Ritterbrief 04/2020

Der Infobrief für Verantwortliche unserer Mandanten

In unserer aktuellen Ritterbrief – Ausgabe erfahren Sie Neuigkeiten zu den folgenden Themen:

1. Medienstaatsvertrag (MStV) ersetzt Rundfunkstaatsvertrag (RStV)
2. Websiteanalyse mit Comply
3. Das neue Patientendatenschutzgesetz (PDSG)
4. Die Ligatur leitet – von Rahmen, Dokumentationen und Grundeis
5. Die Avallon-Ritter beziehen eine weitere Burg
6. Die Avallon-Ritter stellen sich vor
7. Quellen

1. Medienstaatsvertrag (MStV) ersetzt Rundfunkstaatsvertrag (RStV)

Seit dem 07.11.20 ist der Medienstaatsvertrag in Kraft getreten und ersetzt den Rundfunkstaatsvertrag. Der stetige technische Fortschritt, die Entwicklungen in der Medienlandschaft, der Einsatz neuer Medien und die zunehmende Digitalisierung erforderten eine Anpassung des Rechtsrahmens. Im Gegensatz zum RStV ist der Anwendungsbereich des MStV um beispielsweise Anbieter von Suchmaschinen, Smart-TVs, Sprachassistenten und soziale Medien erweitert worden. Zudem enthält der MStV Regelungen für Medienplattformen, Benutzeroberflächen und Medienintermediäre sowie ergänzende Definitionen …

Lesen Sie diesen und andere Ritterbriefe in voller Länge als Verantwortlicher unserer Mandanten.

Die Avallon-Ritter beziehen eine weitere Burg

Passend zu unseren Mauern in Aurich haben wir nicht nur ein neues Büro in Oldenburg (Oldb) gefunden, die ehemalige Residenz- und heutige Universitätsstadt selbst passt auch vom Stadtwappen her perfekt zu uns.

Nachdem wir bereits neue Mandanten in der drittgrößten Stadt Niedersachsens betreuen, wollen wir nun folgerichtig etwas näher bei ihnen sein. Zum 1. Dezember 2020 eröffnen wir unsere Niederlassung in der Rudolf-Diesel-Straße 43-45, im Oldenburger Stadtteil Osternburg. Unsere Büros sind Teil einer Co-Working-Space mit sympathischen und interessanten Mitmietern und einer wundervollen Vermieterin. Auch wenn die meisten unserer Mandanten uns eher nicht besuchen, gefällt uns der neue Standort zwischen Autobahn und City sehr gut.

Unsere Datenschutz Consultant Carolin Huy wird sich in der neuen Ritterburg als erste Mitarbeitende einrichten. Unser Geschäftsführer Jörg Stockmann wird, genau wie in Gelsenkirchen, auch hier regelmäßig vor Ort sein.

Herold 03/2020

In unserer aktuellen Herold-Ausgabe erfahren Sie Neuigkeiten zu den folgenden Themen:

  1. „Bürger-ID“: Zentrale Personenkennziffer für alle?
  2. Elektronische Patientenakte
  3. Menschliche Firewall
  4. Social Engineering: Die Tricks der BetrügerInnen
  5. E-Learning in der Ligatur
  6. Gesundheitsfragebogen für Kunden?
  7. Quelleninformation

1. „Bürger-ID“: Zentrale Personenkennziffer für alle?

Mit der neuen „Bürger-ID“ will die Bundesregierung eigentlich nur die Verwaltungsabläufe erleichtern und den bürokratischen Aufwand für die BürgerInnen selbst reduzieren. Das hört sich zunächst nach „Entbürokratisierung“ und nach einem echten Vorteil für uns alle an; etwa für den Online-Zugang zu Behörden. Dazu soll die bisherige Steuer-Identifikationsnummer (Steuer-ID) zu einer „Bürgernummer“ erweitert werden. Die 11-stellige Steuer-ID hat für diese Zwecke den Vorteil, dass sie auch bei Umzügen ein Leben lang gleich bleibt. Namen und Vornamen reichen nicht mehr für die eindeutige Identifizierung; sie können zu Verwechslungen führen. Die Bürger-ID wird an Deutsche und Ausländer vergeben. Personenverwechslungen wie in der Flüchtlingskrise könnten dann vermieden werden. Andere Länder (z.B. skandinavische Staaten oder die Niederlande) setzen entsprechende Personenkennziffern bereits ein.

Der Bundesdatenschutzbeauftragte hat angesichts dieser Regierungspläne davor gewarnt, dass all diese personenbezogenen Daten sodann vom Staat viel leichter verknüpft und zu umfassenden Persönlichkeitsprofilen vervollständigt werden könnten. Das könne zu Fehleinschätzungen und Missbrauch führen, insbesondere, wenn die Bürger-ID auch im Wirtschaftsleben Verbreitung fände. Eine „sektorspezifische“ Personenkennziffer für bestimmte Bereiche, wie in Österreich bereits praktiziert, wäre sicherer. Das Bundesverfassungsgericht hat im Volkszählungsurteil schon 1983 die Nutzung einheitlicher ID`s zur offenen Kennzeichnung von personenbezogenen Daten insbesondere zur Profilbildung untersagt.

Was unter der Steuer-ID (als zukünftige „Bürger-ID“) alles gespeichert wird

Melderegister, Arbeitsagentur, Ausländerzentralregister, Rentenversicherung, Waffenregister, Insolvenzregister, Versichertenverzeichnis der Krankenkassen, Register für ergänzende Hilfe zum Lebensunterhalt und weitere rund 50 Datenbanken.

Tipps zum Datenschutz für die „Bürger-ID“

  • Setzen Sie eine „Bürger-ID“ nur für behördliche Zwecke und bei staatlichen Stellen ein.
  • Eine Verwendung der „Bürger-ID“ im Wirtschaftsleben ist riskant und möglichst zu vermeiden.
  • Achten Sie auf eine Ende-zu-Ende-Verschlüsselung der elektronischen Kommunikation.

Quellen: DSK, Registermodernisierung verfassungskonform umsetzen, v. 26.08.2020; Heise online, Bundestagsgutachten: Schwere Bedenken gegen Steuer-ID als Bürgernummer, 9/2020; Kelber in Tagesspiegel, Zentrale Personenkennzeichen: Angst vor dem allwissenden Staat, v. 26.08.2020; LTO, Kabinett beschließt Entwurf zur Bürger-Identifikationsnummer, v. 23.09.2020.

