Das Bundesamt für Informationssicherheit hat einen aktualisierten Kriterienkatalog (=C5 Katalog) für das Cloud-Computing veröffentlicht. In dem Katalog sind die Kriterien an das interne Kontrollsystem eines Cloud-Anbieters benannt. Es wird beschrieben, welche Anforderungen der Cloud-Anbieter mindestens erfüllen muss. Im Vergleich zur Version von 2019 ist ein neues Kapitel „Produktsicherheit“ hinzugekommen; diese neuen Anforderungen beruhen auf dem EU Cybersecurity Act. Die bestehenden Sicherheitskriterien wurden überarbeitet; u.a. gibt es nun zu jedem Sicherheitskriterium Hinweise, wie dieses geprüft werden kann. Erleichtert wurde das Erstellen der Systembeschreibung, die der Cloud-Anbieter zur Prüfung liefern muss. Der neue Katalog schafft die Möglichkeit , dass ein Prüfer direkt prüfen kann und eine der Systembeschreibung vergleichbare Beschreibung während des Prüfvorganges erstellt. VERDATA orientiert sich bei Prüfungen an diesem Katalog. weiterlesen
VERDATA_ DATENSCHUTZ – DER PROFESSIONELLE DATENSCHUTZ-DIENSTLEISTER
Fachkompetenter Datenschutz ist ein Zukunftsschlüssel – VERDATA_ begleitet Sie in allen Themenbereichen zum Datenschutz. Langjährige Erfahrung ist unsere Stärke, auch in Spezialfragen. Bei uns finden Sie Antworten – denn wir verhindern moderne Technik nicht, wir ermöglichen sie!
Arbeitshilfen für gemeinsame Verantwortung veröffentlicht
Die GDD und die baden-württembergische Aufsichtsbehörde haben Hilfen zur Umsetzung der gemeinsamen Verantwortung veröffentlicht. Der LDI Baden-Württemberg hat ein Vertragsmuster, in englischer Sprache, veröffentlicht. Die GDD beschreibt in ihrer Praxishilfe, wie Auftragsverarbeitung und Gemeinsame Verantwortung voneinander abgegrenzt werden und erläutert die Punkte. Mit einer Checkliste wird eine Hilfe gegeben, wie die jeweilige Verarbeitung einzuordnen ist.
Die Dokumente sind auf unserer Webseite abrufbar.
Seminare Gesundheitsdatenschutz
Seminar „Datenschutz im Krankenhaus – Update 2020“
Dies sind die Termine:
15.10.2020 – Bremen
20.10.2020 – Stuttgart
20.11.2020 – Düsseldorf
Weitere Informationen und das Anmeldeformular finden Sie hier
Auftragsverarbeitungsvertrag der dänischen Aufsichtsbehörde veröffentlicht
Die Dänische Aufsichtsbehörde hat gemäß Art. 28 Abs.8 DSGVO einen Standardvertragstext für die Auftragsverarbeitung herausgegeben. Dieser wurde vom Europäischen Datenschutzausschuss positiv angenommen und nun veröffentlicht. Diese englische Vorlage ist nicht verbindlich; sie ist aber zu empfehlen, insbesondere dann, wenn mit einem dänischen Unternehmen eine Auftragsverarbeitung abgeschlossen wird. Wird die behördliche Vorlage verwendet, prüft die Aufsichtsbehörde den Inhalt des Vertrages nicht mehr. Die Vorlage ist hier veröffentlichtweiterlesen
Steuerberater sind keine Auftragsverarbeiter
