Blindes Vertrauen war gestern: Die DSGVO verpflichtet mit Artikel 28 in Verbindung mit Artikel 32 Organisationen zur regelmäßigen und systematischen Prüfung ihrer Dienstleister. Von der Erstbewertung über die Kontrollpflicht bis hin zu Praxisproblemen – dieser Beitrag zeigt, warum externe Datenschutzprofis für Unternehmen und Kommunen oft die bessere Wahl sind und wie man Dienstleister wirklich prüft, ohne im Hamsterrad zu landen.
Software-Unterstützung für ein Informationssicherheitskonzept auf Basis der sog. Arbeitshilfe der Innovationsstiftung Bayerische Kommune
"Was kostet ein externer Datenschutzbeauftragter?", diese Frage wird desöfteren per Email oder als Blogkommentar an a.s.k. Datenschutz herangetragen. Datenschutz ist kein Produkt von der Stange, sondern eine individuelle Leistung maßgeschneidert auf Ihr Unternehmen. Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihr Unternehmen profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten. Und das Beste: Teile unserer Leistungen können Fördermittel erhalten!
Auflistung der hauptsächlichen Aufgaben eines externen Datenschutzbeauftragten. Nutzen Sie mein Know How und meine Erfahrung zum Schutz Ihres Unternehmens.
Neugierig, was von deutschen oder italienischen Datenschutzbehörden an Bußgeldern aus der DSGVO verhängt wurden? Welche Firma für welchen Verstoß wieviel bezahlen soll? Dann gibt es jetzt hierzu ein übersichtliches und gut gepflegtes Online-Portal. Damit lassen sich für interne und externe Datenschutzbeauftragten als letztes Mittel gute Argumentationshilfen finden, warum sich eine Organisation doch des Themas Datenschutz annehmen sollte und was ganz schnell alles schief gehen kann. Mehr Infos zum Portal und Link im Blogbeitrag.
Die Unionsparteien lassen sich feiern. Von Wegfall der Bürokratie im Datenschutz für kleine Betriebe und Vereine ist die Rede. Das Thema Datenschutz sei jetzt viel einfacher und weniger aufwändig für eine Vielzahl von Betrieben und Vereinen. Anlass ist die Verabschiedung eines Anpassungsgesetzes mit notwendigen Korrekturen in 154 nationalen Gesetzen im Bundestag am vergangenen Freitag, zu nächtlicher Unzeit. Und es stimmt, eine Anpassung zahlreicher nationaler Gesetze und Regelungen war durch die DSGVO aus Mai 2018 notwendig geworden. Doch was aktuell in verschiedenen Medien als Erfolg für den Abbau von Bürokratie gefeiert wird, allen voran bei Handwerkskammern und Vereinen, das entbehrt einer Grundlage. Noch dazu zeugt es davon, dass die Beteiligten, das Thema Datenschutz und die rechtlichen Anforderungen nicht ganz umrissen haben.
Zukünftig soll die Grenze nicht mehr 10 Mitarbeiter, sondern 20 Mitarbeiter betragen, die mit der Verarbeitung personenbezogener Daten befasst sind und somit die Bestellpflicht für einen Datenschutzbeauftragten ausgelöst wird.
Es gibt viel Verbesserungspotential im Bereich Datenschutz, gar keine Frage. Einheitliche und praxisnahe Auslegungen seitens der Landesdatenschutzbehörden hätten enormes Potential, auch die Akzeptanz des Themas Datenschutz generell zu erhöhen. Hier kann der Gesetzgeber jedoch nicht regelnd eingreifen, außer man würde die Landesdatenschutzbehörden auflösen und in einer zentralen Organisation des Bundes zusammenfassen. Stattdessen wird nun in kleinen Schiffen und Booten der Lotse von Bord geschickt. Die Zukunft wird zeigen, ob die gewünschte Entbürokratisierung damit Einzug hält. Es steht nicht zu vermuten.
