Home / Aktuelles & Termine / it.sec blog

Schrems II Urteil des EuGH

 

Nachdem der EuGH mit seinem Urteil vom 16. Juli 2020, Rechtssache C-311/18 — „Schrems II“ den EU – U.S. Privacy Shield für unwirksam erklärt hat, genügt die Teilnahme am U.S. Privacy Shield nicht mehr, um innerhalb der EU als datenschutzkonform zu gelten.

 

Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) prüft Swiss- U.S. Privacy Shield

 

Zwar ist die Schweiz nicht Mitglied der EU und daher nicht an das Urteil des EuGH gebunden. Dennoch wurde der Swiss- U.S. Privacy Shield nun vor dem Hintergrund des EuGH Urteils neu bewertet. In seinem Positionspapier vom 08.09.2020 kommt der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) zu dem Schluss, dass auch der Swiss- U.S. Privacy Shield kein angemessenes Sicherheitsniveau für den Datenaustausch zwischen der Schweiz und der USA bietet.

 

Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC)

 

Seit dem 11.01.2017 gilt die USA bei der Schweiz als Land mit „angemessenem Schutzniveau unter bestimmten Umständen“. Das bedeutet, dass Datentransfers bzgl. personenbezogener Daten zwischen der Schweiz und U.S. Unternehmen, welche sich für den Swiss- U.S. Privacy Shield zertifizieren haben lassen, als geschützt gelten.

 

Doch auch der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) bemängelt in dem Positionspapier vom 08.09.2020 unter anderem den Zugriff auf personenbezogene Daten durch die U.S. Behörden. Betroffene Personen aus der Schweiz haben demnach keine ausreichend durchsetzbaren Rechte in den USA. Dies gilt umso mehr, nachdem die Wirksamkeit des Ombudsmann- Prinzips, welches einen Rechtbehelf innerhalb der USA zusichern soll, mangels Transparenz nicht eingeschätzt werden kann. Zudem fehlen hinreichende Garantien der USA hinsichtlich der Beschränkung des Zugriffsrechts der U.S. Behörden auf personenbezogene Daten. Der Bundesbeauftragte für Datenschutz und Information (FDPIC) erklärt im Positionspapier weiter, dass ein solcher Eingriff durch U.S. Behörden in die Privatsphäre und die informationelle Selbstbestimmung der betroffenen Personen in der Schweiz vor diesem Hintergrund gegen die Grundsätze der rechtmäßigen Bearbeitung von personenbezogener Daten im Sinne des Schweizer Datenschutzgesetzes verstößt.

 

Hat die Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) Auswirkungen auf den Swiss- U.S. Privacy Shield?

 

Die Einschätzung des Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) hat keinen direkten Einfluss auf die Anwendung des Swiss- U.S. Privacy Shield. Derzeit gibt es hierzu auch noch keine Rechtsprechung der Schweizer Gerichte. Es bleibt daher ungewiss, ob ein Zugriff der U.S. Behören auf personenbezogene Daten beim internationalen Datentransfers mit dem Schweizer Datenschutzgesetz konform ist.

 

Fazit

 

Zwar wurden im Positionspapier vom 08.09.2020 bereits Handlungsstrategien für betroffene Unternehmen veröffentlicht, wie zum Beispiel die Benutzung der EU Standarddatenschutzklauseln. Hierbei handelt es sich jedoch lediglich um eine Empfehlung und keine zwingend einzuhaltende Vorgabe.

 

Letztlich können sich Schweizer und U.S. Unternehmen daher derzeit noch weiterhin auf den Swiss- U.S. Privacy Shield berufen.

 

Laura Piater

 

Justiziarin

 

Consultant für Datenschutz

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde das Recht des Einzelnen manifestiert, dass seine personenbezogenen Daten zu einem, zu bestimmenden, Zeitpunkt wieder gelöscht werden müssen. Unterschieden wurde in Art. 17 DSGVO zwischen unveröffentlichten Daten (Abs. 1) und veröffentlichten Daten (Abs. 2).Grundgedanke der Regelung des Art. 17 Abs. 2 DSGVO war dabei, dass Informationen über Personen nur so lange öffentlich auffindbar sein sollen, wie diese auch benötigt werden. Es war ein Versuch den Ausspruch: „Das Internet vergisst nicht“ umzukehren und dem Verantwortlichen die Pflicht aufzuerlegen, einmal veröffentlichte Daten auch wieder zu „ent-öffentlichen“.

