Patrick Upmann

Kategorie: Data Governance Insights

Data Governance Insights: Aktuelle Entwicklungen und Best Practices in der Datenverwaltung

Willkommen bei Data Governance News, Ihrer zentralen Anlaufstelle für die neuesten Informationen und fundierten Berichte über die Welt der Datenverwaltung. Hier bieten wir Ihnen umfassende Einblicke in die neuesten Entwicklungen, Technologien und Best Practices im Bereich Data Governance und decken die wichtigsten untergeordneten Themen ab.

Neueste Entwicklungen und Forschung

Unsere Berichterstattung umfasst die aktuellsten wissenschaftlichen Erkenntnisse und technischen Fortschritte im Bereich der Datenverwaltung. Erfahren Sie mehr über innovative Ansätze zur Sicherstellung der Datenqualität, Integrität und Verfügbarkeit, die Unternehmen dabei helfen, ihre Daten als strategischen Vorteil zu nutzen.

Datenrichtlinien und Compliance

Data Governance News beleuchtet die neuesten gesetzlichen Anforderungen und regulatorischen Entwicklungen, die die Datenverwaltung betreffen. Bleiben Sie auf dem Laufenden über neue Compliance-Richtlinien, Datenschutzgesetze wie die DSGVO und deren Auswirkungen auf Unternehmen weltweit.

Datensicherheit und Datenschutz

Ein zentraler Bestandteil der Data Governance ist die Datensicherheit und der Schutz personenbezogener Daten. Wir informieren Sie über Best Practices zur Sicherstellung der Datensicherheit, Schutz vor Cyberangriffen und Maßnahmen zur Einhaltung von Datenschutzvorschriften.

Datenqualität und -integrität

Erfahren Sie, wie Unternehmen die Genauigkeit, Konsistenz und Verlässlichkeit ihrer Daten sicherstellen. Unsere Berichterstattung bietet tiefgehende Einblicke in Methoden zur Datenbereinigung, Datenqualitätsmetriken und Tools zur Überwachung und Verbesserung der Datenqualität.

Datenzugriffsmanagement

Lesen Sie über Strategien und Technologien zur Verwaltung des Datenzugriffs. Erfahren Sie, wie Unternehmen sicherstellen, dass nur autorisierte Personen Zugriff auf sensible Daten haben, und wie Rollen- und Berechtigungsmanagement effektiv umgesetzt wird.

Metadatenmanagement

Entdecken Sie die Bedeutung des Metadatenmanagements für eine erfolgreiche Data Governance. Wir stellen Ihnen Ansätze und Tools zur Verwaltung und Nutzung von Metadaten vor, die helfen, Datenressourcen besser zu verstehen und zu organisieren.

Datenkataloge und -linien

Ein weiterer wichtiger Aspekt der Data Governance ist das Management von Datenkatalogen und Datenlinien. Erfahren Sie, wie Unternehmen ihre Datenbestände dokumentieren und nachvollziehbar machen, um Transparenz und Datenverfügbarkeit zu verbessern.

Technologien und Tools

Erfahren Sie mehr über die neuesten Technologien und Tools, die Unternehmen bei der effektiven Verwaltung ihrer Daten unterstützen. Von Data Governance Plattformen bis hin zu speziellen Tools für Datenqualität, Datenkataloge und Metadatenmanagement – wir stellen Ihnen die wichtigsten Innovationen vor.

Strategien und Best Practices

Unsere Berichterstattung bietet tiefgehende Einblicke in bewährte Strategien und Best Practices für eine erfolgreiche Datenverwaltung. Lernen Sie von erfolgreichen Implementierungen und erfahren Sie, welche Methoden und Ansätze sich in der Praxis bewährt haben.

Interviews und Expertenmeinungen

Lesen Sie exklusive Interviews mit führenden Experten im Bereich Data Governance. Erfahren Sie aus erster Hand, wie Datenprofis die Herausforderungen und Chancen der Datenverwaltung sehen und welche Strategien sie empfehlen.

Markttrends und Analysen

Bleiben Sie auf dem Laufenden über die neuesten Markttrends und wirtschaftlichen Auswirkungen von Data Governance. Unsere Expertenanalysen bieten Ihnen wertvolle Einblicke in Marktbewegungen, Investitionstrends und die strategischen Entscheidungen führender Unternehmen.

Konferenzen und Veranstaltungen

Erhalten Sie umfassende Berichte über wichtige Konferenzen, Branchenveranstaltungen und Workshops im Bereich Data Governance. Bleiben Sie informiert über die Diskussionen und Präsentationen, die die Landschaft der Datenverwaltung prägen.

Fallstudien und Best Practices

Lernen Sie aus detaillierten Fallstudien und Best Practices, wie Unternehmen ihre Data Governance-Programme erfolgreich implementiert haben. Diese Praxisbeispiele bieten wertvolle Einblicke und praktische Tipps für die Umsetzung eigener Data Governance-Initiativen.

Data Governance News ist Ihre unverzichtbare Ressource für alles, was Sie über die Verwaltung und Nutzung von Daten wissen müssen. Bleiben Sie informiert und an der Spitze der Datenverwaltung mit Data Governance News!

  • Datenschutz – Geben die App Anbieter persönliche Nutzerdaten auf Anfrage heraus?

    Datenschutz – Geben die App Anbieter persönliche Nutzerdaten auf Anfrage heraus?

    Datenschutz – Informatiker im Undercover-Einsatz

    Drei Forscher haben mehr als 200 Apps getestet: Geben die Anbieter persönliche Nutzerdaten auf Anfrage heraus?

    Auch in der Wissenschaft gibt es verdeckte Ermittler: Mit sogenannter „Undercover-Feldforschung“ haben drei Informatiker der Universitäten Bamberg und Hamburg sowie der TU Berlin die Anbieter von Apps auf die Probe gestellt. Sie wollten herausfinden, ob diese wie vorgeschrieben die persönlichen Nutzerdaten auf Anfrage herausgeben. „Unsere Studie zeigt, dass viele Anbieter ihrer gesetzlichen Auskunftspflicht nicht nachkommen“, sagt Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen an der Universität Bamberg. „Insgesamt haben wir 225 iOS- und Android-Apps untersucht. Bei den meisten Anbietern gab es etwas zu beanstanden.“ Die Studie wurde im August auf der internationalen IT-Sicherheits-Konferenz „ARES 2020“ vorgestellt und als beste Einreichung mit dem Best-Paper-Award ausgezeichnet.

