Der Tätigkeitsberichte für das Jahr 2023 wurde am 08.07.2024 veröffentlicht.
Diesen und die Tätigkeitsberichte der einzelnen Bundesländer aus den vergangenen Jahren finden Sie hier.
Archiv Meldungen zum Thema Datenschutz in öffentlichen Stellen
Hier finden Sie Meldungen zum Datenschutz in öffentlichen Stellen (Behörden, Verwaltung) (Linksammlung).
Weitere Themenbereiche finden Sie hier:
Datenschutz in öffentlichen Stellen, Meldungen aus der Gesetzgebung, Datenschutz bei Email&Internet, EU-Datenschutz, Gesundheit/Patientendaten, internationaler Datenschutz, Datenschutzmaßnahmen, Video/Foto, Datenschutzverstöße, Terrorbekämpfung, weitere Datenschutzmeldungen
Seminare Gesundheitsdatenschutz
Seminar „Datenschutz im Krankenhaus – Update 2024“
12. November 2024 / Leonardo Hotel – City Center Düsseldorf
Melden Sie sich an und sichern Sie sich einen der begehrten Plätze!
Weitere Informationen und das Anmeldeformular finden Sie hier
Veröffentlichte Tätigkeitsberichte der Landesdatenschutzbeauftragten
Neue Tätigkeitsberichte für das Jahr 2023 (Hessen, Saarland, Sachsen) und 2024 (Schleswig-Holstein) wurden kürzlich veröffentlicht.
Diese und die Tätigkeitsberichte der einzelnen Bundesländer aus den vergangenen Jahren finden Sie hier.
Datenschutzkonforme KI
Die Bayerische Aufsichtsbehörde hat eine Checkliste veröffentlicht, um Maßnahmen für den Einsatz von KI abzuleiten.
Das PDF dieser Checkliste finden Sie hier: ki_checkliste
Urteil LG Mainz 12.11.2021 (Az.: 3 O 12/21): Schadensersatz wegen Schufa-Fehleintrag
Das Landgericht hat einem Kläger 5.000,00 EUR (!) Schadensersatz nach Art. 82 DSGVO wegen einer rechtswidrigen Einmeldung bei der Schufa zugesprochen. „Der Kläger hat jedoch einen nach Art. 82 DSGVO gleichfalls ersatzfähigen immateriellen Schaden erlitten. Voraussetzung für einen Schadenersatzanspruch für immaterielle Schäden nach Art. 82 Abs. 1 DSGVO ist eine benennbare und tatsächliche Persönlichkeitsverletzung. Die in der bisherigen deutschen Rechtsprechung für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung verträgt sich hingegen nicht mit Art. 82 Abs. 2 DSGVO; sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt, der Anspruch ist hiervon grundsätzlich unabhängig. Die schwerwiegende Persönlichkeitsverletzung kann vor diesem Hintergrund auch nicht als untere Grenze einer Schmerzensgeldhöhe wieder eingelesen werden. Vielmehr ist der immaterielle Schaden umfassend zu ersetzen. Eine schwerwiegende Persönlichkeitsverletzung wird regelmäßig zu einem hohen Schmerzensgeld führen (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 32). Mit dieser Einschränkung gelten für den immateriellen Schadenersatz nach Art. 82 Abs. 2 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach 8 287 ZPO (Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. Stand 01.08.2021, Art. 82 DSGVO Rn. 31). Bei der Bemessung des „vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden“ (Erwägungsgrund 146 zur DSGVO) ist auch die Genugtuungs- und Abschreckungsfunktion des Anspruchs aus Art. 82 DSGVO zu berücksichtigen“. Den Volltext des Urteils finden Sie hierweiterlesen
Jahresbericht des Katholischen Datenschutzzentrums veröffentlicht
Das Katholische Datenschutzzentrum hat seinen Jahresbericht zum Datenschutz 2020 veröffentlicht.
Den Bericht finden Sie hier
Berliner Aufsicht: Kontaktdaten des DSB müssen Verschwiegenheit gewährleisten
Die Berliner Aufsichtsbehörde hatte in Ihrem jüngsten Tätigkeitsbericht Stellung zum Empfängerkreis von Nachrichten an den Datenschutzbeauftragten genommen. Sie kritisiert, dass teilweise der kommunizierte Kontakt zum Datenschutzbeauftragten über eine Sammelmailadresse oder über andere Bereiche und Abteilungen läuft. Nach Ansicht der Behörde verletzt es die gesetzliche Verschwiegenheitsverpflichtung eines Datenschutzbeauftragten, wenn die Nachrichten anderen Personen als seinen Mitarbeitern bekannt werden. Die Behörde formuliert: „Die bzw. der Datenschutzbeauftragte ist bei der Erfüllung ihrer oder seiner Aufgaben zur Wahrung von Geheimhaltung und Vertraulichkeit verpflichtet. Diese Verschwiegenheitspflicht besteht auch gegenüber der sie bzw. ihn benennenden Stelle. Es ist daher nicht zulässig, dass Anfragen, die in dem Vertrauen auf Verschwiegenheit an eine*n Datenschutzbeauftragte*n gesandt werden, an andere Stellen des Unternehmens weitergeleitet werden. Ein Verstoß gegen die gesetzlichen Vertraulichkeitspflichten stellt es daher bspw. dar, wenn die an eine*n Datenschutzbeauftragte*n gerichteten E-Mails an einen Verteiler weitergeleitet werden, dem neben der oder dem Datenschutzbeauftragten auch die IT-Leitung und der Kund*innenservice angehören. Für den Kontakt zu Diese Feststellung hat Folgen: die Berliner Behörde hat dem eigenen Bekunden nach Unternehmen wegen dieses Verstoßes bereits verwarnt.weiterlesen
der oder dem Datenschutzbeauftragten darf auch nicht dasselbe Kontaktformular verwendet werden wie für den Kontakt zum Unternehmen. Eingehende Post oder E-Mails an die oder den Datenschutzbeauftragte*n dürfen vom Unternehmen –
etwa in der Poststelle oder durch die Administrator*innen – nicht geöffnet oder gelesen werden.
Zum Bericht, Seite 164
Neues Gesetz: Arbeitgeber ist Datenschutzverantwortlicher für Betriebsrats-Verarbeitungen
Bundestag und Bundesrat haben das Betriebsrätemodernisierungsgesetz verabschiedet – und dies bringt eine wesentliche gesetzliche Klarstellung für den Datenschutz im Betriebsrat. Nach dem neuen §79a BetrVG ist aus Datenschutzsicht der Arbeitgeber für die Datenverarbeitung des Betriebsrates rechtlich verantwortlich. Es wird klargestellt, dass der Betriebsrat Teil des verantwortlichen Arbeitgebers ist. Damit löst sich ein Thema auf, welches seit DSGVO Wirksamwerden unterschiedlich durch Behörden und Gerichte bewertet wurde. Die neue Vorschrift lautet: „§ 79a Datenschutz: Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Die §§ 6 Absatz 5 Satz 2, 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“ Aus der neuen Vorschriften ergeben sich für den Datenschutzalltag Folgen: weiterlesen
Urteil OLG Stuttgart 31.03.2021: Anwalt muss bei Auskunftsanspruch für einen Betroffenen Vollmacht vorlegen
Das OLG Stuttgart (Urteil vom 31.03.2021, Az. 9U 34/21) hat ein weiteres Kriterium für die Auskunft präzisiert. Das Gericht stellte fest, dass eine Auskunftspflicht einen korrekten Auskunftsantrag erfordert. Fordert der Anwalt eines Betroffenen die Auskunft, muss der Anwalt seine Vollmacht vorlegen. In dem konkreten Fall lag die Vollmacht nicht vor, so dass der Verantwortliche zu Recht die Auskunft (zunächst) verweigerte. Das Gericht urteilte: „Auf den zuvor von dem Prozessbevollmächtigten für die Klägerin gestellten Auskunftsantrag (Schreiben vom 06.09.2019) musste die Beklagte eine Auskunft nicht erteilen. Denn die Beklagte wies den Antrag mangels Vorlage einer Originalvollmacht zurück (Anlage K 3). Dies mit Recht. Das Gericht führt weiter aus, dass dazu die Original-Vollmacht vorgelegt werden muss. „Entgegen der Ansicht der Klägerin genügte die Vorlage eines „Signing Log“ über eine von der Klägerin elektronisch erfolgte Signatur nicht. Es kann dahinstehen, ob und welchen Anforderungen der von dem Klägervertreter verwendete Dienst genügt. Im Rahmen des § 174 BGB genügt nur die Vorlage einer Urkunde. Unter den zivilrechtlichen Begriff der Urkunde fallen keine elektronische Erklärungen, sondern nur solche verkörperte Erklärungen, die ohne die Verwendung technischer Hilfsmittel lesbar sind (MüKo-BGB/Einsele, 8. Aufl. 2018, § 126 BGB Rn. 25). Die elektronische Form kann eine Urkunde von Gesetzes wegen nicht ersetzen (§ 126 Abs. 3 Hs. 2 BGB).“ Das OLG stützt damit eine Rechtsauffassung, die bereits 2019 das AG Berlin Mitte (Urteil vom 29.07.2019 – Az.: 7 C 185/18) vertreten hat. Im Falle eines Auskunftsbegehrens muss der Anwalt seine Bevollmächtigung belegen. weiterlesen
Die DS-GVO knüpft die Auskunftspflicht des Verantwortlichen an einen Auskunftsantrag, der von der betreffenden Person gestellt wird. An einem solchen fehlt es vorliegend.“
BAG Urteil: Auskunftsbegehren in Form „Kopie des E-Mailverkehrs“ ist zu unbestimmt
Das Bundesarbeitsgericht hat einen Aspekt des Auskunftsrechtes weiter konkretisiert: Das Begehren muss „konkret“ sein (Urteil Bundesarbeitsgericht, Urteil vom 27. April 2021 – 2 AZR 342/20 ). Ein ehemaliger Arbeitnehmer eines Verantwortlichen begehrte Auskunft nach Art.15 DSGVO. Dabei verlangte er Kopie seiner Daten, und zwar in Form der Kopie seines Mail-Verkehrs und Kopie aller Mails, in denen er namentlich genannt ist. Das BAG hat diesen Anspruch abgelehnt. Das Gericht urteilte, dass ein solches Begehren zu unbestimmt ist. Ein Antrag auf „Überlassung der Kopien von E-Mails“ ist unklar gefasst, weil nicht klar wird, auf welche E-Mails sich der Antrag bezieht. Wenn man ein solches Urteil vollstrecken möchte, ist nicht klar, was das Vollstreckungsverfahren beeinhaltet. Das Gericht hat ausdrücklich nicht darüber entschieden, ob Kopien von E-Mails überhaupt vom Auskunftsrecht nach Art.15 Abs.3 DSGVO umfasst sind. Die Unklarheit, welche E-Mails gemeint sind und herausgegeben werden sollten, führte bereits dazu, dass der Antrag abgelehnt wurde. Das Gericht formuliert: „Der Senat konnte offenlassen, ob das Recht auf Überlassung einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Erteilung einer Kopie von E-Mails umfassen kann. Jedenfalls muss ein solcher zugunsten des Klägers unterstellter Anspruch entweder mit einem iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klagebegehren oder, sollte dies nicht möglich sein, im Wege der Stufenklage nach § 254 ZPO gerichtlich geltend gemacht werden. Daran fehlte es hier. Bei einer Verurteilung der Beklagten, eine Kopie des E-Mail-Verkehrs des Klägers zur Verfügung zu stellen sowie von E-Mails, die ihn namentlich erwähnen, bliebe unklar, Kopien welcher E-Mails die Beklagte zu überlassen hätte. Gegenstand der Verurteilung wäre die Vornahme einer nicht vertretbaren Handlung iSv. § 888 ZPO, für die im Zwangsvollstreckungsrecht nicht vorgesehen ist, dass der Schuldner an Eides statt zu versichern hätte, sie vollständig erbracht zu haben.“ Der Urteilstext ist noch nicht veröffentlicht, hier geht’s zur Pressemitteilung des BAG:weiterlesen
Bußgeld gegen Krankenhaus wegen unzureichendem Zugriffsschutz auf Patientenakten
Die niederländische Datenschutzaufsichtsbehörde hat ein Bußgeld gegen das Amsterdamer Krankenhaus (OLVG) über 440.000 Euro verhängt. Grund hierfür sind unzureichende Schutzmaßnahmen der Patientendaten. In den Jahren 2018-2020 konnten unbefugte Mitarbeiter auf die Akten zugreifen – der Vorwurf lautet, dies nicht in ausreichendem Maße verhindert zu haben. Laut Aufsichtsbehörde konnten Werkstudenten und andere Mitarbeiter ohne Grund auf die Akten von Patienten zugreifen. Bemängelt wurden strukturelle Defizite: Zum einen war die Kontrolle des Zugriffs zu schwach ausgeprägt. Zwar wurde der Zugriff auf Patientendaten protokolliert, der Zugriff wurde aber nicht überprüft. Zum anderen wurde die Authentifizierung bemängelt: Die vom System vorgegebene Authentifizierung mittels Passwort und Ausweis und die damit dem Stand der Technik entsprechende Zwei-Faktor-Authentifizierung wurde nicht genutzt.weiterlesen
Aktualisierte behördliche Bewertung von Videokonferenzlösungen
Die Berliner Aufsichtsbehörde hat die schon im letzten Jahr durchgeführte Bewertung von Videokonferenzlösungen aktualisiert. Die Bewertung bezieht sich auf so genannte SAAS Lösungen, also der Nutzung der beim Dienstleister betriebenen Software. In die aktuelle Bewertung sind weitere Anbieter in die Betrachtung aufgenommen worden und es ist eine getrennte Bewertung des rechtlichen Teils und der technischen Umsetzung vorgenommen worden. Die Behörde kommt weiterhin zum Schluss, dass die dominierenden großen Anbieter Google Meets, Microsoft Teams und Zoom das System nicht datenschutzkonform betreiben. Alle großen Player scheitern aus Sicht der Behörde bereits bei der rechtlichen Bewertung der Vertragsunterlagen. Eine Bewertung der technischen Umsetzung wurde in der Folge nicht mehr durchgeführt. Die Behörde erwähnt zwar Verbesserungen, bleibt in der Bewertung aber trotzdem beim Urteil „rot“.weiterlesen
VERDATA_ schließt Jahr 2020 mit Spitzenauslastung ab
Noch nie in der 16 jährigen Geschichte von VERDATA_ wurden so viele Beratungsstunden wie im abgelaufenen Jahr 2020 erbracht.