 

Sowohl selbstständig veröffentlichende Verantwortliche, insbesondere (Online-)Zeitungen oder auch Verbände und Unternehmen mittels Pressemitteilungen als auch Suchmaschinenbetreiber, die lediglich bereits online vorhandene Informationen darstellen, sind in diesem Zusammenhang besonders gefordert: Wann müssen Informationen über Personen gelöscht werden, welche Informationen über Personen dürfen nicht (mehr) angezeigt werden?

 

Rechtsprechung des Bundesgerichtshofs (BGH)

 

Mit seinem jüngsten Urteil hat der BGH nun die Grenzen des Rechts auf Vergessenwerdens aufgezeigt. Im Verfahren VI ZR 405/18 ging es darum, dass ein ehemaliger Geschäftsführer eines Verbands erreichen wollte, dass ein erschienener Artikel über finanzielle Unregelmäßigkeiten in der Ergebnisliste eines Internet-Suchdienstes nicht mit seinem Namen in Verbindung gebracht werden sollte. Während das oberste deutsche Gericht (BGH) bislang davon ausging, dass die Schutzinteressen der betroffenen Personen regelmäßig Vorrang genießen, wies es nun darauf hin, dass bei Prüfung eines Löschverlangens zwischen den Interessen der betroffenen Personen und denen der Öffentlichkeit abgewogen werden müssen. Darüber hinaus könne sich die betroffene Person im Rahmen der Grundrechtsabwägung nicht auf nationale Vorschriften berufen, da das Datenschutzrecht abschließend Europäisch geregelt ist und damit Anwendungsvorrang genießt. Die Klage blieb hier erfolglos, da die Berichterstattung im konkreten Fall rechtmäßig war.

 

Im Rahmen eines weiteren Verfahrens VI Z8R 476/18 kam es gerade auf die Rechtmäßigkeit der Berichterstattung an. Hier bestritten die betroffenen Personen die Rechtmäßigkeit einer Berichterstattung und verlangten die Löschung ihrer Namen und Bilder vom beklagten Suchmaschinen-Betreiber. In diesem Fall legte der BGH dem EuGH zwei Fragen zur Vorabentscheidung vor:

 

  1. Darf in einer vorzunehmenden Grundrechtsabwägung maßgeblich darauf abgestellt werden, dass der betroffenen Person andere Rechtsmittel (etwa eine einstweilige Verfügung gegen den Webseitenbetreiber, zu dem ein Link führt) zur Verfügung stehen?
  2. Muss bei einer Bildersuche der Kontext einer Berichterstattung mit berücksichtigt werden auch wenn der Kontext nicht mit angezeigt wird?

 

Bewertung

 

Durch das erste Verfahren wurde seitens des BGH der europäische Kontext der Datenschutz-Grundverordnung gestärkt. Er hat deutlich gemacht, dass Europäische Normen nur im Europäischen Wertekontext zu messen sind. Darüber hinaus hat das Gericht jedoch auch deutlich gemacht, dass bei der Kollision zwischen verschiedenen europäischen Grundrechten eine Abwägung im Einzelfall vorzunehmen ist, ebenso wie dies bei nationalen Grundrechten auf nationaler Ebene der Fall ist. Das Gericht ebnet damit den Weg zu einer einheitlichen Europäischen Rechts- und damit Werteordnung.

 

Die Entscheidung des EuGHs zu den beiden Vorabfragen darf mit Spannung erwartet werden. Insbesondere bei Bejahung der zweiten Frage wäre die Entwicklung künstlicher Intelligenz zur Feststellung eines Kontextes, in dem ein Bild veröffentlicht wird, offensichtlich stark gefordert.

 

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Arbeitnehmer haben nach Art. 15 Datenschutzgrundverordnung (DSGVO) ein Auskunftsrecht gegenüber ihrem Arbeitgeber. Dieser ist verpflichtet, die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache spätestens innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Art. 82 DSGVO regelt bei Verstößen einen entsprechenden Schadensersatzanspruch.

 

Ein ehemaliger Arbeitnehmer hat gegenüber seinem Arbeitgeber diesen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht. Der Arbeitgeber ist diesem Auskunftsverlangen jedoch erst nach Monaten und auch nur unvollständig nachgekommen.

 

Das Arbeitsgericht Düsseldorf (Az.: 9 Ca 6557/18) hat das beklagte Unternehmen aus diesem Grund nun zu Schadensersatz in Höhe von 5.000 Euro verurteilt.