    Ein Fünftel der App-Anbieter antwortete nicht

    Dominik Herrmann, Jens Lindemann von der Universität Hamburg und Jacob Leon Kröger von der TU Berlin haben die Verlaufsstudie zwischen 2015 und 2019 durchgeführt. Der Titel lautet: „How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps“. Für ihre Undercover-Untersuchung legten die Informatiker fiktive Nutzerprofile an, sodass insgesamt 225 App-Anbieter Zugang zu diesen persönlichen Daten bekamen. Rund ein Drittel der Apps stammte aus Deutschland, die anderen aus Ländern weltweit. In den Jahren 2015, 2018 und 2019 baten die Wissenschaftler die Anbieter darum, ihnen die persönlichen Daten zu nennen, die sie von ihnen gespeichert hatten. „Viele Anbieter – im Schnitt 20 Prozent – antworteten gar nicht, manche waren nicht einmal erreichbar“, erläutert Dominik Herrmann. Häufig seien die Antworten ungenügend gewesen, etwa weil sie unverständlich strukturiert waren oder die Links zu den angeforderten Daten nicht funktionierten. „Ein Anbieter hat uns versehentlich sogar die sensiblen Daten einer anderen Person geschickt.“

    DSGVO führte nicht zu einer Verbesserung

    Besonderes Augenmerk legten die Wissenschaftler auf die Unterschiede zwischen 2018 und 2019. Im Mai 2018 wurde die Datenschutz-Grundverordnung (DSGVO) eingeführt, die unter anderem das Recht auf Auskunft über personenbezogene Daten konkretisiert. „Nach der Einführung erwarteten wir einen positiven Trend“, so Dominik Herrmann. „Stattdessen ging die Zahl der akzeptablen Antworten tendenziell eher noch zurück: von 53 Prozent im Jahr 2018 auf 41 Prozent im Jahr 2019.“ Eine Antwort war für die Wissenschaftler akzeptabel, wenn der Anbieter entweder die angeforderten Nutzerdaten schickte oder wenn er glaubwürdig begründen konnte, dass die Daten nicht mehr gespeichert waren. Bedenklich findet das Forscherteam, dass rund drei Viertel der Anbieter nicht die Identität der antragstellenden Person überprüften. Positive Entwicklungen stellten die Forscher innerhalb der vier Jahre nur in einzelnen Bereichen fest, beispielsweise wurden den Anfragenden häufiger verständliche Daten zur Verfügung gestellt.

    Verbesserung durch mehr Ressourcen und Stichproben

    Was können Nutzerinnen und Nutzer tun, die nicht die gewünschte Auskunft erhalten? „Betroffene sollten sich an Datenschutzbehörden wenden, die derartige Verstöße verfolgen“, erklärt Dominik Herrmann. Er empfiehlt außerdem, Apps grundsätzlich mit Bedacht auszuwählen und möglichst wenig Persönliches preiszugeben – oder gar falsche Angaben zu machen, sofern möglich. Um die Vorschriften der DSGVO besser durchzusetzen, sieht das Forscherteam vor allem den Staat in der Pflicht: „Die zuständigen Aufsichtsbehörden benötigen mehr Budget und Personal, um ihre gesetzlich vorgesehene Aufgabe zu erfüllen. Sie könnten dann umfassende Stichprobenkontrollen durchführen oder branchenspezifische Richtlinien für Unternehmen erlassen. Idealerweise stellen uns App-Anbieter in Zukunft einheitliche und – automatisierte Schnittstellen für solche Auskunftsanfragen zur Verfügung. Dadurch könnten sie auf die fehleranfällige manuelle Bearbeitung verzichten.“

    Publikation (Open Access):

    Jacob Leon Kröger, Jens Lindemann, Dominik Herrmann. 2020. How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps. ARES ’20: Proceedings of the 15th International Conference on Availability, Reliability and Security.
    https://dl.acm.org/doi/10.1145/3407023.3407057

    Englische Video-Präsentation der wichtigsten Ergebnisse (15 Minuten): https://vimeo.com/444158701

    Das Projekt stammt aus dem Forschungsschwerpunkt „Digitale Geistes-, Sozial- und Humanwissenschaften“ der Universität Bamberg. Weitere Informationen und aktuelle Meldungen zum Schwerpunkt finden Sie unter www.uni-bamberg.de/forschung/profil/digitale-geistes-sozial-humanwissenschaften. ­­

    Quelle: https://www.uni-bamberg.de/https://www.uni-bamberg.de/

  • Datenschutz: In Hessen trat vor 50 Jahren das weltweit erste Datenschutzgesetz in Kraft.

    Datenschutz: In Hessen trat vor 50 Jahren das weltweit erste Datenschutzgesetz in Kraft.

    Datenschutz – Heute vor 50 Jahren, am 13.10.1970, trat das weltweit erste Datenschutzgesetz für die öffentliche Verwaltung in Kraft – und zwar in Hessen. Sukzessive zogen weitere Länder und der Bund nach und etablierten so den Schutz der personenbezogenen Daten als grundsätzlichen Teil des alltäglichen Lebens aller Bürgerinnen und Bürger.

    Der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink gratuliert seinem hessischen Kollegen Prof. Michael Ronellenfitsch: „Die Gründung der ersten Datenschutzbehörde steht dafür, dass die Informationelle Selbstbestimmung der Bürgerinnen und Bürger höchsten Wert hat.“

    Das Gesetz in Hessen regelte, wann personenbezogene Daten verarbeitet werden dürfen und welche Vorgaben dabei zu beachten sind. Alle Einwohnerinnen und Einwohner des Landes konnten sich so vor einem unangemessenen Eingriff durch den Staat schützen.

    „Gerade mit Blick auf unsere dunkle Geschichte von 1933 bis 1945, wo Menschen identifiziert, klassifiziert, aussortiert und ermordet wurden, ist klar, dass ein Staat niemals totalen Zugriff auf das Leben der Bürgerinnen und Bürger haben darf. Menschen müssen sich und ihre persönlichen Daten auch vor dem Zugriff des Staates schützen können. In unserer Demokratie ist das hessische Beispiel Vorbild für alle Deutschen Länder geworden“, sagt Datenschutzbeauftragter Brink. In Baden-Württemberg trat das Landesdatenschutzgesetz im Jahr 1979 in Kraft.

    Im Laufe der vergangenen fünf Jahrzehnte sei es gelungen, die europäischen Nachbarn von der elementaren Bedeutung des Datenschutzes zu überzeugen. Mit der Datenschutz-Grundverordnung (DS-GVO) wurde im Mai 2018 für alle Mitgliedstaaten der Europäischen Union der gleiche hohe Standard gesetzt, die in Deutschland entwickelt wurde.

    Dabei setzt auch die DS-GVO den souveränen Menschen ins Zentrum. LfDI Brink: „Heute ist Datenschutz ein modernes europäisches Grundrecht“, so Brink, welches ganz klar den Menschen in den Mittelpunkt stelle und ihm die Entscheidung überlasse, wie und von wem seine Daten genutzt werden. „Unsere Aufgabe als Landesbehörde ist es, dafür zu sorgen, dass die Datenschutz-Grundverordnung von allen eingehalten und dabei die Schutzrechte der Bürgerinnen und Bürger gewahrt werden. Wir stehen an der Seite der Bürgerinnen und Bürger unterstützen sie dabei, dass sie heute und in Zukunft frei und selbstbestimmt über die Nutzung ihrer eigenen Daten entscheiden können.“

    Quelle: https://www.baden-wuerttemberg.datenschutz.de/

  • Datenschutz – Wie sich der Hauptgeschäftsführer Bertram Brossardt von der Vereinigung der Bayerischen Wirtschaft e. V. sich die Datenwirtschaft der Zukunft vorstellt?

