verhindern moderne Technik nicht, wir ermöglichen sie!

TeleTrusT legt aktualisierte Handreichung zum Stand der Technik vor

19.02.201919.02.2019 | Aktuell, Datenschutznachrichten

Der Bundesverband IT-Sicherheit e.V., kurz TeleTrusT, hat eine neue 73-seitige Handreichung zum Thema „Stand der Technik“ veröffentlicht. Darin finden sich Auseinandersetzungen mit verschiedenen typischen Maßnahmen wie Passwörter oder Verschlüsselung. Die Maßnahmen werden aus genannten Bedrohungslagen hergeleitet und sie werden anhand der Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität) dargestellt. weiterlesenschließen

In der Handreichung werden die Einzelheiten der Maßnahmen gleichermaßen für die Anforderungen des IT-Sicherheitsgesetzes als auch der DSGVO hergeleitet. Am Beispiel der Verschlüsselung wird dargestellt, welche Form der Verschlüsselung nach Auffassung der TeleTrustT als Stand der Technik einzustufen sind. Gleiches findet sich bei anderen Maßnahmen.

Das Dokument zum download hier

Anforderungen an die E-Mailtransportverschlüsselung

05.02.201905.02.2019 | Aktuell, Datenschutznachrichten

Die Nordrhein-Westfälische Landesdatenschutzbeauftragte für den Datenschutz hat in einer aktuellen Empfehlung zur E-Mailsicherheit wesentliche Kriterien für eine Transportverschlüsselung benannt.
Nach Auffassung der Behörde handelt es sich dann um angemessene Schutzmaßnahmen im Sinne des Art.32 DSGVO, wenn die folgenden Punkte erfüllt werden: Text: NRW Aufsichtsbehördeschließen

• Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
• Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
• Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.

Die Empfehlung ist hier abrufbar

Baden-Württembergische Aufsichtsbehörde sieht gemeinsame Verantwortung für Betriebsräte

04.02.201919.02.2019 | Aktuell, Archiv_Datenschutz_weitere-Datenschutzmeldungen, Datenschutznachrichten

In dem heute vorgestellten Tätigkeitsbericht der Datenschutzaufsichtsbehörde aus Baden-Württemberg bezieht der LfDI klare Stellung zur Datenverarbeitung durch den Betriebsrat: Die Behörde bewertet diese Verarbeitung als Verarbeitung in einer eigenen Verantwortung des Betriebsrates. weiterlesenschließen

Sie begründet dies damit, dass der Betriebsrat selbst über Zweck und Mittel der Datenverarbeitung entscheidet. Sie ist nicht der Auffassung, dass der Zweck der Verarbeitung durch einen Betriebsrat allein durch Gesetz vorgegeben ist.
Wörtlich: „Gegen diese Ansicht spricht jedoch, dass sich auch in zahlreichen anderen Fallkonstellationen die Zwecke der Verarbeitung aus gesetzlichen Vorgaben ergeben. Verarbeitet ein Verantwortlicher personenbezogene Daten zu Zwecken, die gesetzlich vorgegeben werden (vgl. Art. 6 Abs. 1 Buchstabe c, Abs. 2 DS-GVO), vermag dies nichts an seiner datenschutzrechtlichen Verantwortlichkeit zu ändern.“

VERDATA vertritt schon seit längerem die Auffassung, dass der Betriebsrat und die Mitarbeitervertretungen als Verantwortlicher im Sinne des Art.4 DSGVO gelten. Die Auffassung ist, wie auch die Behörde ausdrücklich einräumt, nicht unumstritten, wird aber nun erstmalig aus Baden Württemberg öffentlich so publiziert.