2. Elektronische Patientenakte (ePA)

Die Diskussionen um die Einführung des Patientendatenschutzgesetzes spitzen sich zu – und zwar auf den Streit über den Vorrang von Gesundheitsschutz oder Datenschutz. Keine elektronische Patientenakte zu besitzen, kann sich unter Umständen als lebensgefährlich erweisen. Aus Sicht von Datenschützern ist jedoch der Zugriff auf die Inhalte der ePA noch nicht ausreichend geregelt. Die Ärzte sitzen in der Zwickmühle. Sie befürworten eine sinnvolle Digitalisierung, nehmen aber auch die Bedenken der Datenschützer sehr ernst. Zu oft sind in der Vergangenheit Patientendaten und medizinische Studien durch Cyber-Angriffe entwendet und im Internet veröffentlicht worden. Der Bundesverband der Vertragspsychotherapeuten (bvvp) plädiert etwa dafür, abzuwarten und „zunächst die notwendigen Schutzmechanismen zu implementieren“. Damit spielt der bvvp vermutlich auf das fehlende Rechtemanagement für die ePA an. Die Frage muss gestattet sein, warum Zahnärzte oder Chirurgen dann freien Zugriff auf psychologische Bewertungen der Patienten haben sollen.

Andererseits können etwa elektronische Rezepte und digitale Überweisungsscheine auf einem Smartphone spürbare Vorteile für Patienten bedeuten. Der Inhalt der ePA soll zunächst aus Befunden, Arztberichten und Röntgenbildern bestehen; später sollen auch Impfausweis, Mutterpass und Kinderuntersuchungshefte sowie Bonushefte für Zahnärzte hinzukommen. Ab 2021 soll eine App für die Versicherten zur Verfügung stehen, um die notwendigen Einstellungen in der ePA durchzuführen.

Umgang mit der ePA

  • Die Nutzung der ePA ist freiwillig. Sie entscheiden selbst über die Nutzung der ePA.
  • Entscheiden Sie, was gespeichert (oder gelöscht) wird und wer auf die Daten zugreifen darf.
  • Informieren Sie sich bei ihrer Krankenkasse, welche Daten von Ärzten einzutragen sind.
  • Kontrollieren Sie die Daten in ihrer ePA regelmäßig.

Quellen: Gerlof in ÄrzteZeitung, Wieviel Datenschutz braucht die elektronische Patiententakte, v. 2.9.2020; Cornell in ÄrzteZeitung, Vertrauen in Patentenakte durch Gesetz in Frage gestellt?, v. 20.08.2020; Haufe, Patientendaten-Schutz-Gesetz vom Bundesrat gebilligt, v. 21.09.2020

3. Menschliche Firewall

Der Mensch und nicht die Technik sollte im Mittelpunkt stehen. Digitalisierung und Datenschutz stoßen allein mit technischen Mitteln immer häufiger an ihre Grenzen. Dabei erweist sich das Risikobewusstsein von Beschäftigten im Unternehmen als die erste und beste „Firewall“ gegen unbefugte Zugriffe auf personenbezogene Daten, Geschäftsgeheimnisse oder auf Konten. Beschäftigte, die in Krisenfällen richtig und besonnen reagieren (z.B. Vorgänge auf dem Bildschirm dokumentieren und Beweise sichern) werden für Unternehmen immer wertvoller. Nutzen Sie daher Fortbildungsmöglichkeiten im Unternehmen oder durch den Datenschutzbeauftragten zum Thema Datenschutz und IT-Sicherheit (z.B. Avallon E-Learning in der Ligatur) und machen sich mit existierenden Notfallplänen für ihre Arbeitsbereiche vertraut. Mehr als die Hälfte der Cyberangriffe wer-den über E-Mail-Anhänge durchgeführt. Erkundigen Sie sich nach internen Datenschutzrichtlinien oder Anleitungen für die E-Mail-Kommunikation im Unternehmen.

Der Mensch als Notfallmanager bei Cyber-Angriffen

1)      Vorbereitet sein und informiert handeln. Hektik vermeiden und besonnen reagieren.

2)      Dokumentieren Sie, was passiert ist und sichern Sie Beweise (z.B. Bildschirmfoto von verdächtigen Vorgängen, woran haben Sie zuletzt gearbeitet)

3)      Setzen Sie die Meldeketten entsprechend des Notfallplans in Gang.

4)      Schlagen Sie interne Übungsmaßnahmen vor und wenden sich an ihren Datenschutzbeauftragten (Beratungen, Audits und Prüfung meldepflichtiger Vorfälle).

4. Social Engineering: Die Tricks der BetrügerInnen

Technische und organisatorische Maßnahmen zum Datenschutz bewirken mitunter, dass IT-Systeme heute durch BetrügerInnen nicht immer leicht von außen kompromittiert werden können. Cyber-Angriffe sind zwar möglich aber entsprechend (zeit-)aufwendig. Daher setzen die Cyber-Kriminellen schon seit längerer Zeit auf immer raffiniertere Tricks, um die Beschäftigten des anzugreifenden Unternehmens selbst zu instrumentalisieren. Social Engineering wird diese Vorgehensweise genannt. Am Ende dieser Prozesse kommt es regelmäßig zur Nachfrage nach Passwörtern oder sonstige Handlungen, die einen leichteren Zugriff auf die IT-Systeme von außen erlauben.

Die BetrügerInnen setzen dabei auf vielfach erprobte Methoden und wirken auf den ersten Blick glaubhaft. Die „Maschen“ sind in der Regel ähnlich: Als „Expert/e/in“ wird etwa Zugang zum Gebäude oder zu Räumen verlangt (z.B. als HandwerkerIn mit Auftrag/Termin). Mit vorgetäuschtem „Zeitdruck“ werden spontane Reaktionen hervorgerufen, die ein Mitarbeitender sonst nicht gezeigt hätte. Schließlich ist auch der Aspekt „Mitleid“ ein häufig verwendetes Mittel („Wenn Sie mir nicht helfen, bekomme ich Ärger mit meine/m/r ChefIn“). Dabei werden oft Rollen von Lieferanten oder Handwerkern eingenommen, denn den BetrügerInnen genügt vielfach der einfache Zugang in das Gebäude oder dort in sensible Bereiche. Aber auch der Respekt vor (gespielter) „Autorität“ wird genutzt.

Mögliche Kontrollen:

  • Rechnen Sie mit gefälschten Identitäten (Ausweise aus dem Kopierer) und fordern von „ExpertInnen“ z.B. die Vorlage des Auftrags aus Ihrem Unternehmen.
  • Lassen Sie sich nicht unter Zeitdruck setzen oder von „Drohkulissen“ täuschen und überprüfen zuerst die Person und die Richtigkeit des Anliegens.
  • Bleiben Sie kritisch und misstrauisch bei „Emotions-Maschen“. Das „Vier-Augen-Prinzip“, also bei anderen Mitarbeitenden nachfragen, ist immer ein guter Weg für die neutrale Lagebeurteilung.

