Home / Aktuelles & Termine / it.sec blog

Die Aufsichtsbehörden in Hamburg und Bayern haben ausdrücklich darauf hingewiesen, dass Google Analytics-Cookies nur mit Einwilligung gesetzt werden dürfen.

 

Eine weitere wichtige Aussage in diesem Zusammenhang ist außerdem, dass die Aufsichtsbehörden Google LLC nicht mehr als Auftragsverarbeiter der Website-Betreiber ansehen: „Das Produkt Google Analytics wurde in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich Google als Anbieter das Recht ein, die Daten auch zu eigenen Zwecken zu verwenden.“

 

Die Konsequenz hieraus ist, dass nach Ansicht der Aufsichtsbehörden Google LLC damit aktuell gegen seine eigenen Auftragsverarbeitungsbedingungen (Ziffer 5.2, Weisungsgebundenheit) verstoßen würde. Leider sind bislang aus dieser Auffassung keine sichtbaren Schritte seitens der Aufsichtsbehörden gegen Google LLC an die Öffentlichkeit gedrungen.

 

Website-Betreibern ist zu empfehlen, sich den Einsatz von Google Analytics gut zu überlegen. Zwar haben die Aufsichtsbehörden immer wieder beteuert, man werde sich zunächst an die Hersteller/Anbieter wenden, wenn diese für die Vertragsgestaltung verantwortlich sind (so zum Beispiel auch im Zusammenhang mit Microsoft), allerdings ist das datenschutzrechtliche Verhältnis zwischen Website-Betreiber und Google LLC zumindest ungeklärt und damit auch angreifbar.

 

S. Kieselmann

 

Senior Consultant Datenschutz

 

Dipl.sc.pol.Univ.

So ist es zumindest in der Datenschutzerklärung auf der Webseite zu lesen.

Es bleibt zu hoffen, dass zumindest die Daten der Webseitenbesucher geschützt sind, den aktuellen Medienberichten zufolge scheint dies für die Mitarbeiterdaten nicht ganz zuzutreffen. Zumindest hat der Landesdatenschutzbeauftragte von Hamburg, Johannes Caspar, ein Bußgeldverfahren eingeleitet, da sich der Verdacht massiver Verstöße gegen die Rechte der Beschäftigten erhärtet hat.

In einem exklusiven Interview mit der FAZ sprach Herr Caspar von systematischen Aufzeichnungen, die von Vorgesetzten über deren Mitarbeiter detailliert erstellt worden seien. Dabei wurden angeblich auch gesundheitliche Diagnosen, privaten Streitigkeiten oder Urlaubserlebnisse der Mitarbeiter festgehalten. Diese Informationen stammten aus offiziellen Gesprächen einerseits, seien aber auch mit „privat gewonnenen Informationen“ etwa aus Plauderrunden oder während Raucherpausen angereichert worden.

Dem Unternehmen H&M droht bei einem festgestellten Verstoß ein Bußgeld, welches sich am Umsatz des Konzerns orientiert. Nach eigenen Angaben lag dieser im Jahr 2018 bei 3,14 Milliarden Euro. Nach dem erst im November 2019 durch die Datenschutzkonferenz (DSK) veröffentlichten Bußgeldkonzept würde der Tagessatz für ein Bußgeld damit bei 8,7 Millionen Euro liegen. Dieser Tagessatz wäre dann – je nach Verstoß – mit einem Faktor zwischen 1 und 14,4, je nach Schwere des Verstoßes, zu multiplizieren. Falls die Daten sich wie behauptet tatsächlich ungeschützt und unverschlüsselt auf einem internen Laufwerk befanden, dürfte dies auch bei der Festlegung des Tagessatzes und damit bei der Festlegung des Bußgelds eine große Rolle spielen.