    Datenschutz – Wie sich der Hauptgeschäftsführer Bertram Brossardt von der Vereinigung der Bayerischen Wirtschaft e. V. sich die Datenwirtschaft der Zukunft vorstellt?

    Datenschutz – vbw zur Datenwirtschaft: Blick stärker auf Chancen als auf Gefahren richten / Brossardt: „Klare Richtlinien ja – überzogene Bürokratie und Überregulierung nein“

    Datenschutz – Die vbw – Vereinigung der Bayerischen Wirtschaft e. V. fordert in ihrem aktuellen Positionspapier, die Potenziale der Datenwirtschaft noch besser auszuschöpfen. „Eine intelligente Nutzung von Daten kann in allen Branchen neue Wertschöpfung schaffen. Um im Bereich Datenwirtschaft eine globale Spitzenposition einzunehmen, brauchen wir ein chancenorientiertes und innovationsfreundliches Umfeld – mit Regelungen, die Fairness und Sicherheit gewährleisten, aber praxisgerecht ausgestaltet sind und nicht unnötig einengen“, sagt vbw Hauptgeschäftsführer Bertram Brossardt. „Der Wert von Daten muss in jeder Hinsicht besser messbar und stärker berücksichtigt werden.“

    Voraussetzung für eine erfolgreiche europäische und nationale Datenwirtschaft sind klare Richtlinien zum Umgang mit Daten. „Die Unternehmen benötigen Rechtssicherheit. Vor allem die Anonymisierung von Daten muss eindeutig geregelt werden und unkompliziert möglich sein. Der Umgang mit Sachdaten muss grundsätzlich frei bleiben, auch wenn es theoretisch denkbar wäre, dass irgendein Bezug zu Personen hergestellt werden könnte. Hier darf die DS-GVO nur ganz ausnahmsweise greifen“, so Brossardt. Daten der öffentlichen Hand müssen verstärkt geteilt und zur Verfügung gestellt werden, Stichwort Open Government Data. Ein Recht auf Zugang zu Datenbeständen einzelner Unternehmen lehnt die vbw jedoch ab. „Das muss Gegenstand freiwilliger vertraglicher Regelungen bleiben. Insbesondere für digitale Industrieplattformen wären solche Vorgaben kontraproduktiv“, erklärt Brossardt.

    Nach Ansicht der vbw darf es keine Überregulierung der Datenwirtschaft geben, insbesondere beim Einsatz von Künstlicher Intelligenz. „Gerade zwischen Unternehmen müssen Verträge immer Vorrang haben. Es besteht in aller Regel kein Anlass, in die bewährte Systematik der bestehenden Gesetzgebung einzugreifen. Auch Haftungsfragen werden vom geltenden Recht bereits ausreichend abgedeckt“, so Brossardt.

    Die aktuellen Initiativen der EU und des Bundes für eine verantwortungsvolle Bereitstellung und Nutzung von Daten und einen Ausbau der europäischen Datenwirtschaft begrüßt die vbw insofern, dass sie die Bedeutung des Themas bewusst machen. „Es ist wichtig, hier zu investieren. Der Blick muss aber mehr auf den Chancen als auf potenziellen Gefahren liegen. Neue Hürden für Unternehmen darf es nicht geben“, betont Brossardt.

    Quelle: vbw

    Datenwirtschaft

    PDF herunterladen1,2 MB

    Datenwirtschaft oder Datenökonomie (Data Economy) sind als Begriffe inzwischen in den allgemeinen Sprachgebrauch übergegangen. Sie sind allerdings nicht eindeutig definiert und nicht trennscharf von anderen Bereichen der digitalen Transformation abzugrenzen, da Daten letztlich immer eine wichtige Rolle spielen. Weitere Beiträge zum Thema.

    Den Link zum Positionspapier finden Sie hier

  • Datenschutz – Kein datenschutzgerechter Einsatz von Microsoft Office 365 . Nachbesserung bei Online Service Terms und Data Processing Addendum

    Datenschutz – Kein datenschutzgerechter Einsatz von Microsoft Office 365 . Nachbesserung bei Online Service Terms und Data Processing Addendum

    Datenschutz – Microsoft Office 365: Bewertung der Datenschutzkonferenz zu undifferenziert – Nachbesserungen gleichwohl geboten

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat die Bewertung seines Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen.

    Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für MicrosoftOnlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft.

    Datenschutz – Das Papier kommt zu dem Ergebnis, dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen.

    Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.

    Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II).

    Sie unterstützen deshalb im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Überdies hat der Arbeitskreis Verwaltung seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Schließlich konnten noch nicht die Feststellungen des Europäischen Gerichtshofs zu den Anforderungen der Datenschutz-Grundverordnung an internationale Datentransfers berücksichtigt werden. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

    Vor diesem Hintergrund haben die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif angesehen. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist, wie es zu einem fairen, rechtsstaatlichen Verfahren gehört. Umso mehr begrüßen die fünf Datenschutzaufsichtsbehörden, dass die Datenschutzkonferenz einstimmig eine Arbeitsgruppe eingesetzt hat, die unter Federführung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht zeitnah Gespräche mit dem Hersteller aufnehmen soll.

    Dr. Stefan Brink, Prof. Dr. Thomas Petri, Michael Will, Prof. Dr. Michael Ronellenfitsch und Monika Grethel: „Wir stimmen mit der gesamten Datenschutzkonferenz überein, dass die Rechtsunsicherheiten im datenschutzrechtlichen Umgang mit Microsoft Office 365 zeitnah bereinigt werden müssen. Es wäre gut, wenn die neu eingesetzte Arbeitsgruppe der Konferenz unter Wahrung rechtsstaatlicher Grundsätze erreicht, dass der Hersteller sein Produkt Microsoft Office 365 bald und nachhaltig datenschutzrechtlich nachbessern wird. In einem konstruktiven Dialog mit Microsoft zur Sprache kommen müssen dabei insbesondere die Maßstäbe, die nach der neuesten Rechtsprechung des Europäischen Gerichtshofs bei Drittstaatentransfers zu beachten sind.“ Dr. Stefan Brink Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg Prof. Dr. Thomas Petri Bayerischer Landesbeauftragter für den Datenschutz Michael Will Präsident des Bayerischen Landesamts für Datenschutzaufsicht Prof. Dr. Michael Ronellenfitsch Hessischer Beauftragter für Datenschutz und Informationsfreiheit Monika Grethel Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland.

    Quelle: Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland

  • Datenschutz – Warum H&M 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen in seinem Servicecenter zahlen muss

    Datenschutz – Warum H&M 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen in seinem Servicecenter zahlen muss

    Datenschutz – Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg

    Datenschutz – Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.

    Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

    Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

    Datenschutz – Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

    Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

    Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

    Quelle: Datenschutz-Hamburg.de
    Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
    der Freien und Hansestadt Hamburg

  • DSGVO – Warum Jedes 2. Unternehmen aus Datenschutzgründen auf Innovationen verzichtet?

    DSGVO – Warum Jedes 2. Unternehmen aus Datenschutzgründen auf Innovationen verzichtet?

    • 20 Prozent haben Datenschutz-Grundverordnung inkl. Prüfprozesse umgesetzt
    • Homeoffice-Tools wegen Datenschutzanforderungen eingeschränkt
    • Eigene Corona-Apps für Unternehmen kein Thema

    Im Pandemiejahr 2020 erschweren Datenschutzanforderungen vielen Unternehmen die Aufrechterhaltung ihres Betriebs. So greifen viele Unternehmen aus Datenschutzgründen nur eingeschränkt oder gar nicht auf digitale Anwendungen zur Zusammenarbeit im Homeoffice zurück.

    DSGVO – Zudem kämpft die große Mehrheit auch mehr als zwei Jahre nach Geltungsbeginn noch mit der Umsetzung der Datenschutz-Grundverordnung (DS-GVO). Das sind Ergebnisse einer repräsentativen Befragung unter mehr als 500 Unternehmen in Deutschland, die der Digitalverband Bitkom im Rahmen seiner Privacy Conference vorgestellt hat. Demnach hat nur jedes fünfte Unternehmen (20 Prozent) die DS-GVO vollständig umgesetzt und auch Prüfprozesse für die Weiterentwicklung etabliert. Mehr als ein Drittel (37 Prozent) hat die Regeln größtenteils umgesetzt, ähnlich viele (35 Prozent) teilweise.

    Und 6 Prozent haben gerade erst mit der Umsetzung begonnen. „Die immer noch niedrigen Umsetzungszahlen sind ernüchternd“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Die Datenschutz-Grundverordnung lässt sich nun einmal nicht wie ein Pflichtenheft abarbeiten. Im Gegenteil: Durch unklare Vorschriften und zusätzliche Anforderungen der Datenschutzbehörden ist aus der DS-GVO ein Fass ohne Boden geworden.“ Das bestätigen die befragten Unternehmen nahezu einhellig. 89 Prozent meinen: Die Datenschutz-Grundverordnung ist praktisch nicht vollständig umsetzbar.

    Zusatzaufwand durch die DS-GVO steigt weiter an

    DSGVO – Die größte Herausforderung ist dabei für drei Viertel der Unternehmen (74 Prozent) eine anhaltende Rechtsunsicherheit durch die Regeln der DS-GVO. Zwei von drei (68 Prozent) beklagen zu viele Änderungen oder Anpassungen bei der Auslegung. Sechs von zehn Unternehmen (59 Prozent) sehen als eines der größten Probleme die fehlenden Umsetzungshilfen durch Aufsichtsbehörden, fast die Hälfte (45 Prozent) nennt die uneinheitliche Auslegung der Regeln innerhalb der EU. Für ein Viertel (26 Prozent) ist fehlendes Fachpersonal eine der höchsten Hürden. Das wirkt sich für die große Mehrheit auch auf die eigenen Ressourcen aus. Mehr als ein Drittel der Unternehmen (36 Prozent) gibt an, dass sie seit Einführung der DS-GVO mehr Aufwand haben und dies künftig so bleiben wird. Für weitere 35 Prozent ist absehbar, dass die jetzt bereits gestiegenen Aufwände weiter zunehmen werden.

    Innovative Projekte scheitern am Datenschutz

    Zudem haben die Datenschutzregeln für viele Unternehmen dazu geführt, dass sie technologische Innovationen weniger oder gar nicht vorantreiben konnten. Bei mehr als jedem zweiten Unternehmen (56 Prozent) sind neue, innovative Projekte aufgrund der DS-GVO gescheitert – entweder wegen direkter Vorgaben oder wegen Unklarheiten in der Auslegung der DS-GVO. Vier von zehn (41 Prozent) geben an, dass sie deswegen keine Datenpools aufbauen konnten, um etwa Daten mit Geschäftspartnern teilen zu können. Bei drei von zehn (31 Prozent) scheiterte dadurch der Einsatz neuer Technologien wie Big Data oder Künstliche Intelligenz, ein Viertel (24 Prozent) bestätigt dies für die Digitalisierung von Geschäftsprozessen. Jedes fünfte betroffene Unternehmen (20 Prozent) verzichtete DS-GVO-bedingt auf den Einsatz neuer Datenanalysen. „Persönliche Daten müssen geschützt werden, das ist unstrittig. Datenschutz darf aber nicht zur Innovationsbremse werden“, so Dehmel. „Wenn wir es ernst meinen mit dem Digitalstandort Europa, müssen Datenschutzregeln die datenbasierten Geschäftsmodelle flankieren anstatt sie auszuhebeln.“ Nahezu alle Unternehmen (92 Prozent) fordern Nachbesserungen bei der DS-GVO. So sollten laut den Befragten etwa die Informationspflichten praxisnäher gestaltet sein (91 Prozent), die Regeln verständlicher gemacht werden (85 Prozent) und die Beratung und Hilfe von den Datenschutzaufsichtsbehörden bei der Umsetzung verbessert werden (83 Prozent). Nur 3 Prozent meinen, dass die DS-GVO weiter verschärft werden sollte.

    Mit Blick auf den eigenen Betrieb sieht die Mehrheit der Befragten die DS-GVO kritisch. Sieben von zehn (71 Prozent) sagen, dass sie ihre Geschäftsprozesse komplizierter macht. Und für 12 Prozent stellt die DS-GVO sogar eine Gefahr für das eigene Geschäft dar. Nur für jedes fünfte Unternehmen (20 Prozent) bringt sie hingegen Vorteile. Befragt nach ihrer allgemeinen Sicht auf die DS-GVO gibt es auch positive Stimmen. So sind sieben von zehn Unternehmen (69 Prozent) überzeugt, dass die DS-GVO weltweit Maßstäbe für den Umgang mit Personendaten setzt. Zwei Drittel (66 Prozent) glauben, die DS-GVO werde zu einheitlicheren Wettbewerbsbedingungen in der EU führen und sechs von zehn Unternehmen (62 Prozent) meinen, die DS-GVO sei insgesamt ein Wettbewerbsvorteil für europäische Unternehmen.

