Inhalt
- Gesetze und Rechtsportale
- Datenschutzrechtliche Aufsichtsbehörden bzw. Institutionen
- Datenschutzverbände
- Informationsportale
- Rechtsgrundlagen
- Der Datenschutzbeauftragte
- Verzeichnis der Verarbeitungstätigkeiten
- Automatische Entscheidungsfindung (Profiling)
- Datenschutzfolgenabschätzung (DSFA)
- Löschkonzept und Datenvernichtung
- Datenschutzmanagement und TOMs
- Auftragsverarbeitung
- Übermittlung in Drittland
- Bewertung von Microsoft 365
- Cookies
- Bewertung des Einsatzes von Google Analytics
- Dark Patterns
- Werbung und Marketing
- Beschäftigtendatenschutz
- Haftung und Schadensersatz
- Bußgelder
- Datenschutz in KMU (kleinen und mittleren Unternehmen)
- Datenschutzprüfung von Web-Seiten
- Datenschutzfreundliche Software
Gesetze und Rechtsportale
Datenschutzgrundverordnung (DSGVO)
- Datenschutzgrundverordnung (DSGVO) gut aufbereitet und gepflegt vom TÜV Süd.
- Datenschutzgrundverordnung (DSGVO) gut aufbereitet und gepflegt von Intersoft Consulting.
- DSGVO Gesetzestext direkt von der EU.
- DSGVO Gesetzestext über die DLA Piper App immer auf dem Smartphone dabei.
- Axel Voss: "Die neue Datenschutz-Grundverordnung: Worauf Unternehmen achten müssen"
Bundesdatenschutzgesetz (BDSG)
Rechtsportale und Quellen für weitere Gesetze
- dejure.org
- Juris - Das Rechtsportal
-
Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3. Juni 1971 zur
Festlegung der Regeln für die Fristen, Daten und Termine
Auf dieser Verordnung gilt somit auch für Fristen aus der DSGVO, wie z.B. für die Meldung von Datenpannen.
Wettbewerbsrecht und Abmahnungen
- Gesetz gegen den unlauteren Wettbewerb (UWG)
-
Gesetz zur
Stärkung des fairen Wettbewerbs soll Abmahnungen aufgrund von Verstößen gegen
Informationspflichten aus Datenschutzgesetzen verhindern, zumindest für Unternehmen mit weniger
als 250 Mitarbeitern.
- Siehe dazu auch die Anmerkungen im Infoletter Recht der IHK Stuttgart vom November 2020.
Datenschutzverbände
Informationsportale
Portale mit Unterlagen und Musterdokumenten:Rechtsgrundlagen
Einwilligung
- Artikel Innovatives Datenschutz-Einwilligungsmanagement des Bundesministeriums der Justiz und für Verbraucherschutz.
- Hinweise der IHK Stuttgart zur Einwilligung in Telefonwerbung gemäß § 7a UWG
Berechtigtes Interesse
Der Datenschutzbeauftragte
Haftung
- Urteil zur Haftung bei Untätigkeit aufgrund von Garantenstellung bei Compliance-Officer
- Artikel zum Urteil über die Haftung bei Untätigkeit aufgrund von Garantenstellung von Compliance-Officer
Abberufung
Arztpraxen
- Artikel dazu, ob eine Arztpraxis zwingend einen DSB haben muss. Dabei wird Bezug auf Erwägungsgrund 91 des DSGVO genommen.
Verzeichnis der Verarbeitungstätigkeiten
Automatische Entscheidungsfindung (Profiling)
- Beim Einsatz von KI (künstlicher Intelligenz) zur automatischen Entscheidungsfindung (Profiling) besteht das Problem der Transparenz. Dies gilt, wenn neurale Netze eingesetzt werden, da deren Ergebnisfindung nicht nachvollziehbar ist. Diese Thematik beschäftigt auch die Enquete-Kommission KI des Bundestages.