Sollten sich die Vorwürfe bewahrheiten und ein Millionenbußgeld verhängt werden, würde sich wieder einmal zeigen, dass es sich auch finanziell lohnt, den Datenschutz tatsächlich wichtig zu nehmen und schon im Vorhinein für einen ordnungsgemäßen Umgang mit den im Unternehmen vorhandenen personenbezogenen Daten zu sorgen. Die rechtzeitige Beauftragung von Datenschutzexperten und die notwendige Umsetzung der Vorgaben der DSGVO wäre mit Sicherheit günstiger gekommen.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Welche Bedeutung hat es für die Übertragung von Daten, wenn Großbritannien zum 31.01.2020 die Europäische Union verlassen wird?

 

Zunächst bleibt alles beim Alten. Bis zum 31.12.2020 wird Großbritannien so behandelt, als gehöre es noch zur EU. Diese sogenannte Übergangsphase dient dazu, das zukünftige Verhältnis zwischen den Partnern zu regeln. Zwar hat die EU Großbritannien die theoretische Möglichkeit einer Verlängerung der Übergangsphase um ein oder zwei Jahre bis maximal Ende 2022 eingeräumt. Diese Möglichkeit wurde allerdings durch das im britischen Unterhaus beschlossene Gesetz ausgeschlossen.

 

Ob und wie die endgültigen Regelungen getroffen werden, dürfte in den nächsten Monaten Gegenstand weiterer intensiver Verhandlungen sein. Die von der EU gewährte Verlängerungsoption muss bis Ende Juni 2020 durch Großbritannien in Anspruch genommen werden, ansonsten haben wir Ende 2020 dann doch eine ungeregelte Rechtslage. Andererseits wurden den Briten seitens der EU immer wieder Verlängerungen gewährt, so dass auch diesbezüglich noch alle Fragen offen sind. Es dürfte im Interesse von Großbritannien liegen, die Verhandlungen zügig zu führen, denn im Übergangszeitraum muss das Land weiterhin Beiträge zur EU zahlen, ohne jedoch ein Mitspracherecht zu haben.

 

Nach Ablauf des Übergangszeitraums ist Großbritannien dann aus datenschutzrechtlicher Sicht ein Drittstaat, für den die besonderen Regelungen der Art. 44 bis 49 DSGVO gelten. Um weiterhin unproblematisch den Datenaustausch zwischen den Partnern zu gewährleisten wäre es wünschenswert, wenn Großbritannien ebenso als „Drittland mit angemessenem Schutzniveau“ eingestuft würde wie etwa die Schweiz. Bis zum Ende der Übergangsfrist sollte die EU-Kommission über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden

 

Allerdings kann eine entsprechende Einschätzung durch die Kommission natürlich erst dann erfolgen, wenn bekannt wird, welche eigenen Datenschutzgesetze Großbritannien sich selbst geben wird, womit der erste Schritt wieder einmal durch die Briten gemacht werden muss.

 

Wir werden Sie weiter auf dem Laufenden halten.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Mit Spannung haben die Datenschützer in Europa auf den Dezember 2019 gewartet, sollte doch der Schlussantrag des Generalanwalts im Verfahren C-311/18 ein Indiz dafür geben, ob der Datenaustausch mit den USA weiterhin auf den Privacy Shield gestützt werden kann, ja ob der Privacy Shield an sich überhaupt die Qualität hat, die Daten der EU-Bürger in den USA sicher zu schützen.

Doch es kam anders.

Ausgangsfrage

Eigentlich geht es in dem Verfahren nämlich gar nicht um den Privacy Shield, sondern um die Standardvertragsklauseln gem. Beschluss 2010/87/EU. Der Beschwerdeführer Herr Schrems beruft sich im Wesentlichen auf die Unangemessenheit dieser vertraglichen Garantien unter Hinweis auf die Eingriffe in die Ausübung seiner Grundrechte, die sich aus der Tätigkeit der amerikanischen Nachrichtendienste ergeben. Daher sollte der EuGH in einer Vorabentscheidung prüfen, ob in den USA ein angemessener Schutz der Daten von Unionsbürgern sichergestellt ist und falls nicht, im Anschluss feststellen, ob dann ggfs. ein Rückgriff auf den Privacy Shield zulässig sei mit der Folge, dass dieser ebenfalls auf dem Prüfstand stünde.

