Home / Aktuelles & Termine / it.sec blog

Auch wenn in dieser Hinsicht noch einige Fragen offen sind, nehmen die Verfahren zu Schadensersatzansprüchen nach der Datenschutzgrundverordnung (DSGVO) zu. Wir hatten hierzu auch bereits berichtet (siehe Blog "Datenschutz Bußgelder Anfang 2021"). Hier soll ein kurzer Überblick über die rechtliche Grundlage in § 82 DSGVO gegeben und diese anhand von Beispielen veranschaulicht werden.

 

Rechtliche Grundlage

 

Nach § 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Zu einem solchen Schaden können beispielsweise führen: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Kontrolle über die personenbezogenen Daten oder Einschränkung der Rechte der betroffenen Personen, Verlust der Vertraulichkeit vom Berufsgeheimnis unterliegenden Daten oder finanzieller Verlust.

 

 

Unrechtmäßige Datenübermittlung an die Schufa

 

Das Landgericht Lüneburg hat einem Kläger wegen einer unrechtmäßigen Datenübermittlung an die Schufa Schmerzensgeld in Höhe von 1.000€ zugesprochen. Der Kläger hatte ein Bankkonto mit einem Dispokredit von 1.000€, den er um 20€ überschritt. Nachdem er von der Bank hierüber informiert wurde, glich er die überzogenen 20€ aus. Die Bank meldete der Schufa danach trotzdem die Überziehung des Kontos.

 

Damit verstieß die Bank gegen die DSGVO, da sie kein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Datenübermittlung hatte. Für den Schaden ließ es das LG Lüneburg – im Gegensatz zu anderen Gerichten, die eine schwerwiegende Persönlichkeitsverletzung fordern – schon ausreichen, dass die unrichtige Meldung an die Schufa negativen Einfluss auf die wirtschaftliche Handlungsfreiheit des Kunden haben könnte, auch wenn die Falschmeldung bis zur Berichtigung nur 2 Wochen bestanden habe.

 

Falscher E-Mail-Empfänger

 

Das Landgericht Darmstadt hat einem Kläger 1.000€ Schmerzensgeld wegen einer falsch versandten Nachricht zugesprochen. Die Beklagte wollte dem Kläger, der sich bei ihr beworben hatte, eine Nachricht über Xing schicken, in der es um die Gehaltsvorstellungen des Klägers ging, versandte sie aber an eine dritte Person. Für diese Datenverarbeitung (= Versand der Nachricht) bestand jedoch keine Rechtsgrundlage, sodass ein Datenschutzverstoß vorlag. Zusätzlich lag ein Verstoß gegen Art. 34 DSGVO vor, da ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers bestand und die Beklagte den Kläger nicht unverzüglich benachrichtigte.

 

Unberechtigter Versand von Gesundheitsdaten

 

Das Arbeitsgericht Dresden hat einem Kläger 1.500€ Schmerzensgeld zugesprochen, weil die Prokuristin des Unternehmens der Ausländerbehörde und der Arbeitsagentur in einer E-Mail mitteilte, dass ein ausländischer Beschäftigter des Unternehmens arbeitsunfähig erkrankt sei und listete die Krankheitszeiten auf. Dabei handelt es sich um Gesundheitsdaten, sodass ein Verstoß gegen Art. 9 Abs. 1 DSGVO vorlag. Der immaterielle Schaden lag in der Rufschädigung des Beschäftigten und im Kontrollverlust über seine personenbezogenen Daten.

 

Fazit

 

Anhand dieser Fälle lässt sich gut erkennen, dass alltägliche Vorkommnisse, die von einigen bestimmt als „nicht so schlimm“ bewertet werden würden, durchaus (erhebliche) Auswirkungen auf die betroffenen Personen haben und somit auch einen Schadensersatzanspruch nach der DSGVO begründen können.

 

Seien Sie deshalb vorsichtig bei Datenverarbeitungen und prüfen Sie vor einer Datenübermittlung gewissenhaft, ob sie hierzu berechtigt sind und es sich auch um den richtigen Empfänger handelt.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Das Landesgericht Köln hat mit seinem Urteil vom 14.09.2020 (2 Sa 358/20) entschieden, dass die Kostenregelung aus § 12a ArbGG auch für Schadensersatzansprüche sowie Beseitigungsansprüche aus der DSGVO gilt.