Alle Details und Hintergründe zur im Blogbeitrag
Art. 38 Abs. 6 DSGVO regelt, dass Interessenskonflikte eines Datenschutzbeauftragten bei der Ausübung seiner Tätigkeit zu vermeiden sind. Wer darf zum Datenschutzbeauftragten bestellt werden? Lesen Sie die Details über die Vermeidung von Interessenskonflikten bei der Bestellung eines Datenschutzbeauftragten in unserem Blogbeitrag
Sie wollen eine Rechnung als PDF an Emails anhängen und versenden? Da gibt es einige Aspekte zu beachten im Sinne des Datenschutzes bzw. der DSGVO. Nein, generelle Verschlüsselung ist keine Pflicht. Wie Sie die datenschutzrechtlichen Anforderungen an Rechnungsversand per Email erfüllen können, skizziert unser Beitrag mit Tipps & Tricks.
Die DSGVO Schonfristen sind endgültig vorbei. 8 erste Tipps, um Ihre Organisation fit für das Thema Datenschutz zu machen: VVT, DSB, Einwilligung, Meldepflicht, Datenpannen
Keine Email-Werbung ohne schriftliche Einwilligung. Oder gibt es doch Ausnahmen im Gesetz gegen den unlauteren Wettbewerb (UWG) und Datenschutz? Ja, es gibt genau eine Ausnahme. Bei dieser müssen zahlreiche Bedingungen ALLE und GLEICHZEITIG erfüllt sein. Ein Merkblatt des Landesdatenschutzbeauftragten Baden-Württemberg dient Verbrauchern bei der Wahrnehmung ihrer Rechte gegen unlauter werbende Unternehmen. Im Umkehrschluss kann jeder Werbetreibende in diesem Merkblatt nachlesen, wie es richtig geht. Mehr im Blogbeitrag
Personalausweis kopieren oder als Pfand einbehalten? In vielen Branchen üblich, doch nur in sehr wenigen Branchen und Fällen gesetzlich erlaubt. Wieso Sie nicht einfach einen Personalausweis kopieren oder als Pfand einbehalten dürfen, erklären wir im Blogbeitrag.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat erste Auslegungshilfen zum neuen Datenschutzrecht der EU Datenschutzgrundverordnung (EU-DSGVO) veröffentlicht.
Wie bereits in einem früheren Beitrag beschrieben, ist die Unterstützung mit Vorlagen und Hilfsmitteln zur Umsetzung der EU-DSGVO noch recht „überschaubar“. Dies wird auch am Umfang der jetzt veröffentlichten - und noch zu erweiternden - Auslegungshilfen deutlich. Mehr dazu im Blogbeitrag.
Der Tätigkeitsbericht 2015/2016 des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) für den nicht-öffentlichen Bereich (also Unternehmen, Vereine, Freiberufler etc.) wurde veröffentlicht. Es wurde eine deutliche Zunahme an Beschwerden von Bürgern ebenso wie eine Steigerung der Datenpannen durch Unternehmen festgestellt. Im Beschwerdebereich ist das Thema Videoüberwachung Knackpunkt Nummer Eins. Bei den Datenpannen hat sich neben den Klassikern das Thema Cybercrime weit nach vorne geschoben. Unsichere Webseiten, gehackte Webshops, mißbrauchte Kunden- und Zahlungsdaten führen die Hitliste an. Auch ein Ausblick auf die (zumindest teilweise heute schon bekannten) Auswirkungen auf die EU-DSGVO (ab 25.05.2018) wird gegeben. An der Bestellpflicht für Datenschutzbeaufragte durch Unternehmen und Vereinen wird sich voraussichtlich nichts ändern. Neu aber: die Bestellung muss der Aufsichtsbehörde mitgeteilt werden. Wohl dem, der einen hat :-) Mehr Infos und Links zum kompletten Tätigkeitsbericht im Blogbeitrag.
Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war. "Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten", so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach. Lesen Sie alle Hintergründe zum Thema Bestellpflicht, Interessenskonflikt und Lösung mittels externem Datenschutzbeauftragten in unserem Blog.