Wirksamkeit der Standardvertragsklauseln

Der Generalanwalt stellte fest, dass die Standardvertragsklauseln nicht bereits dadurch unwirksam würden, weil diese die Behörden im Drittland nicht selbst zur Einhaltung der in den Standardvertragsklauseln niedergelegten Grundsätze verpflichten. Es müsse vielmehr untersucht werden, ob eine Pflicht für den Verantwortlichen oder die jeweilige Kontrollstelle (in der Regel die Aufsichtsbehörde) bestünde, die Übertragung auszusetzen oder zu verbieten, sofern die Standardvertragsklauseln aufgrund des Rechtes des Drittlandes nicht eingehalten werden könnten. Dies sei durch Art. 58 Abs. 2 litt. f) und j) DSGVO sichergestellt, so dass die datenschutzrechtlichen Belange der Unionsbürger ausreichend gewahrt seien. In der zu überprüfenden Entscheidung gehe es damit ausschließlich um die Frage, ob die irische Aufsichtsbehörde im konkreten Fall ihren Befugnissen zur Ergreifung von Maßnahmen korrekt nachgekommen sei. Konkret: Die irische Aufsichtsbehörde hätte die Befugnisse der nationalen Sicherheitsbehörden in den USA selbst abwägen sollen und je nach Ergebnis dann die Übermittlung der Daten erlauben oder verbieten können. Dies zu beurteilen, sei jedoch Aufgabe des vorlegenden Gerichts.

Wirksamkeit des Privacy Shields

Eine Entscheidung zur Wirksamkeit des Privacy Shields hält der Generalanwalt in diesem Verfahren folgerichtig nicht für notwendig, da der vorliegende Rechtsstreit ausschließlich die korrekte Anwendung der DSGVO durch die Irische Aufsichtsbehörde betreffe. Zudem verweist der Generalanwalt auf die offene Rechtssache T-738/16, eine Nichtigkeitsklage die Gültigkeit des Privacy Shields betreffend. Ob die Ausführungen, die der Generalanwalt hilfsweise in seinem Schlussantrag zur Wirksamkeit des Privacy Shields gemacht hat, dort ebenfalls Berücksichtigung finden werden, bleibt abzuwarten.

Pragmatismus

Bereits zu Beginn seiner Stellungnahme wies der Generalanwalt darauf hin, dass seine Analyse ein vernünftiges Maß an Pragmatismus enthalte, um die Interaktion mit anderen Teilen der Welt zu ermöglichen („reasonable degree of pragmatism in order to allow interaction with other parts of the world“). Es bleibt zu hoffen, dass das zweite Ziel, nämlich die Notwendigkeit, die in den Rechtsordnungen der EU anerkannten Grundwerte durchzusetzen, hierbei nicht auf der Strecke bleibt.

Im Lichte des Pragmatismus wäre es jedenfalls für die Rechtsanwender, die Unternehmen und die Datenschutzbeauftragten deutlich einfacher gewesen, der Generalanwalt hätte schon jetzt eine deutliche Empfehlung hinsichtlich der Wirksamkeit des Privacy Shields ausgesprochen. Stattdessen möchte er die konkrete Entscheidung, ob die Rechte von Unionsbürger in einem Drittland ausreichend gewahrt werden, und welche Maßnahmen im gegenteiligen Fall zu treffen sind, den mehr als 40 verschiedenen Datenschutz-Aufsichtsbehörden selbst überantworten.

Vielleicht hat der EuGH ja ein Einsehen mit den vor allem europaweit vertretenen Unternehmen, die sich gerne an die gesetzlichen Vorgaben halten möchten und denen es aus unserer Sicht nicht zugemutet werden kann, sich ggfs. je nach unterschiedlicher Auffassung der lokalen zuständigen Aufsichtsbehörde unterschiedlich zu verhalten.

Wir werden Sie wie immer über die aktuellen Entscheidungen auf dem Laufenden halten.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Ein britisches Gericht hat nun entschieden, dass Veganismus eine Weltanschauung ist, die dem Diskriminierungsverbot unterliegt.