 

§12a ArbGG regelt die Kostentragungspflicht im ersten Rechtszug vor dem Arbeitsgericht und sieht vor, dass kein Anspruch der obsiegenden Partei auf Entschädigung wegen Zeitversäumnis und auf Erstattung der Kosten für die Zuziehung eines Prozessbevollmächtigten oder Beistandes besteht.

 

Mit der Geltendmachung eines Beseitigungsanspruchs nach Art. 17 DSGVO und Geltendmachung von Schadensersatz nach Art. 82 DSGVO im Rahmen einer arbeitsrechtlichen Auseinandersetzung vor dem Arbeitsgericht Köln wurde der Klägerin Schadensersatz i.H.v. 300,00 € zugesprochen. Sie ging damit gegen ihre vorherige Arbeitgeberin vor, welche unbeabsichtigt, aber auch unbefugt, eine PDF mit personenbezogenen Daten der Klägerin auf ihrer Webseite auch nach Beendigung des Arbeitsverhältnisses veröffentlicht hielt. Hinsichtlich des geltend gemachten Kostenerstattungs- und Freistellungsanspruchs verlor sie und legte Berufung ein.

 

Neben der Feststellung, dass die Intensität der Rechtsverletzung marginal war, bestätigte das Landgericht im Berufungsverfahren die Entscheidung des Arbeitsgerichts und lehnte ebenfalls die volle Höhe des verlangten Schadensersatzes ab.

 

Aus Sicht der Klägerin müsse § 12a ArbGG im Zusammenhang mit Schadensersatzansprüchen aus Art. 82 DSGVO wegen der Unabdingbarkeit der DSGVO als europäische Verordnung unangewendet bleiben. Diese verlangte neben dem primären Schadensersatz aufgrund der Rechtsverletzung der Beklagten, auch die Kosten für die Zuziehung ihrer Prozessbevollmächtigten erstattet.

 

Dieser Ansicht ist das Landgericht nicht gefolgt und wies die Berufung mit folgender Begründung ab.

 

Das Gericht legt dar, dass die Schadensersatzansprüche der DSGVO ausschließlich den primären Schadensersatz begründen. Also Ersatz des Schadens, welcher durch den Verstoß gegen die DSGVO entstanden ist. Weitere Kosten die entstehen, wie Anwalts- und Prozesskosten, werden durch Art. 82 DSGVO nicht erfasst, sondern werden durch nationales Recht geregelt (Vgl. Kommentierung von Däubler 2. Aufl. EU DSGVO, Art. 82 Rn. 14 sowie Plath Becker, 2. Aufl., BDSG/DSGVO Art. 82 Nr. 8).

 

Hinzu kommt, nach Auffassung des Gerichts, dass der Schadensersatzanspruch dadurch nicht eingeschränkt wird oder es zu einer Benachteiligung der Arbeitsnehmer kommt. § 12a ArbGG schützt ja gerade den Arbeitnehmer. Verlangt der Arbeitnehmer nämlich zu viel Schadensersatz im ersten Rechtszug und verliert zumindest teilweise, kommt ihm die Norm aus dem ArbGG hinsichtlich der zu erstatteten den Kosten zu Gute.

 

Bezüglich der Anwendbarkeit von § 12a ArbGG im Zusammenhang mit dem Beseitigungsanspruch aus Art. 17 DSGVO führt das Landgericht aus, dass die Prozessnorm den Beseitigungsanspruch nicht ausgestaltet. Er regelt lediglich die Kosten des Beseitigungsanspruch, wozu es in der DSGVO keine Regelungen gibt, sodass es bei den allgemeinen deutschen Regeln zur Kostenverteilung verbleibt.

 

Fazit:

 

Mithin stellt das Landgericht fest, dass nationale prozessrechtliche Regelungen sehr wohl bei Geltendmachung von Ansprüchen auf Grundlage der DSGVO anwendbar sind. Das materielle deutsche Prozessrecht behalte seine Geltung“. Dieses Urteil und weitere Urteile (siehe auch Landgericht Köln, 28 O 71/20) zeigen, dass eine uferlose Haftung auf Grundlage der DSGVO vermieden werden soll.

