Inhalt
- Gesetze und Rechtsportale
- Datenschutzrechtliche Aufsichtsbehörden bzw. Institutionen
- Datenschutzverbände
- Informationsportale
- Rechtsgrundlagen
- Der Datenschutzbeauftragte
- Verzeichnis der Verarbeitungstätigkeiten
- Automatische Entscheidungsfindung (Profiling)
- Datenschutzfolgenabschätzung (DSFA)
- Löschkonzept und Datenvernichtung
- Datenschutzmanagement und TOMs
- Auftragsverarbeitung
- Übermittlung in Drittland
- Bewertung von Microsoft 365
- Cookies
- Bewertung des Einsatzes von Google Analytics
- Dark Patterns
- Werbung und Marketing
- Online-Handel
- Beschäftigtendatenschutz
- Haftung und Schadensersatz
- Bußgelder
- Datenschutz in KMU (kleinen und mittleren Unternehmen)
- Datenschutzprüfung von Web-Seiten
- Datenschutzfreundliche Software
- Privatsphähre bei Mobilgeräten
- Soziale Medien und Messenger
- Datenschutz-Icons
Gesetze und Rechtsportale
Datenschutzgrundverordnung (DSGVO)
- Datenschutzgrundverordnung (DSGVO) gut aufbereitet und gepflegt vom TÜV Süd.
- Datenschutzgrundverordnung (DSGVO) gut aufbereitet und gepflegt von Intersoft Consulting.
- DSGVO Gesetzestext direkt von der EU.
- DSGVO Gesetzestext über die DLA Piper App immer auf dem Smartphone dabei.
- Axel Voss: "Die neue Datenschutz-Grundverordnung: Worauf Unternehmen achten müssen"
Bundesdatenschutzgesetz (BDSG)
Rechtsportale und Quellen für weitere Gesetze
- dejure.org
- Juris - Das Rechtsportal
-
Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3. Juni 1971 zur
Festlegung der Regeln für die Fristen, Daten und Termine
Auf dieser Verordnung gilt somit auch für Fristen aus der DSGVO, wie z.B. für die Meldung von Datenpannen.
Wettbewerbsrecht und Abmahnungen
- Gesetz gegen den unlauteren Wettbewerb (UWG)
-
Gesetz zur
Stärkung des fairen Wettbewerbs soll Abmahnungen aufgrund von Verstößen gegen
Informationspflichten aus Datenschutzgesetzen verhindern, zumindest für Unternehmen mit weniger
als 250 Mitarbeitern.
- Siehe dazu auch die Anmerkungen im Infoletter Recht der IHK Stuttgart vom November 2020.
Datenschutzverbände
Informationsportale
Portale mit Unterlagen und Musterdokumenten:Rechtsgrundlagen
Einwilligung
- Artikel Innovatives Datenschutz-Einwilligungsmanagement des Bundesministeriums der Justiz und für Verbraucherschutz.
- Hinweise der IHK Stuttgart zur Einwilligung in Telefonwerbung gemäß § 7a UWG
Berechtigtes Interesse
Der Datenschutzbeauftragte
Haftung
- Urteil zur Haftung bei Untätigkeit aufgrund von Garantenstellung bei Compliance-Officer
- Artikel zum Urteil über die Haftung bei Untätigkeit aufgrund von Garantenstellung von Compliance-Officer
Abberufung
Arztpraxen
- Artikel dazu, ob eine Arztpraxis zwingend einen DSB haben muss. Dabei wird Bezug auf Erwägungsgrund 91 des DSGVO genommen.
Verzeichnis der Verarbeitungstätigkeiten
Automatische Entscheidungsfindung (Profiling)
- Beim Einsatz von KI (künstlicher Intelligenz) zur automatischen Entscheidungsfindung (Profiling) besteht das Problem der Transparenz. Dies gilt, wenn neurale Netze eingesetzt werden, da deren Ergebnisfindung nicht nachvollziehbar ist. Diese Thematik beschäftigt auch die Enquete-Kommission KI des Bundestages.