Damit ist die Angabe „vegan“ oder „Veganer“ in Zusammenhang mit einer natürlichen Person ein diskriminierungsrelevantes Datum, wie etwa das Alter oder das Geschlecht.

Ist es aber auch eine besondere Datenkategorie im Sinne Art. 9 Abs. 1 DSGVO? Derzeit wird wohl überwiegend die Meinung vertreten, hierbei handle es sich lediglich um eine Einstellung. Im bloßen Verzicht auf tierische Produkte beim Essen sei erst einmal noch keine ideologische Überzeugung erkennbar.

Laut dem britischen Gericht handelt es sich aber insofern um eine Weltanschauung, wenn die vegane Lebensweise einer Ethik folgt, die das alltägliche Handeln in vielerlei Hinsicht moralisch bestimmt, d.h. wenn man sich dem Ziel des Tierschutzes durch seine nahezu gesamte Lebensweise verschreibt (durch entsprechende Ernährung, Boykott von Produkten, die mit Tierversuchen in Zusammenhang stehen, Teilnahme an Demonstrationen, Verzicht auf Teilnahme bei Veranstaltungen wie Zirkus etc.).

Dementsprechend lösen die Angaben „Vegan“ oder „Veganer“ an sich noch nicht unmittelbar ein Verarbeitungsverbot nach Art. 9 Abs. 1 DSGVO aus, bspw. um sich vor der Firmen-Weihnachtsfeier nach besonderen Essenswünschen zu erkundigen. Es sollte jedoch darauf geachtet werden, dass in diesem Zusammenhang tatsächlich lediglich nach „Wünschen“ oder „Vorlieben“ gefragt wird und nicht nach Lebenseinstellungen. Formulieren Sie die Abfrage also entsprechend: „Ich wähle für die Weihnachtsfeier eine vegane/vegetarische/halal…Ernährung“. In dem Moment, wo Sie die Abfrage so stellen, dass sich hieraus eine weltanschauliche oder philosophische Überzeugung herauslesen lässt -bspw. „Ich bin Veganer“-, könnte sich hieraus ggfs. ein Verarbeitungsverbot ergeben.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Selbst für Amnesty sind Facebook, Google & Co. mittlerweile ein großes Thema.

 

In einem entsprechenden Bericht kritisiert Amnesty, dass sich diese Unternehmen mit ihren Plattformen und Diensten in fast jeden Winkel des digitalen Lebens von Menschen eingeschlichen haben.

 

Mehr als 4 Milliarden Menschen kommunizieren fast tagtäglich über das Internet, beruflich oder privat, sie verabreden und „versammeln“ sich dort. Die dabei notwendigen Dienste und Werkzeuge (Web-Browser, Suchmaschinen, Messenger-Dienste, Social-Media- und Video-Plattformen, Cloud-Speicher, Smart Speaker etc.), erhalten sie von den sog. Internet-Giganten. Im Gegenzug erlauben die Nutzer, dass ihre Daten und damit ihre Kommunikation stetig überwacht wird.

 

Sogar Personen, die ihre Dienste gar nicht nutzen, sind vor der Erfassung ihrer Daten nicht sicher, bspw. weil sie in den Kontaktverzeichnissen der Nutzer auftauchen oder auf Websites surfen, wo Tracking-Software implementiert ist.

 

Dabei werden nicht nur Daten über den einzelnen Menschen gesammelt, sondern auch von allen Seiten zusammengeführt, angereichert und algorithmisch ausgewertet. Dadurch sichern sich die Unternehmen gegenüber dem einzelnen Menschen eine informationsasymmetrische Machtposition, an der auch andere gerne teilhaben möchten und auch tatsächlich teilhaben - Stichwort Cambridge Analytica.

 

Der Bericht fordert daher die Unternehmen auf, die von ihnen verursachten Menschrechtsverletzungen endlich zu beheben. Die Regierungen werden aufgefordert, strengere Gesetze zu schaffen und deren Geltung auch durchzusetzen - denn die Selbstregulierung der Unternehmen hat bisher nur mäßig funktioniert.