    Datenschutzanforderungen als zusätzliche Belastung in der Krise

    Während der Pandemie hadern viele Unternehmen außerdem damit, ihren Betrieb datenschutzkonform aufrechtzuhalten. Viele Hilfsmittel, die etwa das Arbeiten aus dem Homeoffice erleichtern, wurden aus Datenschutzgründen nur eingeschränkt oder gar nicht genutzt. Fast jedes vierte Unternehmen (23 Prozent) verzichtete aus Datenschutzgründen auf Kollaborationstools. Weitere 17 Prozent haben diese Anwendungen nur eingeschränkt genutzt. Cloud-Dienste wie z.B. Online-Speicher haben ein Viertel (26 Prozent) nicht vollumfänglich genutzt, 2 Prozent verzichteten deswegen komplett darauf. Bei jedem zehnten Unternehmen (10 Prozent) wurde der Einsatz von Videotelefonie eingeschränkt, 3 Prozent konnten geeignete Videokonferenzsysteme aufgrund von Datenschutzvorgaben nicht verwenden. Und 4 Prozent geben an, den Gebrauch von Messenger-Diensten im Unternehmen begrenzen zu müssen, um datenschutzkonform zu sein. „Viele Unternehmen stecken in einem Dilemma: Einerseits sind sie angewiesen auf Kommunikations- und Kollaborationstools, die die Zusammenarbeit auf Distanz ermöglichen und Dienstreisen ersetzen. Andererseits kritisieren deutsche Aufsichtsbehörden eben jene Tools als nicht datenschutzkonform“, so Dehmel.

    Homeoffice-Leitlinien: ja, eigene Tracing-Apps: nein

    Für die Arbeit aus dem Homeoffice haben gut vier von zehn Unternehmen (42 Prozent) Leitlinien erstellt, davon 20 Prozent schon vor dem Ausbruch der Pandemie. Weitere 37 Prozent planen oder diskutieren solche Leitlinien, für 6 Prozent ist dies kein Thema. Und 13 Prozent geben an, dass ihr Unternehmen grundsätzlich kein Homeoffice erlaubt. Unternehmenseigene Kontaktverfolgungs-Apps bei Covid19-Infektionen sind bei keinem der Befragten im Einsatz. Jedes fünfte Unternehmen ab 500 Mitarbeitern (22 Prozent) plant oder diskutiert aber eine eigene Tracing-App unabhängig von der offiziellen Corona-Warn-App der Bundesregierung. Insgesamt sind fast zwei Drittel (62 Prozent) der Meinung, dass mehr Möglichkeiten zur Datennutzung bei der Pandemiebekämpfung helfen würden. Dabei sagt jedes zehnte Unternehmen (10 Prozent), dass sie einige Corona-Maßnahmen aufgrund von Datenschutzbestimmungen nicht durchführen konnten. Vier von zehn der Befragten (40 Prozent) geben zudem an, dass es Deutschland mit dem Datenschutz übertreibt.

    Grafik

    Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Bitkom durchgeführt hat. Dabei wurden 504 für den Datenschutz verantwortliche Personen (Betriebliche Datenschutzbeauftragte, Geschäftsführer, IT-Leiter) von Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland telefonisch befragt. Die Umfrage ist repräsentativ.

    Quelle: Bitkom

    https://now.digital/interim-manager-beratung-datenschutz-und-information-security-management-system/
  • Datenschutz – Datenverarbeitende Stellen in Berlin werden aufgefordert, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern

    Datenschutz – Datenverarbeitende Stellen in Berlin werden aufgefordert, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern

    Datenschutz – Nach „Schrems II“: Europa braucht digitale Eigenständigkeit
    Nach der Entscheidung des Europäischen Gerichtshofs (EuGH), das „EU-US Privacy Shield“
    für ungültig zu erklären, fordert die Berliner Beauftragte für Datenschutz und
    Informationsfreiheit, Maja Smoltczyk, datenverarbeitende Stellen in Berlin auf, in den USA
    gespeicherte personenbezogene Daten nach Europa zu verlagern.
    Der EuGH hat in seiner Entscheidung „Schrems II“ (C-311/18) am Donnerstag, dem 16. Juli
    2020, festgestellt, dass US-Behörden zu weitreichende Zugriffsmöglichkeiten auf Daten
    europäischer Bürgerinnen und Bürger haben. Daraus folgt, dass personenbezogene Daten bis
    zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt
    werden dürfen. Ausnahmen bestehen vor allem in den gesetzlich vorgesehenen Sonderfällen,
    etwa bei einer Hotelbuchung in den USA.


    Der EuGH stellt unter anderem fest, dass in den USA staatliche Überwachungsmaßnahmen
    bestehen, die mit einer massenhaften Sammlung personenbezogener Daten ohne klare
    Beschränkungen einhergehen. Dies widerspreche der EU-Grundrechtecharta (Rn. 180 ff. des
    Urteils). Weiter stellt er fest, dass europäische Bürgerinnen und Bürger keine Möglichkeit
    haben, Überwachungsmaßnahmen von US-Behörden gerichtlich überprüfen zu lassen.
    Dadurch sei der Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz
    verletzt.


    Übermittlungen personenbezogener Daten in Drittländer sind nur dann zulässig, wenn diese
    ein Datenschutzniveau aufweisen, das den europäischen Grundrechten der Sache nach
    gleichwertig ist. Da dies nach den Feststellungen des höchsten europäischen Gerichts in den
    USA weitgehend nicht der Fall ist, erklärt der EuGH in seiner Entscheidung das „EU-US
    Privacy Shield“ für ungültig, auf dessen Grundlage eine Übermittlung personenbezogener
    Daten in die USA bisher in vielen Fällen erfolgte. Die sogenannten Standardvertragsklauseln,
    die europäische Unternehmen mit Anbietern in Drittländern abschließen können, um das
    europäische Datenschutzniveau auch in den Drittländern zu wahren, erklärt der EuGH
    dagegen unter bestimmten Bedingungen für grundsätzlich zulässig. Er betont in diesem
    Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die
    Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen,
    ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach
    europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche
    Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen.


    Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher
    verbreitet vertreten, genügt der reine Abschluss von Standardvertragsklauseln nicht, um
    Datenexporte zu ermöglichen (Rn. 126 ff. des Urteils).


    Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind,
    nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils),
    und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen
    können (Rn. 143 des Urteils). Dieser dürfte insbesondere den immateriellen Schaden
    („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende
    Höhe aufweisen.
    Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer
    Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten.
    Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten –
    personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu
    Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem
    Datenschutzniveau zu wechseln.


    Maja Smoltczyk:
    „Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um
    die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen
    müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen
    Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei.
    Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
    Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet,
    unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur
    Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst
    festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China,
    Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme
    bestehen.

    Quelle: Berliner Beauftragte für Datenschutz und
    Informationsfreiheit

    https://now.digital/interim-manager-digitale-transformation/datenschutz-und-datenrecht-news/datenschutz-videokonferenzdienste/
  • Datenschutz – die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

    Datenschutz – die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

    Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig.

    Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet.

    Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet .

    Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen.

    Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen . Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour-Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten.

    Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I)

    Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. 2016, L 119, S. 1). 2 Art. 45 der DSGVO. 3 Art. 46 Abs. 1 und Abs. 2 Buchst. c der DSGVO. 4 Art. 49 der DSGVO. 5 Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. 2000, L 215, S. 7). 6 Urteil des Gerichtshofs vom 6. Oktober 2015, Schrems, C-362/14 (vgl. auch Pressemitteilung Nr. 117/15).

    www.curia.europa.eu dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes8 .

    Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

    Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

    Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes. Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten,

    Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. 2010, L 39, S. 5) in der Fassung des Durchführungsbeschlusses (EU) 2016/2297 der Kommission vom 16. Dezember 2016 (ABl. 2016, L 334, S. 100). 8 Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (ABl. 2016, L 207, S. 1). www.curia.europa.eu wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln.

    Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss. Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

    Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

    Aus all diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.

    www.curia.europa.eu HINWEIS: Im Wege eines Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Union vorlegen. Der Gerichtshof entscheidet nicht über den nationalen Rechtsstreit. Es ist Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs zu entscheiden. Diese Entscheidung des Gerichtshofs bindet in gleicher Weise andere nationale Gerichte, die mit einem ähnlichen Problem befasst werden.

    Zur Verwendung durch die Medien bestimmtes nichtamtliches Dokument, das den Gerichtshof nicht bindet.

    Quelle: www.curia.europa.eu

  • Datenschutz – EU-Datenschutzregeln zeigen gewünschte Wirkung, doch nationale Behörden brauchen bessere Ausstattung

    Datenschutz – EU-Datenschutzregeln zeigen gewünschte Wirkung, doch nationale Behörden brauchen bessere Ausstattung

    Datenschutz – Vor zwei Jahren trat die EU-Datenschutz-Grundverordnung in Kraft. Heute (Mittwoch) hat die Kommission eine erste positive Bilanz gezogen. Eine entscheidende Rolle bei der Durchsetzung des europäischen Datenschutzrechts spielen die nationalen Datenschutzbehörden. Diese müssen mit angemessenen personellen, technischen und finanziellen Mitteln ausgestattet werden, betont die Kommission in ihrem Bericht. Hier gibt es zwischen den Mitgliedstaaten noch große Unterschiede. Auch die grenzüberschreitende Zusammenarbeit der Datenschutzbehörden kann noch verbessert werden, um eine echte gemeinsame Datenschutzkultur zu erreichen. Die Datenschutzgrundverordnung garantiert EU-weit geltende Rechte bei der Verarbeitung von personenbezogenen Daten.24/06/2020

    Věra Jourová, Vizepräsidentin für Werte und Transparenz, sagte: „Inzwischen ist das europäische Datenschutzrecht für uns ein Kompass geworden, der uns im digitalen Wandel, bei dem der Mensch im Mittelpunkt steht, den Weg weist. Es ist eine wichtige Grundlage, auf der wir weitere Strategien aufbauen, wie zum Beispiel die Datenstrategie oder unser KI-Konzept. Die Datenschutz-Grundverordnung ist das perfekte Beispiel dafür, wie die Europäische Union das Leitmotiv Grundrechte nutzt, um die Rechte der Bürgerinnen und Bürger der EU zu stärken und die Unternehmen dabei zu unterstützen, die digitale Revolution zu meistern. Dennoch ist weiterhin unser aller Engagement gefragt, damit das Potenzial der DSGVO voll ausgeschöpft werden kann.“

    Datenschutz „Die DSGVO hat bei allen ihren Zielen Erfolge verzeichnet und ist inzwischen weltweit eine Referenz für Länder, die ihren Bürgerinnen und Bürgern ein hohes Datenschutzniveau bieten wollen“, so Didier Reynders, EU-Kommissar für Justiz. „Der heutige Bericht zeigt aber auch, dass wir noch mehr tun können. So brauchen wir beispielsweise EU-weit mehr Einheitlichkeit bei der Anwendung der Vorschriften: Dies ist für Bürgerinnen und Bürger ebenso wichtig wie für Unternehmen und insbesondere KMU. Wir müssen ferner sicherstellen, dass die Bürgerinnen und Bürger ihre Rechte uneingeschränkt wahrnehmen können. Um dies zu erreichen, wird die Kommission in enger Zusammenarbeit mit dem Europäischen Datenschutzausschuss sowie im regelmäßigen Austausch mit den Mitgliedstaaten Fortschritte genau überwachen, damit sich das volle Potenzial der DSGVO entfalten kann.“

    Dem Bericht zufolge hat die Datenschutzgrundverordnung (DSGVO) die meisten ihrer Ziele erreicht, insbesondere aufgrund des durch die DSGVO neu geschaffenen europäischen Governance- und Durchsetzungssystems. Auch bei der Unterstützung digitaler Lösungen in unvorhersehbaren Situationen wie der COVID-19-Krise hat sich die DSGVO als flexibel erwiesen. Der Bericht kommt auch zu dem Schluss, dass die Harmonisierung in den Mitgliedstaaten zunimmt, auch wenn ein gewisses Maß an Fragmentierung besteht, das ständig überwacht werden muss.

    Datenschutz – Ferner wird festgestellt, dass Unternehmen eine Compliance-Kultur entwickeln und einen starken Datenschutz immer häufiger als Wettbewerbsvorteil nutzen. Im Bericht sind Maßnahmen aufgelistet, die allen Interessenträgern, insbesondere kleinen und mittleren Unternehmen, die Anwendung der DSGVO weiter erleichtern und somit eine wirklich europäische Datenschutzkultur mit konsequenter Durchsetzung fördern und weiterentwickeln sollen.

    Die wichtigsten Ergebnisse der Überprüfung der Datenschutz-Grundverordnung:

    • Die Bürgerinnen und Bürger sind in ihren Rechten gestärkt und besser sensibilisiert: Die Datenschutz-Grundverordnung stärkt die Transparenz und verleiht den Einzelnen durchsetzbare Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung, Widerspruch und Datenübertragbarkeit. Aktuell haben 69 Prozent der über 16-Jährigen in der EU von der Datenschutz-Grundverordnung und 71 Prozent der Gesamtbevölkerung von ihrer jeweiligen nationalen Datenschutzbehörde gehört. Dies geht aus einer Umfrage der Agentur der Europäischen Union für Grundrechte hervor, die letzte Woche veröffentlicht wurde. Allerdings könnten die Bürgerinnen und Bürger bei der Wahrnehmung ihrer Rechte, insbesondere ihres Rechts auf Datenübertragbarkeit, noch besser unterstützt werden.
    • Die Datenschutzvorschriften sind zeitgemäß: In der heutigen Zeit des digitalen Wandels können die Menschen dank der DSGVO inzwischen aktiver mitbestimmen, was mit ihren Daten geschieht. Die Verordnung trägt ferner zur Entwicklung vertrauenswürdiger Innovationen bei, und zwar durch einen Ansatz, der risikobasiert ist und sich an Grundsätzen wie ‚Datenschutz durch Technik‘ und ‚datenschutzfreundliche Voreinstellungen‘ orientiert.
       
