Datenschutz

Für die Aufnahmen von Fotos oder Videos bei Firmenveranstaltungen gibt es datenschutzrechtliche Regeln, die vom Unternehmen beachtet werden müssen. Im Folgenden eine Übersicht über die Grundlagen und Empfehlungen für mögliche Umsetzungen.

Das grundsätzliche Problem:
Auch ein Foto stellt im Sinne der Datenschutzgrundverordnung (DSGVO) ein personenbezogenes Datum dar, wenn es die Anforderungen an die Verarbeitung dieser Daten erfüllt, es also zumindest die Person(en), die abgebildet werden, identifizierbar macht.

Diese Information erläutert notwendige Grundlagen, die vor Einführung einer Videoüberwachung zu beachten sind. Sie dient nicht zur konkreten Beratung im Einzelfall. Sie stellt den gesetzlichen Rahmen dar und Sichtweisen der deutschen Aufsichtsbehörden für den Datenschutz und die Informationsfreiheit.  

Immer wieder werden wir gefragt, ob die gemeinsame Nutzung von Nutzerkonten („shared Accounts“) zulässig ist oder ob es datenschutzrechtliche Einwände gibt. Die Antwort ist: JA, die gibt es. 

Was darf und muss man eigentlich tun, wenn Polizei oder Staatsanwaltschaft im Unternehmen nach Daten von Mitarbeitern fragen?

 Es kommt regelmäßig vor, dass Polizei oder Staatsanwaltschaft Unternehmen nach Mitarbeiterdaten fragen.

Die Nutzung von Microsoft Office 365 ist spätestens seit dem EuGH-Urteil zum internationalen Datentransfer („Schrems 2, 2016) umstritten: Da die Programme automatisch Daten in die USA übertragen, wäre ein Einsatz allenfalls mit zusätzlichen Schutzmaßnahmen zulässig – wie diese aber aussehen könnten, war bisher weitestgehend unklar.

AWS ist der Cloud-Service von Amazon, der Daten auf den Servern des Anbieters statt auf eigenen Servern des Kunden speichert. Unternehmen nutzen so den Vorteil, ihre technische Infrastruktur nicht mehr selbst zu verwalten, sondern diese Aufgaben vom Cloud-Anbieter erledigen zu lassen. In der Regel bieten Cloud-Services außerdem viel höhere Sicherheiten vor Datenverlust oder Angriffen, was auch im Sinne der DSGVO erstrebenswert ist.

Was wir bereits lange vermutet und bei unseren Mandanten umgesetzt haben, wird jetzt erstmalig konkret von den Aufsichtsbehörden gefordert: Ein Cookiebanner auf einer Website muss nun einen Button haben, der es dem Benutzer erlaubt, mit einem Klick alle nicht notwendigen Cookies abzulehnen. 

Die 6. Kammer des Verwaltungsgerichts Wiesbaden hat mit Beschluss vom 01.12.2021 einem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt,

Vor 2 Monaten erklärte der Europäische Gerichtshof den „EU-US Privacy Shield“ für unwirksam. Gleichzeitig äußerte sich der EuGH auch zur Verwendung der sog. Standardvertragsklauseln als Grundlage für die Annahme eines adäquaten Datenschutzniveaus in Drittländern, insbesondere den USA. Viele Unternehmen hängen seitdem buchstäblich in der Luft und suchen nach Lösungen, um vor allem den Datentransfer in die USA abzusichern. Betroffen davon ist nicht nur die Nutzung der Angebote von US-Dienstleistern, sondern oft auch der Datenverkehr innerhalb von Konzernen.

Der europäische Gerichtshof hat am 16. Juli 2020 entschieden, dass Privacy Shield als Garantie für Datenübertragungen in die USA von nun an unwirksam ist. Die Auswirkungen für Unternehmen in Europa sind weitreichend und können gravierende Konsequenzen haben. Nun gibt es außerdem eine vom Europäischen Datenschutzausschuss EDSA. Wir werfen einen Blick auf dieses wichtige Urteil.