 

Fazit: Die Datenschutzgrundverordnung ist da ein erster Schritt. Denn sie gilt auch für Facebook, Google und Co., wenn sie auf dem Markt der EU tätig werden. Allerdings mangelt es oftmals an der Durchsetzung. Entweder geht dies zu Lasten der Unternehmen in der EU, denen es an wirtschaftlichen Alternativen zu den Produkten der Anbieter mangelt, oder zu Lasten der für sie zuständigen Aufsichtsbehörden, die sich teils wohl in Sisyphusarbeit um Lösungsabsprachen im Interesse aller mit den Anbietern bemühen. Dies kann nur verbessert werden, wenn weltweit Regelungen wie in der Datenschutzgrundverordnung gelten würden.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Ab 2021 soll es den „gelben Schein“ nicht mehr geben. Die Arbeitsunfähigkeitsbescheinigung soll dann elektronisch von der Krankenkasse an den Arbeitgeber übermittelt werden. Der entsprechende Entwurf zum Bürokratieentlastungsgesetz wurde nun vom Kabinett beschlossen.

 

Jährlich werden bundesweit ca. 75 Millionen Arbeitsunfähigkeitsbescheinigungen erstellt. Die Arbeitnehmer bekommen diese dann in dreifacher Ausführung: zur Vorlage bei der Krankenkasse und dem Arbeitgeber und für die eigenen Unterlagen. Das verursacht nicht nur viel Papiermüll, sondern ist auch nicht mehr ganz zeitgemäß. Durch die digitale Arbeitsunfähigkeitsbescheinigung sollen die Unternehmen und Mitarbeiter entlastet werden.

 

In § 109 Abs. 1 SGB IV soll künftig geregelt werden, dass nur noch die folgenden Daten in der Arbeitsunfähigkeitsbescheinigung erfasst werden:

 

  • Daten über den Namen des Beschäftigten,
  • den Beginn und das Ende der Arbeitsunfähigkeit,
  • das Ausstelldatum
  • die Kennzeichnung als Erst- oder Folgemeldung

 

Nicht mehr in der Arbeitsunfähigkeitsbescheinigung enthalten sind daher u.a. Adresse, Geburtsdatum und Versicherten-Nr. des Arbeitnehmers, attestierender Arzt und Angaben darüber, ob es sich um einen Arbeitsunfall, Arbeitsunfallfolgen oder eine Berufskrankheit handelt. Wegen der fehlenden Angabe des (Fach-)Arztes können nun beispielsweise auch keine Rückschlüsse mehr auf den Grund der Erkrankung geschlossen werden.

 

Aus datenschutzrechtlicher Sicht, insbesondere im Hinblick auf den Grundsatz der Datenminimierung, ist es eine erfreuliche Entwicklung, dass in Zukunft auf die Angabe dieser Daten verzichtet wird, auf die es für den Arbeitgeber auch nicht ankommt.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Die Datenschutzgrundverordnung ist nun seit knapp 1,5 Jahren in Kraft und die Kommunikation der Aufsichtsbehörden mit Unternehmen nimmt zu. Die anfängliche Zurückhaltung flacht ab und es werden aktiv Prüfungen und Untersuchungen vorgenommen.

Dabei stellen sich Unternehmen oft die Frage in welcher Sprache muss ich mit der Aufsichtsbehörde kommunizieren und in welcher Sprache muss ich meine Dokumente vorhalten. Gerade weltweit agierende Konzernunternehmen fertigen ihre Unterlagen in der Regel in Englisch an. Dies ist auch zulässig, so lange ein international aufgestelltes Unternehmen als Unternehmenssprache Englisch festgelegt hat.

Hier ist vor allem auch in Hinblick auf die Informationspflichten gegenüber den Beschäftigten zu beachten, dass alle Beschäftigten diese verstehen können.