 

Die 5.000 Euro Schadensersatz setzen sich wie folgt zusammen: je 500 Euro für die ersten zwei Monate der Verspätung, je 1.000 Euro für die weiteren drei Monate und für die beiden inhaltlichen Mängel der Auskunft je 500 Euro. In die Abwägung des Gerichts floss dabei ein, dass es nur von einem fahrlässigen Verstoß des Unternehmens ausging, der entstandene immaterielle Schaden beim Kläger nur gering war, keine anderen Verstöße bekannt waren und das Unternehmen eine hohe Finanzkraft hatte.

 

Die Entscheidung ist noch nicht rechtskräftig, da das Gericht wegen der grundsätzlichen Bedeutung der Sache, insbesondere der fehlenden höchst- und obergerichtlichen Rechtsprechung, die Berufung zugelassen hat.

 

Nehmen Sie daher Auskunftsansprüche ernst und beginnen Sie unverzüglich mit deren Bearbeitung.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Der BGH bestätigte vorläufig die Auffassung des Bundeskartellamts, wonach Facebook missbräuchlich seine marktbeherrschende Stellung ausnutzt (Beschluss vom 23.06.2020, Az. KVR 69/19).

 

Die Nutzungsbedingungen von Facebook sehen auch die Verarbeitung und Verwendung von Nutzerdaten vor. Dabei geht es jedoch nicht nur um die Daten, die die Nutzer bei Facebook selbst teilen, sondern auch um das, was sie außerhalb von Facebook preisgeben – sei es bei WhatsApp, Instagram oder anderen Seiten außerhalb des sozialen Netzwerks. All diese Daten verwendet Facebook schließlich, um dem Nutzer ein „personalisiertes Erlebnis“ bereitzustellen, also kurz gesagt: u.a. zur Vermarktung von Werbeplätzen.

 

Das Bundeskartellamt hat Facebook nun untersagt, diese Daten ohne eine weitere Einwilligung der Nutzer zu verarbeiten. Denn durch die Verwendung der Nutzungsbedingungen verstoße Facebook gegen § 19 Abs. 1 GWB (Gesetz gegen Wettbewerbsbeschränkungen), wonach die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein Unternehmen verboten ist. Facebook sei auf dem nationalen Markt der Bereitstellung sozialer Netzwerke marktbeherrschend und missbrauche diese Stellung, indem es, entgegen den Vorschriften der Datenschutzgrundverordnung (DSGVO), die private Nutzung des Netzwerks von seiner Befugnis abhängig mache, ohne weitere Einwilligung der Nutzer, die außerhalb von Facebook generierten Nutzerdaten mit solchen von Facebook zu verknüpfen.

 

Wir werden zu diesem Fall weiter berichten.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe verabschiedet, in der sie die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mails dargelegt hat. Diese basiert auf den Vorgaben der Art. 5 Abs. 1 lit. f, 25 und 32 Abs. 1 Datenschutzgrundverordnung (DSGVO).

 

Werden E-Mails, die personenbezogene Daten enthalten oder aus denen sich Informationen über natürliche Personen ableiten lassen, nicht verschlüsselt, besteht das Risiko, dass unbefugte Personen mitlesen. Dies stellt eine Datenschutzverletzung i.S.d. Art. 33 DSGVO dar. Um dies abzuwenden sollten solche E-Mails standardmäßig verschlüsselt werden.

 

Inanspruchnahme von E-Mail-Diensteanbietern

 

Öffentliche E-Mail-Diensteanbieter müssen zum Schutz der Vertraulichkeit und Integrität die Anforderungen der Technischen Richtlinie „Sicherer E-Mail-Transport“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-03108-1) einhalten.

 

Bei Inanspruchnahme öffentlicher E-Mail-Diensteanbieter müssen Verantwortliche sicherstellen, dass die Diensteanbieter hinreichende Garantien für die Einhaltung der Anforderungen aus der DSGVO und insbesondere der genannten Technischen Richtlinie bieten. Dies umfasst auch die sichere Anbindung eigener Systeme und Endgeräte an die Diensteanbieter.

 

Außerdem müssen die Verantwortlichen das Risiko für die Rechte und Freiheiten der natürlichen Personen, das sich aus der Verarbeitung personenbezogener Daten ergibt, abschätzen. Entsprechend der Einordnung des Risikos als normal oder hoch, müssen ggf. zusätzliche Maßnahmen ergriffen werden.

