Datenschutz ist in Deutschland nicht neu auch wenn innerhalb von Europa einige Länder damit neu anfangen. Unser Motto ist bewährt: Bewährtes weitermachen, neues dazunehmen, nicht bewährtes verabschieden. Wir unterstützen Sie bei der Umsetzung der Anforderungen der Datenschutzgrundverordnung. Unsere Spezialität ist es, komplexe Sachverhalte verständlich darzustellen. Wir analysieren die Ist-Situation bezüglich technischer und organsatorischer Vorgaben der DSGVO und des BDSG. Im weiteren erarbeiten wir Vorschläge für organisatorische und technische Verbesserungen und erstellen zusammen mit Ihnen die erforderlichen Dokumentationen. Dabei können wir sowohl rechtlich, technisch, organisatorisch als auch psychologisch "punkten".
Beinahe jede Unternehmenssparte ist von der DSGVO betroffen, das betrifft z.B. Kanzleien, Praxen, Hotels und Tourismusunternehmen, Handwerksbetriebe und Dienstleistungsunternehmen.
Berufe, die der Verschwiegenheitspflicht unterliegen, sind ebenfalls von der DSGVO betroffen. Wir analyisieren mit Ihnen zusammen, um welche personenbezogenen Daten es sich bei Ihnen handelt, welches Risiko besteht, welche Dokumentationen und/oder technischen Vorkehrungen zur Einhaltung der DSGVO und natürlich des neuen BDSG getroffen werden müssen. Hier Kontakt aufnehmen.
In Vereinen bieten Unterlagen häufig Einblicke in das Privatleben von Mitgliedern. Für Verantwortliche ist es unerlässlich, die Vorgaben und Regelungen der DSGVO zu kennen und zu beachten. Wir helfen Ihnen bei der Analyse und Umsetzung der erforderlichen Schritte.
Auch Bildungseinrichtungen sind von der DSGVO betroffen und müssen die personenbezogenen Daten entsprechend sichern und behandeln. Hier Kontakt aufnehmen.
In Geheimdiensten und bei der IT-Sicherheit ist der Mensch der Teil, der am unsichersten ist. Daher der Spruch: Die größte Gefahr kommt von innen. Social Engineering nutzt Hierarchiedenken, Hilfsbereitschaft, ev. Naivität und die Unzufriedenheit von Mitarbeiter_innen aus, um an Zugangsdaten oder an andere sicherheitsrelevante Informationen zu gelangen. Die Angriffe werden auf zwischenmenschlicher Ebene durchgeführt.
Häufig erfolgen diese Angriffe durch Telefonate, wo ein Angreifer glaubhaft macht, dass es eine Situation gibt, die dem Chef, oder dem Unternehmen oder dem Gegenüber selbst schaden könnte, wenn nicht sofort die Zugangsdaten (Passwörter) mitgeteilt werden. Selbst Antworten zu scheinbar nebensächlichen Fragen (Plauderei) zu Anwesenheiten, Gewohnheiten oder Urlaub, sind für die Angreifer wichtige Informationenn. Bekannt sind auch auch als Mitarbeiter oder Handwerker verkleidete Angreifer, die sich persönlich Zugang verschaffen.
Zum Schutz vor social engineering hiflt nur Aufklärung/Schulung der Mitarbeiter_innen sowie Wachheit am Arbeitsplatz. Wir können ihre Mitarbeiter_innen schulen, damit sie auf derartige Angriffe vorbereitet sind.
Beispiele zum Social Engineering finden Sie auch beim BSI.
Der Schutz der eigenen, persönlichen Daten, der Intimsphäre und der informationellen Selbstbestimmung wird schon lange im deutschen BDSG (Bundesdatenschutzgesetz) gefordert. Nachteilig war die geringe Möglichkeit gegen Vorstöße vorzugehen. Das hat sich mit der EU-DSGVO geändert, die hohe Geld-Strafen bei Verstößen erlaubt, wenn materielle oder immaterielle Schadensersatzsprüche geltend gemacht werden.
Interessante Informationen zum Datenschutz und den "verschäften Datenschutzbestimmungen" biete die Europäosche Kommission auf der Website: http://ec.europa.eu/justice/smedataprotect/index_de.htm. Die deutsche Vertretung innerhalb der EU zum Thema DSGVO wird von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, wahrgenommen. Informationen auf deutscher Seite zur EU-DSGVO finden Sie auf den Seiten htps://www.bfdi.bund.de/DE/Home/home_node.html.
Die Rechte der Betroffenen werden gestärkt durch
Es wird zukünftig reichen nachzuweisen, dass der oder die Verantwortliche an der Datenverarbeitung beteiligt war und dass der Betroffenen oder dem Betroffenem ein Schaden entstanden ist.
Die Verantwortlichen der Datenverarbeitung müssen beweisen, dass sie nicht gegen die Vorschriften verstoßen haben.
