AKTUELL

VERDATA_ DATENSCHUTZ – DER PROFESSIONELLE DATENSCHUTZ-DIENSTLEISTER

Fachkompetenter Datenschutz ist ein Zukunftsschlüssel – VERDATA_ begleitet Sie in allen Themenbereichen zum Datenschutz. Langjährige Erfahrung ist unsere Stärke, auch in Spezialfragen. Bei uns finden Sie Antworten – denn wir verhindern moderne Technik nicht, wir ermöglichen sie!

Neuer BSI Prüfkatalog für Cloud-Computing

Das Bundesamt für Informationssicherheit hat einen aktualisierten Kriterienkatalog (=C5 Katalog) für das Cloud-Computing veröffentlicht. In dem Katalog sind die Kriterien an das interne Kontrollsystem eines Cloud-Anbieters benannt. Es wird beschrieben, welche Anforderungen der Cloud-Anbieter mindestens erfüllen muss. weiterlesen

Im Vergleich zur Version von 2019 ist ein neues Kapitel „Produktsicherheit“ hinzugekommen; diese neuen Anforderungen beruhen auf dem EU Cybersecurity Act. Die bestehenden Sicherheitskriterien wurden überarbeitet; u.a. gibt es nun zu jedem Sicherheitskriterium Hinweise, wie dieses geprüft werden kann.

Erleichtert wurde das Erstellen der Systembeschreibung, die der Cloud-Anbieter zur Prüfung liefern muss. Der neue Katalog schafft die Möglichkeit , dass ein Prüfer direkt prüfen kann und eine der Systembeschreibung vergleichbare Beschreibung während des Prüfvorganges erstellt.

VERDATA orientiert sich bei Prüfungen an diesem Katalog.

 

Zum Kriterienkatalog C5:2020

Arbeitshilfen für gemeinsame Verantwortung veröffentlicht

Die GDD und die baden-württembergische Aufsichtsbehörde haben Hilfen zur Umsetzung der gemeinsamen Verantwortung veröffentlicht. Der LDI Baden-Württemberg hat ein Vertragsmuster, in englischer Sprache, veröffentlicht. Die GDD beschreibt in ihrer Praxishilfe, wie Auftragsverarbeitung und Gemeinsame Verantwortung voneinander abgegrenzt werden und erläutert die Punkte. Mit einer Checkliste wird eine Hilfe gegeben, wie die jeweilige Verarbeitung einzuordnen ist.
Die Dokumente sind auf unserer Webseite abrufbar.

Auftragsverarbeitungsvertrag der dänischen Aufsichtsbehörde veröffentlicht

Die Dänische Aufsichtsbehörde hat gemäß Art. 28 Abs.8 DSGVO einen Standardvertragstext für die Auftragsverarbeitung herausgegeben. Dieser wurde vom Europäischen Datenschutzausschuss positiv angenommen und nun veröffentlicht.  weiterlesen

Diese englische Vorlage ist nicht verbindlich; sie ist aber zu empfehlen, insbesondere dann, wenn mit einem dänischen Unternehmen eine Auftragsverarbeitung abgeschlossen wird. Wird die behördliche Vorlage verwendet, prüft die Aufsichtsbehörde den Inhalt des Vertrages nicht mehr.

Die Vorlage ist hier veröffentlicht

Steuerberater sind keine Auftragsverarbeiter

Fast unbemerkt hat Art. 23 im „Gesetz zur weiteren steuerlichen Förderung der Elektromobilität und zur Änderung weiterer steuerlicher Vorschriften“ vom 12. Dezember 2019 (BglBl 17.12.2019 Seite 2451 (Nr. 48)) eine wesentliche Datenschutzfrage beantwortet: Die Verarbeitung personenbezogener Daten durch Steuerberater wie z.B. zur Gehaltsabrechnung oder zu anderen Zwecken erfolgt weisungsfrei.  weiterlesen

Dieses Gesetz änderte nämlich § 11 Steuerberatergesetz und hat einen neuen Absatz 2 eingefügt, der die Weisungsfreiheit dabei betont. § 11 Abs.2 StBG lautet seit dem 1.1.2020:

„Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.“

Damit wird eine Datenschutzfrage geklärt, die selbst Aufsichtsbehörden bisher unterschiedlich beantwortet haben. Steuerberater sind nicht nach Art. 28 DSGVO als weisungsgebundene Datenverarbeiter zu engagieren. Der Verantwortliche, der eine Datenverarbeitung an den Steuerberater auslagert, muss die Zulässigkeit der Auslagerung klären und die Rechtmäßigkeit der Datenübermittlung feststellen. VERDATA hat diese Auffassung schon seit längerem vertreten; der Gesetzgeber schafft hier nun Klarheit.

LDA Bayern: Google Analytics nur mit Einwilligung

Die Bayerische Aufsichtsbehörde hat klargestellt, dass sie als Rechtsgrundlage des Trackings mittels Google Anlytics die Einwilligung sieht. Die Behörde begründet dies damit, dass Google sich das Recht einräumen lässt, dass die Daten zu eigenen Zwecken verarbeitet werden dürfen. weiterlesen

Warum die Behörde allerdings das überwiegende berechtigte Interesse nach Art. 6 Abs.2 (f) DSGVO ausschließt, begründet sie nicht. Allein die Beteiligung des Unternehmens Google spricht nicht gegen ein mögliches Überwiegen des Verarbeitungsinteresses. Hier besteht trotz behördlichen Statements weiterhin Auslegungsbedarf.

Zur Mitteilung der Behörde

Datenschutzkonferenz positioniert sich zu Telemediendiensten und Tracking

In einer neuen im März 2019 herausgegeben Orientierungshilfe der DSK zu Telemediendiensten beziehen die deutschen Aufsichtsbehörden Position zu zwei aktuell sehr in Diskussion befindlichen Themen:weiterlesen

Zum einen stellen die Behörden klar, dass sie die Datenschutzregeln im TMG nicht mehr für anwendbar halten. Die DSGVO hat als Regelung Vorrang. Nach Ansicht der Aufsichtsbehörden ist die ePrivacy-Richtlinie nicht in nationale gesetzliche Regelungen umgesetzt.
Zum anderen vertiefen die Behörden ihren Standpunkt zur Rechtmäßigkeit der Datenverarbeitung beim Tracking. Die Legitimation über das überwiegend berechtigte Interesse Art. 6 Abs.1 (f) DSGVO ist demnach nicht ausgeschlossen, muss aber im Einzelfall durch eine belegte Abwägung nachweisbar sein. Die Behörden beschreiben dazu eine dreistufige Prüfung, die durchzuführen ist. Am Beispiel der Pixel-Zählung kommen sie zum Schluss, dass kein berechtigtes Interesse besteht.
Hervorzuheben ist auch der klare Standpunkt, dass aus aufsichtsbehördlicher Sicht die typischen IDs im Webtracking wie Cookie-ID, MAC-ID oder Werbe-ID nicht als Pseudonym gesehen werden. Begründet wird dies damit, dass diese Merkmale nicht anlegt werden, um den Betroffenen vor Identifizierung zu schützen, sondern um ihn zu erkennen. In der Onlinewelt kommt es nach der Behördenansicht nicht auf den bürgerlichen Namen an, sondern die Erkennbarkeit z.B. durch Verknüpfung mit Accountanmeldungen.

Zur Orientierungshilfe hier

VERDATA_
DATENSCHUTZ GMBH & CO. KG

© VERDATA_ DATENSCHUTZ GMBH & CO. KG  2018