 

Entgegennahme von personenbezogenen Daten

 

Nimmt der Verantwortliche per E-Mail gezielt personenbezogene Daten entgegen, muss er folgende Anforderungen erfüllen:

 

Bei einem normalen Risiko für die Rechte und Freiheiten der natürlichen Personen muss der Verantwortliche den sicheren Empfang der E-Mails über einen verschlüsselten Kanal sicherstellen. Der Empfangsserver muss mindestens den Aufbau von TLS-Verbindungen (direkt per SMTPS oder nach Erhalt eines STARTTLS-Befehls über SMTP) ermöglichen und darf ausschließlich die in der TR 02102-2 aufgeführten Algorithmen verwenden.

 

Bei einem hohen Risiko muss der Verantwortliche eine qualifizierte Transportverschlüsselung und den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Außerdem muss er bestehende (PGP- oder S/MIME-) Signaturen qualifiziert prüfen.

 

Versand von E-Mails

 

Stellt der Bruch der Vertraulichkeit beim Versand von E-Mails mit personenbezogenen Daten ein normales Risiko für die Rechte und Freiheiten der natürlichen Personen dar, muss der Verantwortliche eine obligatorische Transportverschlüsselung sicherstellen und sollte sich an der Technischen Richtlinie „Sicherer E-Mail-Transport“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-03108-1) orientieren.

 

Bei einem hohen Risiko muss der Verantwortliche eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung sicherstellen. Ggf. kann auf einzelne Anforderungen verzichtet werden, dies hängt jedoch von den bestehenden Risiken, der konkreten Ausgestaltung des Übertragungsweges und kompensierenden Maßnahmen ab.

 

Ist der Verantwortliche gemäß § 203 StGB zur Geheimhaltung von Kommunikationsinhalten verpflichtet, muss zusätzlich zu den o.g. Maßnahmen zwingend eine Verschlüsselung vorgenommen werden, sodass nur diejenigen, an die die Inhalte der Nachrichten offenbart werden dürfen, eine Entschlüsselung vornehmen können.

 

Verschlüsselungs- und Signaturverfahren

 

Die folgenden Verschlüsselungs- und Signaturverfahren kommen dabei in Betracht:

 

Eine Transportverschlüsselung ist das Mindestmaß, das zur Erfüllung der gesetzlichen Anforderungen erforderlich ist. Hierdurch wird das normale Risiko, das sich aus der Verarbeitung personenbezogener Daten ergibt, bereits ausreichend gemindert.

 

Durch eine obligatorische Transportverschlüsselung soll eine unverschlüsselte Übermittlung der Nachrichten ausgeschlossen werden. Dabei sind die Anforderungen der Technischen Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-02102-2) zu erfüllen sind.

 

Durch eine qualifizierte Transportverschlüsselung wird ein ausreichender Schutz gegen aktive Angriffe von Dritten in den Netzverkehr gewährleistet.

 

Eine Ende-zu-Ende-Verschlüsselung mit den Verfahren S/MIME und OpenPGP gewährt den durchgreifendsten Schutz der Vertraulichkeit der Inhaltsdaten. Neben dem Transportweg wird auch die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Server geschützt.

 

Eine Signatur mit dem S/MIME- oder OpenPGP-Verfahren ermöglicht einen nachhaltigen Schutz der Integrität der E-Mail-Inhalte gegen unbefugte Beeinträchtigung. Der Schutz umfasst neben dem Transportweg auch die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Servern.

 

Fazit

 

Eine E-Mail-Verschlüsselung ist daher als technische und organisatorische Maßnahme i.S.d. Art. 32 DSGVO vorzunehmen, wobei die Verschlüsselungs- und Signaturverfahren dem entsprechenden Risiko angepasst werden müssen.

 

Falls Sie hierbei Unterstützung benötigen oder weitere Fragen haben, sprechen Sie uns gerne an.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

Während der Arbeit in der Corona-Krise müssen oft viele Informationen schnell ausgetauscht werden. Dazu kommt, dass viele Mitarbeiter im Home Office arbeiten und die Umstellung darauf unter Umständen sehr schnell erfolgte. Das erhöht die Gefahr einer Datenschutzverletzung, d.h. von Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten.

 

Allgemein gilt: Sie sollten immer gewissenhaft mit personenbezogenen Daten wie beispielsweise Namen und Adressen umgehen. Seien Sie besonders vorsichtig beim Umgang mit sensiblen Daten wie Gesundheitsdaten, Daten über politische Meinungen oder zu religiösen oder weltanschaulichen Überzeugungen.