Sowohl bei Bestandskunden als auch neuen Kunden ist der Bedarf nach fachkundiger Datenschutzberatung im Corona-Jahr enorm gewesen. weiterlesen
Das Jahr 2020 übertrifft damit auch den Absatz von Beratungsstunden aus dem Rekordjahr der DSGVO Einführung 2018. Anders als im Jahr 2018 waren die Beratung jedoch deutlich fachbezogener und erforderte wesentlich mehr sachliche Tiefe in Verarbeitungen, Technologie und Betriebsabläufen.
Das Jahr 2020 unterstreicht die besondere Fachkompetenz von VERDATA_: Das VERDATA_ Team hat allein im Jahr 2020 über 350 Dienstleistereinbindungen unter Datenschutzgesichtspunkten bei unterschiedlichsten Kunden begleitet.
Auf sehr hohem Niveau bewegen sich auch die Fälle von Betroffenenbegehren nach der DSGVO; das VERDATA_ Team hat hier über 120 solcher Begehren geprüft, bewertet und die Bearbeitung fachlich unterstützt.
Fachjubiläum: Profi-Erfahrung in der Einbindung von Dienstleistern
Zeit für ein fachliches Jubiläum: VERDATA_ hat im Dezember 2020 den 1300. Vertrag zur Auftragsverarbeitung innerhalb von 10 Jahren geprüft und begleitet.
Quer über alle Branchen und Verarbeitungen hinweg wurden Inhalte, Ausgestaltungen, Schutzmaßnahmenfestlegungen oder Verarbeitungsbeschreibungen nicht nur bewertet, sondern im großen Umfang mitgestaltet. weiterlesen
Die korrekte Einbindung von Dienstleistern ist nicht erst seit DSGVO Zeiten relevant, sondern war bereits davor in sehr identischer Weise Vorschrift.
Die Erfahrung der letzten 10 Jahre bezieht sich daher nicht nur auf die vertraglichen Regelungen, sondern auch auf die Möglichkeiten der Ausgestaltung und der Behebung von diversen Herausforderungen. Das VERDATA_ Team kennt inzwischen die Schwächen der unterschiedlichsten Vorlagen, die von Unternehmen zur Gestaltung von Datenschutzverträgen eingesetzt werden und die Lösungen, diese zu beseitigen.
Entwurf neuer Standardvertragsklauseln veröffentlicht
Die EU Kommission hat gestern überarbeitete Standardvertragsklauseln im Entwurf veröffentlicht und führt bis Mitte Dezember eine Anhörung dazu durch. Neben dem benannten Controller-Prozesser (Auftragsverarbeiter)-Verhältnis werden auch Controller-Controller, Processor–Processor und Processor—Controller nun geregelt. Die Entwürfe sind hier zu finden:
Wesentliche Änderung ist, dass der Datentransfer zwischen Parteien unterschiedlicher Verantwortungskonstellation geregelt wird. weiterlesen
Orientierungshilfe nach EUGH Urteil zur Datenübermittlung ins Nicht-EU-Ausland
Die baden-würtembergische Datenschutzaufsichtsbehörde hat eine erste Orientierungshilfe veröffentlicht, die Hinweise zur Datenübermittlung ins Nicht-EU Ausland nach dem Urteil des EUGH gibt. Es kommt vielmehr darauf an, ob und wie die Behörden des Empfängerlandes Zugriff auf die Daten haben. Die Standardvertragsklauseln binden schließlich nicht die Behörden, sondern nur den Datenimporteuer. Der LDI BaWü benennt dazu auch zwei Beispiele: „Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann und „Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann“. Der LDI BaWü kommt zu dem Schluss, dass ohne diese Maßnahmen die Datenübermittlung explizit in die USA nicht regelkonform ist. Die Orientierungshilfe kann hier abgerufen werden:
Sie macht darin deutlich, dass die Standardvertragsklauseln zwar im Prinzip noch gültig sind, aber dass es nicht allein darauf ankommt, ob Datenexporteuer und Datenimporteuer sich zum Umgang mit den Daten verständigt haben. weiterlesen
Sie können daher nur dann als Grundlage akzeptiert werden, wenn durch weitere Maßnahmen der Zugriff der Behörden verhindert wird.
Aufsichtsbehörden: Anforderungen an Google Analytics Einsatz
Die Aufsichtsbehörden (Datenschutzkonferenz) haben in einem weiteren Positionspapier Ihren Standpunkt zum Einsatz von google analytcis kommuniziert. Nach Auffassung der Behörden ist google im Bezug auf google Analytics kein Auftragsverarbeiter und verarbeitet in allen Fällen personenbezogene Daten. Die Behörden sehen weder Art. 6 Abs.1 (b) DSGVO noch Art. 6 Abs.1 (f) DSGVO als Rechtsgrundlage, die Daten zu verarbeiten. Sie begründen, warum kein berechtigtes Interesse an der Verarbeitung überwiegt. Die neuen Positionen können hier eingesehen werden: weiterlesen
Es verbleibt damit die Einwilligung als Rechtsgrundlage. Auch hier sehen die Behörden Anforderungen, die an die Einwilligung zu stellen sind und deren Umsetzung nachgewiesen werden muss.
Der Beschluss der Datenschutzkonferenz ergänzt das bereits bekannte Papier zu den Anforderungen an Telemediendienste (Orientierungshilfe März 2019).
Anonymisierung ist eine folgenabschätzungsrelevante Verarbeitung
Der Bundesbeauftragte hat ein Positionspapier veröffentlicht, das sich mit den Anforderungen der Anonymisierung von Daten beschäftigt. Das Papier bezieht sich zwar primär auf Telekommunikationsdaten, ist aber adaptierbar und in mehreren Stellen wegweisend. So werden Anforderungen an die rechtliche Zulässigkeit und die Methode der Anonymisierung beschrieben. Die gelegentlich diskutierte Frage, ob man nicht Daten immer anonym verwenden darf, wird datenschutzrechtlich aufgearbeitet. Außerdem wird klargestellt, dass der Anonymisierungsschritt ein Verarbeitungsvorgang ist, der einer Folgenabschätzung bedarf. Das Papier ist hier zu findenweiterlesen
Urteil: Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung
BGH, Urteil vom 28.05.2020 – I ZR 7/16 – Cookie-Einwilligung II –
Der unter anderem für Ansprüche nach dem Unterlassungsklagengesetz zuständige I. Zivilsenat des Bundesgerichtshofs hat über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind. weiterlesen
Neuer BSI Prüfkatalog für Cloud-Computing
Das Bundesamt für Informationssicherheit hat einen aktualisierten Kriterienkatalog (=C5 Katalog) für das Cloud-Computing veröffentlicht. In dem Katalog sind die Kriterien an das interne Kontrollsystem eines Cloud-Anbieters benannt. Es wird beschrieben, welche Anforderungen der Cloud-Anbieter mindestens erfüllen muss. Im Vergleich zur Version von 2019 ist ein neues Kapitel „Produktsicherheit“ hinzugekommen; diese neuen Anforderungen beruhen auf dem EU Cybersecurity Act. Die bestehenden Sicherheitskriterien wurden überarbeitet; u.a. gibt es nun zu jedem Sicherheitskriterium Hinweise, wie dieses geprüft werden kann. Erleichtert wurde das Erstellen der Systembeschreibung, die der Cloud-Anbieter zur Prüfung liefern muss. Der neue Katalog schafft die Möglichkeit , dass ein Prüfer direkt prüfen kann und eine der Systembeschreibung vergleichbare Beschreibung während des Prüfvorganges erstellt. VERDATA orientiert sich bei Prüfungen an diesem Katalog. weiterlesen
Arbeitshilfen für gemeinsame Verantwortung veröffentlicht
Die GDD und die baden-württembergische Aufsichtsbehörde haben Hilfen zur Umsetzung der gemeinsamen Verantwortung veröffentlicht. Der LDI Baden-Württemberg hat ein Vertragsmuster, in englischer Sprache, veröffentlicht. Die GDD beschreibt in ihrer Praxishilfe, wie Auftragsverarbeitung und Gemeinsame Verantwortung voneinander abgegrenzt werden und erläutert die Punkte. Mit einer Checkliste wird eine Hilfe gegeben, wie die jeweilige Verarbeitung einzuordnen ist.
Die Dokumente sind auf unserer Webseite abrufbar.
