Planung eines eigenständigen Gesetzes zum Beschäftigten-Datenschutz

Der Schutz von personenbezogenen Daten im Beschäftigungszusammenhang stellt sowohl Verantwortliche als auch betroffene Personen, Datenschutzbeauftragte (DSB) und Betriebsräte immer wieder vor Herausforderungen. 
Die bestehenden Regelungen aus der EU-DSGVO und §26 Bundesdatenschutzgesetz (BDSG) sind nach Auffassung der Datenschutzkonferenz (DSK) – dem Gremium der unabhängigen deutschen Aufsichtsbehörden des Bundes und der Länder – nicht praktikabel, sachgerecht und nicht klar genug gefasst. Deshalb fordert diese in ihrer Entschließung vom 29. April 2022den Gesetzgeber auf, ein eigenständiges Beschäftigtendatenschutzgesetz zu schaffen.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Beschaeftigtendatenschutz_Das_fordert_die_DSK.pdf

Neues Kurzpapier „Ursachen von Datenschutzverletzungen“

Kommt es zu einer Datenschutzverletzung im Unternehmen oder einer öffentlichen Einrichtung – auch Datenpanne genannt – muss richtig und schnell reagiert werden, um intern den Schaden zu analysieren, Gegenmaßnahmen einzuleiten und die gesetzlichen Anforderungen zur Meldung an die Aufsichtsbehörden und auch an die betroffenen Personen, wenn das Risiko für die Rechte und Freiheiten dieser sehr hoch ist,
zu gewährleisten.

Gemäß DSGVO gilt grundsätzlich die Frist von 72 Stunden ab Bekanntwerden der Datenpanne.
Die internen Meldeprozesse und Zuständigkeiten sollten daher klar definiert, dokumentiert und allen Beschäftigten bekannt sein.

Doch was ist eine Datenschutzverletzung und welche Maßnahmen kommen als Gegenmaßnahmen zur Abmilderung oder zukünftigen Vermeidung in Frage?

Die Datenschutzaufsichtsbehörde Sachsen-Anhalt hat dazu das folgende Kurzpapier veröffentlicht:
https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/
Informationen/Materialien/KMU/Ursachen_von_Datenschutzverletzungen.pdf

Gern unterstützen wir Sie beim Aufbau der internen Prozesse zum Thema Datenschutzverletzungen und stellen Ihnen entsprechende Organisationsanweisungen als Muster zur Verfügung.

Prüfung von Auftragsverarbeitungsverträgen (AVV) bei Webhostern

Bitte beachten Sie nachfolgende Mitteilung der Sächsischen Datenschutzbeauftragten zum Thema
„Prüfung von Auftragsverarbeitungsverträgen (AVV) bei Webhostern“
 vom 18.07.2022
(Quelle: www.saechsdsb.de)

„Wer eine Internetseite betreibt, nutzt dafür häufig einen externen Dienstleister, der die Website hostet. Personenbezogene Daten, die beim Besuch eines Webauftritts übermittelt werden, verarbeit der Hoster in der Regel im Auftrag des Seitenbetreibers. Dafür müssen beide Parteien einen Auftragsverarbeitungsvertrag (AVV) abschließen.

Regelmäßig erreichen die Datenschutz-Aufsichtsbehörden Anfragen von Verantwortlichen, die feststellen, dass der vom Webhoster angebotene AVV nicht den Anforderungen der DSGVO entspricht. Beispielsweise sehen viele AVV keine ausreichenden Nachweise darüber vor, dass der Webhoster die vereinbarten Datenschutzmaßnahmen umsetzt. Jedoch müssen Seitenbetreiber als Verantwortliche gegenüber den betroffenen Personen und den Aufsichtsbehörden belegen können, dass der Datenschutz eingehalten wird.

Um Webhoster und Verantwortliche beim Abschluss von rechtskonformen AVV zu unterstützen, prüfen einige deutsche Datenschutz-Aufsichtsbehörden nun die Musterverträge mehrerer großer Anbieter. An der koordinierten Prüfung beteiligen sich neben der Sächsischen Datenschutzbeauftragten auch die Aufsichtsbehörden aus Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen-Anhalt und Bayern (LDA).