Quellen: BSI für Bürger, Social Engineering – der Mensch als Schwachstelle

5. E-Learning in der Ligatur

Sensibilisierte Beschäftigte tragen täglich Ihren Teil zum sicheren Unternehmen bei – für den Datenschutz und bei der IT-Sicherheit. Der beste Weg zu einer wertvollen „menschlichen Firewall“ und zum versierten Umgang mit Cyber-Angriffen oder Social Engineering ist die regelmäßige Schulung der Beschäftigten in den „Schlüsselpositionen“. Dabei geht es nicht nur um die Arbeitsplätze zur Verarbeitung von Daten, sondern der Datenschutz fängt bereits an der Tür des Gebäudes an (z.B. bei Empfangsmitarbeitenden). Das Bundesdatenschutzgesetz sieht insgesamt 14 Kontrollbereiche vor (§ 64 Abs. 3 BDSG), die sich nicht alle allein aus der dortigen Aufzählung der Begriffe leicht erschließen lassen (z.B. Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle etc.).

Seit dem 1.10.2020 bieten wir Ihnen vier Möglichkeiten der Schulung Ihrer Beschäftigten an:

  1. Klassenraumtraining, wie Sie diese von uns bisher kennengelernt haben
  2. Web-Trainings und Workshops
  3. eLearning auf unserer Ligatur, dem Datenschutz Managementsystem
  4. Broschüren (auch in anderen Sprachen), für Beschäftigte, die keine Präsenzveranstaltungen besuchen können

Vorteile des E-Learning in der Ligatur:

  • Zeitlich flexible Planung, auch aus dem Home Office, da jederzeit unterbrochen und nahtlos wieder fortgesetzt werden kann
  • Mehrere Module stehen zur Auswahl
  • Test nach jedem Modul mit anschließendem Teilnahmezertifikat
  • Gesetzeskonforme Dokumentation der Sensibilisierungen für das Unternehmen.

6. Gesundheitsfragebogen für Kunden?

Der Corona-Pandemie führt aktuell nicht nur zu einem Flickenteppich von unterschiedlichen Regelungen in den Bundesländern, Städten und Kreisen, wie etwa in der Frage eines umstrittenen Beherbergungsverbotes. Private Unternehmen und öffentliche Stellen wollen sich absichern, die Infektionsschutzbestimmungen einhalten und ergreifen dabei nicht immer die richtigen Maßnahmen. Gesundheitserklärungen (etwa an Schulen) oder Gesundheitsfragebögen für Beschäftigte, BesucherInnen und KundInnen kommen „in Mode“. Tatsächlich können solche Selbstauskünfte oder Fragebögen in Verbindung mit dem Infektionsschutzgesetz und weiteren Landesgesetzen (z.B. für Arbeitgeber) auch datenschutzrechtlich zulässig sein. Die Verarbeitung von sensiblen Gesundheitsdaten wird aber durch das Datenschutzrecht besonders geschützt. Die Betroffenen müssen über die Zwecke und Rechtsgrundlagen solcher Erhebungen gut informiert werden. Die dabei gewonnenen Gesundheitsdaten dürfen ausschließlich zweckentsprechend verwendet werden und ihre Vertraulichkeit muss besonders geschützt werden. Die erhobenen Daten sind unverzüglich nach dem Ende der Aufbewahrungsfristen (gemäß Verordnungen der Länder, meistens 3 bis 6 Wochen) zu löschen.

Diese Fragebögen können durch Arbeitgeber eingesetzt werden, die einerseits die gesundheitlichen Fürsorgepflichten für ihre Beschäftigten und andererseits auch Meldepflichten im Infektionsschutzbereich erfüllen müssen. Für private Unternehmen können solche gutgemeinten Fragebogenaktionen schnell zur „Bußgeldfalle“ werden. Sie haben die Betroffenen nicht nur zu informieren, sondern müssen auch deren Einwilligung zu solchen Befragungen einholen und nachweisen (Art. 6 Abs. 1 lit. a DSGVO), dass die Befragung auf freiwilliger Basis erfolgt ist. Und die Frage nach der Freiwilligkeit stellt sich ernsthaft, wenn etwa Dienstleistungen oder Waren nur unter der Voraussetzung der Vorlage eines solchen Fragebogens angeboten werden.

Wann kann ein Gesundheitsfragebogen u.a. verlangt werden?

  • Zur Durchführung des Beschäftigungsverhältnisses (ArbeitnehmerInnen- und Infektionsschutz).
  • Für KundInnen: Freiwillig, informiert und verhältnismäßig (angemessene Fragen)

Quellen: BfDI, Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit er Corona-Pandemie

7. Onlinequellen

Bürger-ID“: Zentrale Personenkennziffer für alle?

bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/
DSBundLaender/DSK-Entschlie%C3%9Fung-Registermodernisierung-2020.html

background.tagesspiegel.de/digitalisierung/zentrales-personenkennzeichen
-angst-vor-dem-allwissenden-staat

heise.de/news/Bundestagsgutachten-Schwere-Bedenken-gegen-Steuer-ID
-als-Buergernummer-4907034.html

lto.de/recht/nachrichten/n/kabinett-beschluss-steuer-id-buerger-
identifikationsnummer-verknuepfung-daten-bundesdatenschutzbeauftragter/

Elektronische Patientenakte

aerztezeitung.de/Wirtschaft/Wie-viel-Datenschutz-braucht-die-ePA-412464.html

aerztezeitung.de/Wirtschaft/Vertrauen-in-Patientenakte-durch-ein-
Gesetz-in-Frage-gestellt-412175.html

haufe.de/sozialwesen/leistungen-sozialversicherung/elektronische
-patientenakte_242_474764.html

Social Engineering: Die Tricks der Betrüger

bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz
/SoEng/Social_Engineering_node.html

Gesundheitsfragebogen für Kunden?

bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSoziales
Artikel/Datenschutz-in-Corona-Pandemie.html

 

Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.

Ihr Datenschutzbeauftragter
Jörg Stockmann

Aurich und Gelsenkirchen, Oktober/November 2020

Kaffee macht doch glücklich

Kaffee macht doch glücklich

Eine zentrale Bedeutung im Büroumfeld kommt einer funktionierenden (!) Kaffeemaschine zu. Wir hatten da in den letzten Wochen nicht so viel Freude, versuchten zweimal eine Reparatur und mussten uns doch über Wochen mit einer schnöden normalen Kaffeemaschine begnügen. Oftmals hatten die KollegInnen das Gefühl, dauernd neuen Kaffee für alle anderen aufschütten zu müssen, weil „immer“ nur noch eine Pfütze vorgefunden wurde.