 

Handlungsbedarf für das Datenschutzmanagement löst das Urteil nicht aus. Im konkreten Fall sollte es aber in die Abwägung mit einfließen, da es Folgen für die Beurteilung der Risiken im Zusammenhang mit Datenschutz und gerichtlichen Prozessen zwischen Arbeitgeber und Arbeitnehmer haben kann.

 

Jan Brinkmann

 

Consultant für Datenschutz

 

Volljurist

Seit dem 1. Januar 2021 stellen Krankenkassen die elektronische Patientenakte gemäß des neuen Patientendaten-Schutz-Gesetzes zur Verfügung. Ziel ist laut Bundesregierung, eine sichere, nutzerfreundliche und barrierefreie digitale Kommunikation zwischen Behandelnden und PatientInnen zu ermöglichen.

 

Zunächst können PatientInnen Befunde, Arztberichte oder auch Röntgenbilder speichern und entsprechend freigeben. Ab dem Jahr 2022 folgen dann auch der Impfausweis, der Mutterpass, das gelbe Untersuchungsheft für Kinder und das Zahnbonusheft.

 

Ein weiteres Feature, welches im Jahr 2022 erst verfügbar sein wird, ist die manuelle separate Freigabe von Datensätzen. So können NutzerInnen im kommenden Jahr selbst in der App entscheiden, welche Daten, wem frei gegeben werden.

 

Genau dieses Feature im Hinblick auf die elektronische Patientenakte verlangt Bundesdatenschutzbeauftragter Ulrich Kelber von den Krankenkassen. In einer offenen Stellungnahme warnte er vor aufsichtsrechtlichen Maßnahmen gegen Krankenkassen seitens seiner Behörde. Denn, wenn das Gesetz in seiner jetzigen Form umgesetzt wird, verstoße es gegen europäisches Datenschutzrecht (DSGVO).

 

Das Bundesgesundheitsministerium hingegen spricht davon, „dass der Patient Herr seiner Daten werde“. Weiter führt das Ministerium aus: „Die Nutzung der ePA ist freiwillig. Der Versicherte entscheidet, welche Daten in der ePA gespeichert und welche wieder gelöscht werden. Er entscheidet auch in jedem Einzelfall, wer auf die ePA zugreifen darf.“ Dadurch sollen z.B. doppelte Untersuchungen vermieden werden.

 

Problematisch aus Sicht des Datenschutzes sei, dass im ersten Jahr der ePA personenbezogene Daten offengelegt werden, obwohl dies gegen Grundprinzipien (Zweckbindung) der DSGVO verstoße, so die Landesdatenschutzbeauftrage Niedersachsen Thiel. So kann jeder Arzt und jede Ärztin des Nutzers – im Jahre 2021 – Befunde, Berichte, Bilder etc. jeder anderen Praxis einsehen. Darüber hinaus geht es hierbei nicht um Daten mit einem niedrigen Risiko für die Betroffenen, sondern um sensible Daten besonderer Kategorien i.S.d DSGVO. So können z.B. Informationen intimster Natur wie psychische Erkrankungen oder Schwangerschaftsabbrüche bei dem behandelnden Augenarzt offengelegt werden.

 

Weiterer Kritikpunkt auch der Datenschützer, dass es zu einer Ungleichbehandlung beim Grundrecht auf informationelle Selbstbestimmung kommt. Bisher können nämlich nur „Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA erhalten“.

Letztlich wird noch das Authentifizierungsverfahren für die ePA kritisiert da es keine technischen und organisatorischen Maßnahmen entsprechend der Vorgaben der DSGVO bietet. Insbesondere bei Anmeldungen ohne Einsatz der elektronischen Gesundheitskarte entspreche das Authentifizierungsverfahren nicht dem aktuellen Stand der Technik.

 

Fazit:

 

Die Krankenkassen befinden sich in einer schwierigen Situation. Auf der einen Seiten müssen sie ihren Versicherten die Chance einer nutzerfreundlichen und barrierefreien digitalen Kommunikation bieten. Auf der anderen Seite verstößt die durch das deutsche Gesetz vorgeschrieben Vorgehensweise gegen europäisches Datenschutzrecht, was das Risiko aufsichtsrechtlicher Maßnahmen mit sich bringt. Es ist abzuwarten, wie das Bundesgesundheitsministerium, der Bundesdatenschutzbeauftragte oder ein damit betrautes Gericht entscheiden.