Zur Abwehr von Schadensersatzansprüchen nach Art, 82 DSGVO sind einige Vorgaben aus der DSGVO einzuhalten, die eine sogenannte rechtskonforme Verarbeitung von Daten begründen:
- Dokumentations- und Nachweispflichten
- Lösch- und Berichtigungspflichten
- Melde- und Benachrichtungspflichten bei Datenschutz-Verletzungen
- Gewährleistung der gesetzlich vorgeschriebenen Datensicherheit
- Informationspflichten über die Verarbeitung von Daten.
Verantwortliche müssen stets in der Lage sein, das Recht der Betroffenen auf Auskunft sowie Ihre eigenen Informationspflichten zu erfüllen.
Dies wird in Art. 82 DSGVO geklärt. Danach kann jede Person, die wegen eines Datenschutzverstoßes einen Schaden erlitten hat, diesen geltend machen. Allerdings sind nicht nur die unmittelbar betroffenen Personen berechtigt, sondern je nach Einzelfall auch Familienangehörige, die ebenfalls Belastungen oder Beeinträchtigungen durch den Datenschutzverstoß erfahren haben.
Verantwortliche, die für die Daten zuständig sind sowie Auftragsdatenverarbeiter, die im Auftrag (z.B. eine Platform, IT-Provider) Daten verarbeiten. Wobei der Auftragsdatenverarbeiter nur haftet, wenn er gesetzliche Pflichten ignoriert hat bzw. Anweisungen vom Verantwortlichen nicht befolgte.
Neu ist in Deutschland durch die DSGVO die Möglichkeit immaterielle Schäden (Nichtvermögensschäden) aus Datenschutzverstößen geltend zu machen. Bislang ging es in Deutschland vor allem um materielle Schadensansprüche (z.B. "verletztes" Eigentum, Habe, entgangener Gewinn, Wertminderung ).
Unter immateriellen Schäden (alias Nichtvermögensschäden) fallen z.B. psychische Beeinträchtigungen durch öffentliche Bloßstellung, Veröffentlichung intimer oder persönlicher Daten, soziale Diskriminierung, Rufschädigung sowie Identitätsdiebstahl.
Bislang wurden bei deutschen Gerichten nur selten - ausnahmsweise - immaterielle Schadensersatzansprüche wegen der Verletzung von Persönlichkeitsrechten zugelassen. Die verhandelten Summen lagen zwischen 1.000 und 7.000 Euro. Bei Prominenten z.B. dem ehem. Bundeskanzler konnte die Summe wegen einer schwerwiegenden Verletzung seiner Persönlichkeitsrechte durch die unzulässige Veröffentlichung seiner Memoiren jedoch schon mal 1.000.000 Euro bringen (LG Köln Urt. vom 27.4.2017 14 O 323/15).
Das Gericht muss erwägen. Erwägungsgründe werden in den Art. 75, 85 DSGVO vorgegeben.
Ähnlich wie im Kartellrecht und manchmal im Strafrecht, soll der Schadensersatz einer wirkungsvollen Abschreckung dienen. Verstöße sollen nicht mehr preiswerter sein (im Amtsdeutsch "wirtschaftlich attraktiver"), als die Einhaltung des Gesetzes.
Mit einem Anstieg der Schadensersatzleistungen bei immateriellen Schäden muss gerechnet werden.
Bislang musste die anspruchsstellende Person die Beweise erbringen, dass ein Datenschutzverstoß vorliegt. Aufgrund der Schwierigkeit nachzuweisen, wie ein Unternehmen welche Daten verarbeitet, wurde die Beweislast geändert und führt per effectum zu einer Beweislastumkehr:
Durch die Informationsrechte (Art. 13, 14, 15 DSGVO) können Betroffene von den Verantwortlichen (Unternehmen, Kanzleien, Praxen, etc.) Informationen über Datenverarbeitung und interne Prozesse bekommen. Die Antwort auf diesen Auskunftsantrag können Betroffene bei Klagen nutzen.
Durch das Rechenschaftsprinzip der Verantwortlichen (Art. 5 II DSGVO) müssen diese nachweisen, dass sie die Vorgaben der DSGVO und des BDSG einhalten.
Unter personenbezogenen Daten, werden Daten verstanden, die es ermöglichen eine Person zu identifizieren oder einer bereits identifizierten Peson zuzuordnen (Art. 4 Nr. 1 DSGVO). Dazu zählen z.B. Name, Adresse, Auenthaltsort (Lokalisierung), Online-Kennung (IP-Adresse,), Gesundheitsdaten, Einkommen und finanzielle Situation, Religionszugehörigheit, ethnische Zugehörigkeit, sexuelle Orientierung, kulturelles Profiil, politische Gesinnung.
Aus dem Rechenschaftsprinzip werden Dokumentationen erforderlich, die die verarbeitenden Prozesse darlegen und nachweisen helfen sollen, dass die DSGVO-Anforderungen umgesetzt werden.
Grundsätzlich haftet jede und jeder Verantwortliche für das Verhalten der Mitarbeiterinnen und Mitarbeiter.
verbergen sich in vielen Bereichen, bei Internetbestellungen, bei Aktivitäten mit dem Smartphone, bei Preisausschreibungen.