 

Nachdem der erste Versuch einer Neuanschaffung einen defekten Wassertank beinhaltete, waren wir schon leicht genervt. Gestern war es nun endlich soweit. Wir haben wieder einen Kaffeevollautomaten in Betrieb nehmen können. Endlich. Mit Bildern zur Auswahl. Und blauem Licht. Viel schöner als sein Vorgänger. Und an neuem, prominentem Platz in der Küche.

Die Dankbarkeit der KollegInnen ist grenzenlos: „Danke Jutta“, „Vielen Dank Jutta. Der Kaffee schmeckt gut“, „Auch von mir nochmal Danke für die Kaffeemaschine. Die ist sogar richtig höflich und sagt Bitte und Danke“.

„Die menschliche Geisteskraft steigt proportional zur getrunkenen Kaffeemenge.“ Sir James Mackintosh

Genau.

Datenschutz strukturiert verwalten

Ab sofort nutzen unsere Mandanten die LIGATUR, das neue Avallon-Datenschutz-Management-System. Auf dieser hervorragend strukturierten Plattform verwalten unsere Mandanten und wir sämtliche Datenschutz-Vorgänge.

Das ist alles in der LIGATUR möglich:

  • Verwalten von Betroffenen-Anfragen oder Datenschutz- und Sicherheitsvorfällen direkt im System mit Aufgabenverteilung und Fristerinnerung
  • Dokumentierung von Verträgen mit gemeinsamer Verantwortung, Auftragsverarbeitungsverträgen mit Auftragsnehmern und oder -gebern oder anderweitiger datenschutzrechtlich relevanter Verträge
  • Rechtskonformes Verwalten und Dokumentieren der Prozesse direkt im System
  • Dokumentieren der IT-Infrastruktur und der Internetseiten
  • Verwalten von technisch-organisatorischen Maßnahmen (TOMs)
  • Aufbauen des Verzeichnisses der Verarbeitungstätigkeiten
  • Zusammenarbeit mit Aufsichtsbehörden
  • Online Einwilligungen und Online AV-Verträge
  • Anzeigen von Bearbeitungsfortschritten durch ein übersichtliches Ampelsystem im Dashboard
  • Erstellen und Überwachen von Datenschutzfolgeabschätzungen
  • Verwalten von Audits
  • Verschlüsselte Dateiablage und Nachrichtensystem
  • Verwalten von Nachweisen der Mitarbeitenden
  • Risikomanagement der Verarbeitung
Schutz

Wir haben einen Demo-Zugang eingerichtet, damit Sie sich vom

Portfolio der LIGATUR überzeugen können:

Anmeldeseite: https://ligatur.avallon.de/ritterdemo/home.html

Benutzername: Ritterdemo

Passwort: LigaturDemo123

Bitte nutzen Sie die Gelegenheit und gehen über den Link ohne weitere Zwischenschritte in das neue Avallon-Datenschutz-Management-System. Der Benutzername in Kombination mit dem Passwort ermöglicht Ihnen einen ersten Überblick. Sollte der Zugriff einmal nicht gelingen oder Sie leider während des Durchschauens den Zugriff verlieren, ist gerade eine anderer Nutzer online und Sie melden sich bitte etwas später wieder neu an.

Bitte wenden Sie sich sehr gerne für eine weitergehende Information an unser Avallon-Team unter 04941 9839070.

Datenschutz Consultant Carolin Huy

Datenschutz Consultant Carolin Huy

Seit Mitte Februar d.J. ergänzt Carolin Huy als Datenschutz Consultant unser Team. Für Ihr Masterstudium der Wirtschaftsinformatik zog sie nach Oldenburg und für Ihre Leidenschaft – das Bosseln – blieb sie gleich dort. „Im Norden fühl ich mich zu Hause, ich mag die Mentalität der Menschen und die Nähe zum Meer“. Am Datenschutz mag sie besonders, dass es niemals den einen „Standard“ gibt. Bei jedem Mandanten sind individuelle Herausforderungen zu meistern und besondere Aspekte zu beachten.

Ihr Start ins Team war recht unkonventionell: Bewerbung, Gespräch, Probewoche und Vertragsbeginn innerhalb von 16 Tagen – das kann sich sehen lassen. Aber so kann es gehen, wenn beide Seiten das Gefühl haben, dass alles passt und der richtige Zeitpunkt gekommen ist. Kurz danach kam noch eine schwierige Zeit: das corona-bedingte Einarbeiten im Homeoffice, das hohe Anforderungen an die Kommunikation miteinander stellte. Mittlerweile kann sie dank einiger logistischer Veränderungen wieder vor Ort sein und arbeitet, wie alle anderen Mitarbeitenden auch, in einem Einzelbüro.

Gemeinsam mit den TeamkollegInnen arbeitet sie am hohen Qualitätsversprechen der Avallon. „Ich möchte den Menschen die „Angst“ vor dem Datenschutz nehmen und ihnen zeigen, dass das mit uns alles gar kein Hexenwerk ist. Für mich hat Datenschutz viel mit Logik zu tun und ein bisschen mit Bauchgefühl – und das Bauchgefühl stimmte bei der Avallon auch von Anfang an.“

Sprechen Sie coronisch?

Sprechen Sie coronisch?

Wir haben in den letzten Wochen und Monaten so viele neue Begriffe reaktiviert oder neu gelernt: von A wie Autokino über F wie „flattern the curve“, M wie Mund-Nase-Schutz, R wie R-Wert, S wie Social Distancing und V wie Visier, bis hin zu Z wie Zoom.

Wir bei der Avallon haben da auch etwas beizutragen: das K wie Klinkenputzen. Ursprünglich soll es ja mal etwas mit den Aufgaben von Vertriebsleuten oder sog. Bettlern zu tun gehabt haben. Schreibt zumindest der Duden. Heutzutage meint es natürlich die morgendliche Routine, die unsere Mitarbeitenden mittlerweile schon „im (Halb-)Schlaf“ durchführen: die Türklinken separat desinfizieren.

Unsere Infektionsschutzhelferin Liane Wittmann hat frühzeitig unsere Reinigungs- und Hygieneprozesse überarbeitet, alles Notwendige angeschafft und alle informiert. So werden zusätzlich zu den üblichen Reinigungsarbeiten durch Eiste Wienekamp nun in verschiedenen Verantwortungen tägliche Desinfektionsarbeiten an allen relevanten Stellen wie Türklinken, Fenstergriffen, Lichtschaltern u.a. durchgeführt. Und selbstverständlich wird das alles wohlwollend kritisch kontrolliert und dokumentiert.