Auftragsverarbeitungsvertrag der dänischen Aufsichtsbehörde veröffentlicht
Die Dänische Aufsichtsbehörde hat gemäß Art. 28 Abs.8 DSGVO einen Standardvertragstext für die Auftragsverarbeitung herausgegeben. Dieser wurde vom Europäischen Datenschutzausschuss positiv angenommen und nun veröffentlicht. Diese englische Vorlage ist nicht verbindlich; sie ist aber zu empfehlen, insbesondere dann, wenn mit einem dänischen Unternehmen eine Auftragsverarbeitung abgeschlossen wird. Wird die behördliche Vorlage verwendet, prüft die Aufsichtsbehörde den Inhalt des Vertrages nicht mehr. Die Vorlage ist hier veröffentlichtweiterlesen
Steuerberater sind keine Auftragsverarbeiter
Fast unbemerkt hat Art. 23 im „Gesetz zur weiteren steuerlichen Förderung der Elektromobilität und zur Änderung weiterer steuerlicher Vorschriften“ vom 12. Dezember 2019 (BglBl 17.12.2019 Seite 2451 (Nr. 48)) eine wesentliche Datenschutzfrage beantwortet: Die Verarbeitung personenbezogener Daten durch Steuerberater wie z.B. zur Gehaltsabrechnung oder zu anderen Zwecken erfolgt weisungsfrei. Dieses Gesetz änderte nämlich § 11 Steuerberatergesetz und hat einen neuen Absatz 2 eingefügt, der die Weisungsfreiheit dabei betont. § 11 Abs.2 StBG lautet seit dem 1.1.2020: „Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.“ Damit wird eine Datenschutzfrage geklärt, die selbst Aufsichtsbehörden bisher unterschiedlich beantwortet haben. Steuerberater sind nicht nach Art. 28 DSGVO als weisungsgebundene Datenverarbeiter zu engagieren. Der Verantwortliche, der eine Datenverarbeitung an den Steuerberater auslagert, muss die Zulässigkeit der Auslagerung klären und die Rechtmäßigkeit der Datenübermittlung feststellen. VERDATA hat diese Auffassung schon seit längerem vertreten; der Gesetzgeber schafft hier nun Klarheit.weiterlesen
LDA Bayern: Google Analytics nur mit Einwilligung
Die Bayerische Aufsichtsbehörde hat klargestellt, dass sie als Rechtsgrundlage des Trackings mittels Google Anlytics die Einwilligung sieht. Die Behörde begründet dies damit, dass Google sich das Recht einräumen lässt, dass die Daten zu eigenen Zwecken verarbeitet werden dürfen. Warum die Behörde allerdings das überwiegende berechtigte Interesse nach Art. 6 Abs.2 (f) DSGVO ausschließt, begründet sie nicht. Allein die Beteiligung des Unternehmens Google spricht nicht gegen ein mögliches Überwiegen des Verarbeitungsinteresses. Hier besteht trotz behördlichen Statements weiterhin Auslegungsbedarf.weiterlesen
Neue Guideline des Europäischen Datenschutzausschusses zu Art. 6 Abs.1 (b) DSGVO veröffentlicht
Der Europäische Datenschutzausschuss hat die finale Version seiner Leitlinie zur Vertragsdatenverarbeitung (Verarbeitung nach Art. 6 Abs.1 (b) DSGV) veröffentlicht (= Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects). Darin werden Aussagen und Auslegungen zusammengefasst, unter welchen Voraussetzungen eine Datenverarbeitung der Erlaubnisnorm Art.6 Abs.1 (b) DSGVO entspricht. U.a. stellt der Ausschuss klar, dass das Prinzip der Zweckbindung erfordert, dass bei einem Vertragabschluss genau festgelegt werden muss, wann eine Verarbeitung zum Zweck gehört und wann nicht. Der Datenschutzausschuss hält den Standpunkt der Artikel 29 Gruppe aufrecht, dass vage Zwecke wie „Verbesserung der Benutzererfahrung“, „Marketingzwecke“, „IT-Sicherheitszwecke“ oder „zukünftige Forschung“, nicht ausreichen. Der Ausschuss empfiehlt, bei Zweifeln an der Erforderlichkeit zur Vertragserfüllung besser auf eine andere Rechtsgrundlage auszuweichen, z.B. die Einwilligung; die geeignete Rechtsgrundlage zu ermitteln, ist ein Gebot der Fairness und Zweckbindung. Im Rahmen der Rechenschaftspflicht verlangt der Ausschuss, dass der Verantwortliche, der sich auf Art.6 Abs.1 (b) beruft, drei Dinge nachweisen kann: a) ein Vertrag besteht, b) der Vertrag ist nach nationalen Vertragsgesetzen gültig c) die Verarbeitung ist objektiv für die Ausführung des Vertrags erforderlich ist. Für Punkt c) setzt der Ausschuss sehr strenge Maßstäbe an: Wörtlich heißt es „ Auch wenn diese Verarbeitungstätigkeiten im Kleingedruckten des Vertrages ausdrücklich erwähnt werden, macht diese Tatsache sie allein nicht „notwendig“ für die Vertragserfüllung.“ Vielmehr muss eine objekte Notwendigkeit belegt werden. Darüber hinaus verlangt der Ausschuss, dass dann, wenn eine neue Technologie zur Erbringung des Dienstes eingeführt wird, neu bewertet wird, ob die Verarbeitung erforderlich ist oder nicht. Der Ausschuss vertritt außerdem die Auffassung, dass es unfair und damit niciht zulässig ist, eine Verarbeitung von Daten, die auf Basis von Art. 6 Abs.1 (b) DSGVO erfolgte, nach Beendigung des Vertrages auf eine andere Rechtsgrundlage zu stützen. Wenn hingegen Aufzeichnungen (Speicherungen) für rechtliche Zwecke erfolgen (siehe Art.17), dann ist die zulässig, wenn einige Bedingungen erfüllt werden. Die Verantwortlichen „müssen sie zu Beginn der Verarbeitung eine Rechtsgrundlage dafür ermitteln, und sie müssen von Anfang an klar kommunizieren, wie lange sie planen, Aufzeichnungen für diese nach Beendigung des Vertrages. Wenn sie dies tun, müssen sie die Daten bei Beendigung des Vertrages nicht löschen.“ Der Ausschuss bezieht außerdem Stellung zu verschiedenen Verarbeitungen und sieht diese nicht über Art. 6 Abs. 1 (b) DSGVO legitimierbar: Beispielweise „ kann die Erhebung von organisatorischen Kennzahlen im Zusammenhang mit einer Dienstleistung oder Einzelheiten des Nutzerengagements nicht als notwendig für die Erbringung der Dienstleistung angesehen werden“. Auch die Verarbeitung zum Zwecke der Verbesserung einer Dienstleistung oder der Entwicklung neuer Funktionen innerhalb eines bestehenden Dienstes, ebenso die Verarbeitung zum Zwecke der Betrugsprävention, sind mit Art.6 Abs.1 (b) DSGVO legitimierbar. Hier sieht er allerdings ein überwiegendes berechtigtes Interesse. Auch die Erstellung von Profilen bzw. das Auswerten von Nutzerverhalten zur werbefinanzierten Bezahlung/Gegenleistung hält der Ausschuss nicht mit Art. 6 Abs.1 (b) DSGVO legitimierbar. Der Ausschuss sieht die Finanzierung nur als unterstützend an, der Verantwortliche müsse hingegen beweisen, dass diese Verarbeitung tatsächlich notwendig ist. Zur Leitlinie: (guideline 2/2019)weiterlesen
Urteil: Das Setzen von Cookies erfordert die aktive Einwilligung des Internetnutzers
Es liegt keine wirksame Einwilligung des Internetnutzers in das Speichern von Cookies vor, wenn der Anbieter der Web-Seite ein Ankreuzkästchen mit einem voreingestellten Häkcken verwendet. Die Erlaubnis zum Setzen von Cookies erfordere vielmehr die aktive Einwilligung des Internetnutzers, betonte der Gerichtshof der Europäischen Union in seinem Urteil vom 01.10.2019.
150.000 Euro Bußgeld wegen falscher Rechtsgrundlage einer Verarbeitung
Die griechische Aufsichtsbehörde hatte im Juli ein Bußgeld in Höhe von 150.000 Euro gegen PwC verhangen, weil nach Ansicht der Behörde Daten von Beschäftigten ohne ausreichende Rechtsgrundlage verarbeitet wurden. Das Unternehmen hatte die Verarbeitung von Beschäftigtendaten auf eine Einwilligung gestützt; die Behörde war der Ansicht, dass die Einwilligung nicht die korrekte Rechtsgrundlage darstellt. Die Behörde bewertete die Einwilligung als eine Erlaubnis, die nur dann eingesetzt werden sollte, wenn die anderen Erlaubnisnormen nicht angewendet werden. Wörtlich heißt es: „Die Grundsätze der rechtmäßigen, fairen und transparenten Verarbeitung personenbezogener Daten gemäß Artikel 5 Absatz 1 Buchstabe a DSGVO erfordern, dass die Zustimmung als Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO nur dann verwendet wird, wenn die anderen Rechtsgrundlagen nicht anwendbar sind“. Für den Fall, dass die betroffene Person ihre Einwilligung widerruft, ist es nicht gestattet, die Verarbeitung personenbezogener Daten unter einer anderen Rechtsgrundlage durchzuführen. Die Einwilligung setzt andere Rechtsgrundlagen faktisch außer Kraft, weil nur so der Widerruf der Einwilligung und damit das Recht des Betroffenen beachtet und berücksichtigt werden. Im vorliegenden Fall hatte das Unternehmen die Einwilligung für Verarbeitungen eingeholt, obwohl die Verarbeitung tatsächlich aufgrund einer anderen Rechtsgrundlage durchgeführt wurde. Die Behörde urteilt: Daraus zog die Behörde den Schluss, dass vor allem auch der Grundsatz der Transparenz nicht eingehalten wird: „Darüber hinaus vermittelte das Unternehmen den Mitarbeitern den falschen Eindruck, dass es ihre personenbezogenen Daten unter der Rechtsgrundlage der Einwilligung verarbeitete, während es in Wirklichkeit ihre Daten auf einer anderen Rechtsgrundlage verarbeitete, über die die Mitarbeiter nie informiert worden waren. Dies verstieß gegen den Grundsatz der Transparenz und damit gegen die Informationspflicht nach den Artikeln 13 Absatz 1 Buchstabe c und 14 Absatz 1 Buchstabe c der DSGVO.“ Die Entscheidung der Behörde ist hier abrufbar weiterlesen
„In diesem Fall war die Wahl der Einwilligung als Rechtsgrundlage unangemessen, da die Verarbeitung der personenbezogener Daten dazu bestimmt war, Handlungen auszuführen, die in direktem Zusammenhang mit der Erfüllung von Arbeitsverträgen standen, die zur Einhaltung einer gesetzlichen Verpflichtung erfolgten, der der für die Verarbeitung Verantwortliche unterliegt und die einer reibungslosen Abwicklung eines effektiver Betrieb des Unternehmens – und damit einem berechtigtes Interesse – dienten.“
Urteil: Mutmaßliche Einwilligung zur Aufhebung ärztlicher Schweigepflicht bei Notwendigkeit der Testierfähigkeit eines Erblassers
Entbindung von Schweigepflicht entspricht mutmaßlichem Willen des Erblassers Steht die Testierfähigkeit des Erblassers in Frage, so entspricht es dem mutmaßlichen Willen des Erblassers seinen Arzt von der Schweigepflicht zu entbinden. Ein Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO besteht dann nicht. Dies hat das Oberlandesgericht Köln entschieden.weiterlesen
Urteil: Auskunftsrecht umfasst nicht Dokumente, sondern Daten
Das Landgericht Köln entschied am 19.03.2019 über Inhalte des Auskunftsrechtes nach Art. 15 DSGVO. Eine betroffene Person begehrte von einer Lebensversicherung die Herausgabe sämtlicher Daten und verlangte dabei auch die Herausgabe von Dokumenten. Das Gericht hat dieses Verlangen zurückgewiesen und entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO nicht die Herausgabe sämtlicher Unterlagen beinhaltet. Zunächst stellte das Gericht klar, dass der Auskunftsanspruch (nur) die personenbezogenen Daten umfasst und verweist dazu auf die Definition in Art. 4 Abs.1 DSGVO: „Gemäß Artikel 4 Nr. 1 DS-GVO sind „personenbezogene Daten“ in diesem Sinne alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen“. Im Folgenden schneidet das Gericht kurz an, dass auch Unterlagen personenbezogene Daten sind. Daraus könnte man jetzt den Schluss ziehen, das Gericht habe die Formulierung in Art. 15 Abs.3 DSGVO „Kopie der personenbezogenen Daten“ übersetzt und erklärt „Unterlagen“ als personenbezogene Daten. Dem ist jedoch nicht so: Das Gericht schränkt diese Aussage sofort im nächsten Satz wieder in und wird konkreter und stellt ausdrücklich fest, dass „sämtlicher gewechselter Schriftverkehr“ oder „Vermerke“ eben nicht gemeint sind. „Nach diesen Grundsätzen und auf Grundlage der Erwägungsgründe stellen ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen ebenfalls „personenbezogene Daten“ dar. Nach der Auffassung der Kammer bezieht sich der Auskunftsanspruch aber nicht auf sämtliche internen Vorgänge der Beklagten, wie z.B. Vermerke, oder darauf, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhalten kann (so das OLG Köln zu § 34 BDSG a.F., Beschluss vom 26.07.2018, 9 W 15/18). Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten in diesem Sinne dar.“ Das Gericht hat festgestellt, dass die Begriffe „Daten“ in Art. 15 Abs.3 DSGVO und „Unterlagen“ nicht identisch sind und gleichgesetzt werden dürfen. Nach Art. 15 Abs.3 DSGVO sind nur die reinen Daten, nicht aber die Unterlagen gemeint. Das Gericht hat es recht plastisch formuliert: „Der Anspruch aus Art. 15 DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Artikel 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält.“ Dieses Urteil zieht u.a. auch die Erwägungsgründe der DSGVO mit heran. Erwägungsgrund 63 stellt recht deutlich klar, dass lediglich Daten, nicht aber die Dokumente mit den Daten herauszugeben sind. In Satz 2 des Erwägungsgrundes 63 heißt es am Beispiel der Gesundheitsdaten ausdrücklich, dass die Daten IN Akten herauszugeben sind, und eben nicht DIE Akte an sich: „Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.“ Bereits die Erwägungsgründe zählen die Daten(felder) auf, nicht aber die Dokumente. Darauf bezieht sich das Gericht in seiner Auslegung. Die Betroffene hatte aus Sicht des Verantwortlichen sämtliche gespeicherte Daten erhalten, konnte aber nicht substantiiert belegen, welche Daten fehlen sollten. Es besteht jedenfalls kein Recht auf Dokumentenkopien.weiterlesen
Thüringen: Personalrat muss Datenschutzbeauftragten unabhängig von Größe benennen
Das Thüringer Parlament hat am 9.5.19 eine wegweisende Änderung des Landespersonalvertretungsgesetzes beschlossen: Der Personalrat hat, unabhängig von der Größe, einen Datenschutzbeauftragten zu benennen. Der Thüringer Gesetzgeber sieht damit als der erster Landesgesetzgeber den Personalrat (Betriebsrat) als eigene verantwortliche Stelle im Sinne der DSGVO. Gemäß einer Ergänzung zu § 80 ThürPersVG ist Personalrat verpflichtet, einen Datenschutzbeauftragten zu benennen. Bemerkenswert daran ist, dass das Gesetz nicht ausdrücklich besagt, dass der Personalrat eine verantwortliche Stelle ist – sondern wie selbstverständlich voraussetzt. Das Gesetz verpflichtet, dass der Personalrat die Vorschriften zum Datenschutz zu beachten und dass er dazu einen Datenschutzbeauftragten benennen muss. Durch diese Ergänzung zur Benennung des DSB wird (lediglich) die ansonsten gültige Grenze zur Benennung ab 10 Personen verschoben. Damit wird klargestellt, dass diese variable Pflicht eines Verantwortlichen immer zu beachten ist. Da darüber hinaus der Personalrat verpflichtet ist, die Vorschriften des Datenschutzes einzuhalten (Absatz 1), ergibt sich konsequenterweise, dass er Pflichten wie Information nach Art.13 DSGVO oder die Wahrung der Betroffenenrechte nach Kapitel 2 DSGVO oder Sicherheitsmaßnahmen nach Art.32 DSGVO beachten muss. Das Gesetz befindet sich hier:weiterlesen
Uganda: Datenschutzgesetz in Kraft
Datenschutz ist ein internationales Thema: Nun hat auch Uganda ein Datenschutzgesetz verabschiedet. Das „Data protection and privacy act“ ist am 25.02.2019 in Kraft getreten. Das Gesetz trifft Festlegungen, unter welchen Bedingungen Daten in Uganda, aber auch Daten von ugandischen Staatsbürgern außerhalb Ugandas, verarbeitet werden dürfen. In dem Gesetz sind Pflichten an den Verantwortlichen aufgestellt, die auch aus der DSGVO bekannt sind, wie z.B. die Erfüllung von Datenschutzgrundsätzen, die Transparenz der Datenverarbeitung oder die Gewährleistung von Sicherheit. Interessant: Art.6 des Gesetzes enthält die Pflicht, einen Datenschutzbeauftragten zu bestellen! Das Gesetz ist hier aufrufbar.weiterlesen
Das Gesetz hat nicht die Tiefe und den Umgang der Pflichten der DSGVO, jedoch erstaunliche Parallelen, wie z.B. die Mitteilungspflicht bei Sicherheitsverletzungen , ein Kapitel zu den Rechten eines Betroffenen, detaillierte Vorgaben zur Herstellung der Transparenz oder Anforderungen an Einwilligungen.