Zum entsprechenden Ausschnitt aus dem Bericht

Der vollständige 34. Tätigkeitsbericht auf der Homepage des LfDI ist hier abrufbar

Urteil: Anbieter eines E-Mail-Dienstes kann im Rahmen einer ordnungsgemäß angeordneten Überwachung zur Übermittlung von IP-Adressen verpflichtet werden

01.02.201905.02.2019 | Aktuell, Gerichtsurteile

Bundesverfassungsgericht, Beschluss vom 20.12.2018 – 2 BvR 2377/16 –

Auch datenschutzoptimiertes Geschäftsmodell entbindet nicht von Einhaltung gesetzlicher Vorgaben. weiterlesenschließen

Das Bundesverfassungsgericht hat entschieden, dass es nicht gegen das Grundgesetz verstößt, dass der Anbieter eines E-Mail-Dienstes im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verpflichtet ist, den Ermittlungsbehörden die Internetprotokolladressen (im Folgenden: IP-Adressen) der auf ihren Account zugreifenden Kunden auch dann zu übermitteln, wenn er seinen Dienst aus Datenschutzgründen so organisiert hat, dass er diese nicht protokolliert.

zum Urteil

Urteil: Angabe einer E-Mailadresse ist keine Einwilligung und ein Sporthändlersortiment keine vergleichbare Leistung zu Kinderhosenkauf

29.01.201929.01.2019 | Aktuell, Gerichtsurteile

LG Berlin, Urt. v. 16.11.2017 – Az.: 16 O 225/17

Sachverhalt: Ein Kunde hatte bei einem Sportartikel-Versand eine Kinderhose bestellt und bekam später mehrere E-Mails mit Werbung an die im Bestellprozess angegebene (private) Emailadresse. Diese Werbung bezog sich auf das gesamte Produktportfolio des Sportartikel-Versands. In der Datenschutzerklärung des Shops hieß es u.a.: „Als Kunde werden deine Daten zum Zweck der Vertragserfüllung und für eigene Werbezwecke genutzt.“ weiterlesenschließen

Entscheidung:
Das Gericht stellte einen Unterlassunganspruch des Kunden gegen den Händler fest (§§ 3, 7, 8 UWG) zu. Es fehlte an den Voraussetzungen, unter den E-Mailwerbung zulässig ist. E-Mailwerbung ohne die Voraussetzungen des § 7 UWG ist als unzumutbare Belästigung einzustufen.

1. Die bloße Angabe einer E-Mail-Adresse im Rahmen des Bestellprozesses bei einem Online-Shop ist keine Einwilligung für E-Mail-Werbung. Eine Einwilligung ist eine Willensbekundung, die ohne Zwang und für den konkreten Fall und in Kenntnis der Sachlage erfolgt. Mit der Willensbekundung kommuniziert die betroffene Person, dass sie akzeptiert, dass sie betreffende personenbezogene Daten werden. Notwendig ist, dass die betroffene Person eine Erklärung ausdrücklich und in gesonderter Weise (z.B. durch eine getrennte Checkbox) abgibt.
Das ist nicht gegeben, wenn die Verarbeitung nur im Rahmen der AGBs erläutert wird.
2. Nach Auffassung des Gerichtes liegt auch kein Ausnahmetatbestand des § 7 Abs. 3 UWG zur Bestandskundenwerbung vor. Das Gericht vertrat die Auffassung, dass Werbung für das gesamte Sortiment nicht Werbung für gleichartige Produkte bedeutet. Das gesamte Sortiment eines Sportartikel-Händlers ist nicht ähnlich mit einer dort gekauften Kinderhose, so dass die Voraussetzungen des § 7 Abs.3 UWG nicht vorliegen.

Anmerkung: Da hier der Anwalt eines Verbandes geklagt hatte, konnten Ansprüche aus dem UWG geltend gemacht werden. Als Privatperson hätte (auch) Verletzung aus §§ 1004, 823 BGB geltend gemacht werden können.
Offen ist, ob die Werbung nicht auch als unzulässig eingestuft werden muss, weil der betroffene nicht über das Widerspruchsrecht unterrichtet wurden.

BayLDA: Medienbruch in der Information über Videoüberwachung zulässig

22.01.201922.01.2019 | Aktuell, Datenschutznachrichten

Das Bayerische Landesamt für Datenschutz setzt sich in einer kleinen Stellungnahme mit der Informationspflicht nach Art.13 DSGVO bei Videoüberwachung auseinander. Die Behörde verweist zum einen auf die bereits bekannte Darstellung der Informationen nach dem Muster der Datenschutzkonferenz. Zum anderen äußert sich die Behörde aber zur Information über die Rechte von Betroffenen, über die nach Art. 13 DSGVO ebenfalls zu unterrichten ist. weiterlesenschließen