Avallon
On the road again
Avallon

Unser Geschäftsführer Jörg Stockmann, freut sich immer sehr, wenn er für die Anfahrt zu Mandanten das Avallon-Ross nutzen kann. Da macht es auch nichts, wenn es sehr früh ist, die Termine sehr eng liegen, es sehr spät wird und er zwischendurch immer irgendwo eine Ecke zum Rüstungswechsel finden muss.

In diesen Tagen ist er bei uns im Norden großräumig als Avallon-Auditor unterwegs und prüft und dokumentiert bei verschiedenen Märkten der Expert-Bening-Gruppe vor Ort die aktuellen Gegebenheiten hinsichtlich des Datenschutzes. Aufgrund der Corona-Situation ist zwischen dem ersten Teil des Audits im März und der jetzigen „Tour“ eine zeitliche Pause eingetreten, an die er nun inhaltlich nahtlos anknüpft, bis alle Märkte auditiert sind.

Er ist gut gerüstet mit Ipad und mehreren Avallon-MNS-Masken und weiß, dass in den Märkten ein hervorragendes Hygiene-Konzept gelebt wird, sodass er und unsere Mandanten sowie deren Kundinnen und Kunden sich größtmöglich sicher fühlen können. Wer sich schon immer gefragt hat, warum wir eigentlich Ritter sind, findet vielleicht hier einen modernen Ansatz. And I can’t wait to get on the road again.

Grillen im Rittergarten

Es gab viele Gründe für unser Grillen an diesem zunächt recht trüben Montag im Garten: Ein Jahr in der neuen Location, endlich mal den Garten richtig nutzen, Vermissen des gemeinsamen Freitag-Frühstücks seit März, Besprechung des seit Monaten geplanten Hochbeets, Begutachtung des frischen Heckenschnitts, endlich mal testen, ob der Chef wirklich gut Grillen kann und sicher noch weitere.

Nachdem wir einen Grill gekauft und die unerlässlichen Utensilien herangeschleppt hatten, wurde uns erschreckend klar, dass das Wetter DIE Komponente für ein Grillfest unter freiem Himmel schlechthin ist. Mittags zeigten die Apps Wolken ohne Regen an, während wir ein wenig verzweifelt aus dem Fenster dem wirklich starken Regen zuschauten und -hörten. Mit dem Wissen, dass es ab Mittwoch auch in Ostfriesland ungewöhnlich hohe Temperaturen mit bis zu 32 Grad geben wird, waren wir wirklich etwas traurig. Kurzerhand wurden alle Möbel unter die Überdachung hinter dem Haus getragen, wo es zwar nicht soviel unmittelbare Gartenromantik gibt, wir aber trocken sitzen würden.

Kurz vor 17h wurde klar, dass der Regen sich endgültig verabschiedet hatte und wir doch auf die Wiese konnten. Der Umzug von Sesseln, Tischen, Vorspeisen, Salaten, Saußen, Getränken, Geschirr und Besteck unter Apfel- und Nussbaum ging ziemlich schnell. Und auch die Zeit mit Grillen, Trinken, Essen, Reden und viel Lachen ging rasend schnell vorbei. Das machen wir sicher noch mal.

Avallon
Herold 02/2020

In unserer aktuellen Herold-Ausgabe erfahren Sie Neuigkeiten zu den folgenden Themen:

  1. Telefonwerbung: Schutz vor unerwünschten Werbeanrufen
  2. Hacking von Homeoffice-Arbeitsplätzen
  3. Anonymisierte Daten: Absoluter oder relativer Schutz
  4. Homeschooling und Nutzung von WhatsApp
  5. Datenschutz bei Videokonferenzsystemen
  6. Passwort wechsle dich – unregelmäßig
  7. Quelleninformation

1. Telefonwerbung: Schutz vor unerwünschten Werbeanrufen

Telefonwerbung kann bei bestehenden Geschäftsbeziehungen informativ sein. Unerwünschte Werbeanrufe durch fremde Anbieter werden oft als Belästigung empfunden. Das Datenschutzrecht bietet den Betroffenen Möglichkeiten, sich vor unlautere Telefonwerbung zu schützen.

Es gibt dazu verschiedene Szenarien: Sie erhalten einen Telefonanruf und sollen bei einem Gewinnspiel gewonnen haben, an dem Sie jedoch gar nicht teilgenommen haben oder Versorgungsunternehmen oder Versicherungen wollen Ihnen besondere Angebote unterbreiten, obgleich Sie dort gar keine Verträge abgeschlossen haben.

Vor unerlaubter Telefonwerbung wird der Verbraucher nach § 7 UWG (Gesetz über den unlauteren Wettbewerb) geschützt. Ohne vorherige Einwilligung sind solche „Cold Calls“ nicht erlaubt. Mit Hilfe eines Beschwerdeformulars können solche Vorfälle bei der Bundesnetzagentur gemeldet werden. Die DSGVO gibt den Betroffenen aber weitere rechtliche Möglichkeiten an die Hand. So kann etwa das Recht auf Auskunft (Art. 15 DSGVO) genutzt werden, um festzustellen, welche Daten das werbende Unternehmen überhaupt von den betroffenen Personen gespeichert hat. Betroffene können auch ein Widerspruchrecht (Art. 21 DSGVO) gegen die Verarbeitung seiner Daten ausüben und deren Löschung verlangen (Art. 17 DSGVO). Im Verhältnis zwischen Unternehmern gelten indes andere Regeln. Dabei sind die sog. „berechtigten Interessen“ (Art. 6 Abs. 1 f DSGVO) zu berücksichtigen.

Abwehrmöglichkeiten für Verbraucher:

  • Nutzen Sie das Beschwerdeformular der Bundesnetzagentur
  • Machen Sie gegenüber unerwünschten Akteuren Ihr Recht nach DSGVO geltend (z.B. Auskunft, Widerspruch, Löschung, Meldung an die Aufsichtsbehörde)

 

Quellen: Bundesnetzagentur 01/2020: Beschwerdeformular (Anzeige über den Erhalt unerlaubter Telefonwerbung, Cold Calls) und Themenblatt unerlaubte Telefonwerbung

2. Hacking von Homeoffice-Arbeitsplätzen

“Homeoffice“ oder „Heimarbeit“ sind Begriffe mit unterschiedlichen Rechtsfolgen für Arbeitnehmer und Arbeitgeber. Rechtsnachteile sind durch falsche Einordnung zu vermeiden. Avallon hat den Homeoffice-Vertrag an die DSGVO angepasst. Hier besteht Handlungsbedarf für Personalabteilungen und/oder Authentifizierungsprozesse.

Die Corona-Krise hat die Digitalisierung und den Trend zu Homeoffice-Arbeitsplätzen nochmals beschleunigt. Arbeitgeber entdecken das Homeoffice als zusätzliche oder neue Möglichkeit und nutzen diese, um die Mitarbeiter im Sinne der Hygienevorschriften und der Gesundheitsfürsorge zu schützen.