Datenschutzfolgenabschätzung (DSFA)
Eine Datenschutzfolgenabschätzung (DSFA) ist gemäß Art. 35 DSGVO bei voraussichtlich hohem Risiko für eine Verarbeitungstätigkeit durchzuführen. Dementsprechend ist schon eine (grobe) Risikobewertung durchzuführen, um zu entscheiden, ob auch eine detaillierte Risikobewertung durch eine DSFA durchgeführt werden muss. Für diesen Zweck kann man beispielsweise eine Schwellwertanalyse durchführen:
- Wahrscheinlichkeit einer Datenschutzverletzung identifizieren und bewerten
- Schweregrad der Auswirkungen auf betroffene Personen identifizieren und bewerten
- Wahrscheinlichkeit und Schweregrad der Auswirkungen in eine Risikomatrix eintragen
- Festlegen welcher Bereich der Matrix noch akzeptable Risiken darstellt
- Bei Überschreiten des akzeptierten Risikos DSFA durchführen
Darüber hinaus ist eine DSFA für bestimmte von den Aufsichtsbehörden festgelegte Verarbeitungstätigkeiten durchzuführen:
Hilfsmittel / Software zur Durchführung einer DSFA:
Löschkonzept und Datenvernichtung
Externe Quellen zum Thema Löschkonzept: Standards zur Datenvernichtung:- DIN 66399:
- NIST SP 800-88 (Media Sanitization)
Datenschutzmanagement und TOMs
Unten stehend findet sich ein grober Überblick über Quellen zu Datenschutzmanagement und TOMs. Mehr Details finden sich auf meiner Seite mit ergänzenden Informationen zum Kurs "Information Security Foundation".- § 9 des BDSG a.F., insbesondere die Anlage zu § 9 Satz 1 wird noch immer als Standard für die Angabe technischer und organisatorischer Maßnahmen, speziell in Auftragverarbeitungsverträgen, verwendet.
- SDM (Standarddatenschutzmodell)
- BSI IT-Grundschutz
- ISO 27001
- ISO 27701
- Anonymisierung
Auftragsverarbeitung
- Priviligierung von Steuerberatern durch § 11 StBerG. Damit ist rechtliche Verpflichtung nach Artikel 6 Abs. 1 Buchstabe c gegeben und es liegt somit KEINE Auftragsverarbeitung vor.
Übermittlung in Drittland
- Standardvertragsklauseln
- Angemessenheitsbeschlüsse des Europäischen Datenschutzausschusses gemäß Art. 45 DSGVO
-
Privacy Shield seit 16.07.2020 nicht mehr gültig:
Am 16.07.2020 hat der EuGH entschieden, dass die USA kein der DSGVO genügendes Datenschutzniveau bieten und den bis dahin unter dem Namen „Privacy Shield“ geltenden Angemessenheitsbeschluss der Europäischen Union für die USA gemäß Art. 45 DSGVO für ungültig erklärt. Ein Datentransfer in die USA ist somit derzeit nur noch auf Basis von Standardvertragsklauseln und zusätzlichen Garantien, wie beispielsweise der Verschlüsselung der Daten möglich.
Hinweise zu nicht mehr gültigem Privacy Shield: - Hinweise der IHK zum Datentransfer in das vereinigte Königreich (Stand Juli 2021)
- Beispiel des Gesamtverbands der der Deutschen Versicherungswirtschaft e.V. für genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
Bewertung von Microsoft 365
Bewertung des Einsatzes von Google Analytics
-
Hinweise der Datenschutzkonferenz zum Einsatz von Google Analytics vom
12.05.2020
Der Einsatz von Google Analytics ist nur mit Einwilligung und als gemeinsam Verantwortliche erlaubt. Die Verwendung von Google Analytics ist keine Auftragsverarbeitung, sondern Google und der Google-Analytics-Anwender sind gemeinsam Verantwortliche gemäß Art. 28 DSGVO. Darüber hinaus ist der Einsatz von Google Analytics nur mit einer Einwilligung der Webseitenbesucher rechtmäßig. Art. 6 Abs. 1 Buchstabe b kann nicht als Rechtsgrundlage dienen, da der Einsatz von Google Analytics nicht zur Vertragserfüllung zwischen Website-Betreiber und Nutzer erforderlich ist. Auch Art. 6 Abs. 1 Buchstabe f eignet sich nicht als Rechtsgrundlage, weil die Interessen, Grundrechte und Grundfreiheiten der Nutzer regelmäßig die Interessen der Website-Betreiber überwiegen.
Dark Patterns
Dark Pattern sind Methoden zur Irreführung, um Benutzer zu Handlungen zu veranlassen, die zum Vorteil des Anbieters sind.Werbung und Marketing
Beschäftigtendatenschutz
Haftung und Schadensersatz
Haftung und Schadensersatz sind in Art. 82 DSGVO geregelt. Schadensersatz wird ein immer wichtigeres Thema, da selbst bei kleineren Schadensersatzforderungen durch die Anzahl der betroffenen Personen schnell erhebliche Summen zustande kommen können, die höher ausfallen können, als potenzielle Bußgelder. Siehe dazu:- Latham DSGVO-Schadensersatztabelle
- 100 € Schmerzensgeld wegen Übermittlung IP-Adresse durch Einbinden von Google Fonts, siehe LG München I, Endurteil vom 20.01.2022 - 3 O 17493/20
Bußgelder
Datenschutz in KMU (kleinen und mittleren Unternehmen)
Datenschutzprüfung von Web-Seiten
- webbkoll Software zur Überprüfung des Datenschutzes auf Webseiten