Bayerische Aufsichtsbehörde veröffentlicht aktualisierte Orientierungshilfe zur Auftragsverarbeitung
Mit Stand April 2019 hat der Bayerische Landesdatenschutzbeauftragte eine neue Orientierungshilfe zur Auftragsverarbeitung herausgegeben.weiterlesen
Darüber hinaus werden einige klassische Outsourcing-Dienste bewertet, wie die Aktenvernichtung, Systemadministration oder Backup-Dienstleistungen.
Die Orientierungshilfe kann hier abgerufen werden.
Dänemark: 160.000 Euro Bußgeld gegen Taxiunternehmen wegen fehlender Datenlöschung
Die dänische Datenschutzaufsichtsbehörde hat gegen ein Taxiunternehmen ein Bußgeld von 1,2 Mio Dänischer Kronen ausgesprochen, weil das Unternehmen die Kundendaten nicht gelöscht hat. Das Taxiunternehmen speichert Telefonnummer, Standortdaten, gefahrene Strecke sowie Zeit für Beginn/Ende der Fahrt, außerdem die Adresse des Kunden. Der Verarbeitungsbeschreibung zufolge sollten die Daten nach 2 Jahren gelöscht werden, es wurden aber lediglich die Namen gelöscht, Adressen und Telefonnummern blieben gespeichert. Das Unternehmen hatte diesen Vorgang als Anonymisierung bezeichnet. Nach weiteren 3 Jahren sollten die Telefonnummern gelöscht werden, die man für interne Geschäftszwecke noch verwenden wollte. Aus aufsichtsbehördlicher Sicht liegt ein Verstoß gegen die Datenschutzgrundsätze nach Art. 5 Abs. 1 (c) und (e) DSGVO vor. Das Prinzip der befristeten Speicherung wird nicht eingehalten, aber auch der Grundsatz der Datenminimierung nicht erfüllt. Da über die Telefonnummern und auch über die Adressen der Personenbezug leicht herstellbar ist, wird mit der Löschung des Namens das Kriterium „unkenntlich machen“ nicht erfüllt und es werden weiterhin personenbezogene Daten gespeichert. Die Aufsichtsbehörde bezog hier mit ein, dass eine große Menge von Daten – 8,8 Mio – betroffen waren und dass das Unternehmen keine Dokumentationen zur Löschung nachweisen konnte, z.B. ein Löschkonzept.weiterlesen
Interessant ist dabei die inhaltliche Kritik der Behörde:
Nach Auffassung der Behörde muss der Verantwortliche nachweisen, wie und wann personenbezogene Daten in Systemen und Backup-Wiederherstellungsdateien gelöscht werden. Es sollte nachgewiesen werden, dass Datenlöschungen auf der Grundlage interner Vorgaben/Verfahren erfolgen und dass die Umsetzung nachweisbar ist.
Urteil: Auskunftsrecht im Arbeitsverhältnis bezieht sich auch auf Verhaltensangaben in einem betrieblichen Hinweisgebersystem („Whistleblower“)
Das Gericht hat im Rahmen eines Kündigungsverfahrens eines Arbeitnehmers auch über einen geltend gemachten Auskunftsanspruch entschieden und sich dabei mit der Frage, ob das Auskunftsrecht durch Geheimhaltungsinteressen beschränkt sein kann, beschäftigt. 1. Das Einsichtsrecht in die Personalakte gemäß § 83 Abs. 1 Satz 1 BetrVG und das Auskunftsrecht nach Art. 15 DSGVO bestehen parallel und unabhängig voneinander. 2. E-Mails werden als personenbezogene Daten qualifiziert, denn jede „geschriebene, gesendete und empfangene E-Mail enthält bereits personenbezogene Daten, nämlich Informationen, die sich auf den (Betroffenen) beziehen“. 3. Leistungs- und Verhaltensdaten sind als personenbezogene Daten vom Auskunftsanspruch umfasst. 4. Wenn das Auskunftsrecht wegen „Rechte Dritter“ oder „berechtigter Interessen“ nach § 34 Abs. 1 BDSG i.V.m. § 29 Abs. 1 Satz 2 BDSG eingeschränkt werden soll, kann das nur für den konkreten Einzelfall gelten; diese Einschränkungen sind in einer Einzelfallabwägung zu ermitteln. Die Auskunft pauschal zu verweigern, weil die Daten aus einem betrieblichen Hinweisgebersystem, das Anonymität zusichert, kommen, reicht allein nicht aus. Das Gericht führt dazu aus:weiterlesen
Das Urteil hat mehrere wichtige Aussagen zum Datenschutz getroffen. Vier wichtige Punkte sind erwähnenswert:
Diese Aussage ist allerdings recht pauschal, hier wäre es hilfreich gewesen, wenn das Gericht die personenbezogenen Daten, die mit der Kommunikationsform „E-Mail“ verbunden sind, konkret oder beispielhaft benannt hätte. Zu diesem Punkt bleiben mehr Fragen offen als Antworten gegeben sind.
„Nur „soweit“ schützenswerte Interessen Dritter bestehen würden und diese in der gebotenen Einzelfallabwägung gegenüber dem Auskunftsanspruch als gewichtiger einzustufen wären, wäre eine Einschränkung des Auskunftsanspruches anzunehmen. Die für diese Einzelfallabwägung maßgeblichen Tatsachen, die zur Einschränkung des Auskunftsanspruches führen könnten, sind jedoch von der Beklagten nicht vorgetragen worden. Die Beklagte verweist pauschal auf das Schutzbedürfnis von Hinweisgebern. Die Beklagte führt aus, sie sei auf den bedingungslosen Schutz der Anonymität hinweisgebender Mitarbeiter angewiesen. Ansonsten sei zu befürchten, dass Mitarbeiter künftig aus Angst vor Benachteiligung und „Repressalien“ auch bei schwerwiegendem Fehlverhalten auf entsprechende Hinweise an den Arbeitgeber verzichteten“.
Dazu muss für den Einzelfall begründet und belegt werden, warum die konkreten personenbezogenen Daten in diesem Fall nicht herausgegeben werden können:
„Diese Erwägungen sind zu allgemein gehalten, als dass damit gänzlich oder in einem bestimmten Umfang der Auskunftsanspruch des Klägers eingeschränkt werden könnte. Es bedürfte der Nennung eines konkreten Sachverhaltes, anhand dessen geprüft werden könnte, ob durch die Auskunftserteilung tatsächlich die Rechte und Freiheiten anderer Personen beschränkt werden würde. Die Einschränkung des Auskunftsanspruches wegen überwiegender schützenswerter Interessen Dritter scheitert bereits daran, dass es nach dem Vortrag der Beklagten unklar bleibt, auf welche personenbezogenen Daten des Klägers sich die behaupteten schützenswerten Interessen Dritter beziehen sollen. Soweit die Beklagte mit dem Hinweis auf schützenswerte Interessen Dritter den Auskunftsanspruch verweigert, ist sie für die maßgeblichen Umstände in der Darlegungslast. Sie wäre kraft Sachnähe in der Lage gewesen, vorzutragen, welche konkreten personenbezogen Daten nicht herausgegeben werden können, ohne dass schützenswerte Interessen Dritter tangiert werden. Zu dieser Darlegung hätten nicht schon die personenbezogenen Daten als solche preisgegeben werden müssen. Ausreichend, aber auch erforderlich wäre gewesen, darzulegen, auf welche genauen Informationen (Sachverhalt/Vorfall/Thema in zeitlicher und örtlicher Eingrenzung nebst handelnden Personen) sich das überwiegende berechtigte Interesse an einer Geheimhaltung beziehen soll. Nur dann wäre der Kammer die notwendige Einzelfallabwägung möglich gewesen. Soweit in diesem Fall die berechtigten Interessen Dritter gegenüber dem Auskunftsinteresse des Klägers überwogen hätten, wäre auch erst dann in einem zweiten Schritt eine gegenständliche Einschränkung im Tenor möglich gewesen.“
Urteil: Videoüberwachung erfordert konkrete Anhaltspunkte für das Bestehen eines berechtigten Interesses
Das Bundesverwaltungsgericht urteilte über die Zulässigkeit einer Videoüberwachung am Eingang einer Zahnarztpraxis und kam zu dem Schluss, dass die Rechtmäßigkeitsanforderungen nicht vorlagen. weiterlesen
Auch wenn hier (da über eine ältere aufsichtsbehördliche Anordnung zu entscheiden war) das alte BDSG als Rechtsgrundlage herangezogen wurde, gelten nach unserer Auffassung die im Urteil gemachten Aussagen auch für neue Rechtslage: Die alte Rechtsgrundlage § 6b Abs. 1 S. 1 BDSGalt ist deckungsgleich mit der neuen Regelung in § 4 Abs.1 S.1 BDSG2018, so dass die Aussagen des Urteils auch für die neue Videoüberwachungsregelung heranzogen werden können.
Das Gericht führt aus, dass für ein berechtigtes Interesse (für die Videoüberwachung) konkrete Tatsachen vorliegen müssen, die die Überwachung erforderlich machen. In dem Streitfall befürchtete die Ärztin, dass Unbefugte die Praxis betreten könnten und Straftaten verüben könnten, da der Empfangstresen unbesetzt ist und man die Arztpraxis einfach betreten kann. Das Gericht wertete dies als keine ausreichenden Tatsachen und nannte dies lediglich Befürchtungen. Diese reichen für ein berechtigtes Interesse nicht aus. Auch das Argument der Ärztin, dass sie ohne die Überwachung höhere Kosten habe, wies das Gericht ab, da diese Angaben dem Gericht nach nur pauschal geäußert wurden, nicht aber belegt sind.