Arbeitnehmer und Arbeitgeber sollten dabei zunächst ihre Vertragsbeziehung als solche prüfen. Der Begriff Homeoffice verleitet zu einer Einordnung des Arbeitsverhältnisses nach dem Heimarbeitsgesetz (HAG). Danach wäre aber von einer weitgehenden Selbständigkeit des „Heimarbeiters“ auszugehen, denn das Gesetz spricht insoweit von einer selbstgewählten Arbeitsstätte bei Tätigkeiten für Gewerbetreibende. Der Heimarbeiter kann daher die Arbeitserledigung, die Arbeitsleistung und die Nutzung der Arbeitszeit grundsätzlich selbst bestimmen.

Die damit verbundenen Rechtsunsicherheiten können Nachteile für Arbeitnehmer und Arbeitgeber mit sich bringen. Für Arbeitnehmer stellt sich die Frage nach einem möglichen Verlust des Arbeitnehmerstatus mit Folgen für die Sozialversicherung und den Kündigungsschutz. Für Arbeitgeber ergibt sich das Problem des Verlustes von Weisungsrechten in Bezug auf die Arbeitszeit etc. Eine Klarheit in diesen rechtlichen Fragen ist insbesondere für den Datenschutz wichtig und sollte geprüft werden. Ein effektiver Datenschutz für das Homeoffice setzt eine ausreichende Rechtssicherheit in Bezug auf das Arbeitsverhältnis voraus.

Die Corona-Krise hat das Problem des Hackings von Homeoffice Arbeitsplätzen deutlich gemacht. Als Datenschützer empfehlen wir dazu eine sog. „medienbruchfreie Gestaltung“ für die Telearbeit im Homeoffice. Der Homeoffice-Arbeitsplatz sollte also technisch an den Firmensitz angebunden und von diesem kontrolliert werden. Die Grundsätze der Datensicherheit schreiben dafür u.a. eine Verschlüsselung der Verbindung in das Firmennetz und geeignete Authentifizierungsverfahren vor.

Worauf ist also konkret zu achten?

  1. Vereinbarung über Telearbeit im Homeoffice (Statusfragen und Datenschutz).
  2. Datensicherheit prüfen und ggf. entsprechende Maßnahmen ergreifen.
  3. Ergänzung der Verarbeitungsverzeichnisse nach DSGVO etc.
  4. Sensibilisierung und Schulung der Mitarbeiter im Umgang mit Sicherheitsaspekten (z.B. Verschlüsselung, Passwörter, Schutz vor Unbefugten etc.).
  5. Beratung und Schulung durch einen Datenschutzbeauftragen.

 

Quellen: Telearbeit und mobiles Arbeiten (Flyer)/Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 01/2019, Datenschutz: Plötzlich Homeoffice – und nun? (Flyer) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 03/2020, Telearbeit/Haufe.de, Heimarbeitsgesetz/Bundesministerium der Justiz und für Verbraucherschutz, Homeoffice, Heimarbeit und Telearbeit/Informationsportal Arbeitgeber Sozialversicherung 03/2020

3. Anonymisierte Daten: Absoluter oder relativer Schutz?

Anonymisierung, Pseudonymisierung und Verschlüsselung sind wichtige und zentrale Maßnahmen zum Schutz personenbezogener Daten. Der Schutz der Betroffenen durch Anonymisierungstechniken ist allerdings technisch und zeitlich begrenzt. Wer seinen Computer und seine Aktivitäten im Internet vor neugierigen und unbefugten Dritten schützen will, muss oft selbst aktiv werden.

Die Begriffe Pseudonymisierung und Anonymisierung sind im Rahmen des Datenschutzes wichtige Begriffe und Methoden. Die „Pseudonymisierung und Verschlüsselung personenbezogener Daten“ ist eine wichtige Maßnahme für den Datenschutz (Art. 32 Abs. 1 a DSGVO). Bei der Psydonymisierung werden bestimmte Merkmale durch Pseudonyme ersetzt. Die allgemein zugänglichen Trainingspläne in einem Sportstudio sollten z.B. durch Buchstaben oder Zahlen ersetzt werden. Der Inhaber und der Nutzer können die betroffene Person gleichwohl „reidentifizieren“. Eine solche Wiederherstellung des Personenbezugs ist nach einer fachgerechten Anonymisierung nicht mehr möglich.

Viele angebliche Anonymisierungen erweisen sich aber als „Mogelpackung“. Das wird insbesondere bei der Nutzung des Internets deutlich. Im Rahmen der Telekommunikation müssen z.B. Standortdaten der Nutzer anonymisiert werden (§ 98 TKG). Für die Nutzer von Privatfernsehanbietern bzw. Streamingdiensten gehört zu den Lösungen für den Datenschutz etwa die Pseudonymisierung der technischen Anschlüsse. Der Kunde erhält von dem Anbieter eine sog. Account-ID.

Sind die Daten dagegen anonymisiert, fallen sie nicht mehr unter das Datenschutzrecht, denn die betroffene Person sollte infolge dieser Maßnahme nicht mehr identifizierbar sein. Im Bereich der Marktforschung und der Werbung werden allerdings sog. Big-Data-Analysen eingesetzt, die im Wege der „Verkettung“ von verschiedenen Daten sodann doch wieder eine Identifizierung der betroffenen Person zulassen.

Ein aktuelles Positionspapier des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 29.06.2020 zeigt, dass es technisch kaum absolute Anonymisierungsverfahren gibt, der damit verbundene Schutz also eher relativ ausfällt. Grundsätzlich soll eine datenschutzkonforme Anonymisierung die Wiederherstellung des Personenbezugs praktisch unmöglich machen. Oft wird diese Möglichkeit aber nur erschwert und mit dem technischen Fortschritt relativiert.

Wer seine Daten und Aktivitäten vor Ausforschung schützen will muss daher selbst handeln.

Welche Maßnahme können Sie konkret ergreifen?

  1. Verschlüsseln Sie ihre E-Mails.
  2. Surfen Sie im Internet nur anonym (konfigurieren Sie ihrem Browser auf Datensicherheit).
  3. Verschlüsseln Sie ihre Festplatte.
  4. Verwenden Sie nur Messenger für die mobile Kommunikation, die Verschlüsselungen anbieten.
  5. Benutzen Sie sichere Passwörter und Authentifizierungsverfahren mit mehreren Faktoren.

