Europäischer Datenschutzausschuss veröffentlicht ein Papier mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer

Der Europäische Datenschutzausschuss (EDSA) hat am 11.11.2020 ein Papier zu sog. zusätzlichen Maßnahmen veröffentlicht, die Unternehmen und andere Datenexporteure ggf. ergreifen müssen, wenn sie personenbezogene Daten in Drittländer übermitteln.

Anlass ist das Urteil des Europäischen Gerichtshofs (EuGH) in vom 16.07.2020 („Schrems II“), in dem der EuGH betont hat, dass Datenexporteure, die personenbezogene Daten in Drittländer auf der Grundlage von sog. Garantien nach Art. 46 DSGVO (z.B. auf Grundlage von Standarddatenschutzklauseln) übermitteln möchten, die Pflicht haben zu prüfen, ob die Daten angesichts der Rechtslage im Drittland einen gleichwertigen Schutz mit dem in der EU geltenden Schutz genießen.

Das Papier des EDSA gibt Anwendern wichtige Hinweise dazu, welche Gesichtspunkte sie im Rahmen der von Ihnen vorzunehmenden Prüfung der Rechtslage im Drittland berücksichtigen müssen sowie eine Reihe typischer Szenarien („Use Cases“) Hinweise dazu, inwieweit es möglich ist, überhaupt mit Hilfe zusätzlicher Maßnahmen das geforderte Schutzniveau zu erreichen, und inwieweit dies ggf. für bestimmte Fallgruppen nicht möglich ist.

Unternehmen und andere Datenexporteuren ist nachdrücklich zu raten, die Ausführungen des EDSA sorgfältig zu lesen. Sie haben – wie der EuGH im o.g. Urteil betont hat – die Pflicht, vor einer Übermittlung personenbezogener Daten in ein Drittland zu prüfen, ob das o.g. Schutzniveau gewährleistet ist; ist dies nicht der Fall – und kann ein mit der EU vergleichbarer Schutz auch nicht mit Hilfe „zusätzlicher Maßnahmen“ gewährleistet werden -, darf die Übermittlung nicht stattfinden. (Quelle: BayLDA)

Lesen Sie mehr unter:
https://www.lda.bayern.de/de/thema_supplementary_measures.html

Download der Empfehlungen:
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_de

Good Practice bei technischen und organisatorischen Maßnahmen

Die DSGVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DSGVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme, Dienste und Fachprozesse hervorgehen können. Ziel ist es, diese Risiken einzudämmen, indem wirksame technische und organisatorische Maßnahmen (TOM) umgesetzt werden. Da die DSGVO technikneutral formuliert wurde, finden sich darin jedoch keine konkreten Maßnahmen, die Schritt für Schritt abgearbeitet werden können.

Das Bayerisches Landesamt für Datenschutzaufsicht hat nun eine Checkliste für kleine und mittlere Unternehmen veröffentlicht, um eine Auswahl an TOM anzubieten, die bei geläufigen Verarbeitungstätigkeiten innerhalb eines Betriebs verwendet werden können. Es werden häufig in der Praxis adressierte Punkte behandelt wie bauliche Schutzmaßnahmen, Einsatz von mobilen Endgeräten, internetfähige Arbeitsplatzumgebung und Sensibilisierung von Mitarbeitern – dies entspricht einem generischen Ansatz bei IT-gestützten Datenverarbeitungen. (Quelle: BayLDA)

Donwload Checkliste:
https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf

Mobiles Arbeiten: Bring your own Device revisited

Viele Beschäftigte arbeiten bereits wieder im Homeoffice, ein Teil davon mit privaten Geräten – und das oft völlig ungeregelt. Mit einer Kombination aus Betriebsvereinbarung und individueller Vereinbarung lässt sich BYOD gut in den Griff bekommen. Das hier vorgestellte Muster einer Betriebsvereinbarung ist eine gute Ausgangsbasis, mit der Unternehmen für klare und sichere Verhältnisse sorgen.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/mobiles_arbeiten_byod_revisited.pdf

Download Muster Betriebsvereinbarung:
https://datenschutz.prodatis.com/downloads/Betriebsvereinbarung-BYOD.doc

Pandemie-Bekämpfung und Datenschutz

der Sächsiche Datenschutzbeauftragte stellt auf seiner Webseite Hinweise und Hilfestellungen zur Pandemie-Bekämpfung in Zusammenhang mit dem Datenschutz zur Verfügung.
Insbesondere werden die Aspekte der Kontaktdatenerfassung zur Risikoprävention, der Gestaltung von Homeoffice-Lösungen und Meldepflichten betrachtet.

Lesen Sie mehr unter:
https://www.saechsdsb.de/corona-pandemie

DSK-Kurzpapier zum Beschäftigtendatenschutz wurde überarbeitet

Die Datenschutzkonferenz hat ihr Kurzpapier Nr. 14 zum Thema Beschäftigtendatenschutz überarbeitet und kleinere Änderungen vorgenommen, u.a. wird die Freiwilligkeit einer Einwilligung eines Beschäftigten gegenüber seinem Arbeitgeber etwas genauer beleuchtet. Die Grundaussage, dass eine wirksame Einwilligung in einem Beschäftigungsverhältnis regelmäßig nicht in Betracht kommt bleibt bestehen. Nur in sehr eng gesteckten Rahmen kann eine solche Einwilligung wirksam sein. Hierzu verweist das Kurzpapier auf § 26 Abs. 2 BDSG und erläutert die entsprechenden Kriterien, wann von einer Freiwilligkeit ausgegangen werden kann. Auch der Umgang mit besonderen Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO erfährt in der Überarbeitung eine kurze Konkretisierung.