Das Urteil ist noch nicht im Volltext veröffentlicht. Aus der Pressemitteilung lässt sich jedoch entnehmen, dass für ein berechtigtes Interesse immer Tatsachen, konkrete Anhaltspunkte, vorliegen müssen – das berechtigte Interesse also immer belegt sein muss, damit es angenommen werden kann. Diese Anforderung lässt sich für andere Verarbeitungen und damit auch auf die Rechtsgrundlage Art.6 Abs.1 Buchstabe f DSGVO übertragen.
Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten
Die DSK hat am 03.04.2019 folgende Entschließung zur Haftung des Unternehmens für Datenschutzverstöße der Beschäftigten gefasst: „ Unternehmen haften im Rahmen von Art. 83 Datenschutz-Grundverordnung (DS-GVO) für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess handelt. Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Zurechnungseinschränkende Regelungen im nationalen Recht würden dem widersprechen. Die Entschließung finden Sie hierweiterlesen
Diese Haftung für Mitarbeiterverschulden ergibt sich aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts. Der funktionale Unter-nehmensbegriff aus dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) besagt, dass ein Unternehmen jede wirtschaftliche Einheit unabhängig von ihrer Rechtsformund der Art ihrer Finanzierung ist. Erwägungsgrund 150 der DS-GVO weist für die Verhängung von Geldbußen wegen Datenschutzverstößen gegen Unternehmen klarstellend daraufhin. Nach der Rechtsprechung zum funktionalen Unternehmensbegriff haften Unternehmen für das Fehlverhalten sämtlicher ihrer Beschäftigten. Eine Kenntnis der Geschäftsführungeines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich. Handlungen von Beschäftigten,die bei verständiger Würdigung nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zugerechnet werden können („Exzesse“), sind ausgenommen.“
Datenschutzkonferenz positioniert sich zu Telemediendiensten und Tracking
In einer neuen im März 2019 herausgegeben Orientierungshilfe der DSK zu Telemediendiensten beziehen die deutschen Aufsichtsbehörden Position zu zwei aktuell sehr in Diskussion befindlichen Themen: Zum einen stellen die Behörden klar, dass sie die Datenschutzregeln im TMG nicht mehr für anwendbar halten. Die DSGVO hat als Regelung Vorrang. Nach Ansicht der Aufsichtsbehörden ist die ePrivacy-Richtlinie nicht in nationale gesetzliche Regelungen umgesetzt. Zur Orientierungshilfe hierweiterlesen
Zum anderen vertiefen die Behörden ihren Standpunkt zur Rechtmäßigkeit der Datenverarbeitung beim Tracking. Die Legitimation über das überwiegend berechtigte Interesse Art. 6 Abs.1 (f) DSGVO ist demnach nicht ausgeschlossen, muss aber im Einzelfall durch eine belegte Abwägung nachweisbar sein. Die Behörden beschreiben dazu eine dreistufige Prüfung, die durchzuführen ist. Am Beispiel der Pixel-Zählung kommen sie zum Schluss, dass kein berechtigtes Interesse besteht.
Hervorzuheben ist auch der klare Standpunkt, dass aus aufsichtsbehördlicher Sicht die typischen IDs im Webtracking wie Cookie-ID, MAC-ID oder Werbe-ID nicht als Pseudonym gesehen werden. Begründet wird dies damit, dass diese Merkmale nicht anlegt werden, um den Betroffenen vor Identifizierung zu schützen, sondern um ihn zu erkennen. In der Onlinewelt kommt es nach der Behördenansicht nicht auf den bürgerlichen Namen an, sondern die Erkennbarkeit z.B. durch Verknüpfung mit Accountanmeldungen.
VERDATA_ verstärkt Beraterteam
VERDATA_ baut die Kapazitäten durch einen neuen Mitarbeiter im Beraterteam aus.
Steht eine andere Handhabung mit Cookies an?
VERDATA_ teilt bisher den Standpunkt, dass Tracking auf Webseiten unter den Anforderungen des § 15 TMG bzw. Art. 6 Abs.1 (f) DSGVO auch ohne ausdrückliche Einwilligung zulässig ist. Dieser Standpunkt begründet sich auf den deutschen Sonderweg in Bezug auf die EU Cookie-Richtlinie (Richtlinie 2002/58 und der Richtlinie 2009/136). Im Kern geht es um die Frage, ob für Cookies eine Einwilligung erforderlich ist und wie diese Einwilligung aussehen muss. Frage 1: Form der Einwilligung. In seinem Antrag (siehe hier) erläutert Szunpar zunächst, dass eine Einwilligung immer ein aktives Handeln erfordert. Vorausgefüllte Ankreuzfelder, bei denen man aktiv werden muss, um seine Ablehnung auszudrücken, sind keine Einwilligung. Diese Auffassung ist unstrittig. Eine Einwilligung ist ein aktiver, kein passiver Vorgang nach ausreichender Information. Frage 2: Einwilligung für Cookies setzen. Szunpar führt zunächst aus, dass es unerheblich ist, ob man Cookies als personenbezogene Daten einordnet oder nicht. Die Cookie-Richtlinie verlange die Einwilligung für die Verarbeitung der Informationen. Wörtlich: Nach Auffassung des Anwaltes ist daher nicht entscheidend, was das deutsche TMG festlegt, denn dies regelt nur die Verarbeitung personenbezogener Daten. Entscheidend sei, dass die EU Cookie-Richtlinie diese Einwilligung verlangt: Offen ist damit allerdings, was die fehlende Umsetzung der Richtlinienvorgabe für den User bedeutet. Da eine Richtlinie nicht unmittelbar gilt, kann einem Webseitenbetreiber die fehlende Einwilligung nicht vorgeworfen werden, da es keine unmittelbare rechtliche Pflicht dafür gibt. Da sich aber nach dem Standpunkt des EUGH Anwaltes die Einwilligung auf das Datenformat „Cookie“, nicht aber allein am Merkmal „personenbezogene Verarbeitung“ fest macht, besteht ein vom Datenschutz losgelöster Grund für das Einwiligungserfordernis.
In einem laufenden Verfahren vor dem EUGH (BGH Vorlage nach Beschluss vom 5. Oktober 2017, Az.: I ZR 7/16) lehnt der EUGH Anwalt Szunpar diese Auffassung ab. weiterlesen
Im Streitfall war formularmäßig voreingestellt, dass der Nutzer der Webseite den Cookies der Webseite zustimmt.
Szunpar führt hinsichtlich der Informationen, die man über zu setzende Cookies machen muss, weitere Details aus. Die EU Richtlinie verlangt auch die Angabe der Lebensdauer und die Erläuterung, ob Dritte auf diese Cookies zugreifen.
„Es macht keinen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Art. 5 Abs. 3 der Richtlinie 2002/58 bezieht sich auf „die Speicherung von Informationen oder [den] Zugriff auf Informationen, die bereits … gespeichert sind“. Es ist klar, dass alle solchen Informationen einen den Datenschutz betreffenden Aspekt haben, unabhängig davon, ob sie „personenbezogene Daten“ im Sinne von Art. 4 Nr. 1 der Verordnung 2016/679 sind. Wie die Kommission zutreffend hervorhebt, zielt Art. 5 Abs. 3 der Richtlinie 2002/58 auf den Schutz des Nutzers vor Eingriffen in seine Privatsphäre ab, ungeachtet des Umstands, ob dabei personenbezogene Daten oder andere Daten betroffen sind.“
„Infolgedessen wurden die Anforderungen von Art. 5 Abs. 3 der Richtlinie 2002/58 durch § 15 Abs. 3 TMG offenbar nicht in vollem Umfang in deutsches Recht umgesetzt“.
Urteil: Ein Betreuer kann für einen Patienten eine datenschutzrechtliche Einwilligung abgeben
Das Amtsgericht erkennt für den Betreuer ein eigenes Recht, die datenschutzrechtliche Einwilligung abzugeben. Der Betreuer hat demnach eine eigene Ermächtigung. Aus dem Urteil: Das Gericht sieht in der Alternative, nämlich einen Ersatzbetreuer zu bestellen, der dann in die Einwilligung für Datenübermittlungen an den Betreuer einwilligt, einen „Kurzschluss“, weshalb dieser Weg nicht zum Ziel führt. Bereits die Bestellung eines Ersatzbetreuers erfordert eine Einwilligung, so dass das Problem nicht behoben werden kann. Entscheidend ist, so das Gericht, dass die Datenerfassung durch den Betreuer „ sich in den Grenzen seines gesetzlichen Auftrags bewegt“. Anders ist die Lage nur dann, wenn der Patient noch einwilligungsfähig ist.weiterlesen
„Die Ermächtigung hiermit ergibt sich aus § 1902 BGB in Verbindung mit dem Teilaufgabenkreis die Vertretung gegenüber sonstigen Institutionen. Das grundsätzlich für Betreuer geltende Verbot von In-sich-Geschäften gemäß § BGB § 1908i Abs. BGB § 1908I Absatz 1 S. 1 in Verbindung mit §§ BGB § 1795 Abs. BGB § 1795 Absatz 2, BGB § 181 BGB steht hier nicht entgegen.“
TeleTrusT legt aktualisierte Handreichung zum Stand der Technik vor
Der Bundesverband IT-Sicherheit e.V., kurz TeleTrusT, hat eine neue 73-seitige Handreichung zum Thema „Stand der Technik“ veröffentlicht. Darin finden sich Auseinandersetzungen mit verschiedenen typischen Maßnahmen wie Passwörter oder Verschlüsselung. Die Maßnahmen werden aus genannten Bedrohungslagen hergeleitet und sie werden anhand der Schutzziele (Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität) dargestellt. In der Handreichung werden die Einzelheiten der Maßnahmen gleichermaßen für die Anforderungen des IT-Sicherheitsgesetzes als auch der DSGVO hergeleitet. Am Beispiel der Verschlüsselung wird dargestellt, welche Form der Verschlüsselung nach Auffassung der TeleTrustT als Stand der Technik einzustufen sind. Gleiches findet sich bei anderen Maßnahmen. Das Dokument zum download hierweiterlesen
Anforderungen an die E-Mailtransportverschlüsselung
Die Nordrhein-Westfälische Landesdatenschutzbeauftragte für den Datenschutz hat in einer aktuellen Empfehlung zur E-Mailsicherheit wesentliche Kriterien für eine Transportverschlüsselung benannt. • Die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung, wie sie von den namhaften europäischen Providern standardmäßig angeboten wird.
Nach Auffassung der Behörde handelt es sich dann um angemessene Schutzmaßnahmen im Sinne des Art.32 DSGVO, wenn die folgenden Punkte erfüllt werden: Text: NRW Aufsichtsbehörde
• Die Transportverschlüsselung sollte entsprechend der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ implementiert sein. In Abhängigkeit vom Schutzbedarf der versendeten Daten und dem Risiko können Abweichungen von der Richtlinie statthaft sein.
• Es ist zu berücksichtigen, dass bei einer Transportverschlüsselung die E-Mails auf den E-Mail-Servern im Klartext vorliegen und grundsätzlich einsehbar sind. Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend. Zusätzliche technische und organisatorische Maßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung können geboten sein. Sollte dies nicht gewährleistet werden können, sind ggf. alternative Übertragungswege denkbar: Hierzu zählen der elektronische Austausch über eine gesicherte Verbindung (Web-Portal des Verantwortlichen mit Zugangsbeschränkungen) oder die klassische postalische Zusendung.