Quellen:   BfDI, Positionspapier zur Anonymisierung unter der DSVO unter besonderer Berücksichtigung der TK-Branche, 06/2020

4. Homeschooling und Nutzung von WhatsApp

In der Pandemie versuchen die Schulen, die Kommunikation zwischen Lehrern und Schülern aufrecht zu erhalten. Dabei kommen auch Messenger-Dienste wie etwa WhatsApp zum Einsatz, die weit verbreitet sind und von vielen genutzt werden können. Die Aufsichtsbehörden haben „Leitplanken für die Auswahl von Messenger-Diensten“ aufgestellt und informieren über deren Risiken. Sie betonen, dass Lehrer keine privaten Geräte benutzen dürfen, um dienstliche und personenbezogen Daten zu verarbeiten. Der Austausch müsse daher über eine schulische E-Mail-Adresse erfolgen.

WhatsApp übermittelt nicht nur die gesendete Nachricht, sondern der Dienst speichert und überträgt auch alle Kontaktdaten aus dem Adressbuch des Nutzerhandys und behält sich vor, die personenbezogenen Daten auch an Facebook zu übermitteln. Dazu bedarf es jedoch einer Einwilligung durch die Kontaktpersonen.

Eine aktuelle Eilentscheidung des Bundesgerichtshofes vom 23.06.2020 (KVR 69/19) bestätigt die Feststellung des Bundeskartellamtes, dass Facebook seine marktbeherrschende Stellung missbrauche und Daten von Nutzern sammelt und zusammenführt, die bei WhatsApp, Instagram oder anderen Diensten hinterlassen werden. Die Unternehmen lassen den Nutzern keine Wahl, ob sie diese Datenverknüpfungen zulassen möchten.

Die Datenschutzgrund-Verordnung (DSGVO) hebt den Schutz von Kindern besonders hervor und regelt auch das Verhältnis der Kinder (bis 16. Lebensjahr) zu einer „Informationsgesellschaft“ wie etwa WhatsApp (Art. 8 DSGVO). Danach ist bereits die Nutzung des Dienstes selbst zunächst von der Einwilligung der Eltern bzw. Erziehungsberechtigten abhängig. Der Dienst muss sogar technische Möglichkeiten schaffen, um die Zustimmung zu prüfen.

Soweit Lehrer und Schule diese Messenger für die Kommunikation nutzen, übernehmen sie auch eine Fürsorgepflicht für den Datenschutz ihrer Kinder. Eine regelmäßige Nutzung der Dienste sollte nicht ohne die gesetzlichen Datenschutzschutzhinweise, Einwilligungserklärungen und technischer und organisatorischer Maßnahmen zum Schutz der Schülerinnen und Schüler (SuS) erfolgen.

Wie schütze ich meine Kinder?

  1. Prüfen Sie, ob die Schule ihrer Verpflichtung nachkommt, den SuS die erforderliche Medienkompetenz zu vermitteln.
  2. Fragen Sie die Gremien der Schule, wie der Datenschutz der SuS gewährleistet wird.
  3. Prüfen Sie, ob der Austausch zwischen Lehrern und SuS nicht ebenso über andere sichere Dienste oder die E-Mail-Adresse der Schule möglich ist.
  4. Wenden Sie sich an den Datenschutzbeauftragten der zuständigen Schulbehörde.
  5. Informieren Sie sich über die datenschutzrechtlichen Risiken der jeweiligen Messenger-Dienste mit Hilfe der aktuellen „Leitplanken“ der Aufsichtsbehörden.

Quellen:   LDI NRW, 05/2020, Leitplanken für die Auswahl von Messenger-Diensten während der Kontaktbeschränkungen aufgrund der Corona-Pandemie/Virtuelles Datenschutzbüro, Eilentscheidung des BGH: Facebook nutzt marktbeherrschende Stellung missbräuchlich aus, 06/2020

5. Datenschutz bei Videokonferenzen

Auch infolge der Corona Pandemie boomt der Einsatz von Diensten zur Durchführung von Videokonferenzen, Präsentationen und Weiterbildungen. Zum Einsatz kommen Dienste wie Teams, Skype, Zoom und andere. Jedoch erfüllen nicht alle Anbieter die datenschutzrechtlichen Voraussetzungen der DSGVO. Anbieter sind z.T. auch nicht innerhalb der EU ansässig, was zu einer unzulässigen Übermittlung von personenbezogenen Daten in Drittländer führen kann. Bei einer notwendigen Nutzung von Konferenzsystemen ohne EU-Datenschutzzertifizierung sollten Regeln über die Art und Weise der Inhalte in den Meetings festgelegt werden. Für den Austausch von sensiblen persönlichen Daten oder Betriebs- und Geschäftsgeheimnissen sind die meisten Videokonferenzsysteme immer noch nicht geeignet.

Die Datenschutzbehörden machen aktuell daher auf die Notwendigkeiten des Datenschutzes für den Einsatz dieser Konferenzdienste aufmerksam: Videotelefonie und Videokonferenzen sollen nur mit geeigneten Lösungen zur Verschlüsselung der Daten genutzt werden (Art. 32 DSGVO). Eine weitere wichtige Maßnahme für den Datenschutz im Unternehmen ist die Verpflichtung des Audio- und Videodienstanbieters auf die Einhaltung des Datenschutzes durch Abschluss eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO).

Auch sind die Rechte der Arbeitnehmer nach § 26 Bundesdatenschutzgesetz (BDSG) zu beachten. Danach müssen die schutzwürdigen Interessen der Arbeitnehmer mit den wirtschaftlichen Interessen des Arbeitgebers abgewogen werden. Das führt bei Einsatz dieser Techniken zur notwendigen Planung und Umsetzung von konkreten und nachweisbaren Maßnahmen zum Datenschutz.

Welche Risiken sind zu beachten?

  1. Die Inhalte von Videokonferenzen könnten von Unbefugten mitgehört und mitgeschnitten werden.
  2. Es gibt keinen Schutz durch das Telekommunikationsgesetz (TKG): Videodienstanbieter sind keine Telekommunikationsdienste. Die Schutzvorschriften für das Telekommunikationsgeheimnis müssen diese Anbieter (sog. „Over-the-Top-Anbieter) daher nicht beachten.
  3. Nicht jeder Auftragsverarbeitungsvertrag kann die Betroffenen schützen. Die Anbieter verwenden Standardverträge, die nach Art und Umfang für den Nutzer unverständlich bleiben und „Hintertüren“ offen lassen.