    • Datenschutzbehörden nutzen ihre erweiterten Abhilfebefugnisse: Von Verwarnungen und Verweisen bis hin zu Bußgeldern gibt die DSGVO den nationalen Datenschutzbehörden die richtigen Instrumente zur Durchsetzung des Datenschutzrechts an die Hand. Hierzu müssen sie jedoch mit angemessenen personellen, technischen und finanziellen Mitteln ausgestattet werden. Viele Mitgliedstaaten tun dies bereits, indem sie deutlich höhere Budget- und Personalzuweisungen vornehmen. Zwischen 2016 und 2019 war für alle nationalen Datenschutzbehörden in der EU zusammengenommen ein Anstieg von 42 Prozent beim Personalbestand und von 49 Prozent bei der Mittelausstattung zu verzeichnen. Allerdings gibt es hier bei den Mitgliedstaaten noch große Unterschiede.
       
    • Die Zusammenarbeit der Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) kann noch besser werden: Mit der Datenschutz-Grundverordnung wurde ein innovatives Governance-System geschaffen, das eine kohärente und wirksame Anwendung der Datenschutz-Grundverordnung durch die sogenannte einzige Anlaufstelle gewährleisten soll, damit ein Unternehmen, das Daten grenzüberschreitend verarbeitet, nur eine Datenschutzbehörde als Ansprechpartnerin hat, nämlich die Behörde des Mitgliedstaats, in dem sich seine Hauptniederlassung befindet. Zwischen dem 25. Mai 2018 und dem 31. Dezember 2019 gingen bei der zentralen Anlaufstelle Diesen Link in einer anderen Sprache aufrufenEN••• 141 Entscheidungsentwürfe ein, von denen 79 in endgültige Entscheidungen mündeten. Dennoch kann noch mehr für eine echte gemeinsame Datenschutzkultur getan werden. Insbesondere die Bearbeitung grenzüberschreitender Fälle erfordert einen effizienteren, einheitlicheren Ansatz und einen wirksamen Einsatz aller in der Datenschutz-Grundverordnung vorgesehenen Mechanismen für die Zusammenarbeit der Datenschutzbehörden.
       
    • Datenschutzbehörden – Beratung und Leitlinien: Der EDSA gibt derzeit Leitlinien Diesen Link in einer anderen Sprache aufrufenEN••• zu zentralen Aspekten der Verordnung und zu neuen Themen heraus. Mehrere Datenschutzbehörden haben neue Instrumente, wie Beratungsstellen für Einzelpersonen und Unternehmen oder Toolkits für Klein- und Kleinstunternehmen, geschaffen. Die auf nationaler Ebene bereitgestellten Hilfsangebote müssen unbedingt vollständig mit den Leitlinien des Europäischen Datenschutzausschusses in Einklang stehen.
       
    • Möglichkeiten der freien und sicheren Datenübermittlung an Drittstaaten und internationale Organisationen optimal nutzen: Das internationale Engagement der Kommission für eine freie und sichere Datenübermittlung in den letzten zwei Jahren hat sich bereits ausgezahlt. So bilden Japan und die EU inzwischen den weltweit größten Raum für einen freien und sicheren Datenverkehr Diesen Link in einer anderen Sprache aufrufenEN••• . Die Kommission wird ihre Arbeit zum Thema Angemessenheit mit ihren Partnern in der ganzen Welt fortsetzen. Darüber hinaus prüft die Kommission in Zusammenarbeit mit dem Europäischen Datenschutzausschuss, wie auch andere Mechanismen für die Datenübermittlung, z. B. Standardvertragsklauseln (das am häufigsten verwendete Datenübertragungsinstrument), modernisiert werden können. Der Europäische Datenschutzausschuss arbeitet derzeit an speziellen Leitlinien für die Zertifizierung und an Verhaltenskodizes für die Datenübermittlung an Drittländer und internationale Organisationen, die so bald als möglich fertiggestellt werden müssen. Da der Europäische Gerichtshof in einem für den 16. Juli erwarteten Urteil Aspekte klarstellen könnte, die möglicherweise für den Angemessenheitsstandard relevant sind‚ wird die Kommission nach der Urteilsverkündung gesondert über die derzeitigen Angemessenheitsbeschlüsse Bericht erstatten.
       
    • Internationale Zusammenarbeit fördern: In den letzten zwei Jahren hat die Kommission den bilateralen, regionalen und multilateralen Dialog bereits intensiviert und sich für eine globale Kultur der Achtung der Privatsphäre und der Konvergenz zwischen den verschiedenen Datenschutzsystemen zum Nutzen der Bürgerinnen und Bürger und der Unternehmen eingesetzt. Die Kommission ist entschlossen, diese Arbeit in all ihrem auswärtigen Handeln fortzusetzen, beispielsweise im Rahmen der Partnerschaft Afrika-EU (link is external)Diesen Link in einer anderen Sprache aufrufenEN••• und bei ihrer Unterstützung für internationale Initiativen wie „Data Free Flow with Trust“. In einer Zeit, in der Verstöße gegen den Datenschutz viele Menschen gleichzeitig in mehreren Teilen der Welt betreffen können, ist es an der Zeit, die internationale Zusammenarbeit der zuständigen Durchsetzungsinstanzen zu intensivieren. Aus diesem Grund wird die Kommission den Rat ersuchen, sie zu ermächtigen, mit bestimmten Drittländern Verhandlungen aufzunehmen, die den Abschluss von Abkommen über gegenseitige Amtshilfe und Zusammenarbeit bei der Durchsetzung ermöglichen werden.

    Angleichung des EU-Rechts an die Richtlinie zum Datenschutz bei der Strafverfolgung

    Darüber hinaus hat die Kommission heute eine Mitteilung veröffentlicht, in der zehn Rechtsakte zur behördlichen Verarbeitung personenbezogener Daten zwecks Prävention, Ermittlung, Aufdeckung und Verfolgung von Straftaten genannt werden, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen werden sollten. Die Angleichung wird Rechtssicherheit schaffen und Fragen in Bezug auf den Zweck der Verarbeitung personenbezogener Daten durch die zuständigen Behörden sowie die Datenarten, die einer solchen Verarbeitung unterliegen können, klären.

    Hintergrund

    Die Datenschutz-Grundverordnung sieht vor, dass die Kommission erstmals nach zwei Jahren und anschließend alle vier Jahre einen Bericht über die Bewertung und Überprüfung der Verordnung vorlegt.

    Die Datenschutz-Grundverordnung ist ein für alle Mitgliedstaaten geltendes Regelwerk des EU-Rechts zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie stärkt den Datenschutz insgesamt, gewährt dem Einzelnen zusätzliche und stärkere Rechte, erhöht die Transparenz und fordert mehr Rechenschaftspflicht und Verantwortung von denen, die personenbezogene Daten verarbeiten. Sie hat die nationalen Datenschutzbehörden mit umfassenderen und harmonisierten Durchsetzungsbefugnissen ausgestattet und ein neues Governance-System für die Datenschutzbehörden eingerichtet. Außerdem schafft sie gleiche Wettbewerbsbedingungen für alle Unternehmen, die auf dem EU-Markt tätig sind, unabhängig davon, wo sie niedergelassen sind, gewährleistet den freien Datenverkehr innerhalb der EU, erleichtert eine sichere Datenübermittlung zwischen der EU und Drittstaaten bzw. internationalen Organisationen und dient weltweit als Referenz.