Das aktualisierte Kurzpapier finden Sie unter:
https://datenschutz.prodatis.com/downloads/dsk_kpnr_14.pdf

DSK-Kurzpapier zum Beschäftigtendatenschutz wurde überarbeitet

Die Datenschutzkonferenz hat ihr Kurzpapier Nr. 14 zum Thema Beschäftigtendatenschutz überarbeitet und kleinere Änderungen vorgenommen, u.a. wird die Freiwilligkeit einer Einwilligung eines Beschäftigten gegenüber seinem Arbeitgeber etwas genauer beleuchtet. Die Grundaussage, dass eine wirksame Einwilligung in einem Beschäftigungsverhältnis regelmäßig nicht in Betracht kommt bleibt bestehen. Nur in sehr eng gesteckten Rahmen kann eine solche Einwilligung wirksam sein. Hierzu verweist das Kurzpapier auf § 26 Abs. 2 BDSG und erläutert die entsprechenden Kriterien, wann von einer Freiwilligkeit ausgegangen werden kann. Auch der Umgang mit besonderen Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO erfährt in der Überarbeitung eine kurze Konkretisierung.

Das aktualisierte Kurzpapier finden Sie unter:
https://datenschutz.prodatis.com/downloads/dsk_kpnr_14.pdf

Emotet-Trojaner immer noch gefährlich unterwegs

Aus aktuellem Anlass möchten wir hier auf den immer noch aktiven Emotet-Trojaner aufmerksam machen. Unternehmen oder auch öffentliche Einrichtungen infizieren weiterhin sich mit diesem Trojaner, was zu großen wirtschaftlichen Schäden führt. Das BayLDA hatte dazu Ende letztes Jahr eine Pressemitteilung herausgegeben, die wir Ihnen gern nochmal nachfolgend mitsenden mit der Bitte um Beachtung und Schulung/Sensibilisierung Ihrer Beschäftigten insbesondere zum Öffnen von eingehenden E-Mails.

Lesen Sie mehr unter:
https://www.lda.bayern.de/media/pm/pm2019_15.pdf

Datenschützer sehen Microsoft 365 in Behörden als nicht rechtskonform an

Deutsche Behörden und öffentliche Einrichtungen wie Schulen sollten die Finger von Microsoft 365 lassen. Zu diesem Ergebnis ist laut einer Meldung des Magazins Der Spiegel der Ende 2019 eingesetzte Unterarbeitskreis der Datenschutzkonferenz von Bund und Ländern (DSK) gekommen, der sich speziell mit Microsoft 365 (vormals Office 365) befasst hat. Die Programmsuite, die Produkte wie Word, Excel, PowerPoint, die Kommunikationsanwendung Teams sowie den Cloud-Speicher OneDrive umfasst, lässt sich demnach nicht regelkonform verwenden.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/microsoft_365_nicht_rechtskonform.pdf

Datenschützer setzen sich für „digitale Souveränität“ der öffentlichen Verwaltung ein – Datenschutzkonferenz fasst verschiedene Beschlüsse

Die DSK hat eine Reihe von Handlungsempfehlungen zur digitalen Souveränität verabschiedet und fordert in diesen Bund, Länder und Kommunen dazu auf, langfristig nur Hard- und Software-Produkte einzusetzen, die den Verantwortlichen die ausschließliche und vollständige Kontrolle über die von ihnen genutzte Informationstechnik belässt.

Aus der Sicht der Verantwortlichen in der öffentlichen Verwaltung bedeutet Digitale Souveränität insbesondere, eigenständig entscheiden zu können, wie die in Art. 1 Datenschutz-Grundverordnung (DS-GVO) formulierten Ziele im Einklang mit den in Art. 5 DS-GVO festgelegten Grundsätzen für die Verarbeitung personenbezogener Daten, wie Rechtmäßigkeit, Transparenz, Zweckbindung und Sicherheit der Verarbeitung, umzusetzen sind. Dies erfordert nach Ansicht der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) Wahlfreiheit und vollständige Kontrolle der Verantwortlichen über die eingesetzten Mittel und Verfahren bei der digitalen Verarbeitung von personenbezogenen Daten, gegebenenfalls unter Hinzuziehung des jeweiligen Auftragsverarbeiters.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/top8_entschliessung_digitale_souveraenitaet.pdf

Neue Orientierungshilfe zur Videoüberwachung

Im Fahrstuhl, an der Haustür des Nachbarn, im Supermarkt oder am Arbeitsplatz – Videoüberwachung ist weit verbreitet und kann jeden treffen. Was datenschutzrechtlich zu beachten ist, zeigt die Datenschutzkonferenz (DSK) in ihrer neuen Orientierungshilfe zur Videoüberwachung durch nicht-öffentliche Stellen.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/neue_orientierungshilfe_zur_videoueberwachung.pdf

DSK Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen:
https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_v%C3%BC_dsk.pdf