Datenschutz - Themensammlung

Inhalt

Gesetze und Rechtsportale
Datenschutzrechtliche Aufsichtsbehörden bzw. Institutionen
Datenschutzverbände
Informationsportale
Rechtsgrundlagen
Der Datenschutzbeauftragte
Verzeichnis der Verarbeitungstätigkeiten
Automatische Entscheidungsfindung (Profiling)
Datenschutzfolgenabschätzung (DSFA)
Löschkonzept und Datenvernichtung
Datenschutzmanagement und TOMs
Auftragsverarbeitung
Übermittlung in Drittland
Bewertung von Microsoft 365
Cookies
Bewertung des Einsatzes von Google Analytics
Dark Patterns
Werbung und Marketing
Online-Handel
Beschäftigtendatenschutz
Haftung und Schadensersatz
Bußgelder
Datenschutz in KMU (kleinen und mittleren Unternehmen)
Datenschutzprüfung von Web-Seiten
Datenschutzfreundliche Software
Privatsphähre bei Mobilgeräten
- Widerspruch gegen Auswertung von Bewegungsdaten

Soziale Medien und Messenger
Datenschutz-Icons
Datenschutz und künstliche Intelligenz

Gesetze und Rechtsportale

Datenschutzgrundverordnung (DSGVO)

Bundesdatenschutzgesetz (BDSG)

Rechtsportale und Quellen für weitere Gesetze

dejure.org
Juris - Das Rechtsportal
Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine
Auf dieser Verordnung gilt somit auch für Fristen aus der DSGVO, wie z.B. für die Meldung von Datenpannen.

Wettbewerbsrecht und Abmahnungen

Gesetz gegen den unlauteren Wettbewerb (UWG)
Gesetz zur Stärkung des fairen Wettbewerbs soll Abmahnungen aufgrund von Verstößen gegen Informationspflichten aus Datenschutzgesetzen verhindern, zumindest für Unternehmen mit weniger als 250 Mitarbeitern.
- Siehe dazu auch die Anmerkungen im Infoletter Recht der IHK Stuttgart vom November 2020.

Datenschutzrechtliche Aufsichtsbehörden bzw. Institutionen

Europäischer Datenschutzausschuss zuständig für ganz Europa mit dem Ziel der einheitlichen Anwendung der DSGVO.
Datenschutzkonferenz (DSK)
Landesbeauftragter für den Datenschutz und die informationelle Selbstbestimmung Baden-Württemberg (LfDI BW) ist Aufsichtsbehörde in Baden-Württemberg.
Landesdatenschutzaufsicht in Bayern (LDA Bayern) speziell DSGVO Fragebogen.

Arbeitspapiere und Leitlinien

Datenschutzverbände

Informationsportale

Portale mit Unterlagen und Musterdokumenten:

Rechtsgrundlagen

Einwilligung

Artikel Innovatives Datenschutz-Einwilligungsmanagement des Bundesministeriums der Justiz und für Verbraucherschutz.
Hinweise der IHK Stuttgart zur Einwilligung in Telefonwerbung gemäß § 7a UWG

Berechtigtes Interesse

Vortragsfolien LfDI Baden-Württemberg: Art. 6 Abs. 1 S. 1 Buchst. f DS-GVO als Notanker, wenn ich keine andere Rechtsgrundlage finden kann?

Der Datenschutzbeauftragte

Haftung

Abberufung

Urteil des Landesarbeitsgerichts Mecklenburg-Vorpommern 5. Kammer vom 25.02.2020, Aktenzeichen: 5 Sa 108/19 über die Abberufung eines Datenschutzbeauftragten mangels Zuverlässigkeit

Arztpraxen

Artikel dazu, ob eine Arztpraxis zwingend einen DSB haben muss. Dabei wird Bezug auf Erwägungsgrund 91 des DSGVO genommen.