 

Hier sind noch einige organisatorische Tipps, die Ihnen dabei helfen sollen personenbezogene Daten zu schützen und Datenschutzverletzungen zu vermeiden:

 

  • Beachten Sie bei der Erstellung neuer Formulare alle Sicherheitsmaßnahmen, damit personenbezogene Daten sicher aufbewahrt und nicht unbeabsichtigt weitergegeben werden können.
  • Stellen Sie bei der Verwendung von Vorlagen zur Erfassung personenbezogener Daten sicher, dass stets eine leere/unbenutzte Vorlage ausgegeben wird.
  • Benutzen Sie komplexe Passwörter und für jeden Dienst/jede Anwendung ein eigenes Passwort. Dabei können Sie unterstützend ein Passwort-Verwaltungsprogramm einsetzen.

 

Bei der Arbeit im Home Office sollte folgendes beachtet werden:

 

  • Weisen Sie Ihre Mitarbeiter im Home Office darauf hin, dass auch weiterhin auf einen sicheren E-Mail-Versand geachtet werden muss, d.h. insbesondere: Kontrolle der Empfänger und Anhänge und Verwendung der BCC-Funktion.
  • Bei der Arbeit im Home Office mit personenbezogenen Daten, für die der Arbeitgeber verantwortlich ist, muss die Sicherheit der Daten an diesen Verarbeitungsstandorten ebenso gewährleistet sein. Es muss sichergestellt sein, dass keine unbefugte Einsichtnahme auf den Bildschirm oder in Papier-Unterlagen durch Dritte stattfinden kann – das umfasst auch Familienmitglieder oder Mitbewohner!

 

Sollte es dennoch zu einer Datenschutzverletzung kommen, melden Sie diese unverzüglich Ihrem Datenschutzbeauftragen, damit dieser eine Risikoabwägung durchführen kann und ggf. eine Meldung der Datenschutzverletzung innerhalb der Frist des Art. 33 DSGVO an die Aufsichtsbehörde erfolgen kann.

 

 

 

Working during the corona crisis, a lot of information often has to be exchanged quickly. In addition, many employees now work from home and the transition to it may have taken place very quickly. This increases the risk of a data breach, i.e. the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data.

 

In general, you should always handle personal data such as names and addresses conscientiously. Be especially careful when handling sensitive data such as health data, data on political opinions or on religious or ideological beliefs.

 

Here are some organizational tips to help you protect personal data and prevent data protection violations:

 

  • When creating new forms, take all security measures to ensure that personal data is kept secure and cannot be inadvertently disclosed.
  • When using templates to enter personal data, ensure that an empty/unused template is always output.
  • Use complex passwords and a separate password for each service/application. You may use a password management program to help you do this.

 

The following should be observed when working in the home office:

 

  • Point out to your home workers that they must continue to ensure secure e-mail transmission, in particular by checking the recipients and attachments and using the BCC function.
  • When working from home with personal data for which the employer is responsible, the security of the data at these processing locations must also be guaranteed. It must be ensured that no unauthorised access to the screen or to paper documents by third parties can take place - this includes family members or flatmates!

 

Should a data breach occur nevertheless, please report it immediately to your data protection officer so that he can weigh up the risks and, if necessary, report the data breach to the supervisory authority within the period stipulated in Art. 33 GDPR.

 

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Der Einsatz von WhatsApp wird von den Aufsichtsbehörden nach wie vor als kritisch eingestuft, weswegen diese in Unternehmen davon abraten. Wir haben uns nach datenschutzfreundlichen Alternativen zu WhatsApp umgesehen und Informationen der nachfolgenden Messengerdienste zu ihren Funktionen und den Angaben der Betreiber zum Datenschutz zusammengefasst.

 

Threema Work

 

Threema Work ist ein Messengerdienst aus der Schweiz, der speziell auf die Nutzung in Unternehmen zugeschnitten ist. Threema Work ist eigenen Angaben zufolge DSGVO-konform.

 

Bei Threema Work müssen keine personenbezogenen Daten (z.B. E-Mail-Adresse oder Handynummer) angegeben werden und es kann ohne Zugriff auf das Adressbuch genutzt werden. Es wird lediglich eine zufällig generierte ID vergeben (sog. Threema-ID), unter der man anderen Nutzern angezeigt wird. Man kann jedoch seinen eigenen Namen angeben. E-Mail-Adressen und Telefonnummern des lokalen Adressbuchs können zum Abgleich anonymisiert („gehasht“) an Threema übermittelt werden und werden umgehend wieder von den Servern gelöscht.

 

Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt und auch die auf dem Endgerät gespeicherten Chats und Medien sind mit AES-256 (256 Bit Schlüssellänge unter Android) verschlüsselt.

 

Auch seitens der Aufsichtsbehörden wird Threema als gute Alternative empfohlen.