    Wie in Artikel 97 Absatz 2 der DSGVO festgelegt, bezieht sich der heute veröffentlichte Bericht insbesondere auf die Datenübermittlung an Drittstaaten bzw. internationale Organisationen und die Kooperations- und Kohärenzverfahren. Um darüber hinaus die in den letzten zwei Jahren von verschiedenen Akteuren aufgeworfenen Fragen zu behandeln, hat die Kommission ihre Überprüfung jedoch auf eine breitere Grundlage gestellt. Der Bericht greift deshalb Beiträge von Rat, Europäischem Parlament, Europäischem Datenschutzausschuss, nationalen Datenschutzbehörden und Interessenträgern auf.

    Weiterführende Informationen:

    DSGVO – Bericht zur Umsetzung Diesen Link in einer anderen Sprache aufrufenEN•••

    Mitteilung: EU-Rechtsakte, die an die Richtlinie zum Datenschutz bei der Strafverfolgung angeglichen werden sollten Diesen Link in einer anderen Sprache aufrufenEN•••

    Factsheet: die DSGVO – eine Erfolgsgeschichte Diesen Link in einer anderen Sprache aufrufenEN•••

    Fragen und Antworten zum DSGVO-Zweijahresbericht Diesen Link in einer anderen Sprache aufrufenEN•••

    Online-Leitlinien zum EU-Datenschutzrecht Diesen Link in einer anderen Sprache aufrufenEN•••

    Infografik: Was müssen Sie als Unternehmen tun? Diesen Link in einer anderen Sprache aufrufenEN•••

    Quelle: https://ec.europa.eu/

    https://now.digital/interim-manager-digitale-transformation/dsgvo-europaeischer-datenschutzausschuss-verabschiedet-leitlinien-zur-interpretation-des-art-6-abs-1-b/
  • Datenschutz für Videokonferenzdienste – Berliner Datenschutzbeauftragte veröffentlicht die Ergebnisse einer Kurzprüfung

    Datenschutz für Videokonferenzdienste – Berliner Datenschutzbeauftragte veröffentlicht die Ergebnisse einer Kurzprüfung

    Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die Ergebnisse einer
    Kurzprüfung von Videokonferenzdiensten verschiedener Anbieter auf ihrer Webseite
    veröffentlicht.Vor dem Hintergrund der Corona-Pandemie wenden sich Unternehmen, Behörden, Vereine und freiberuflich tätige Personen mit Sitz in Berlin verstärkt mit Fragen zum datenschutzkonformen Einsatz von Videokonferenzlösungen an die Aufsichtsbehörde. Um den Verantwortlichen in Berlin die Prüfung der Rechtmäßigkeit der Nutzung verschiedener Lösungen zu erleichtern, hat die Berliner Datenschutzbeauftragte daher in den vergangenen Wochen eine Kurzprüfung verschiedener Dienste vorgenommen.

    Geprüft wurden die Auftragsverarbeitungsverträge, die die Verantwortlichen mit den
    Videokonferenz-Dienstanbietern standardmäßig schließen. Soweit die Auftragsverarbeitungs-verträge rechtskonform sind, erfolgte zudem eine kursorische Untersuchung einiger technischer Aspekte der Dienste. Die Aufsichtsbehörde weist darauf hin, dass sie keine umfassende Prüfung der Dienste durchgeführt hat. Insbesondere ist keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärung erfolgt. Letztere betreffen lediglich die eigenverantwortlichen Datenverarbeitungen der Videokonferenzsystem-Anbieter. Nicht von den Datenschutzerklärungen umfasst sind diejenigen Datenverarbeitungen, die verantwortliche Stellen mit Sitz in Berlin durchführen, wenn sie die Dienste in Anspruch nehmen.

    Datenschutz – Soweit rechtliche Mängel in den geprüften Dokumenten vorhanden sind, dürfen die Dienste nur genutzt werden, wenn abweichende Vereinbarungen mit dem Anbieter getroffen wurden. Zur besseren Veranschaulichung der Bewertung bedient sich die Aufsichtsbehörde eines Ampelsystems. Bei grün markierten Anbietern hat die Kurzprüfung keine Mängel ergeben. Die gelbe Markierung bedeutet bei der rechtlichen Bewertung, dass Mängel gefunden wurden, die eine rechtskonforme Nutzung des Dienstes zwar ausschließen, deren Beseitigung allerdings vermutlich ohne wesentliche Anpassungen der Geschäftsabläufe und der Technik möglich ist. In der technischen Prüfung bedeutet eine gelbe Markierung, dass die Anbieter unter Beachtung bestimmter Rahmenbedingungen nutzbar sind. Bei rot markierten Anbietern liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern.

    Die Liste wird von der Berliner Beauftragten für Datenschutz und Informationsfreiheit laufend
    ergänzt, wenn im Rahmen ihrer Aufsichts- und Beratungstätigkeit weitere Angebote geprüft
    wurden. Anbieter von Videokonferenzlösungen, die ihren Dienst Berliner Verantwortlichen zur
    Verfügung stellen und bisher nicht geprüft wurden, sind eingeladen, Vertragsdokumente und
    technische Informationen für eine Kurzprüfung bei der Berliner Datenschutzbeauftragen
    einzureichen.


    Maja Smoltczyk: „Die Prüfung, ob ein Dienst datenschutzkonform nutzbar ist, ist aufwendig und bringt viele Verantwortliche an ihre Grenzen. Mit unserer Kurzprüfung wollen wir eine Hilfestellung bieten. Ich begrüße es, dass erste Anbieter bereits von sich aus auf uns zugekommen sind, damit wir ihren Dienst in unsere Prüfungen einbeziehen. Wenn unsere Prüfergebnisse dazu führen, dass bisher mangelhafte Dienste ihr Angebot nachbessern, wäre das natürlich besonders erfreulich. Die ersten Erfolge in dieser Hinsicht konnten wir bereits verzeichnen.“


    Die Ergebnisse der Kurzprüfung können auf der Homepage der Berliner Beauftragten für
    Datenschutz und Informationsfreiheit unter https://www.datenschutz-berlin.de/infothek-undservice/themen-a-bis-z/corona-Pandemie.html abgerufen werden.

    Quelle: Datenschutz Berlin – Berliner Beauftragte für Datenschutz und Informationsfreiheit

    https://now.digital/interim-manager-digitale-transformation/datenschutz-und-datenrecht-news/ds-gvo-bitkom-zieht-durchwachsene-bilanz/