Verzeichnis der Verarbeitungstätigkeiten

Automatische Entscheidungsfindung (Profiling)

Beim Einsatz von KI (künstlicher Intelligenz) zur automatischen Entscheidungsfindung (Profiling) besteht das Problem der Transparenz. Dies gilt, wenn neurale Netze eingesetzt werden, da deren Ergebnisfindung nicht nachvollziehbar ist. Diese Thematik beschäftigt auch die Enquete-Kommission KI des Bundestages.

Datenschutzfolgenabschätzung (DSFA)

Eine Datenschutzfolgenabschätzung (DSFA) ist gemäß Art. 35 DSGVO bei voraussichtlich hohem Risiko für eine Verarbeitungstätigkeit durchzuführen. Dementsprechend ist schon eine (grobe) Risikobewertung durchzuführen, um zu entscheiden, ob auch eine detaillierte Risikobewertung durch eine DSFA durchgeführt werden muss. Für diesen Zweck kann man beispielsweise eine Schwellwertanalyse durchführen:

Wahrscheinlichkeit einer Datenschutzverletzung identifizieren und bewerten
Schweregrad der Auswirkungen auf betroffene Personen identifizieren und bewerten
Wahrscheinlichkeit und Schweregrad der Auswirkungen in eine Risikomatrix eintragen
Festlegen welcher Bereich der Matrix noch akzeptable Risiken darstellt
Bei Überschreiten des akzeptierten Risikos DSFA durchführen

Darüber hinaus ist eine DSFA für bestimmte von den Aufsichtsbehörden festgelegte Verarbeitungstätigkeiten durchzuführen:

Liste der Verarbeitungstätigkeiten für die eine DSFA durchzuführen ist

Hilfsmittel / Software zur Durchführung einer DSFA:

PIA-Software der französichen Behörde CNIL
- Erklärvideo zur CNIL PIA-Software

Löschkonzept und Datenvernichtung

Externe Quellen zum Thema Löschkonzept:

ISO/IEC 27555: Richtlinien zur Löschung persönlich identifizierbarer Informationspflichten
vormals:

Standards zur Datenvernichtung:

DIN 66399:
- DIN 66399 beim Beuth-Verlag kaufen
NIST SP 800-88 (Media Sanitization)

Aufbewahrungsfristen

Datenschutzmanagement und TOMs

Unten stehend findet sich ein grober Überblick über Quellen zu Datenschutzmanagement und TOMs. Mehr Details finden sich auf meiner Seite mit ergänzenden Informationen zum Kurs "Information Security Foundation".

§ 9 des BDSG a.F., insbesondere die Anlage zu § 9 Satz 1 wird noch immer als Standard für die Angabe technischer und organisatorischer Maßnahmen, speziell in Auftragverarbeitungsverträgen, verwendet.
BDSG (aktuelle Fassung) § 64 Abs. 3 enthält eine erweiterte Auflistung technischer und organisatorischer Maßnahmen.
SDM (Standarddatenschutzmodell)
BSI IT-Grundschutz
- BSI IT-Grundschutzkompendium
ISO 27001
- ISO 27001 (bei ISO)
- ISO 27001 (in Deutschland beim Beuth Verlag)
ISO 27701
- ISO 27701 (bei ISO)
- ISO 27701 (in Deutschland beim Beuth Verlag)
Anonymisierung
- BfDI Positionspapier zur Anonymisierung
- GI-Radar: Thema im Fokus - "Confidential Computing"

Auftragsverarbeitung

Priviligierung von Steuerberatern durch § 11 StBerG. Damit ist rechtliche Verpflichtung nach Artikel 6 Abs. 1 Buchstabe c gegeben und es liegt somit KEINE Auftragsverarbeitung vor.

Übermittlung in Drittland

Standardvertragsklauseln

Standardvertragsklauseln nach Schrems II-Urteil
Standardvertragsklauseln aus dem Anhang des Durchführungsbeschlusses der Europäsichen Kommission
Zwei Sets der Standardvertragsklauseln
Hinweise der IHK-Stuttgart zu den neuen Standardvertragsklauseln
Die Standardvertragsklauseln zur Übermittlung in ein Drittland sehen in Klausel 14 vor, dass die besonderen Umstände der Übermittlung zu berücksichtigen sind, also eine Bewertung der Datenübermittlung (TIA = Transfer Impact Assessment) durchzuführen ist.