Die Datenschutzgrundverordnung (EU-DSGVO) ist eine EU-Verordnung, die unmittelbar in allen EU-Staaten gilt und nicht erst in nationales Recht umgesetzt werden muss. Gleichzeitig mit Inkrafttreten der DSGVO tritt auch das neue BDSG in Kraft.
Ja, alleine schon deswegen, weil die Bußgelder drastisch erhöht wurden und die Behörden hohe Anreize haben, Verstöße gegen die DSGVO zu finden.
Die Dokumentations- und Nachweispflichten werden für Unternehmen aufwändiger. Die Betroffenenrechte wurden ausgebaut. Anfragen von Betroffenen müssen nach 1 Monat beantwortet werden, auch wenn diese nur telefonisch z.B. in CallCentern geäußert wurden.
Verstöße gegen das BDSG können mit Bußgeldern bis 300.000 Euro geahndet werden. Verstöße gegen die DSGVO können Bußgelder bis 20 Mio. Euro (z. B. Verstoße gegen Einwilligungen) oder bis zu 4 % des weltweit erzielten Jahresumsatz (Konzernumsatz) nach sich ziehen.
Die DSGVO gilt für alle Unternehmen/Einrichtungen, die Daten von EU-Bügerinnen und EU-Bürgern verarbeiten (z.B. auch die Unternehmen der großen sozialen Netzwerke aus Übersee) sowie für Bildungseinrichtungen und Vereine.
TOMS ist die Abkürzung für technisch-organisatorische Maßnahmen. Damit werden die Verfahren bezeichnet, die die Anforderungen der DSGVO sicherstellen sollen.
Ja, die Auftragsdatenverarbeitung (Cloud-Anbietern) ändert sich dahingehend, dass nur ein Auftragsverhältnis bezüglich der Datenverarbeitung erforderlich ist und auch der Auftragnehmer gesetzliche Pflichten hat, für die er bei Nichteinhaltung haftbar gemacht werden kann.
Die Verträge mit den Cloudanbietern müssen angepasst werden. Dazu wird es Standardvertragsklauseln geben nach Art. 28 Abs. 7 und 8 DSGVO.
Auch diejenigen die Google-Analytics nutzen, brauchen neue Verträge.
Falls Sie einen Cloud-Anbieter in der USA haben, bei dem die Datenverarbeitung einschließlich Backups nicht in der EU stattfinden, muss dieses Unternehmen ein Zertifikat haben, das im Privacyshield gelistet ist. https://www.privacyshield.gov/list
Dann müssen Sie die entsprechenden Vertragsregelungen z.B. mit der EU-Standardvertragsklausel oder Binding Corporate Rules, die von der Aufsichtsbehörden genehmigt wurden, vereinbaren.
Siehe dazu: https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/data-transfers-outside-eu/binding-corporate-rules_en
Im Datenschutz geht es immer darum, ob Sie Daten erheben, bearbeiten und/oder nutzen dürfen. Dafür brauchen Sie die sogenannten Erlaubnistatbestände (Art. 6 DSGVO). Dazu gehören:
alle Unternehmeungen, die ständig personenbezogene Daten verarbeiten. Dazu gehören schon Rechnungen per eMails.
Im Verfahrensverzeichnis müssen alle Prozesse aufgelistet werden, mit Hinweisen woher die personenbezogenen Daten kommen, zu welchem Zweck (Zweckbindung), wo, wie lange und wie die Daten gespeichert werden (Löschung und Datensparsamkeit), wie sie verarbeitet werden, wie damit weiter umgegangen wird, aufgrund welches Erlaubnistatbestands die Daten verarbeitet werden.
Zu den Datenschutzgrundsätzen zählen
Diese sind die Voraussetzung z.B. für das Kundendatenmanagement oder sämtliche Werbe-Einwilligungen. Dies richtet sich gegen BigData und fordert, dass kontinuierlich die personenbezogenen Datensätze nach den Datenschutzgrundsätzen abgeglichen werden.
Betroffenenrechte (nach Art. 15 DSGVO) sind die Rechte auf Auskunft, Löschung, Widerspruchsrecht, das Recht auf Vergessenwerden, das Recht auf Datenübertragbarkeit und das Recht auf Einschränkung der Verarbeitung.
Die Anträge von Betroffenen müssen innerhalb eines Monats bearbeitet und beantwortet werden. Falls dies nicht erfolgt kann der Betroffene die Aufsichtsbehörde einschalten, die dann mit Bußgeldbescheiden tätig werden kann.
Informationspflichten (Art. 13 14 DSGVO) bestehen bezüglich Zweck und Rechtsgrundlagen der Datenverarbeitung, ev. bei Datentransfer in Drittstaaten sowie Angaben zur Speicherdauer, Betroffenenrechte, Herkunft der Daten.
Ja, die DSGVO gilt für private und öffentliche Bildungsträger.
In §38 BDSG (ab Mai 2018) wird ein DSB gefordert, wenn
In medizinischen Praxen werden hoch sensible personenbezogene Daten (Krankheits- und Patientendaten) verarbeitet. Werden die Daten digital verarbeitet ist auch in einer Praxis mit 3 Mitarbeiter_innen ein DSB erforderlich.