Hier hält das BayLDA es für zulässig, auf online bereitgestellte Informationen zu verweisen und lediglich den Link zu dieser Info abzugeben. Auch sollte die Information für Personen, die über keinen Internetzugang verfügen, an anderer Stelle erhaltbar sein.
Die Behörde verweist hinsichtlich des Informationsblattes auf ein Muster, das ebenfalls von der DSK herausgegeben wurde
Das interessante Fazit dieser Stellungnahme ist, dass die Behörde einen Medienbruch in der Information nach Art.13 DSGVO für zulässig bewertet hat.
Zur Stellungnahme:
https://www.lda.bayern.de/de/videoueberwachung.html

Urteil: DSGVO-Verstöße sind nicht abmahnfähig

22.01.201905.02.2019 | Aktuell, Gerichtsurteile

LG Wiesbaden Urteil vom 05.11.2018, Az. 5 O 214/18

Nach dem LG Bochum (Urteil 7.8.2018 Az. I-12 O 85 / 18) hat auch das LG Wiesbaden geurteilt, dass evtl. Verstöße gegen die DSGVO nicht vom Wettbewerber abgemahnt werden können. weiterlesenschließen

Das klagende Unternehmen bemängelte, dass der Wettbewerber nicht ausreichend über das Auskunftsrecht informiert und sah darin ein wettbewerbswidriges Verhalten.
Nach dem Urteil sind Mitbewerber nach dem UWG (§§ 3 Abs. 1,3 a i.V.m. § 8 Abs. 3 Nr. 1 UWG) weder anspruchsberechtigt noch klagebefugt. Die DSGVO enthalte hinsichtlich Sanktionen und Rechtsbehelfen abschließende Festlegungen, wie eine betroffene Person gegen Verstöße vorgehen kann. Die DSGVO ist nach Auffassung des Gerichtes in den Artikeln 77-84 eine abschließende Regelung schließt Ansprüche von Mitbewerbern aus.

Urteil veröffentlicht bei Jur-PC

VERDATA betreut Klinikverbund

09.01.201909.01.2019 | Aktuell, Unternehmensmeldungen

VERDATA baut die Kernkompetenz im Gesundheitsdatenschutz weiter aus. Mit dem neuen Jahr gehört auch ein Verbund katholischer Kliniken zum Kreis der VERDATA-Kunden.

Seminare Gesundheitsdatenschutz

05.01.201915.01.2019 | VERDATA_ AKADEMIE

Aktueller Datenschutz im Krankenhaus – Update 2018
Themenschwerpunkt: erste Erfahrungen mit der DSGVO
Ein Zusatztermin wegen hoher Nachfrage findet am 25.04.2019 in Düsseldorf statt.
Zu weiteren Infos und zur Anmeldung geht‘s hier

Neue Durchführungsverordnung zum KDG

04.01.201914.01.2019 | Aktuell, Datenschutznachrichten

Auf der November-Vollversammlung 2018 des Verbandes der Diözesen Deutschlands (VDD) wurde die Neufassung der Durchführungsverordnung für das Katholische Datenschutzgesetz beschlossen. Die neue DVO ist hier abrufbar

VERDATA trainiert EU-DPO eines internationalen Electronic-Konzerns

20.12.201809.01.2019 | Aktuell, Unternehmensmeldungen

We also speak english! In mehreren Trainingseinheiten vertieft VERDATA die DSGVO Datenschutzanforderungen mit dem für die EU Niederlassungen zuständigen Datenschutzbeauftragten eines weltweit agierenden Konzerns für Consumer-Electronic. U.a. liegt ein Augenmerk dabei auf den deutschen Anforderungen für werbliche Kontaktierung.

Evangl. Kirche veröffentlicht Liste für pflichtige Folgenabschätzung

01.12.201817.01.2019 | Aktuell, Datenschutznachrichten

Der Beauftragte für den Datenschutz der Evangelischen Kirche hat nun nachgezogen und ebenfalls eine Liste mit Verarbeitungen veröffentlicht, bei denen in jedem Fall eine Folgenabschätzung durchgeführt werden muss. Es erfolgt damit eine Konkretisierung von § 34 Abs.3 DSG EKD.

zur Handreichung (Übersicht) – hier

VERDATA_

IMPRESSUM | DATENSCHUTZERKLÄRUNG