Am 3. Juli 2020 veröffentlichte die Berliner Datenschutzaufsichtsbehörde BlnBDI (Berliner Beauftragte für Datenschutz und Informationsfreiheit) eine Stellungnahme zur Nutzung der bekanntesten Videokonferenzdienste. Das Ergebnis ist auf den ersten Blick deutlich und legt nahe, dass diese Dienste aus datenschutzrechtlicher Sicht nicht rechtskonform eingesetzt werden können. Wir werfen einen längeren Blick auf das Dokument und erläutern die Ergebnisse für den Dienst Teams von Microsoft näher.

Gestern hat der Bundesgerichtshof in Karlsruhe (BGH) endlich entschieden, wie mit der Speicherung von Cookies und den zugehörigen Einwilligungen umzugehen sei. Das Urteil wurde nicht nur von uns Datenschützern mit Spannung erwartet, sondern betrifft jeden Betreiber einer Website. Auch wenn die Urteilsbegründung noch fehlt, kann aus der Pressemitteilung bereits erkannt werden, welche weitreichenden Folgen die Entscheidung hat. Lesen Sie hier, was nun gilt und was Sie tun müssen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk, hat die bisher höchste deutsche Strafe wegen Verstößen gegen die EU-Datenschutzgrundverordnung verhängt. Der Bußgeldbescheid in Höhe von 14,5 Millionen Euro richtet sich gegen 

Mit rund 200.000 Euro ahndet die Berliner Datenschutzbeauftragte Maja Smoltczyk diverse Einzelverstöße des Unternehmens Delivery Hero, zu dem die Marken pizza.de und Lieferheld zählen. Der Bescheid ist bereits rechtskräftig. Der niederländische Konzern Takeway.com, der Delivery Hero im April 2019 übernommen hat, hat den Bußgeldbescheid akzeptiert und keine Rechtsmittel eingelegt.

Erste Bußgeldverfahren der Aufsichtsbehörden

VORAB DAS WICHTIGSTE: Wir raten allen unseren Mandanten dringend, ab sofort Tools wie Google Analytics nur noch auf Basis einer zuvor erteilten Einwilligung zu nutzen.

Endlich mehr Klarheit zu Bußgeldern nach der DSGVO

Bislang war völlig unklar, wie ein Bußgeld bei Verstößen gegen die DSGVO bemessen werden wird. Nach Ansicht der Datenschutzkonferenz der Länder DSK ist das nun vorbei und es könnte bald teuer werden. In einem sehr transparenten und übersichtlichen Rechenmodell kann nun einfach überschlagen werden, mit welchen Bußgeldern ein Unternehmen, das gegen die Bestimmungen der Datenschutzgrundverordnung verstößt, rechnen kann:

Im Zuge der DSGVO gab es im letzten Jahr Wirbel um die datenschutzkonforme Nutzung von Cookies und Plugins (wie den Facebook-Likebutton) auf Internetseiten. Es war selbst Experten für Datenschutz wie uns unklar, ob die DSGVO überhaupt anwendbar sei. 

Nun ist es amtlich: Ein nicht vorhandener AV-Vertrag kostet richtig Geld. Gespannt haben wir monatelang darauf gewartet, dass die Datenschutz-Aufsichtsbehörden das scharfe Schwert der Sanktionierung von Datenschutzverstössen einsetzen.

Am 23. Januar 2019 hat die Europäische Kommission endlich den Angemessenheitsbeschluss für Japan akzeptiert und damit viele Hürden in der Zusammenarbeit europäischer Unternehmen mit Partnern in Japan genommen.

Achtung: In den letzten Tagen häufen sich Meldungen über Mails, die Unternehmen eine Pflichtverletzung nach Art. 13 DSGVO vorwerfen.Konkret geht es offensichtlich um eine falsche Datenschutzerklärung auf der Website.