Datenschutzfolgenabschätzung (DSFA)
Eine Datenschutzfolgenabschätzung (DSFA) ist gemäß Art. 35 DSGVO bei voraussichtlich hohem Risiko für eine Verarbeitungstätigkeit durchzuführen. Dementsprechend ist schon eine (grobe) Risikobewertung durchzuführen, um zu entscheiden, ob auch eine detaillierte Risikobewertung durch eine DSFA durchgeführt werden muss. Für diesen Zweck kann man beispielsweise eine Schwellwertanalyse durchführen:
- Wahrscheinlichkeit einer Datenschutzverletzung identifizieren und bewerten
- Schweregrad der Auswirkungen auf betroffene Personen identifizieren und bewerten
- Wahrscheinlichkeit und Schweregrad der Auswirkungen in eine Risikomatrix eintragen
- Festlegen welcher Bereich der Matrix noch akzeptable Risiken darstellt
- Bei Überschreiten des akzeptierten Risikos DSFA durchführen
Darüber hinaus ist eine DSFA für bestimmte von den Aufsichtsbehörden festgelegte Verarbeitungstätigkeiten durchzuführen:
Hilfsmittel / Software zur Durchführung einer DSFA:
Löschkonzept und Datenvernichtung
Externe Quellen zum Thema Löschkonzept: Standards zur Datenvernichtung: AufbewahrungsfristenDatenschutzmanagement und TOMs
Unten stehend findet sich ein grober Überblick über Quellen zu Datenschutzmanagement und TOMs. Mehr Details finden sich auf meiner Seite mit ergänzenden Informationen zum Kurs "Information Security Foundation".-
§ 9 des BDSG a.F.,
insbesondere die Anlage
zu § 9 Satz 1 wird noch immer als Standard für die Angabe technischer und organisatorischer
Maßnahmen, speziell in Auftragverarbeitungsverträgen, verwendet.
BDSG (aktuelle Fassung) § 64 Abs. 3 enthält eine erweiterte Auflistung technischer und organisatorischer Maßnahmen.
- SDM (Standarddatenschutzmodell)
- BSI IT-Grundschutz
- ISO 27001
- ISO 27701
- Anonymisierung
Auftragsverarbeitung
- Priviligierung von Steuerberatern durch § 11 StBerG. Damit ist rechtliche Verpflichtung nach Artikel 6 Abs. 1 Buchstabe c gegeben und es liegt somit KEINE Auftragsverarbeitung vor.
Übermittlung in Drittland
-
Standardvertragsklauseln nach Schrems II-Urteil
-
Standardvertragsklauseln aus dem Anhang des Durchführungsbeschlusses der Europäsichen
Kommission
-
Zwei Sets der
Standardvertragsklauseln
-
Hinweise der IHK-Stuttgart zu den neuen Standardvertragsklauseln
-
Die
Standardvertragsklauseln zur Übermittlung in ein Drittland sehen in
Klausel 14 vor, dass die besonderen Umstände der Übermittlung zu berücksichtigen sind, also
eine Bewertung der Datenübermittlung (TIA = Transfer Impact Assessment) durchzuführen ist.
- Standardvertragsklauseln nach Schrems II-Urteil
- Standardvertragsklauseln aus dem Anhang des Durchführungsbeschlusses der Europäsichen Kommission
- Zwei Sets der Standardvertragsklauseln
- Hinweise der IHK-Stuttgart zu den neuen Standardvertragsklauseln
- Die Standardvertragsklauseln zur Übermittlung in ein Drittland sehen in Klausel 14 vor, dass die besonderen Umstände der Übermittlung zu berücksichtigen sind, also eine Bewertung der Datenübermittlung (TIA = Transfer Impact Assessment) durchzuführen ist.
Angemessenheitsbeschlüsse
-
Angemessenheitsbeschlüsse des Europäischen Datenschutzausschusses gemäß Art. 45
DSGVO
-
EU-US Data Privacy Framework (DPF) seit 10.07.2023 als
Angemessenheitsbeschluss für die Übermittlung in die USA.
Siehe dazu auch die Pressemitteilung der EU-Kommission vom 10.07.2023.
Durch das DPF ist ein Datentransfer an zertifizierte Organisationen aktuell erlaubt. Problematisch ist einerseits, dass sich Organisationen selbst zertifizieren, siehe dazu- die Beschreibung der Selbstzertifizierung
- und die Liste der zertifizierten Organisationen.
Andererseits besteht auch im DPF die Problematik, dass betroffenen Personen nicht mitgeteilt wird, ob sie tatsächlich von einer Überwachungsmaßnahme durch die US-Behörden nach FISA 702 und EO 12333 bzw. EO 14086 (siehe Abschnitt 3.2.1 des DPF) betroffen war und welche Wirkung eine (anerkannte) Beschwerde einer betroffenen Person hatte. Es ist daher damit zu rechnen, dass auch das DPF einer Überprüfung durch den EuGH nicht standhalten wird.
Der neue Angemessenheitsbeschluss war notwendig, weil das Privacy Shield seit 16.07.2020 nicht mehr gültig ist:Am 16.07.2020 hat der EuGH entschieden, dass die USA kein der DSGVO genügendes Datenschutzniveau bieten und den bis dahin unter dem Namen „Privacy Shield“ geltenden Angemessenheitsbeschluss der Europäischen Union für die USA gemäß Art. 45 DSGVO für ungültig erklärt. Ein Datentransfer in die USA ist somit derzeit nur noch auf Basis von Standardvertragsklauseln und zusätzlichen Garantien, wie beispielsweise der Verschlüsselung der Daten möglich.
Hinweise zu nicht mehr gültigem Privacy Shield:
-
EU-US Data Privacy Framework (DPF) seit 10.07.2023 als
Angemessenheitsbeschluss für die Übermittlung in die USA.
Genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
- Liste der genehmigten Verhaltensregeln der Datenschutzkonferenz (DSK)
- Richtlinien des Europäischen Datenschutzausschusses für Verhaltensregeln und ihre Überwachung
- Genehmigte Verhaltensregeln für die Prüf- und Löschfristen personenbezogener Daten der deutschen Wirtschaftsauskunfteien
- Verhaltensregeln des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (nicht genehmigt)
Verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO
Datenübermittlungen nach Grobßbrittanien
Bewertung von Microsoft 365
- Stellungnahme des LfDI BW auf Anfrage zur datenschutzrechtlichen Rechtmäßigkeit der Verwendung von Microsoft 365
- Pressemitteilung des LfDI Baden-Württemberg zur Nutzung von Microsoft 365 an Schulen
- Aritkel bei heise (September 2023): "Microsoft 365: Datenschützer geben Tipps zu potenziell rechtskonformem Einsatz"
- Handreichung des LfDI Niedersachsen zu Microsoft 365
Bewertung des Einsatzes von Google Analytics
-
Hinweise der Datenschutzkonferenz zum Einsatz von Google Analytics vom
12.05.2020
Der Einsatz von Google Analytics ist nur mit Einwilligung und als gemeinsam Verantwortliche erlaubt. Die Verwendung von Google Analytics ist keine Auftragsverarbeitung, sondern Google und der Google-Analytics-Anwender sind gemeinsam Verantwortliche gemäß Art. 28 DSGVO. Darüber hinaus ist der Einsatz von Google Analytics nur mit einer Einwilligung der Webseitenbesucher rechtmäßig. Art. 6 Abs. 1 Buchstabe b kann nicht als Rechtsgrundlage dienen, da der Einsatz von Google Analytics nicht zur Vertragserfüllung zwischen Website-Betreiber und Nutzer erforderlich ist. Auch Art. 6 Abs. 1 Buchstabe f eignet sich nicht als Rechtsgrundlage, weil die Interessen, Grundrechte und Grundfreiheiten der Nutzer regelmäßig die Interessen der Website-Betreiber überwiegen.
Dark Patterns
Dark Pattern sind Methoden zur Irreführung, um Benutzer zu Handlungen zu veranlassen, die zum Vorteil des Anbieters sind.Werbung und Marketing
Online-Handel
Die Datenschutzkonferenz (DSK) hat am 24.02.2022 beschlossen, dass für den datenschutzkonformen Online-Handel ein Gast-Zugang bereitgestellt werden muss, siehe den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang
Beschäftigtendatenschutz
Haftung und Schadensersatz
Haftung und Schadensersatz sind in Art. 82 DSGVO geregelt. Schadensersatz wird ein immer wichtigeres Thema, da selbst bei kleineren Schadensersatzforderungen durch die Anzahl der betroffenen Personen schnell erhebliche Summen zustande kommen können, die höher ausfallen können, als potenzielle Bußgelder. Siehe dazu:- Latham DSGVO-Schadensersatztabelle
- 100 € Schmerzensgeld wegen Übermittlung IP-Adresse durch Einbinden von Google Fonts, siehe LG München I, Endurteil vom 20.01.2022 - 3 O 17493/20
Bußgelder
- Leitlinien des Europäischen Datenschutzausschusses (EDSA) für die einheitliche Sanktionierung von Bußgeldern
- Bußgeldkonzept der Datenschutzkonferenz vom 14.10.2019
Beispiele für verhängte Bußgelder
Datenschutz in KMU (kleinen und mittleren Unternehmen)
Datenschutzprüfung von Web-Seiten
- webbkoll Software zur Überprüfung des Datenschutzes auf Webseiten
Datenschutzfreundliche Software
Privatsphähre bei Mobilgeräten
Widerspruch gegen Auswertung von Bewegungsdaten
Die Mobilfunknetzbetreiber in Deutschland sammeln, analysieren und verkaufen die Bewegungen ihrer Kunden in anonymisierter Form zu Marketingzwecken an Drittunternehmen. Wer nicht möchte, dass seine Daten für diesen Zweck verwendet werden, kann dagegen widersprechen:
- Kunden von Telefónica (O2, Blau, Fonic, Simyo etc.) senden dazu eine (kostenlose) SMS mit dem Text „Abmelden“ an die Nummer 66866 senden.
- Telekom-Kunden (Congstar, Klarmobil etc.) können über ein Opt-Out-Portal widersprechen.
Soziale Medien und Messenger-
Als Nicht-Kunde kann man verhindern, dass die eigenen Daten aus den Adressbüchern von WhatsApp-Nutzern auf WhatsApp- bzw. Facebook-/Meta-Server hochgeladen werden.
Dazu muss man seine Daten (Mobilnummer, Festnetznummer, E-Mail-Adresse) in der
Facebook Kontaktlöschung
suchen und sperren.
Weitere Informationen finden sich in den Informationen für Personen, die keine Meta-Produkte nutzen.