Maßnahmen für den Datenschutz:

  1. Stellen Sie im Unternehmen Regeln auf, welche Art von Austausch über Videokonferenzen erfolgen darf und beachten dabei die Datensparsamkeit (z.B. kein Austausch über Gesundheitsdaten und Geschäftsgeheimnisse etc.) und vereinbaren für dieses Themen einen Austausch über sichere Telefonverbindungen (im Schutze des TKG).
  2. Das „Kompendium Videokonferenzsysteme“ des BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt zahlreiche Hinweise zur Einschätzung der Gefährdungslage und die Sicherheitsanforderungen für Technik und Räume und Beschaffung.
  3. Einsatz eines Datenschutzbeauftragten: Die Umsetzung geeigneter und datenschutzkonformer Sicherheitskonzepte im Unternehmen ist anspruchsvoll und zeitraubend (Verarbeitungsverzeichnis, Merkblätter und Richtlinien, Maßnahmen zum Datenschutz auswähren und dokumentieren, ggf. Datenschutz-Folgenabschätzung).

Quellen:   BSI, Kompendium Videokonferenzsysteme, 04/2020/ ULD, Datenschutz: Plötzlich Videokonferenz – und nun?, 04/2020

6. Passwort wechsle dich – unregelmäßig

Haben Sie schon einmal etwas vom „Ändere dein Passwort-Tag“ gehört? Ins Leben gerufen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) findet er jährlich am 1. Februar statt und mahnt die Menschen, ihre Passwörter zu ändern. Doch dieses Jahr vermutlich das letzte Mal. Das BSI hat sich, wie zuvor auch schon die amerikanische Normbehörde NIST, von der Empfehlung, sein Passwort in regemäßigen Abständen zu ändern, zurückgezogen.

Sinn der Empfehlung war es, dass Passwörter regelmäßig geändert werden, damit sie nicht herausgefunden werden können. Doch diese Empfehlung hat sich überholt, weil es nun detailliertere praktische Erfahrungen gibt. Der Grund ist denkbar einfach und wurde auch so schon von vielen Sicherheitsexperten als Gegenargument zur Empfehlung genannt..

Die Regelung kann nämlich auch das genaue Gegenteil bewirken. Der Faktor Mensch und dessen Lust, sein Gedächtnis voll einzusetzen und zu trainieren ist hier das Problem. Ein Passwortwechsel bedeutet nämlich auch, dass man sich dieses neue Passwort merken muss – und um sich das leichter zu machen, nimmt man offensichtlich sehr simple, offensichtliche Passwörter oder  immer das gleiche und fängt an zu zählen, Passwort1, Passwort2, Passwort3 und so weiter.

Deshalb raten Experten dazu, Passwörter in unregelmäßigen Abständen zu ändern, mindestens alle zwei Jahre, besser sogar jedes Jahr einmal. Das nimmt ein wenig den zeitlichen Druck und motiviert mehr, sich eigenständig gegen den Einbruch in den eigenen Account zu schützen. Hiermit wird die Hoffnung verknüpft, dass die Passwörter  dann auch individueller konstruiert werden. Wer ganz sicher gehen möchte, das die Veränderung ausreichen ist, der vergleicht sein neues und sein altes Passwort. Wenn vier Zeichen hintereinander gleich sind, sollte man sich ein anderes Passwort überlegen.

Wir empfehlen gerne weiterhin unsere Avallon-Passwortkarte, mit der Sie Ihre Passwörter in unregelmäßigen Abständen bequem ändern können – ohne sich jedes Mal etwas Neues, Kreatives überlegen zu müssen.

7. Onlinequellen

Telefonwerbung: Schutz vor unerwünschten Werbeanrufen:

https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Verbraucher/Unerlaubte_Telefonwerbung/Beschwerdeformblatt_Telefonwerbung.pdf;jsessionid=776D58B604EFAC19264C4C39C80E9802?__blob=publicationFile&v=4

https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Verbraucher/Unerlaubte_Telefonwerbung/Themenblattunerlwerbung.pdf;jsessionid=776D58B604EFAC19264C4C39C80E9802?__blob=publicationFile&v=9

Hacking von Homeoffice-Arbeitsplätzen:

https://www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Telearbeit.pdf?__blob=publicationFile

https://www.datenschutzzentrum.de/uploads/it/uld-ploetzlich-homeoffice.pdf

https://www.haufe.de/personal/arbeitsrecht/homeoffice-was-beim-arbeiten-von-zuhause-zu-beachten-ist_76_301172.html

https://www.gesetze-im-internet.de/hag/

Anonymisierte Daten: Absoluter oder relativer Schutz?:

https://www.bfdi.bund.de/DE/Infothek/Transparenz/Konsultationsverfahren/01_Konsulation-Anonymisierung-TK/Positionspapier-Anonymisierung.pdf;jsessionid=410D7E3F54D0FF120BE815A6F5B54B84.2_cid354?__blob=publicationFile&v=2

Homeschooling und Nutzung von WhatsApp:

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW—Messenger-Dienste-18_05_2020.pdf

Datenschutz bei Videokonferenzen:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf?__blob=publicationFile&v=4

https://www.datenschutzzentrum.de/uploads/it/ULD-Ploetzlich-Videokonferenzen.pdf

 

Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.

Ihr Datenschutzbeauftragter
Jörg Stockmann

Aurich und Gelsenkirchen, Juli 2020

Ritterbrief 03/2020

Der Infobrief für Verantwortliche unserer Mandanten

In unserer aktuellen Ausgabe erfahren Sie Neuigkeiten zu diesem Thema:

EuGH kippt EU-US-„Privacy Shield“

Der Europäische Gerichtshof hat erneut über den Datentransfer aus der EU in die USA entschieden. Nun ist unklar, wie Daten von EU-Bürgern beim Transfer in die USA geschützt werden sollen. Es ist die zweite Vereinbarung zum transatlantischen Datenschutz, die das Gericht für ungültig erklärt.

Der Europäische Gerichtshof hat die Privacy-Shield-Vereinbarung gekippt. Damit ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal. Das dürfte drastische Auswirkungen auf alle Unternehmen in der EU haben, die auf den Privacy Shield vertraut haben.

Lesen Sie diesen und andere Ritterbriefe in voller Länge als Verantwortlicher unserer Mandanten.

Ritterbrief 02/2020

Der Infobrief für Verantwortliche unserer Mandanten

In unserer aktuellen Ausgabe erfahren Sie Neuigkeiten zu den folgenden Themen:

1. Anwälte sind keine „freiberuflichen“ Datenschutzbeauftragte
2. DSGVO Verstöße können gerichtlich abgemahnt werden
3. Zulässigkeit von Personalausweiskopien
4. Homeoffice-Arbeitsplätze – es besteht Handlungsbedarf
5. Microsoft Office 365 erfasst mehr „Telemetriedaten“ und verhält sich nicht wie ein Auftragsverarbeiter

In Zusammenhang mit Punkt 5 versenden wir aktuell Fragebögen zur Risikoanalyse an unsere Mandanten.

Lesen Sie diesen und andere Ritterbriefe in voller Länge als Verantwortlicher unserer Mandanten.