Bei den Kontrollen kommt eine hierfür entwickelte AVV-Checkliste (PDF-Datei) zum Einsatz. Sie wird zusammen mit den Ausfüllhinweisen (PDF-Datei) ebenso den Webhostern zur Verfügung gestellt.“

Sollten Sie Dienstleistungen von Webhostern in Anspruch nehmen, prüfen Sie bitte, ob ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO zwischen Ihnen und dem Auftragnehmer abgeschlossen wurde. Weitere Informationen zum Thema Auftragsverarbeitung finden Sie hier https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf.

Gern unterstützen wir Sie bei der Prüfung der Verträge aus datenschutzrechtlicher Sicht.

Die Digitalisierung der Verwaltung – Onlinezugangsgesetz und Single Digital Gateway

Was ist das Onlinezugangsgesetz (OZG)? Und was das Single Digital Gateway (SDG)? Wie werden Leistungen digitalisiert? Wer ist daran beteiligt – und welche Rolle spielt Nutzerzentrierung? Wer sich mit der Digitalisierung der Verwaltung befasst, steht zunächst einmal vor vielen Fragen.

Das BMI stellt unter www.onlinezugangsgesetz.de grundlegende Informationen zum Onlinezugangsgesetz bereit, seiner Umsetzung und dem Single Digital Gateway, das ein einheitliches digitales Zugangstor zur Verwaltung in der EU zum Ziel hat.

Lesen Sie mehr unter:
https://www.onlinezugangsgesetz.de/Webs/OZG/DE/grundlagen/grundlagen-node.html

(Quelle: www.onlinezugangsgesetz.de)

Illegales GPS-Tracking durch den Arbeitgeber

Viele Unternehmen aus der Logistikbranche wollen die Routen ihrer Fahrzeuge über GPS verfolgen. Datenschutzrechtliche Probleme beginnen hierbei spätestens, wenn die dabei gewonnenen Daten gespeichert werden. Dies spiegelt eine Untersagungsverfügung der hessischen Datenschutzaufsicht wieder, welche durch das Verwaltungsgericht Wiesbaden in vollem Umfang akzeptiert wurde. Das vorliegende Urteil bietet eine exakte Darstellung der Rechtsgrundlagen für Anordnungen der Aufsichtsbehörden.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Illegales_GPS-Tracking_durch_den_Arbeitgeber.pdf

Urteil des Verwaltungsgerichts Wiesbaden:
https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002547

E-Mail Accounts im Visier von Cyberkriminellen

Aufgrund vermehrter Meldungen an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zu erfolgreichen Angriffen auf E-Mail-Accounts bayerischer Unternehmen hat das BayLDA im Mai 2022 im Rahmen seiner Strategie anlassloser Stichprobenprüfungen eine weitere Präventionsprüfung eingeleitet, um Verantwortliche zu sensibilisieren und konkrete Hilfestellungen zum Schutz gegen diese Form von Cyberkriminalität aufzuzeigen.

Pressemitteilung des BayLDA:
https://www.lda.bayern.de/media/pm/pm2022_02.pdf

Informationsblatt des BayLDA zur Absicherung von E-Mail-Accounts:
https://www.lda.bayern.de/media/pruefungen/Mail_Account_Praevention_Informationsblatt.pdf

Informationsblatt des BayLDA zur Ransomware-Präventionsprüfung:
https://www.lda.bayern.de/media/pruefungen/Ransomware_Praevention_Infoblatt.pdf

Checkliste des BayLDA zu datenschutzrechtlichen Regelungen im Homeoffice:
https://www.lda.bayern.de/media/checkliste/baylda_checkliste_homeoffice.pdf

Checkliste des BayLDA zum Patch Management im Alltag:
https://www.lda.bayern.de/media/checkliste/baylda_checkliste_patch_mgmt.pdf

Tätigkeitsbericht der Sächsischen Datenschutzbeauftragten für das Jahr 2021 veröffentlicht

Die Sächsische Datenschutzbeauftragte hat ihren Tätigkeitsbericht für den Zeitraum 1. Januar bis 31. Dezember 2021 veröffentlicht. In diesem wurde unter anderem ein hoher Beratungsbedarf und ein Anstieg bei gemeldeten Datenpannen im Vergleich zum Vorjahr festgestellt.

Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen.

Hier finden Sie den Tätigkeitsbericht der Sächsischen Datenschutzbeauftragten 2021:
https://datenschutz.prodatis.com/nl/Taetigkeitsbericht_2021.pdf

Hier finden Sie die Pressemitteilung der Sächsischen Datenschutzbeauftragten zum Tätigkeitsbericht:
https://datenschutz.prodatis.com/nl/20220524_PM_Taetigkeitsbericht_2021.pdf

Bevölkerungs-, Gebäude- und Wohnungszählung (Zensus)

Die statistischen Ämter des Bundes und der Länder führen in diesem Jahr wieder eine Bevölkerungs-, Gebäude- und Wohnungszählung (Zensus) durch. Stichtag ist der 15. Mai 2022 (Zensusstichtag).

Das Statistische Landesamt ist die in Sachsen hierfür zuständige Behörde. Es macht bei der Anforderung von Daten von seiner Befugnis Gebrauch, die ihm insbesondere durch das Gesetz zur Durchführung des Zensus im Jahr 2022 (Zensusgesetz 2022 – ZensG 2022) eingeräumt ist. Diese gesetzliche Grundlage setzt die Anforderungen um, die das Bundesverfassungsgericht für derartige Befragungen aufgestellt hat:

So hat das Bundesverfassungsgericht in seinem Urteil zum Volkszählungsgesetz vom 15.12.1983 festgelegt, dass das Recht auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse eingeschränkt werden kann. Diese Einschränkungen bedürfen jedoch einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Der Gesetzgeber hat dabei den Grundsatz der Verhältnismäßigkeit zu beachten und organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.

Zum Zensusgesetz

Für die Erhebungen besteht danach eine Auskunftspflicht. Wer im Einzelnen auskunftspflichtig ist, ist im Zensusgesetz konkret festgelegt. In den §§ 27 ff. des ZensG finden sich zudem detaillierte Regelungen zum Datenschutz und zur Datenverarbeitung.

Weitere Informationen zum Zensus:
zensus.sachsen.de
www.zensus2022.de

(Quelle: www.saechsdsb.de)

Apple Kamerafahrten

Die Firma Apple erfasst durch Bildaufnahmen per Fahrzeug oder zu Fuß seit 2019 Umfelddaten. Unter Umfelddaten sind Straßen und andere öffentliche Bereiche zu verstehen. Die jeweiligen Zeitpläne für die Aufnahmen werden vorab auf der Website von Apple veröffentlicht:
https://maps.apple.com/imagecollection

Apple nutzt diese Aufnahmen für seine eigenen Dienste, wie Apple Maps, beispielsweise zur verbesserten Navigation. Im Frühjahr 2022 hat Apple begonnen, diese Aufnahmen auch für das Feature „Look-Around“ zu nutzen. Diese funktioniert ähnlich wie „Google Street View“ und zeigt auch Häuserfronten an.

Betroffene Personen haben aufgrund der datenschutzrechtlichen gesetzlichen Vorgaben einen Anspruch auf Information über Art und Zwecke der Kameraaufnahmen und können der Verarbeitung ihrer personenbezogenen Daten widersprechen. Dies gilt unabhängig davon, ob die Bilder bereits für das Look-Around-Feature verwendet werden und auch unabhängig davon, ob die Aufnahmen bereits gemacht worden sind. Ein Widerspruch ist jederzeit möglich, z.B. bei der unverpixelten Darstellung der eigenen Häuserfront.

Betroffene Personen in Deutschland, die ihre Rechte geltend machen wollen, z.B. Datenschutzbeschwerden, können diese direkt an die Datenschutzaufsicht in Irland schicken oder an das bayerische Landesamt für Datenschutzaufsicht (BayLDA) richten. Das Bayerisches Landesamt für Datenschutzaufsicht eine Informationsseite zum Thema Apple Kamerafahrten veröffentlicht, welche Betroffene u.a. bei der Ausübung ihrer Rechte unterstützen soll.

Zur Informationsseite des BayLDA:
https://www.lda.bayern.de/de/thema_apple_kamerafahrten.html