 

Als betroffene Person ist man derzeit also nur begrenzt „Herr seiner Daten“. Es bleibt also– wie so oft – eine Abwägung zwischen den eigenen Interessen: Digitale und leichtere Kommunikation oder Datenschutz.

 

 

Jan Brinkmann

 

Consultant für Datenschutz

 

Volljurist

H&M wurde durch den Hamburgischen Datenschutzbeauftragten wegen der Überwachung von Mitarbeitern in einem Servicecenter in Nürnberg ein Rekordbußgeld von 35,3 Millionen Euro auferlegt.

 

Seit mindestens sechs Jahren wurden von einem Teil der Beschäftigten des Servicecenters umfangreich deren private Lebensumstände erfasst und auf einem Netzlaufwerk dauerhaft gespeichert. Bekannt wurde dies im Oktober 2019, weil die Notizen durch einen Konfigurationsfehler für einige Stunden unternehmensweit einsehbar waren.

 

Nach Angaben des hamburgischen Datenschutzbeauftragten führten die Vorgesetzten nach Urlaubs- und Krankheitsabwesenheiten der Mitarbeiter sog. Welcome Back Talks durch. Dadurch erlangtes Wissen wurde in etlichen Fällen festgehalten, z.B. konkrete Urlaubserlebnisse der Mitarbeiter oder Krankheitssymptome und Diagnosen. Die Vorgesetzten eigneten sich zusätzlich durch Einzel- oder Flurgespräche ein umfangreiches Wissen über das Privatleben der Mitarbeiter an, das von harmlosen Details bis zu familiären Problemen oder religiösen Bekenntnissen reichte. Diese Informationen wurden teilweise aufgezeichnet, digital gespeichert und konnten von bis zu 50 Führungskräften am Standort eingesehen werden. Die Aufzeichnungen waren zum Teil sehr detailliert und wurden laufend fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Mitarbeiter für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

 

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte nach Angaben des Hamburgischen Datenschutzbeauftragten zu einem besonders intensiven Eingriff in die Rechte der betroffenen Personen und stellt eine schwere Missachtung des Beschäftigtendatenschutzes dar. Vor diesem Hintergrund sei das Bußgeld in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

 

Positiv bewertet wurde das Bekenntnis der Unternehmensleitung zur Unternehmensverantwortung nach einem Datenschutzverstoß. Es wurde ein umfassendes Datenschutzkonzept vorgelegt, die Unternehmensleitung hat sich ausdrücklich bei den Betroffenen entschuldigt und bemüht sich um Wiedergutmachung. In diesem Zuge soll den Betroffenen ein unbürokratischer Schadensersatz in beachtlicher Höhe ausgezahlt werden.

 

Dieses Bußgeld von 35,3 Millionen Euro übersteigt alle seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in Deutschland verhängten Bußgelder deutlich und ist trotz der transparenten Aufklärung und Kooperation des Unternehmens hoch ausgefallen. Die Aufsichtsbehörden verschärfen also scheinbar ihr Vorgehen bei Datenschutzverstößen. Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von (hohen) Bußgeldern unerlässlich.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

In den Art. 12 ff. Datenschutzgrundverordnung (DSGVO) sind die Rechte der betroffenen Personen geregelt. Art. 15 DSGVO regelt das Auskunftsrecht der betroffenen Personen, dessen Reichweite und Grenzen schon einige Gerichte beschäftigt hat und auch in Zukunft noch beschäftigen wird.

 

Das Bundesverwaltungsgericht (Urteil vom 16.9.2020, Az. 6 C 10.19) hat nun entschieden, dass der Insolvenzverwalter vom Finanzamt keine Auskunft über das Steuerkonto des Insolvenzschuldners, dessen Vermögen er verwaltet, verlangen kann, weil er nicht betroffene Person im Sinne der DSGVO ist.

 

Betroffene Person ist nach Art. 4 Nr. 1 DSGVO nur diejenige natürliche Person, die durch die personenbezogenen Daten identifiziert oder identifizierbar ist.

 

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende, personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat die betroffene Person das Recht auf Auskunft über diese personenbezogenen Daten und die in Art. 15 Abs. 1 DSGVO genannten Informationen (z.B. Verarbeitungszwecke, Kategorien personenbezogener Daten, die verarbeitet werden). Nach Art. 15 Abs. 3 DSGVO hat die betroffene Person ferner das Recht auf den Erhalt einer Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.