Fast unbemerkt hat Art. 23 im „Gesetz zur weiteren steuerlichen Förderung der Elektromobilität und zur Änderung weiterer steuerlicher Vorschriften“ vom 12. Dezember 2019 (BglBl 17.12.2019 Seite 2451 (Nr. 48)) eine wesentliche Datenschutzfrage beantwortet: Die Verarbeitung personenbezogener Daten durch Steuerberater wie z.B. zur Gehaltsabrechnung oder zu anderen Zwecken erfolgt weisungsfrei. Dieses Gesetz änderte nämlich § 11 Steuerberatergesetz und hat einen neuen Absatz 2 eingefügt, der die Weisungsfreiheit dabei betont. § 11 Abs.2 StBG lautet seit dem 1.1.2020: „Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.“ Damit wird eine Datenschutzfrage geklärt, die selbst Aufsichtsbehörden bisher unterschiedlich beantwortet haben. Steuerberater sind nicht nach Art. 28 DSGVO als weisungsgebundene Datenverarbeiter zu engagieren. Der Verantwortliche, der eine Datenverarbeitung an den Steuerberater auslagert, muss die Zulässigkeit der Auslagerung klären und die Rechtmäßigkeit der Datenübermittlung feststellen. VERDATA hat diese Auffassung schon seit längerem vertreten; der Gesetzgeber schafft hier nun Klarheit.weiterlesen
LDA Bayern: Google Analytics nur mit Einwilligung
Die Bayerische Aufsichtsbehörde hat klargestellt, dass sie als Rechtsgrundlage des Trackings mittels Google Anlytics die Einwilligung sieht. Die Behörde begründet dies damit, dass Google sich das Recht einräumen lässt, dass die Daten zu eigenen Zwecken verarbeitet werden dürfen. Warum die Behörde allerdings das überwiegende berechtigte Interesse nach Art. 6 Abs.2 (f) DSGVO ausschließt, begründet sie nicht. Allein die Beteiligung des Unternehmens Google spricht nicht gegen ein mögliches Überwiegen des Verarbeitungsinteresses. Hier besteht trotz behördlichen Statements weiterhin Auslegungsbedarf.weiterlesen
Die Aufsichtsbehörden der Katholischen Kirche
Die Adressen der fünf Diözesandatenschutzbeauftragten in Deutschland sowie die Links zu deren Webseiten finden Sie hier
Datenschutzkonferenz positioniert sich zu Telemediendiensten und Tracking
In einer neuen im März 2019 herausgegeben Orientierungshilfe der DSK zu Telemediendiensten beziehen die deutschen Aufsichtsbehörden Position zu zwei aktuell sehr in Diskussion befindlichen Themen: Zum einen stellen die Behörden klar, dass sie die Datenschutzregeln im TMG nicht mehr für anwendbar halten. Die DSGVO hat als Regelung Vorrang. Nach Ansicht der Aufsichtsbehörden ist die ePrivacy-Richtlinie nicht in nationale gesetzliche Regelungen umgesetzt. Zur Orientierungshilfe hierweiterlesen
Zum anderen vertiefen die Behörden ihren Standpunkt zur Rechtmäßigkeit der Datenverarbeitung beim Tracking. Die Legitimation über das überwiegend berechtigte Interesse Art. 6 Abs.1 (f) DSGVO ist demnach nicht ausgeschlossen, muss aber im Einzelfall durch eine belegte Abwägung nachweisbar sein. Die Behörden beschreiben dazu eine dreistufige Prüfung, die durchzuführen ist. Am Beispiel der Pixel-Zählung kommen sie zum Schluss, dass kein berechtigtes Interesse besteht.
Hervorzuheben ist auch der klare Standpunkt, dass aus aufsichtsbehördlicher Sicht die typischen IDs im Webtracking wie Cookie-ID, MAC-ID oder Werbe-ID nicht als Pseudonym gesehen werden. Begründet wird dies damit, dass diese Merkmale nicht anlegt werden, um den Betroffenen vor Identifizierung zu schützen, sondern um ihn zu erkennen. In der Onlinewelt kommt es nach der Behördenansicht nicht auf den bürgerlichen Namen an, sondern die Erkennbarkeit z.B. durch Verknüpfung mit Accountanmeldungen.
VERDATA_
© VERDATA_ DATENSCHUTZ GMBH & CO. KG 2018