Urteil: Anbieter eines E-Mail-Dienstes kann im Rahmen einer ordnungsgemäß angeordneten Überwachung zur Übermittlung von IP-Adressen verpflichtet werden
Auch datenschutzoptimiertes Geschäftsmodell entbindet nicht von Einhaltung gesetzlicher Vorgaben. Das Bundesverfassungsgericht hat entschieden, dass es nicht gegen das Grundgesetz verstößt, dass der Anbieter eines E-Mail-Dienstes im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verpflichtet ist, den Ermittlungsbehörden die Internetprotokolladressen (im Folgenden: IP-Adressen) der auf ihren Account zugreifenden Kunden auch dann zu übermitteln, wenn er seinen Dienst aus Datenschutzgründen so organisiert hat, dass er diese nicht protokolliert.weiterlesen
Urteil: Angabe einer E-Mailadresse ist keine Einwilligung und ein Sporthändlersortiment keine vergleichbare Leistung zu Kinderhosenkauf
Sachverhalt: Ein Kunde hatte bei einem Sportartikel-Versand eine Kinderhose bestellt und bekam später mehrere E-Mails mit Werbung an die im Bestellprozess angegebene (private) Emailadresse. Diese Werbung bezog sich auf das gesamte Produktportfolio des Sportartikel-Versands. In der Datenschutzerklärung des Shops hieß es u.a.: „Als Kunde werden deine Daten zum Zweck der Vertragserfüllung und für eigene Werbezwecke genutzt.“ Entscheidung: 1. Die bloße Angabe einer E-Mail-Adresse im Rahmen des Bestellprozesses bei einem Online-Shop ist keine Einwilligung für E-Mail-Werbung. Eine Einwilligung ist eine Willensbekundung, die ohne Zwang und für den konkreten Fall und in Kenntnis der Sachlage erfolgt. Mit der Willensbekundung kommuniziert die betroffene Person, dass sie akzeptiert, dass sie betreffende personenbezogene Daten werden. Notwendig ist, dass die betroffene Person eine Erklärung ausdrücklich und in gesonderter Weise (z.B. durch eine getrennte Checkbox) abgibt. Anmerkung: Da hier der Anwalt eines Verbandes geklagt hatte, konnten Ansprüche aus dem UWG geltend gemacht werden. Als Privatperson hätte (auch) Verletzung aus §§ 1004, 823 BGB geltend gemacht werden können.weiterlesen
Das Gericht stellte einen Unterlassunganspruch des Kunden gegen den Händler fest (§§ 3, 7, 8 UWG) zu. Es fehlte an den Voraussetzungen, unter den E-Mailwerbung zulässig ist. E-Mailwerbung ohne die Voraussetzungen des § 7 UWG ist als unzumutbare Belästigung einzustufen.
Das ist nicht gegeben, wenn die Verarbeitung nur im Rahmen der AGBs erläutert wird.
2. Nach Auffassung des Gerichtes liegt auch kein Ausnahmetatbestand des § 7 Abs. 3 UWG zur Bestandskundenwerbung vor. Das Gericht vertrat die Auffassung, dass Werbung für das gesamte Sortiment nicht Werbung für gleichartige Produkte bedeutet. Das gesamte Sortiment eines Sportartikel-Händlers ist nicht ähnlich mit einer dort gekauften Kinderhose, so dass die Voraussetzungen des § 7 Abs.3 UWG nicht vorliegen.
Offen ist, ob die Werbung nicht auch als unzulässig eingestuft werden muss, weil der betroffene nicht über das Widerspruchsrecht unterrichtet wurden.
BayLDA: Medienbruch in der Information über Videoüberwachung zulässig
Das Bayerische Landesamt für Datenschutz setzt sich in einer kleinen Stellungnahme mit der Informationspflicht nach Art.13 DSGVO bei Videoüberwachung auseinander. Die Behörde verweist zum einen auf die bereits bekannte Darstellung der Informationen nach dem Muster der Datenschutzkonferenz. Zum anderen äußert sich die Behörde aber zur Information über die Rechte von Betroffenen, über die nach Art. 13 DSGVO ebenfalls zu unterrichten ist. Hier hält das BayLDA es für zulässig, auf online bereitgestellte Informationen zu verweisen und lediglich den Link zu dieser Info abzugeben. Auch sollte die Information für Personen, die über keinen Internetzugang verfügen, an anderer Stelle erhaltbar sein.weiterlesen
Die Behörde verweist hinsichtlich des Informationsblattes auf ein Muster, das ebenfalls von der DSK herausgegeben wurde
Das interessante Fazit dieser Stellungnahme ist, dass die Behörde einen Medienbruch in der Information nach Art.13 DSGVO für zulässig bewertet hat.
Zur Stellungnahme:
https://www.lda.bayern.de/de/videoueberwachung.html
Urteil: DSGVO-Verstöße sind nicht abmahnfähig
Nach dem LG Bochum (Urteil 7.8.2018 Az. I-12 O 85 / 18) hat auch das LG Wiesbaden geurteilt, dass evtl. Verstöße gegen die DSGVO nicht vom Wettbewerber abgemahnt werden können. Das klagende Unternehmen bemängelte, dass der Wettbewerber nicht ausreichend über das Auskunftsrecht informiert und sah darin ein wettbewerbswidriges Verhalten.weiterlesen
Nach dem Urteil sind Mitbewerber nach dem UWG (§§ 3 Abs. 1,3 a i.V.m. § 8 Abs. 3 Nr. 1 UWG) weder anspruchsberechtigt noch klagebefugt. Die DSGVO enthalte hinsichtlich Sanktionen und Rechtsbehelfen abschließende Festlegungen, wie eine betroffene Person gegen Verstöße vorgehen kann. Die DSGVO ist nach Auffassung des Gerichtes in den Artikeln 77-84 eine abschließende Regelung schließt Ansprüche von Mitbewerbern aus.
VERDATA_ betreut Klinikverbund
VERDATA_ baut die Kernkompetenz im Gesundheitsdatenschutz weiter aus. Mit dem neuen Jahr gehört auch ein Verbund katholischer Kliniken zum Kreis der VERDATA_ Kunden.
Neue Durchführungsverordnung zum KDG
Auf der November-Vollversammlung 2018 des Verbandes der Diözesen Deutschlands (VDD) wurde die Neufassung der Durchführungsverordnung für das Katholische Datenschutzgesetz beschlossen. Die neue DVO ist hier abrufbar
VERDATA_ trainiert EU-DPO eines internationalen Electronic-Konzerns
We also speak English! In mehreren Trainingseinheiten vertieft VERDATA_ die DSGVO Datenschutzanforderungen mit dem für die EU Niederlassungen zuständigen Datenschutzbeauftragten eines weltweit agierenden Konzerns für Consumer-Electronic. U.a. liegt ein Augenmerk dabei auf den deutschen Anforderungen für werbliche Kontaktierung.
Krankenkasse darf Lichtbilder von Versicherten nicht dauerhaft speichern
Die Speicherung von Lichtbildern nach Herstellung der elektronischen Gesundheitskarte und Übermittlung der Karte an den Versicherten ist unzulässig.
Urteil: Unterlassungsanspruch bei rechtswidriger Videoüberwachung
Greifen erstellte Videoaufnahmen rechtswidrig in das Persönlichkeitsrecht ein, besteht ein vorbeugender Unterlassungsanspruch gegen die weitere Verwendung der Videoaufnahmen gem. §§ 823 Abs. 1, 1004 Abs. 1 Satz 2 (analog). Aus dem Urteil: 1. Ob eine Videoaufnahme rechtswidrig in das Persönlichkeitsrecht eingreift, hängt davon ab, die Abwägung der widerstreitenden Interessen ein Überwiegen des Schutzes des Persönlichkeitsrechts ergibt: 2. Der Eingriff in das Persönlichkeitsrecht liegt bereit darin, dass es sich a) um lächerlich machende Bilder handelt und b) die abgebildete Person nicht mehr über die Verbreitung dieser Bilder entscheiden kann: 3. Handelt es sich um Bilder nur aus der Sozialsphäre des Betroffenen, kann der Eingriff durch geringfügige Gegeninteressen bereits gerechtfertigt sein. Minimum ist aber, dass es überhaupt schützenswerte Interesse desjenigen gibt, der die Videoaufnahmen macht: 4. Als Rechtfertigung kommen Einwilligung, ein berechtigtes Interesse an einer Abwehr von schädlichem Verhalten, aber auch Beweissicherung in Frage. Diese Gründe müssen aber tatsächlich vorliegen:weiterlesen
„ Die Anfertigung von Videoaufnahmen als solches, berührt grundsätzlich das Persönlichkeitsrecht des Betroffenen (Vgl. nur Schricker, Urheberrecht, 2. Aufl., § 22 KUG/§ 60 Rn. 11, Dreier/Schulze, UrhG, 3. Aufl., § 22 KUG Rn. 13). Da es sich bei dem allgemeinen Persönlichkeitsrecht jedoch um ein sogenanntes Rahmenrecht handelt, erkennt die h.M., und so auch das erkennende Gericht, keinen allgemeinen, grenzenlosen Schutz vor jeglicher Form von Bildaufnahmen an. Die Frage, ob das allgemeine Persönlichkeitsrecht in rechtswidriger Weise verletzt ist, ist vielmehr im Rahmen einer Abwägung der widerstreitenden grundrechtlich geschützten Belange zu bestimmen, bei der die besonderen Umstände des Einzelfalls sowie die betroffenen Grundrechte und Gewährleistungen der Europäischen Menschenrechtskonvention interpretationsleitend zu berücksichtigen sind. Der Eingriff in das Persönlichkeitsrecht ist nur dann rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt.“
Nach der Rechtsprechung des BGH kann auch die Herstellung von Bildnissen einer Person, insbesondere die Filmaufzeichnung mittels Videogerät, in der Öffentlichkeit zugänglichen Bereichen und ohne Verbreitungsabsicht einen unzulässigen Eingriff in das Persönlichkeitsrecht des Betroffenen darstellen. Ob und in welchem Umfang bereits die Fertigung derartiger Bilder rechtswidrig und unzulässig ist oder aber vom Betroffenen hinzunehmen ist, kann nur unter Würdigung aller Umstände des Einzelfalls und durch Vornahme einer unter Berücksichtigung aller rechtlich, insbesondere auch verfassungsrechtlich geschützten Positionen der Beteiligten durchgeführten Güter- und Interessenabwägung ermittelt werden (BGH, Urteil vom 25. April 1995 – VI ZR 272/94 –, juris, Rn. 15).“
„Nach dem Eindruck, welchen das Gericht im Rahmen der informatorischen Anhörung von dem Kläger zu 1. gewinnen konnte, ist diesem die Existenz dieser Videos in hohem Maße peinlich und unangenehm. Das Gericht hält nach Inaugenscheinnahme des Videos für absolut verständlich, dass der Kläger sich durch diese Videos lächerlich gemacht fühlt. Der Kläger wird dort in exponierter Stellung, mit freiem Oberkörper, abgebildet. Er ist nicht etwa zufällig Teil der streitgegenständlichen Aufnahmen geworden, sondern gewissermaßen deren Protagonist.
Durch die Anfertigung der Videoaufnahme seitens des Beklagten zu 1., hat der Kläger zu 1. jegliche Verfügungsmacht über die Darstellung seiner eigenen Person verloren. Der Beklagte zu 1. hat sich auf diese Weise in eine Position gebracht, in welcher er frei über die angefertigte, den Kläger lächerlich machende, bildliche Darstellung verfügen, und diese nunmehr selbst oder mit anderen, jederzeit betrachten und potentiell verbreiten kann.“
„Wägt man hiergegen das Interesse des Beklagten zu 1. an der Anfertigung dieser Videoaufnahmen ab, führt dies nach Ansicht des erkennenden Gerichts zur Annahme einer Verletzung des Persönlichkeitsrechts des Klägers zu 1. Hierbei hat das Gericht berücksichtigt, dass an die Rechtfertigung eines möglichen Eingriffs keine hohen Anforderungen zu stellen sind, wenn lediglich die Sozialsphäre des Abgebildeten betroffen ist.“ …
„Fraglos ist auch zu berücksichtigen, dass der Kläger zu 1. sich bewusst entschieden hat, gegenüber den Beklagten das beschriebene Verhalten an den Tag zu legen. Er hatte also gewissermaßen in der Hand, ob überhaupt die Möglichkeit bestand, ihn in der gegenständlichen exponierten Haltung abzulichten, oder nicht. Diese Umstände konnten sich zu Gunsten des Beklagten zu 1. jedoch nur dann niederschlagen, wenn dieser überhaupt ein schützenswertes Interesse an der Anfertigung der Aufnahmen gehabt hätte.“
„Das Verhalten des Klägers hatte, auf Grund seiner kurzen zeitlichen Dauer, auch noch keine Beeinträchtigung der Rechtsgüter der Beklagten in einem Ausmaß erreicht, dass diese gewissermaßen in Form der Notwehr oder Selbsthilfe zum „Gegenangriff“ in der beschriebenen Form übergehen durften. Ungeachtet der Frage der Geeignetheit der Anfertigung solcher Aufnahmen, zur Abwehr der in Rede stehenden Beeinträchtigung, hätten hier mildere Mittel zur Verfügung gestanden. Die von dem Beklagten zu 1. beschriebene Bedrohungslage, konnte das Gericht auf dem Video nicht erkennen.“ …. „Auch der Einwand, die Aufnahmen seien zum Zwecke der Beweissicherung erforderlich gewesen, überzeugt nicht. Ein strafrechtlich relevantes Verhalten des Klägers ist bereits nicht dargetan. Das Gericht konnte nicht erkennen, dass der Kläger zu 1. ein Verhalten an den Tag gelegt hätte, welches geeignet gewesen sein könnte, die Integrität des Garagendaches zu beeinträchtigen.“
5. Videoaufnahmen ohne schützenswerte Interessen an der Aufnahme verletzen das Persönlichkeitsrecht:
„Hat der Kläger aus den vorstehenden Gründen jedoch kein schützenswertes Interesse an der Anfertigung der Aufnahmen, wird der Kläger durch die Fertigung der Aufnahmen, welche seine Sozialsphäre berühren, zweifelsohne in seinem Persönlichkeitsrecht verletzt. Das Filmen der eigenen Person, ohne schützenswertes Eigeninteresse des Filmenden, braucht dieser nicht zu dulden. Aus denselben Gründen stellt sich dieser Eingriff auch als rechtswidrig dar.