10 Landesdatenschutzbehörden prüfen den Cloud-Einsatz deutscher Unternehmen in Bezug auf die Auslagerung personenbezogener Daten von Mitarbeitern und Kunden, gerade außerhalb der EU. Klassische Anbieter für Reisemanagement, Customer-Relationship-Management, Bewerberportale bis hin zu kompletten Recruitment und Personalverwaltung und Abrechnung, Cloud-Speicher, Newsletter-Services, Cloud Office, aber auch Kollaborationsplattformen werden in Unternehmen gerne genutzt. Oft unwissentlich in Bezug auf die datenschutzrechtlichen Anforderungen und Fallstricke. Das kann schnell teuer werden und die erhoffte Kosteneinsparung durch Auslagern ist dahin. Die Aktion der Landesdatenschutzbehörden will einerseits prüfen, aber auch sensibilisieren. Mehr Infos samt Downloadlink zum Fragebogen zur Selbstüberprüfung im Blogbeitrag.
Zumindest für den Zeitraum eines Jahres kann das oft kritisierte Privacy Shield als Nachfolger von Safe Harbor fungieren. Nach Aussagen der sogenannten Artikel-29-Gruppe sei das neue Abkommen nach wie vor nicht geeignet, grundsätzliche Kritik auszuräumen. Dabei wurden die nach wie vor zulässigen Geheimdienstzugriffe auf Daten von EU Bürgern sowie die mangelnden Durchsetzungsmöglichkeiten der Schutzrechte der Betroffenen bemängelt.
Dennoch könne Privacy Shield vorerst als Zulässigkeitstatbestand für den Transfer personenbezogener Daten in die USA eingesetzt werden. Nach 12 Monaten Evaluierungsphase soll das Abkommen neu bewertet werden. Bis dahin sicherten die europäischen Datenschutzbehörden aktive Unterstützung bei der Geltendmachung der Rechte Betroffener in den USA zu.
Das EU US Privacy Shield tritt zum 01.08.2016 in Kraft. Als Nachfolger von Safe Harbor soll es den Transfer personenbezogener Daten zwischen Europa und den USA wieder vereinfachen. Neben Befürwortern melden sich zahlreiche Kritiker zu Wort. Unter anderem der Initiator des EUGH-Urteils aus dem Herbst 2015, welches Safe Harbor für unzulässig erklärte. Dieser bezweifelt, das Privacy Shield die Vorgaben des EUGH einhält und somit nicht lange von Bestand sein wird. Wie jetzt damit umzugehen ist, lesen Sie im kompletten Beitrag.
In einer einstweiligen Verfügung des Landgerichts Hamburg vom 10.03.2016 mit dem Aktenzeichen 312 O 127/16 untersagt das Gericht dem Betreiber einer Webseite den Einsatz von Google Analytics aufgrund fehlender Hinweise auf den Einsatz, beispielweise im Rahmen der Datenschutzerklärung. Das Landgericht Hamburg droht dem Webseitenbetreiber für den Fall der Zuwiderhandlung gegen diese Anordnung ein Ordnungsgeld von bis zu 250.000 Euro an (als Ersatz Ordnungshaft bis zu 6 Monaten). Tipps zum datenschutzkonformen Einsatz bei uns im Blog
Service von a.s.k. Datenschutz zur rechtssicheren Umsetzung der Auftragsverarbeitung nach Art. 28 DSGVO. Lagern Sie die Arbeit und das Risiko aus.
Meistgelesen
Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO — technische und organisatorische Maßnahmen 
Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie – ein kostenloses Muster 
Rechnung per Email versenden und der Datenschutz 
Tipp: Microsoft Analytics “MyAnalytics” in Office 365 deaktivieren 
Checkliste Prüfung Technische und Organisatorische Maßnahmen (TOM) aktualisiert
Partner / Kooperationen
Anwaltskanzlei Diercks, Hamburg
Spirit Legal Rechtsanwälte, Leipzig
RA Stephan Hansen-Oest, Flensburg
Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
Gesellschaft für kommunalen Datenschutz (GKDS), München
Datenschutz Schmidt (Datenschutz Assistent), Lauf a.d. Pegnitz
Hahn IT Services, Schwaig
Mitgliedschaften