 

Das Auskunftsrecht ist ein höchstpersönliches Recht der betroffenen Person und gehört als solches nicht zur Insolvenzmasse und geht deshalb nicht mit Eröffnung des Insolvenzverfahrens auf den Insolvenzverwalter über. Als höchstpersönliches Recht ist es auch nicht darauf gerichtet, Dritten Informationen über die bei staatlichen Stellen vorhandenen Informationen zu verschaffen.

 

Eine Erweiterung des Auskunftsrechts auf den Insolvenzverwalter stehe dem Sinn und Zweck der Betroffenenrechte entgegen. Denn diese dienen dem Schutz des Grundrechts auf Achtung der Privatsphäre aus Art. 8 der Charta der Grundrechte der Europäischen Union. Dafür muss sich die betroffene Person von der Richtigkeit der Daten und der Zulässigkeit der Verarbeitung vergewissern können, was mit dem Auskunftsanspruch erreicht werden kann. Der Insolvenzverwalter wollte damit jedoch potentiell anfechtungsrelevante Sachverhalte zur Mehrung der Insolvenzmasse ermitteln und damit Auskunft über Informationen mit vermögensrechtlichem Bezug.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Schrems II Urteil des EuGH

 

Nachdem der EuGH mit seinem Urteil vom 16. Juli 2020, Rechtssache C-311/18 — „Schrems II“ den EU – U.S. Privacy Shield für unwirksam erklärt hat, genügt die Teilnahme am U.S. Privacy Shield nicht mehr, um innerhalb der EU als datenschutzkonform zu gelten.

 

Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) prüft Swiss- U.S. Privacy Shield

 

Zwar ist die Schweiz nicht Mitglied der EU und daher nicht an das Urteil des EuGH gebunden. Dennoch wurde der Swiss- U.S. Privacy Shield nun vor dem Hintergrund des EuGH Urteils neu bewertet. In seinem Positionspapier vom 08.09.2020 kommt der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) zu dem Schluss, dass auch der Swiss- U.S. Privacy Shield kein angemessenes Sicherheitsniveau für den Datenaustausch zwischen der Schweiz und der USA bietet.

 

Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC)

 

Seit dem 11.01.2017 gilt die USA bei der Schweiz als Land mit „angemessenem Schutzniveau unter bestimmten Umständen“. Das bedeutet, dass Datentransfers bzgl. personenbezogener Daten zwischen der Schweiz und U.S. Unternehmen, welche sich für den Swiss- U.S. Privacy Shield zertifizieren haben lassen, als geschützt gelten.

 

Doch auch der Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) bemängelt in dem Positionspapier vom 08.09.2020 unter anderem den Zugriff auf personenbezogene Daten durch die U.S. Behörden. Betroffene Personen aus der Schweiz haben demnach keine ausreichend durchsetzbaren Rechte in den USA. Dies gilt umso mehr, nachdem die Wirksamkeit des Ombudsmann- Prinzips, welches einen Rechtbehelf innerhalb der USA zusichern soll, mangels Transparenz nicht eingeschätzt werden kann. Zudem fehlen hinreichende Garantien der USA hinsichtlich der Beschränkung des Zugriffsrechts der U.S. Behörden auf personenbezogene Daten. Der Bundesbeauftragte für Datenschutz und Information (FDPIC) erklärt im Positionspapier weiter, dass ein solcher Eingriff durch U.S. Behörden in die Privatsphäre und die informationelle Selbstbestimmung der betroffenen Personen in der Schweiz vor diesem Hintergrund gegen die Grundsätze der rechtmäßigen Bearbeitung von personenbezogener Daten im Sinne des Schweizer Datenschutzgesetzes verstößt.

 

Hat die Einschätzung desSchweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) Auswirkungen auf den Swiss- U.S. Privacy Shield?

 

Die Einschätzung des Schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) hat keinen direkten Einfluss auf die Anwendung des Swiss- U.S. Privacy Shield. Derzeit gibt es hierzu auch noch keine Rechtsprechung der Schweizer Gerichte. Es bleibt daher ungewiss, ob ein Zugriff der U.S. Behören auf personenbezogene Daten beim internationalen Datentransfers mit dem Schweizer Datenschutzgesetz konform ist.