Angemessenheitsbeschlüsse

Angemessenheitsbeschlüsse des Europäischen Datenschutzausschusses gemäß Art. 45 DSGVO
- EU-US Data Privacy Framework (DPF) seit 10.07.2023 als Angemessenheitsbeschluss für die Übermittlung in die USA. Siehe dazu auch die:
  - Pressemitteilung der EU-Kommission vom 10.07.2023
  - Anwendungshinweise der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 4. September 2023
  Durch das DPF ist ein Datentransfer an zertifizierte Organisationen aktuell erlaubt. Problematisch ist einerseits, dass sich Organisationen selbst zertifizieren, siehe dazu
  - die Beschreibung der Selbstzertifizierung
  - und die Liste der zertifizierten Organisationen.
  Andererseits besteht auch im DPF die Problematik, dass betroffenen Personen nicht mitgeteilt wird, ob sie tatsächlich von einer Überwachungsmaßnahme durch die US-Behörden nach FISA 702 und EO 12333 bzw. EO 14086 (siehe Abschnitt 3.2.1 des DPF) betroffen war und welche Wirkung eine (anerkannte) Beschwerde einer betroffenen Person hatte. Es ist daher damit zu rechnen, dass auch das DPF einer Überprüfung durch den EuGH nicht standhalten wird.
  Der neue Angemessenheitsbeschluss war notwendig, weil das Privacy Shield seit 16.07.2020 nicht mehr gültig ist:
  Am 16.07.2020 hat der EuGH entschieden, dass die USA kein der DSGVO genügendes Datenschutzniveau bieten und den bis dahin unter dem Namen „Privacy Shield“ geltenden Angemessenheitsbeschluss der Europäischen Union für die USA gemäß Art. 45 DSGVO für ungültig erklärt. Ein Datentransfer in die USA ist somit derzeit nur noch auf Basis von Standardvertragsklauseln und zusätzlichen Garantien, wie beispielsweise der Verschlüsselung der Daten möglich.
  Hinweise zu nicht mehr gültigem Privacy Shield:
  - EUGH-Urteil C-311/18 ("Schrems II")
  - Orientierungshilfe des LfDI BW

Genehmigte Verhaltensregeln gemäß Art. 40 DSGVO

Verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO

Liste der vom Europäischen Datenschutzausschuss genehmigten verbindlichen internen Datenschutzvorschriften

Datenübermittlungen nach Grobßbrittanien

Hinweise der IHK zum Datentransfer in das vereinigte Königreich (Stand Juli 2021)

Bewertung von Microsoft 365

Cookies

Am 28.05.2020 hat der Bundesgerichtshof nach der Planet49-Entscheidung des EuGH nun auch ein Urteil in Sachen Cookies gefällt. Das Ergebnis ist, dass das Setzen von Cookies nur zulässig ist, wenn der Betroffene zuvor eingewilligt hat: Pressemitteilung des BGH vom 28.05.2020 zu Cookies
FAQ und Orientierungshilfe des LfDI Baden-Württemberg zu Cookies und Tracking

Bewertung des Einsatzes von Google Analytics

Hinweise der Datenschutzkonferenz zum Einsatz von Google Analytics vom 12.05.2020
Der Einsatz von Google Analytics ist nur mit Einwilligung und als gemeinsam Verantwortliche erlaubt. Die Verwendung von Google Analytics ist keine Auftragsverarbeitung, sondern Google und der Google-Analytics-Anwender sind gemeinsam Verantwortliche gemäß Art. 28 DSGVO. Darüber hinaus ist der Einsatz von Google Analytics nur mit einer Einwilligung der Webseitenbesucher rechtmäßig. Art. 6 Abs. 1 Buchstabe b kann nicht als Rechtsgrundlage dienen, da der Einsatz von Google Analytics nicht zur Vertragserfüllung zwischen Website-Betreiber und Nutzer erforderlich ist. Auch Art. 6 Abs. 1 Buchstabe f eignet sich nicht als Rechtsgrundlage, weil die Interessen, Grundrechte und Grundfreiheiten der Nutzer regelmäßig die Interessen der Website-Betreiber überwiegen.