Bei Bedarf kann eine deutsche Aufsichtsbehörde aber Teile oder ganze Dokumente in Deutsch anfordern.

Dies ergibt sich aus der in Deutschland definierten Amtssprache. Diese ist nach den Verwaltungsgesetzen der einzelnen Bundesländer deutsch.

Unten den oben genannten Umständen ist es erlaubt seine datenschutzrechtlichen Dokumentationen in Englisch zu pflegen. Man sollte sich aber bereits vorab um eine für den Einzelfall schnell zugängliche Übersetzungsmöglichkeit bemühen, um einem möglichen Verlangen der Aufsichtsbehörde zügig nachkommen zu können.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

Die it.sec ist nun neuestes Mitglied der Swiss IT Security Gruppe. Im Rahmen des weiteren Wachstums übernimmt die Swiss IT Security Gruppe zusammen mit dem Geschäftsführer der it.sec 100% der Anteile des Unternehmens. Dies ist bereits der zehnte Zukauf seit Gründung der Gruppe in 2017.

Zusammen mit dem Management sollen Synergiepotenziale realisiert und so das weitere Wachstum des Unternehmens im Gruppenverbund vorangetrieben werden.

«Der Zusammenschluss mit der Swiss IT Security Gruppe ermöglicht es uns, von den Vorteilen einer Gruppe mit etablierten Strukturen sowie Experten in verschiedenen Bereichen der IT Sicherheit zu profitieren, sodass wir uns weiter voll auf unser Kerngeschäft fokussieren und unseren Kunden einen noch besseren Service anbieten können» erklärt Holger Heimann, Geschäftsführer der it.sec.

«Mit der it.sec können wir die Gruppe mit einem anerkannten und etablierten Penetration Tester und IT-Compliance Anbieter verstärken. Wir haben mit Herrn Heimann und seinem Team ausgewiesene Experten hinzugewonnen und freuen uns darauf, unseren Kunden zukünftig diese weiteren Services anbieten zu können" ergänzt Philipp Stebler, CEO der Swiss IT Security AG.

Aktuell befindet sich die Swiss IT Security AG in weiteren Gesprächen mit Unternehmen in Deutschland, Österreich und der Schweiz, um den Gruppenaufbau auch in Zukunft voranzutreiben. Die heutige Gruppe beschäftigt über 370 hochkarätige Mitarbeiter.

Ihr Pressekontakt

Natasa Angov

Marketing Manager

T +41 56 599 0082

natasa.angov@sits-group.ch

Die Aufsichtsbehörde in Mecklenburg-Vorpommern hat nun das Meldeportal „Neutrale Schule“ des AfD-Landesverbands verboten. Bei diesem Portal konnten Schüler Angaben zu Lehrern machen, die während ihres Unterrichts mutmaßlich gegen ihre Pflicht verstoßen, sich gegenüber nicht verbotenen Parteien jeglicher Wertungen zu enthalten.

Diese Praxis war auch bereits Thema bei der Aufsichtsbehörde in Hamburg: Auf ihrer Website hielt die Bürgerschaftsfraktion der AfD Hamburg das Webformular „Neutrale Schule“ bereit. Dagegen konnte die Aufsichtsbehörde mangels Zuständigkeit gegenüber unabhängiger Parlamentsarbeit nicht vorgehen.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abwehr terroristischer Straftaten ADCERT AfD Airbnb Amnesty Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsvereinbarung betroffene Personen Betroffenendaten Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 Custom Audience Cyber Cyber-Attacken Cyberkriminalität Cyberkriminelle Cybersicherheit Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Englisch Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Großbritannien Grundsatz der Zweckbindung H & M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Höchstvermietungsdauer Home Office Home-Office Homeoffice Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Kommunikation Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Krankenkasse Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesdatenschutzbeauftragten Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Machtposition Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Microsoft Mieter Mietverhältnis Misch-Account Missbrauch von Kundendaten Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer private Telefonnummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikogruppen Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schulung schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG TOM Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig Urteil US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorsicht Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webcast Webseite Webseiten Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Weltanschauung Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zeiterfassung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31