 

Fazit

 

Zwar wurden im Positionspapier vom 08.09.2020 bereits Handlungsstrategien für betroffene Unternehmen veröffentlicht, wie zum Beispiel die Benutzung der EU Standarddatenschutzklauseln. Hierbei handelt es sich jedoch lediglich um eine Empfehlung und keine zwingend einzuhaltende Vorgabe.

 

Letztlich können sich Schweizer und U.S. Unternehmen daher derzeit noch weiterhin auf den Swiss- U.S. Privacy Shield berufen.

 

Laura Piater

 

Justiziarin

 

Consultant für Datenschutz

Der Europäische Gerichtshof hat heute Morgen die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA gekippt. Dies war die informelle Absprache auf dem Gebiet des Datenschutzrechts, die zwischen der Europäischen Union und der USA ausgehandelt wurde. Die Absprache regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen wurden. Eine Datenübertragung in die USA und andere Staaten ist aber weiterhin auf Grundlage der sog. EU-Standardvertragsklauseln möglich. Diese bieten Garantien dafür, dass bei der Übermittlung von Daten das europäische Datenschutzniveau eingehalten wird.

Auch das „Privacy Shield“ hat Standards für den Umgang mit europäischen Daten in den USA festgelegt. Die Unternehmen, die ihre Datenübertragung darauf gestützt haben, stehen jedoch nun vor dem Problem, dass diese mit dem Wegfall des Privacy Shields unzulässig geworden ist. Diese Unternehmen müssen jetzt also nach Alternativen suchen. In Betracht kommt entweder die Nutzung von o.g. EU- Standardvertragsklauseln oder der Wechsel zu Dienstleistern und Rechenzentren ausschließlich in Europa oder in Staaten mit einem angemessenen Datenschutzniveau. Bei Verstößen gegen die DSGVO kann es jedenfalls teuer werden, wie einige Fälle bereits gezeigt haben. Es drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens, wenn man Daten ohne angemessenes Datenschutzniveau in ein Drittland übermittelt.

Der österreichische Datenschutzaktivist Max Schrems hatte in diesem Fall beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Denn dort ist Facebook dazu verpflichtet, den US-Behörden (z.B. FBI, NSA) Zugang zu den Daten zu gewähren – und das ohne richterlichen Beschluss oder die Möglichkeit der betroffenen Personen dagegen vorzugehen. Der Rechtsschutz ist für die betroffenen Personen daher unzureichend. Aufgrund dieser Zugriffsmöglichkeiten ist nach Ansicht der Luxemburger Richter der Datenschutz nicht gewährleistet und erklärte dem EU-US Privacy Shield eine Absage.

Unternehmen müssen nun dringend handeln und entweder die Datenverarbeitung mit ehemals Privacy Shield zertifizierten Unternehmen einstellen oder mit diesen unverzüglich EU-Standardvertragsklauseln schließen.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig

Videokonferenzdienste haben während der Corona-Krise an Bedeutung gewonnen. Der anfangs sehr beliebte US-amerikanische Anbieter Zoom, geriet dabei aufgrund diverser Sicherheits- und Datenschutzmängel zunehmend in die Kritik (wir berichteten).

 

Nach einem Sicherheitsvorfall an einer Schule, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) im April eine Warnung vor der Nutzung des Dienstes ausgesprochen, die er nun nach Verbesserungen durch Zoom zurückgenommen hat.

 

In Zusammenarbeit mit dem LfDI BW hat Zoom mit der Version Zoom 5.0 folgende Verbesserungen vorgenommen:

 

  • Privacy by Default: Die Einrichtung eines Warteraums und die passwortgeschützte Einwahl ist nun voreingestellt.
  • Zoom schließt jetzt ausdrücklich die Verwendung von Nutzerdaten (einschließlich der Benutzer-IDs der Endgeräte) zu wirtschaftlichen Zwecken aus.
  • Die Video-Kommunikation wird künftig Ende-zu-Ende verschlüsselt sein – zumindest in der kostenpflichtigen Geschäftskunden-Version.
  • Außerdem hat Zoom nun einen Vertreter in der EU benannt, was für die Erreichbarkeit von Zoom durch seine Nutzer und die Durchsetzung von Betroffenenrechten wichtig ist, da Zoom als US-amerikanisches Unternehmen keine Niederlassung in Europa hat.