 

Signal

 

Bei Signal muss der Nutzer die eigene Telefonnummer und einen Nutzernamen angeben. Als Nutzername ist aber auch ein Pseudonym ausreichend. Man kann Signal Zugriff auf das Adressbuch gewähren, damit andere Signal-Nutzer angezeigt werden, oder die Telefonnummern händisch eingeben. Beim Abgleich mit dem Adressbuch werden die Kontakte anonymisiert und danach wieder von den Servern gelöscht.

 

Die Chats sind Ende-zu-Ende verschlüsselt. Signal ist Open Source, d.h. die Software ist transparent und kann überprüft werden. Das Unternehmen sitzt in den USA.

 

Seit Februar 2020 ist Signal die empfohlene Anwendung für öffentliches Instant-Messaging in der Europäischen Kommission.

 

Hoccer

 

Bei Hoccer, einem Messengerdienst aus Deutschland, müssen keine personenbezogenen Daten (wie z.B. Telefonnummer oder E-Mail-Adresse) angegeben werden. Dem Nutzer wird eine zufällige Identifikationsnummer zugewiesen durch die er sich mit anderen Nutzern verbinden kann, Hoccer kann also anonym genutzt werden. Hoccer greift auch nicht auf das Adressbuch zu. Alle Informationen werden verschlüsselt an deutsche Server übermittelt und danach gelöscht.

 

Es ist jedoch unklar, ob Hoccer weiterentwickelt wird, da die aktuelle Version aus dem Jahr 2018 (Android) bzw. 2017 (iOS) stammt. Unter diesem Gesichtspunkt können wir Ihnen die Nutzung von Hoccer momentan nur eingeschränkt empfehlen.

 

Wire Enterprise

 

Wire Enterprise ist ein Dienst, der speziell auf die Kommunikation in Unternehmen zugeschnitten ist. Zur Anmeldung muss eine E-Mail-Adresse angegeben werden, ein Zugriff auf das Adressbuch ist nicht erforderlich. Neben der Nutzung des Messenger-Dienstes besteht auch die Möglichkeit, über VoIP zu telefonieren. Wire kann sowohl auf Smartphones, Tablets als auch auf Desktop-Geräten genutzt werden.

 

Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt. Wire ist Open Source, d.h. die Software ist transparent und kann überprüft werden. Das Unternehmen sitzt in der Schweiz und hat seine Server in der EU.

 

ginlo Business

 

ginlo Business ist eine Version des Messenger-Dienstes für Unternehmen, die auch auf Desktop-Geräten genutzt werden kann. Es können Einzel- oder Gruppenchats und Channels für eine unternehmensweite Kommunikation erstellt werden. Die Chats sind auf bis zu 10 Geräten gleichzeitig verfügbar. Die gesamte Kommunikation ist Ende-zu-Ende verschlüsselt und die Serverstandorte in Deutschland sind mit ISO 27001 zertifiziert.

 

Beekeeper

 

Der Messengerdienst Beekeeper richtet sich speziell an Unternehmen. Für die Anmeldung ist keine E-Mail-Adresse erforderlich, es ist eine einfache Anmeldung über QR-Codes möglich. Beekeeper kann sowohl auf mobilen Endgeräten als auch auf Desktop-Geräten genutzt werden.

 

Dokumente, Links und Bilder können einfach gespeichert und freigegeben werden, es können News Streams eingerichtet werden und Mitarbeiterumfragen durchgeführt werden. Der Dienst arbeitet mit ISO 27001 zertifizierten Rechenzentren.

 

Fazit

 

Es gibt einige datenschutzfreundliche Messengerdienste auf dem Markt, die sich für den Einsatz im Unternehmen eignen. Eine vollständige datenschutzrechtliche Prüfung kann und soll dieses Merkblatt aber nicht ersetzen. Binden Sie bei der Einführung immer den Datenschutzbeauftragten mit ein.

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, hat am 3. April 2020 ihren Jahresbericht für das Jahr 2019 vorgelegt.