Dark Patterns

Dark Pattern sind Methoden zur Irreführung, um Benutzer zu Handlungen zu veranlassen, die zum Vorteil des Anbieters sind.

Pressemitteilung des LfDI BW zu Dark Patterns
- Beispiele zu Dark Patterns finden sich im FAQ Cookies und Online-Tracking des LfDI Baden-Württemberg
Leitlinien des Europäischen Datenschutzausschusses (EDSA) zu Dark Patterns

Werbung und Marketing

Online-Handel

Die Datenschutzkonferenz (DSK) hat am 24.02.2022 beschlossen, dass für den datenschutzkonformen Online-Handel ein Gast-Zugang bereitgestellt werden muss, siehe den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder: Hinweise der DSK – Datenschutzkonformer Online-Handel mittels Gastzugang

Beschäftigtendatenschutz

Haftung und Schadensersatz

Haftung und Schadensersatz sind in Art. 82 DSGVO geregelt. Schadensersatz wird ein immer wichtigeres Thema, da selbst bei kleineren Schadensersatzforderungen durch die Anzahl der betroffenen Personen schnell erhebliche Summen zustande kommen können, die höher ausfallen können, als potenzielle Bußgelder. Siehe dazu:

Latham DSGVO-Schadensersatztabelle
100 € Schmerzensgeld wegen Übermittlung IP-Adresse durch Einbinden von Google Fonts, siehe LG München I, Endurteil vom 20.01.2022 - 3 O 17493/20

Bußgelder

Beispiele für verhängte Bußgelder

Bußgeld in Höhe von $ 888 Millionen für Amazon im Juli 2021

Datenschutz in KMU (kleinen und mittleren Unternehmen)

Podcast von Prof. Dr. Dirk Heuzeroth mit dem TÜV SÜD über Datenschutz in KMU

Datenschutzprüfung von Web-Seiten

webbkoll Software zur Überprüfung des Datenschutzes auf Webseiten

Datenschutzfreundliche Software

ethical.net: Ethical Alternatives & Resources

Privatsphähre bei Mobilgeräten

Widerspruch gegen Auswertung von Bewegungsdaten

Die Mobilfunknetzbetreiber in Deutschland sammeln, analysieren und verkaufen die Bewegungen ihrer Kunden in anonymisierter Form zu Marketingzwecken an Drittunternehmen. Wer nicht möchte, dass seine Daten für diesen Zweck verwendet werden, kann dagegen widersprechen:

Kunden von Telefónica (O2, Blau, Fonic, Simyo etc.) senden dazu eine (kostenlose) SMS mit dem Text „Abmelden“ an die Nummer 66866 senden.
Telekom-Kunden (Congstar, Klarmobil etc.) können über ein Opt-Out-Portal widersprechen.

Soziale Medien und Messenger

Als Nicht-Kunde kann man verhindern, dass die eigenen Daten aus den Adressbüchern von WhatsApp-Nutzern auf WhatsApp- bzw. Facebook-/Meta-Server hochgeladen werden. Dazu muss man seine Daten (Mobilnummer, Festnetznummer, E-Mail-Adresse) in der Facebook Kontaktlöschung suchen und sperren.
Weitere Informationen finden sich in den Informationen für Personen, die keine Meta-Produkte nutzen.

Datenschutz-Icons

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg stellt auf seiner Internet-Seite Datenschutz-Icons zur Verfügung, also Symbole mit denen Begriffe aus dem Datenschutz veranschaulicht werden können.