 

Der LfDI BW bewertete die Fortschritte bei Zoom als positiv, weswegen die Nutzungswarnung zurückgenommen werden konnte. Es sei jedoch noch zu klären, inwieweit Daten bei Zoom zu unternehmenseigenen Zwecken genutzt werden.

 

Der LfDI BW betonte aber auch, dass Verantwortliche weiterhin für die von ihnen initiierte Verarbeitung personenbezogener Daten verantwortlich und gegenüber den betroffenen Personen rechenschaftspflichtig seien. Aus datenschutzrechtlicher Sicht haben noch fast alle Videokonferenzsysteme Nachbesserungsbedarf.

 

Bei der Nutzung von Videokonferenzsystemen sollten Sie deshalb immer genau hinschauen, welche Daten durch deren Nutzung freigegeben werden.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

Die Datenschutzbehörde in Baden-Württemberg erließ heute ein Bußgeld gegen die AOK Baden-Württemberg in Höhe von 1,24 Mio Euro wegen rechtswidriger Datenverarbeitung beim Direktmarketing und unzureichender technischer und organisatorischer Maßnahmen.

 

Die AOK Baden-Württemberg veranstaltete u.a. mehrere Online-Gewinnspiele und erhob dabei personenbezogene Daten der Gewinnspielteilnehmer sowie deren aktuelle Krankenkassenzugehörigkeit. Dabei wurden Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.

 

Dabei stellte die Datenschutzaufsichtsbehörde klar, dass sowohl die aktuelle Situation als auch die umfangreichen internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Zusammenarbeit mit der Aufsichtsbehörde bei der Festsetzung des Bußgeldes positiv ins Gewicht fielen.

 

Man darf aber auch in Zeiten von Corona nicht vergessen, dass der Datenschutzbeauftragte im Unternehmen eine wichtige Stellung einnimmt, die gerade in Zeiten des dezentralen Arbeitens nicht vernachlässigt werden darf. Auch darauf wies die Aufsichtsbehörde noch einmal explizit hin.

 

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe verabschiedet, in der sie die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mails dargelegt hat. Diese basiert auf den Vorgaben der Art. 5 Abs. 1 lit. f, 25 und 32 Abs. 1 Datenschutzgrundverordnung (DSGVO).

 

Werden E-Mails, die personenbezogene Daten enthalten oder aus denen sich Informationen über natürliche Personen ableiten lassen, nicht verschlüsselt, besteht das Risiko, dass unbefugte Personen mitlesen. Dies stellt eine Datenschutzverletzung i.S.d. Art. 33 DSGVO dar. Um dies abzuwenden sollten solche E-Mails standardmäßig verschlüsselt werden.

 

Inanspruchnahme von E-Mail-Diensteanbietern

 

Öffentliche E-Mail-Diensteanbieter müssen zum Schutz der Vertraulichkeit und Integrität die Anforderungen der Technischen Richtlinie „Sicherer E-Mail-Transport“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-03108-1) einhalten.

 

Bei Inanspruchnahme öffentlicher E-Mail-Diensteanbieter müssen Verantwortliche sicherstellen, dass die Diensteanbieter hinreichende Garantien für die Einhaltung der Anforderungen aus der DSGVO und insbesondere der genannten Technischen Richtlinie bieten. Dies umfasst auch die sichere Anbindung eigener Systeme und Endgeräte an die Diensteanbieter.

 

Außerdem müssen die Verantwortlichen das Risiko für die Rechte und Freiheiten der natürlichen Personen, das sich aus der Verarbeitung personenbezogener Daten ergibt, abschätzen. Entsprechend der Einordnung des Risikos als normal oder hoch, müssen ggf. zusätzliche Maßnahmen ergriffen werden.

 

Entgegennahme von personenbezogenen Daten

 

Nimmt der Verantwortliche per E-Mail gezielt personenbezogene Daten entgegen, muss er folgende Anforderungen erfüllen:

 

Bei einem normalen Risiko für die Rechte und Freiheiten der natürlichen Personen muss der Verantwortliche den sicheren Empfang der E-Mails über einen verschlüsselten Kanal sicherstellen. Der Empfangsserver muss mindestens den Aufbau von TLS-Verbindungen (direkt per SMTPS oder nach Erhalt eines STARTTLS-Befehls über SMTP) ermöglichen und darf ausschließlich die in der TR 02102-2 aufgeführten Algorithmen verwenden.