Urteil: Arbeitgeber muss Schwerbehindertenvertretung notwendige Personaldaten zur Verfügung stellen
Gegenstand des vorliegenden Verfahrens ist die Bereitstellung von Mitarbeiterdaten schwerbehinderter Beschäftigter seitens des Betriebs Telekom Placement Services (vormals Vivento) an die dort gewählte Schwerbehindertenvertretung, die Antragstellerin und Beteiligte.
Urteil: Bloße Möglichkeit von Aufnahmen des eigenen Grundstücks durch Überwachungskameras des Nachbarn begründet noch keinen Unterlassungsanspruch
– 213 C 15498/18 –
Bei Prüfung möglicher unzulässiger Eingriffe in allgemeines Persönlichkeitsrecht durch „Überwachungsdruck“ ist auf Umstände des Einzelfalls abzustellen. Die bloße Möglichkeit, von Überwachungskameras des Nachbarn erfasst zu werden, kann im konkreten Einzelfall noch zumutbar sein. Dies entschied das Amtsgericht München und wies damit die Klage eines Nachbarn auf Beseitigung einer auf sein Grundstück ausgerichteten Überwachungskamera und Unterlassung der Anbringung anderer auf sein Grundstück ausgerichteter Kameras ab.weiterlesen
Evangl. Kirche veröffentlicht Liste für pflichtige Folgenabschätzung
Der Beauftragte für den Datenschutz der Evangelischen Kirche hat nun nachgezogen und ebenfalls eine Liste mit Verarbeitungen veröffentlicht, bei denen in jedem Fall eine Folgenabschätzung durchgeführt werden muss. Es erfolgt damit eine Konkretisierung von § 34 Abs.3 DSG EKD.
Zur Handreichung (Übersicht) – hier
Bayr. Aufsichsbehörde veröffentlicht Orientierungshilfe „Informationspflichten“
Der Bayerische Landesdatenschutzbeauftragte hat die Erfahrungen des ersten halben Jahres DSGVO zum Thema Informationspflicht aufgearbeitet und dazu eine Orientierungshilfe veröffentlicht. Darin sind Anwendungshinweise und Formulierungsvorschläge enthalten.
Urteile-Übersicht: Arbeitgeber sind keine Telekommunikationsanbieter im Sinn des TKG
Noch steht eine höchstrichterliche Bundes-Entscheidung aus, jedoch hat sich eine Rechtsprechung verfestigt, die vom Standpunkt ausgeht, dass der Arbeitgeber kein Telekommunikationsanbieter im Sinne des TKG ist und die Regeln des TKG daher im Arbeitsverhältnis keine Anwendung finden. Urteile- Übersicht: Arbeitgeber sind keine Telekommunikationsanbieter im Sinn des TKG. Noch steht eine höchstrichterliche Bundes-Entscheidung aus, jedoch hat sich eine Rechtsprechung verfestigt, die vom Standpunkt ausgeht, dass der Arbeitgeber kein Telekommunikationsanbieter im Sinne des TKG ist und die Regeln des TKG daher im Arbeitsverhältnis keine Anwendung finden. Folgende Gerichte und Urteile vertreten die genannte Auffassung: – Im Kündigungsschutzprozess können zu Lasten des Arbeitnehmers die vom Arbeitgeber ohne Hinzuziehung des Arbeitnehmers ausgewerteten Einträge der aufgerufenen Internetseiten in der Chronik des auf dem Dienstrechner des Arbeitnehmers installierten Internet-Browsers zum Beweis einer exzessiven Internetnutzung verwertet werden. Obwohl es sich dabei um personenbezogene Daten handelt und auch wenn eine wirksame Einwilligung in die Kontrolle dieser Daten nicht vorliegt, besteht kein Beweisverwertungsverbot, Zum Volltext des Urteils hier: – Ein Arbeitgeber wird nicht allein dadurch zum Dienstanbieter i. S. d. Telekommunikationsgesetzes, dass er seinen Beschäftigten gestattet, einen dienstlichen E-Mail-Account auch privat zu nutzen. Zum Volltext des Urteils hier: – Das Fernmeldegeheimnis wird nicht berührt, wenn nicht der eigentliche E-Mail-Verkehr an sich, sondern lediglich der auf dem Rechner des Arbeitgebers abgespeicherte Inhalt kontrolliert wird (vgl. VGH Hessen, 19. Mai 2009, 6 A 2672/08.Z, NJW 2009, 2470). Der Grundrechtsschutz nach Art. 10 GG erstreckt sich nicht auf die außerhalb eines laufenden Kommunikationsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Inhalte und Umstände der Kommunikation. Der Schutz des Fernmeldegeheimnisses endet in dem Moment, in dem die E-Mail beim Empfänger angekommen und der Übertragungsvorgang beendet ist (vgl. BVerfG, 16. Juni 2009, 2 BvR 902/06, NJW 2009, 2431). Entsprechendes gilt für die abgespeicherten Chatprotokolle, die nach Abschluss des Chatgesprächs auf dem Arbeitsplatzrechner des Klägers verblieben sind. Auch diese sind lediglich die gespeicherten Inhalte und Umstände einer abgeschlossenen Kommunikation. Zum Volltext des Urteils hier: – Zutreffend hat das Verwaltungsgericht zum Löschungsanspruch des Klägers dargelegt, dass dieser sich nicht zusätzlich auf § 88 TKG berufen kann. Zum Volltext des Urteils hier: „Der Schutzbereich des § 88 TKG ist im vorliegenden Fall nicht eröffnet. § 88 TKG ist im Verhältnis zu den Datenschutzgesetzen eine spezielle Schutzvorschrift für personenbezogene Daten, die im Rahmen eines Telekommunikationsvorgangs anfallen (vgl. Bock in Beck’scher TKG-Kommentar, 3. Aufl., § 88 Rn. 10). § 88 TKG hat allerdings wie Art. 10 GG allein den Schutz des Fernmeldegeheimnisses zum Ziel. § 88 TKG kann als einfachgesetzliche Ausprägung des Fernmeldegeheimnisses nach Art. 10 GG bezeichnet werden (vgl. Bock in Beck’scher TKG-Kommentar, 3. Aufl., § 88 Rn. 1). Ist der Schutzbereich des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG nicht eröffnet, so kann sich ein Betroffener auch nicht auf das für Diensteanbieter im Sinne von § 3 Nr. 6 TKG geltende gesetzliche Verbot nach § 88 Abs. 2 und Abs. 3 TKG berufen (vgl. Hess. VGH, Beschluss vom 19.05.2009 – 6 A 2672/08.Z – NJW 2009, 2470). So liegt der Fall hier. Das Bundesverfassungsgericht grenzt den Schutzbereich des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG in ständiger Rechtsprechung auf die Bewahrung des privaten, vor der Öffentlichkeit und den Eingriffen unbefugter Dritter unbehelligt ablaufenden Austauschs von Informationen während des Kommunikations- oder Übertragungsvorgangs ein. Der Grundrechtsschutz des Art. 10 Abs. 1 GG erfasst demgegenüber nicht die nach Abschluss des Kommunikationsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Inhalte und Verbindungsdaten, soweit dieser eigene Schutzvorkehrungen gegen den heimlichen Datenzugriff treffen kann. Die spezifischen Gefahren einer räumlich distanzierten Kommunikation, vor denen das Telekommunikationsgeheimnis schützen will, bestehen hier nicht fort (vgl. Hess. VGH, Beschluss vom 19.05.2009 – 6 A 2672/08.Z – a.a.O. unter Bezug auf BVerfG, Urteile vom 02.03.2006 – 2 BvR 2099/04 – BVerfGE 115, 166 = NJW 2006, 976 und vom 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07 – BVerfGE 120, 274 = NJW 2008, 822; siehe ferner BVerfG, 16.06.2009 – 2 BvR 902/06 – BVerfGE 124, 43 = NJW 2009, 2431; LAG Niedersachsen, Urteil vom 31.05.2010 – 12 Sa 875/09 – NZA-RR 2010, 406; LAG Berlin-Brandenburg, Urteil vom 16.02.2011 – 4 Sa 2132/10 – DB 2011, 1281; LAG Hamm, Urteil vom 10.07.2012 – 14 Sa 1711/10 – DuD 2013, 50 = juris Rn. 175). Gemessen daran ist der Schutzbereich des Fernmeldegeheimnisses des Art. 10 Abs. 1 GG hier hinsichtlich der streitgegenständlichen E-Mail-Postfachdaten des Klägers nicht betroffen. Dies folgt daraus, dass es sich bei den E-Mails nicht um Kommunikationsinhalte handelt, die der Beklagte während des Kommunikations- oder Übertragungsvorgangs ohne Wissen und Wollen der Kommunikationsteilnehmer datenmäßig erfasst und gespeichert beziehungsweise in anderer Weise verarbeitet hat. Vielmehr sind diese E-Mails erst nach dem Abschluss der Übertragung über den Empfänger der E-Mail in die Speichermedien des Beklagten gelangt (vgl. Hess. VGH, Beschluss vom 19.05.2009 – 6 A 2672/08.Z – a.a.O.).“ 5. LAG Niedersachsen, Urteil vom 31.05.2010, Az. 12 SA 875/09: – Gestattet ein Arbeitgeber seinen Mitarbeitern, den Arbeitsplatzrechner auch zum privaten E-Mail-Verkehr zu nutzen und E-Mails, die von den Mitarbeitern nicht unmittelbar nach Eingang oder Versendung gelöscht werden, im Posteingang oder -ausgang zu belassen oder in anderen auf lokalen Rechnern oder zentral gesicherten Verzeichnissen des Systems abzuspeichern, unterliegt der Zugriff des Arbeitgebers oder Dritter auf diese Datenbestände nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses. Schutz gegen die rechtswidrige Auswertung dieser erst nach Beendigung des Übertragungsvorganges angelegten Daten wird nur durch die Grundrechte auf informationelle Selbstbestimmung bzw. auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gewährt (Hessischer Verwaltungsgerichtshof 19.05.2009, 6 A 2672/08.Z, NJW 2009, 2470 – 2473). Die Beklagte hat vorliegend nicht die § 15 Telemediengesetz bzw. § 88 Telekommunikationsgesetz verletzt, da sie im Sinne dieser Spezialgesetze nicht als „Dienstanbieter“ von Telekommunikationsdienstleistungen anzusehen ist. Bei einer Kollision des allgemeinen Persönlichkeitsrechts des Arbeitnehmers mit den Interessen des Arbeitgebers ist durch eine Güteabwägung im Einzelfall zu ermitteln, ob das allgemeine Persönlichkeitsrecht den Vorrang verdient (BAG 13.12.2007 a. a. O. Rn. 36). Zum Volltext des Urteils hier: – Gestattet ein Arbeitgeber seinen Mitarbeitern, den Arbeitsplatzrechner auch zum privaten E-Mail-Verkehr zu nutzen und E-Mails, die von den Mitarbeitern nicht unmittelbar nach Eingang oder Versendung gelöscht werden, im Posteingang oder -ausgang zu belassen oder in anderen auf lokalen Rechnern oder zentral gesicherten Verzeichnissen des Systems abzuspeichern, unterliegt der Zugriff des Arbeitgebers oder Dritter auf diese Datenbestände nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses. Schutz gegen die rechtswidrige Auswertung dieser erst nach Beendigung des Übertragungsvorgangs angelegten Daten wird durch die Grundrechte auf informationelle Selbstbestimmung bzw. auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gewährt. Zum Volltext des Urteils hier: – Bei der Erhebung und Speicherung von Daten hinsichtlich der Nutzung des Internets durch den Arbeitnehmer ist dessen Persönlichkeitsrecht in der Form des Rechts auf informationelle Selbstbestimmung betroffen. Eine Rechtsgrundlage für eine Kontrolle der dienstlichen Internetnutzung enthält das Bundesdatenschutzgesetz (das TKG ist dagegen nicht anwendbar – vgl. Mengel, BB 2004, 2014 [2020]).weiterlesen
Diese Auffassung steht im Gegensatz zur Auffassung der deutschen Aufsichtsbehörden.