Besonders erwähnenswert ist in diesem Zusammenhang das bisher höchste Bußgeld in der Bundesrepublik Deutschland unter der DSGVO. Dieses wurde wegen Verstößen im Zeitraum Mai 2018 bis März 2019 gegen die Deutsche Wohnen SE verhängt. Sie hatte umfangreiche Datensätze mit sensiblen Dokumenten wie Ausweiskopien oder Arbeitsverträgen entgegen der gesetzlichen Verpflichtung nicht gelöscht und war auch einer diesbezüglichen Aufforderung der Aufsichtsbehörde aus dem Jahr 2017 nicht nachgekommen. Die Höhe des verhängten Bußgeldes beträgt stolze 14,5 Millionen Euro. Der gesamte mögliche Bußgeldrahmen von 28 Millionen Euro wurde allerdings nicht ausgeschöpft. Die Deutsche Wohnen hat Einspruch gegen den Bußgeldbescheid eingelegt. Eine endgültige Entscheidung der Aufsichtsbehörde bzw. die mögliche gerichtliche Klärung stehen noch aus.

Die dienstliche Nutzung von Messenger-Apps ist immer noch ein Thema. Hier sollte die Bereitstellung eines dienstlichen Messengers erwogen werden, um Probleme zu vermeiden. Das automatische Auslesen des gesamten Adressbuchs ist nach wie vor ein Problem bei WhatsApp (Facebook). Vor allem sollten niemals vertrauliche Dokumente in WhatsApp-Gruppen geteilt werden.

Künstliche Intelligenz bzw. maschinelles Lernen birgt Risiken für die Persönlichkeitsrechte. Diese Risiken bestehen insbesondere in der systematischen Diskriminierung von Bevölkerungsgruppen im Rahmen intransparenter und voreingenommener Entscheidungsprozesse ohne menschliche Eingriffsmöglichkeit. Dahingehende Bemühungen von Unternehmen sind also unbedingt frühzeitig durch die Verantwortlichen mit dem Datenschutzbeauftragten abzustimmen.

Die Anfertigung von Fotos für den Zutritt zu Coworking-Spaces lässt sich nicht allein zur Gefahrenabwehr und Beweissicherung rechtfertigen. Wenn mildere Mittel wie das Erfassen der Personalien mittels einer Besucherliste zur Verfügung stehen, ist ein solches Vorgehen unzulässig.

Nach Beendigung des Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, wenn dem keine zwingenden Aufbewahrungspflichten entgegenstehen. Insbesondere bei auf der Homepage eingestellten Fotos und Informationen zum persönlichen Werdegang ist erhöhte Aufmerksamkeit geboten!

Bei Betroffenenanfragen muss der jeweils Verantwortliche - also das Unternehmen - sicherstellen, dass diese weitergeleitet und beantwortet werden. Die Aufsichtsbehörde stellt klar, dass mangelnde interne Organisation keinen Entschuldigungsgrund darstellt.

Gesundheits-Apps verarbeiten regelmäßig besonders sensible personenbezogene Daten. Speziell bei cloud-basierter Verarbeitung dieser Daten wird sich die Berliner Datenschutzbeauftragte künftig genaue Konzepte zu den technischen Schutzmechanismen vorlegen lassen.

Sobald die Übergangsphase für den Brexit endet (voraussichtlich mit Ablauf des Monats Dezember 2020), sind Datenflüsse in das Vereinigte Königreich vertraglich neu abzusichern. Eine Möglichkeit sind z.B. die von der EU-Kommission bereitgestellten Standardvertragsklauseln.

Wir werden unseren Kunden hierzu noch ein ausführlicheres Merkblatt zur Verfügung stellen. Bleiben sie gesund und achten Sie auf Ihre personenbezogenen Daten!

Florian S.
Justiziar | M.A.
Consultant für Datenschutz

Die Niederländische Datenschutzbehörde hat gegen den Tennisclub KNLTB ein Bußgeld in Höhe von 525.000 Euro verhängt, weil dieser Daten seiner Mitglieder an Sponsoren verkauft hat.

 

Ein Sponsor erhielt ca. 50.000 Datensätze, ein anderer Sponsor sogar ca. 300.000 Datensätze. Übermittelt wurden u.a. Vor- und Nachname, Adresse, E-Mail-Adresse, Geschlecht, Telefon- und Handynummer und Geburtsdatum der Mitglieder. Einige Monate vor der Weitergabe der Daten, kündigte der Tennisclub seinen Mitgliedern dies in seinem Newsletter und auf der Webseite an und wies darauf hin, dass die Mitglieder der Weitergabe widersprechen können.

 

Daraufhin wurden die Mitglieder postalisch und in ca. 40.000 Fällen auch telefonisch vom Sponsor kontaktiert.

 

Der Tennisclub rechtfertigte die Weitergabe der Daten damit, dass dies einen Mehrwert für die Mitglieder schaffen sollte (z.B. in Form von tennisbezogenen und anderen Angeboten) und dadurch außerdem die sinkenden Einnahmen wegen rückläufiger Mitgliederzahlen ausgeglichen werden sollten.