 

Bei einem hohen Risiko muss der Verantwortliche eine qualifizierte Transportverschlüsselung und den Empfang von Ende-zu-Ende verschlüsselten Nachrichten ermöglichen. Außerdem muss er bestehende (PGP- oder S/MIME-) Signaturen qualifiziert prüfen.

 

Versand von E-Mails

 

Stellt der Bruch der Vertraulichkeit beim Versand von E-Mails mit personenbezogenen Daten ein normales Risiko für die Rechte und Freiheiten der natürlichen Personen dar, muss der Verantwortliche eine obligatorische Transportverschlüsselung sicherstellen und sollte sich an der Technischen Richtlinie „Sicherer E-Mail-Transport“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-03108-1) orientieren.

 

Bei einem hohen Risiko muss der Verantwortliche eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung sicherstellen. Ggf. kann auf einzelne Anforderungen verzichtet werden, dies hängt jedoch von den bestehenden Risiken, der konkreten Ausgestaltung des Übertragungsweges und kompensierenden Maßnahmen ab.

 

Ist der Verantwortliche gemäß § 203 StGB zur Geheimhaltung von Kommunikationsinhalten verpflichtet, muss zusätzlich zu den o.g. Maßnahmen zwingend eine Verschlüsselung vorgenommen werden, sodass nur diejenigen, an die die Inhalte der Nachrichten offenbart werden dürfen, eine Entschlüsselung vornehmen können.

 

Verschlüsselungs- und Signaturverfahren

 

Die folgenden Verschlüsselungs- und Signaturverfahren kommen dabei in Betracht:

 

Eine Transportverschlüsselung ist das Mindestmaß, das zur Erfüllung der gesetzlichen Anforderungen erforderlich ist. Hierdurch wird das normale Risiko, das sich aus der Verarbeitung personenbezogener Daten ergibt, bereits ausreichend gemindert.

 

Durch eine obligatorische Transportverschlüsselung soll eine unverschlüsselte Übermittlung der Nachrichten ausgeschlossen werden. Dabei sind die Anforderungen der Technischen Richtlinie „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ des Bundesamts für Sicherheit in der Informationstechnik (BSI TR-02102-2) zu erfüllen sind.

 

Durch eine qualifizierte Transportverschlüsselung wird ein ausreichender Schutz gegen aktive Angriffe von Dritten in den Netzverkehr gewährleistet.

 

Eine Ende-zu-Ende-Verschlüsselung mit den Verfahren S/MIME und OpenPGP gewährt den durchgreifendsten Schutz der Vertraulichkeit der Inhaltsdaten. Neben dem Transportweg wird auch die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Server geschützt.

 

Eine Signatur mit dem S/MIME- oder OpenPGP-Verfahren ermöglicht einen nachhaltigen Schutz der Integrität der E-Mail-Inhalte gegen unbefugte Beeinträchtigung. Der Schutz umfasst neben dem Transportweg auch die Zwischenspeicherung und -verarbeitung auf den an der Übermittlung beteiligten Servern.

 

Fazit

 

Eine E-Mail-Verschlüsselung ist daher als technische und organisatorische Maßnahme i.S.d. Art. 32 DSGVO vorzunehmen, wobei die Verschlüsselungs- und Signaturverfahren dem entsprechenden Risiko angepasst werden müssen.

 

Falls Sie hierbei Unterstützung benötigen oder weitere Fragen haben, sprechen Sie uns gerne an.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

20 Mitarbeiter 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsagentur Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen Ausländerbehörde auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG Bankkonto BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Berufsgeheimnis Beschäftigte Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Captcha-Funktion Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Dispokredit Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSGVOÜberwachungstool DSK DSVGO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Falschmeldung Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Framework freiwillig Frist Fristbeginn fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Gehaltsvorstellung Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Identitätsdiebstahl Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfD LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Manipulation eines Request Manipulation eines Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Persönlichkeitsverletzung Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadensersatzanspruch Schadprogramm Schadsoftware Schmerzensgeld Schrems II Schufa Schüler Schulung Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Straftaten Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware überzogen Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren Verfahren C-311/18 Vergessenwerden Verkaufsraum Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung Xing XSS Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31