– Auch aus § 88 Abs. 3 TKG folgt in diesem Falle kein Beweisverwertungsverbot, weil das TKG nicht anwendbar ist, wenn der Arbeitgeber den Arbeitnehmern eine private Nutzung des dienstlichen Internetanschlusses erlaubt.
– Belassen die Beschäftigten bei Nutzung des Arbeitsplatzrechners die eingehenden E-Mails im Posteingang bzw. die versendeten im Postausgang, so unterliegt der Zugriff des Arbeitgebers auf diese Daten nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses.
VG Karlsruhe, Urteil vom 27.05.2013, Az. 2 K 3249/12
Urteil: Berechtigte Interesse im Sinne des Art.6 Abs.1 (f) DSGVO sind auch wirtschaftliche oder ideelle Interessen
Um einen möglichen Schadensersatzanspruch ermitteln zu können, dürfen Angaben über Abnehmer (Käufer) bestimmter Produkte nach Art. 6 Abs.1 Buchstabe f DSGVO herausgegeben werden. 1. Bei der Interessenabwägung nach Art.6 Abs 1(f) DSGVO kommt es nicht nur auf rechtliche Interessen der Gegenseite, sondern auch auf wirtschaftliche oder idelle Interessen an. Der Anwendungsbereich ist weit auszulegen: „Vor dem teleologischen Hintergrund von Art. 6 Abs. 1 Satz 1 Buchst. DS-GVO, einen Ausgleich zwischen den Interessen des Betroffenen und jenen des Verantwortlichen (oder eines Dritten) zu schaffen, können dabei nicht nur rechtliche Interessen von Bedeutung sein, sondern müssen auch wirtschaftliche oder ideelle Interessen des Verarbeiters berücksichtigt werden. Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten, wobei das Recht auf Berufsfreiheit hervorzuheben ist (BeckOK, a.a.O., Rn. 49). Geht man davon aus, dass die von seiten der Klägerin erteilte Information der Beklagten zur Ermittlung eines möglichen Schadensersatzanspruchs aus der Verletzung des Vertragshändlervertrags dient und die Klagepartei gemäß § 242 BGB zur Erteilung einer solchen Information gehalten ist, kann der Gesichtspunkt des Schutzes der wirtschaftlichen Daten der jeweiligen Kunden der Klägerin nicht höhergestellt werden.“ 2. Bei der Interessenabwägung sind auch zu berücksichtigen, welche Daten betroffen sind und ob das Gebot der Datenvermeidung (nicht erforderliche Angaben ausgeschlossen) berücksichtigt wird: „Insoweit ist besonders zu berücksichtigen, dass die Daten keinen höchst persönlichen Bereich oder ein besonderes Knowhow der Branche betreffen, sondern einen nach außen hin – durch Einsatz der Kräne bzw, Aufbauten – nicht verborgen bleibenden Kaufvorgang. Auch stehen Interessen der Kunden an wirtschaftlicher Geheimhaltung nicht inmitten: Daten wie Ratenzahlung, Kreditfinanzierung u.ä. sind nicht Gegenstand der geschuldeten Auskunft.“
weiterlesen
KG Berlin 06.11.2006 Az. 10 U 282/05
Für die Bewertung einer Bildveröffentlichung ist auch die Privatheitserwartung bei der et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Zum Urteil
Abwägung Pressefreiheit/Persönlichkeitsrecht entscheidendweiterlesen
LDSB BaWü: FAQs zum Thema „Fotografieren“
Die baden-württembergische Datenschutz-Aufsichtsbehörde hat eine weitere Hilfe zur Anwendung der DSGVO im Alltag veröffentlicht: in einer eigenen Rubrik zum Thema „Fotografieren“ werden häufige Fragen zum Datenschutz beim Fotografieren beantwortet. Lesenswert: die Rechtsgrundlage.
Neues VERDATA_ AUDIT
VERDATA_ entwickelt ein eigenes Basis-Audit, um die Erfüllung der grundlegenden Datenschutzanforderungen nach DSGVO messen und prüfen zu können. In über 80 Anforderungspunkten prüfen die VERDATA_ Experten, wie rechenschaftspflichtige Punkte umgesetzt werden.
LDSB BaWü: FAQ für Arztpraxen veröffentlicht
Die Datenschutzaufsichtsbehörde Baden-Württemberg hat eine kleine „frequently ask questions“ zur Umsetzung der DSGVO in Arztpraxen veröffentlicht. Damit werden einige Standpunkte der süddeutschen Aufsichtsbehörde zur Anwendung der DSGVO sichtbar.
VERDATA_ bezieht neue eigene Räumlichkeiten in Düsseldorf
Nach über 10 Jahren bezieht VERDATA_ mit Blick auf die Zeiten nach Inkrafttreten der DSGVO neue Räumlichkeiten im Düsseldorfer Stadtteil Derendorf. Die neuen Räumlichkeiten sind moderner, zentrumsnäher und in Familienhand. Für die weitere Unternehmensentwicklung bedeutet dies hohe Planbarkeit und Stabilität – und mit einer schicken moderneren Ausstattung beste Voraussetzung für neue Zeitenwende im Datenschutz.
LDSB Niedersachsen: DSGVO Fragenkatalog
Die Niedersächsische Datenschutzaufsichtsbehörde prüft mit einem Fragenkatalog quer durch die Anforderungen der DSGVO Unternehmen in Niedersachsen.
VERDATA_ in Vollauslastung
Die zum 25.5. beginnende Wirksamkeit der DSGVO hat auch auf VERDATA_ enorme Auswirkungen. Die Anfragemenge nach Unterstützung erreicht solche Ausmaße, dass Wartezeiten für die Beratungsleistungen ausgegeben werden. Zur Qualitätssicherung wird eine wichtige Entscheidung getroffen: Es werden vorläufig keine Neuaufträge mehr angenommen.
VERDATA_ baut Team aus
Das Backoffice wird verstärkt. Anfragen, Terminanfragen und Unterstützungsleisten können über deutlich mehr Zeit adhoc bearbeitet werden und entlasten das Beraterteam. VERDATA_ bereitet sich mit Blick auf die DSGVO auf veränderte Beratungsleistungen vor.
Urteil: Zahnmedizinische Begutachtung
Eine Zahnmedizinische Begutachtung darf nur durch Medizinischen Dienst der Krankenversicherung erfolgen.
VERDATA_ begleitet digitale Versicherung im Datenschutz
VERDATA_ erhält den Auftrag für den Datenschutzbeauftragten bei einer jungen digitalen Versicherung und kann so die Kompetenz in den Fachthemen des Online-Datenschutzes ausbauen.
Urteil: Ansprüche wegen Persönlichkeitsrechtsverletzung
Ansprüche wegen Persönlichkeitsrechtsverletzung sind nicht vererblich.
Das Urteil des BGH finden Sie hier
VERDATA_ begleitet Unternehmensspaltung börsennotierten Unternehmens
Im Rahmen des Abspaltungsprozesses von Unternehmensteilen in eine eigene Gesellschaft begleitet VERDATA_ den Prozess unter Datenschutzbetrachtung.
VERDATA_ stellt Datenschutzbeauftragten im Eisenbahngewerbe
VERDATA_ verfügt bereits über diverses branchenspezifisches Fach-Know-how und kann nun mit einer weiteren Branche punkten.
VERDATA_ AKADEMIE erhält Auftrag zur konzerninternen DSB Ausbildung
Eine Unternehmensgruppe im Health Care Bereich setzt bei der Ausbildung der internen Datenschutzbeauftragten auf VERDATA_. In einem speziell zugeschnittenen Kurs erhalten die Teilnehmer an den Spezifika des Unternehmens ausgerichtete Datenschutzfachkompetenz und legen am Ende der Ausbildung eine Prüfung ab.
VERDATA_ AKADEMIE legt Programm zur DSGVO Fachkunde im Krankenhaus auf
Ab Mai 2018 gelten die Vorschriften der DSGVO – die VERDATA_ AKADEMIE legt dazu für 2017 exklusiv ein Programm auf, das über 2 Tage hinweg für die Datenschutzbeauftragten aus Krankenhäusern die Anforderungen aufarbeitet und einen Arbeitsplan zur Umsetzung vermittelt.
Geschäftsführer Marco Biewald gibt BvD Vorstandstätigkeit ab
In der laufenden Wahlperiode hat VERDATA_ Geschäftsführer Marco Biewald seinen Rücktritt vom BvD Vorstandsposten erklärt. Mit Blick auf die kommende EU Verordnung zum Datenschutz sind im BvD aber auch bei VERDATA_ strategische Ausrichtungen notwendig, welche in der Richtung als auch in der Prioritäten eine Entscheidung erfordern. VERDATA_ erhält hierbei eindeutige Priorität.
VERDATA_ stellt weiteren Datenschutzbeauftragten in Klinikum in Nordrhein Westfalen
Die älteste der Spezialkompetenzen von VERDATA_ ist der Gesundheitsdatenschutz. VERDATA_ erhält den Auftrag für ein weiteres Klinikum, das aus mehreren Häusern entstanden ist und unterstützt beim Aufbau einer gemeinsamen Unternehmensorganisation.
VERDATA_ stellt Datenschutzbeauftragten bei Fintec-Startups
VERDATA_ baut die fachliche Kompetenz in der Finanzbranche weiter aus und unterstützt ab sofort zwei Unternehmensgruppen der Fintec Startup Szene.
VERDATA_ steigert Umsatz deutlich
Bereits vor Ablauf des Jahres zeigt sich das Jahr 2012 als das bis dahin erfolgreichste Jahr in der Unternehmensentwicklung. Mit einer hohen Auslastung und einer extrem stabilen Kundenliste wurden nicht nur im Bereich DSB Leistungen, sondern auch spezialisierte Fachberatungen deutlich mehr Umsätze erzielt.
VERDATA_ stellt Datenschutzbeauftragten in börsennotiertem Unternehmen
Das VERDATA_ Team hat den Zuschlag für Übernahme der Aufgaben des betrieblichen Datenschutzbeauftragten eines S-DAX Unternehmens erhalten. Insbesondere die Fachkompetenz im Bereich der Datenschutzanforderungen der Finanzbranche kann weiter verfestigt werden.
VERDATA_ stellt Datenschutzbeauftragten in internationalem Elektronik-Unternehmen
VERDATA_ erhält den Auftrag für den betrieblichen Datenschutzbeauftragten der deutschen Niederlassung eines internationalen Elektronik-Konzerns.
VERDATA_ bezieht neue Räumlichkeiten
Nach der Zwischenlösung im Zentrum von Düsseldorf bezieht VERDATA_ nun die endgültigen Räumlichkeiten in der Uerdinger Straße in Golzheim. Die neuen Räumlichkeiten verfügen über eigene Seminarraum-Möglichkeiten und sind bestens an die nördlichen Autobahnen angebunden.
VERDATA_ gliedert sich auf: Beratung & Schulung
Eine wichtige strategische Entscheidung wurde getroffen: Die Beratungsleistungen und die Schulungsleistungen werden zukünftig in getrennten Gesellschaften erbracht. Das Weiterbildungsgeschäft wird in einer neuen Gesellschaft ausgelagert. Beide Gesellschaften tragen ihre Kernkompetenz zukünftig direkt im Namen: Aus VERDATA_ wird VERDATA_ DATENSCHUTZ, und die Schulungsleistungen werden zukünftig gebündelt in der VERDATA_ AKADEMIE.
Neue Gesellschafterstruktur
Ab sofort ist Marco Biewald neuer Alleingesellschafter bei VERDATA_. Neben der Komplementärgesellschaft übernimmt er auch alle Kommanditistenanteile. Das ermöglicht eine neue strategische Ausrichtung der Gesellschaft.
VERDATA_ stellt Datenschutzbeauftragten in einem der größten Krankenhäuser Norddeutschlands
Anknüpfend an gemeinsame Erfahrungen erhält VERDATA_ den Auftrag für den betrieblichen Datenschutzbeauftragten eines der größten Krankenhäuser in Norddeutschland und sticht damit auch große Wettbewerber aus.
VERDATA_
© VERDATA_ DATENSCHUTZ GMBH & CO. KG 2018