 

Dies erkannte die Niederländische Datenschutzbehörde nicht als ausreichend an, sondern sah darin eine unerlaubte Weitergabe von Daten und damit ein Verstoß gegen die DSGVO. Die Datenschutzbehörde wertete die Handlungen des Tennisclubs als schweren Verstoß. Der Tennisclub habe sich insbesondere nicht ausreichend informiert.

 

Die Entscheidung ist noch nicht rechtskräftig, der Tennisclub hat bereits angekündigt, Rechtsmittel einlegen zu wollen.

 

Die Weitergabe von Daten bedarf immer einer rechtlichen Grundlage gemäß Art. 6 DSGVO. Als eine solche kommt vorliegend lediglich eine Einwilligung in Betracht, die jedoch ausdrücklich, informiert und freiwillig erteilt werden muss. Ein bloßer Hinweis auf ein bestehendes Widerspruchsrecht, das aktiv ausgeübt werden muss, weil ansonsten das Schweigen als Einwilligung gewertet wird, ist nicht ausreichend und zulässig!

 

Ein weiteres Beispiel, dass uns zeigt, dass die Rechtsgrundlage für die Datenverarbeitung immer sorgfältig abgewogen werden muss. Binden Sie vor solchen Aktionen immer Ihren Datenschutzbeauftragten mit ein, um hier auf der sicheren Seite zu sein.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Urteil des OLG Stuttgart vom 27.2.2020, 2 U 257/19

In seinem noch nicht rechtskräftigen Urteil beschäftigt sich das OLG Stuttgart mit der Frage, ob eine fehlende Datenschutzerklärung auf der Webseite eines Händlers für einen Interessensverband abmahnfähig ist.

Insbesondere die Frage zur Abmahnfähigkeit einer fehlenden Datenschutzerklärung wird seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) heftig diskutiert und wurde durch die Gerichte in den verschiedenen ersten Instanzen jeweils unterschiedlich beantwortet. Die OLG Stuttgart geht in seiner jüngsten Entscheidung hierzu davon aus, dass Art. 13 DSGVO die entsprechende Norm aus dem Telemediengesetz (§ 13 TMG) als niederrangiges (nationales) Recht verdrängt und damit alleinige Anwendung findet.

Das Gericht stellte fest, dass die datenschutzrechtlichen Informationspflichten auch dazu dienten, dem Verbraucher die Kontaktaufnahme mit dem Webseitenbetreiber zu ermöglichen und geht daher davon aus, dass Datenschutz auch dem Verbraucherschutz dient. Verbraucher hätten auch ein Interesse daran u.a. zu erfahren, zu welchen Zwecken die Daten verarbeitet werden. Sowie was passiert, wenn der Verbraucher die gewünschten Daten nicht bereitstellt. Daher sei ein Bezug zum Wettbewerbsrecht gegeben. Die Einzelheiten hierzu sind in dem Urteil nachzulesen.

Im Übrigen bejaht das Gericht auch eine Klagebefugnis des klagenden Interessenverbands. Durch die Datenschutzgrundverordnung sei nicht abschließend geregelt, wie private Rechtsansprüche durchgesetzt werden. Die Klagebefugnis der Verbände füge sich vielmehr in den Wertungsrahmen der DSGVO ein und diene dazu, dass auch die Mitbewerber bei der Überwachung der Datenschutzregeln einen wesentlichen Beitrag leisten können.

Konsequenzen des Urteils

Nachdem die ursprünglich befürchtete Abmahnwelle mit Beginn der Geltung der DSGVO bezüglich fehlender oder fehlerhafter Datenschutzerklärung auf den Webseiten zunächst ausgeblieben war, ist aufgrund und unter Verweis auf das vorliegende Urteil mit einer rapide ansteigenden Zahl von Abmahnungen zu rechnen. Umfassende Rechtsklarheit zur Frage der Abmahnfähigkeit wird zwar erst die Entscheidung des BGH hierzu bringen. Gleichwohl ist allen Webseitenbetreibern dringend anzuraten, sich nochmals ausgiebig mit den Datenschutzerklärungen auf ihren Webseiten zu befassen und eine umfassende und gesetzeskonforme Erklärung zu implementieren.

Falls Sie hierbei Unterstützung benötigen, sprechen Sie uns gerne an.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildaufnahmen Bildberichterstattung Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Custom Audience Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation Empfänger Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union europäischen Vorschriften Europäischer Gerichtshof EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Mieter Mietverhältnis Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardvertragsklauseln Standort Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30