Archive: News

Verantwortliche haben nach der Datenschutz-Grundverordnung (DSGVO) eine Rechenschaftspflicht, welche in den Grundsätzen für die Verarbeitung personenbezogener Daten (Artikel 5 DSGVO) zu finden sind. Nach diesen ist der Verantwortliche für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss die Einhaltung auch nachweisen können.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Rechenschaftspflicht_Das_gehoert_nach_DSGVO_dazu.pdf

Download Prüfkatalog Rechenschaftspflicht des BayLDA:
https://www.lda.bayern.de/media/pruefungen/201810_rechenschaftspflicht_fragebogen.pdf

Der US-amerikanische Konzern Meta hat laut Mitteilung der irischen Datenschutzbehörde DPC mit seinen beiden Plattformen Facebook und Instagram gegen die Europäische Datenschutzgrundverordnung (DSGVO) verstoßen.

Die Behörde verhängte deshalb eine Strafe von 210 Millionen Euro für Verstöße von Facebook und von 180 Millionen Euro für Instagram. Darüber hinaus muss Meta innerhalb von drei Monaten seine Datenverarbeitung in Einklang mit den Vorgaben der DSGVO bringen.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Meta_390_Millionen_Bussgeld.pdf

in unserem aktuellen Newsletter möchten wir Sie über die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) im Betrieb informieren.

Die eAU soll die Datenweitergabe im Zusammenhang mit der Arbeitsunfähigkeit ab 01. Januar 2023 verbessern. Dafür stellen Krankenkassen den Arbeitgebern die Daten ab diesem Zeitpunkt elektronisch zur Verfügung. Doch was heißt das für den Datenschutz, wo sind Anpassungen nötig?

Durch die Digitalisierung der Arbeitsunfähigkeitsbescheinigungen müssen Unternehmen ihre bisherigen Prozesse und die Verarbeitungstätigkeiten neu bewerten und anpassen. Da Arbeitgeber die Daten der eAU bei den Krankenkassen abrufen müssen, ist es erforderlich, Maßnahmen zu definieren, damit diese Daten zeitnah die Entgeltabrechnungsstelle erreichen.

Für diesen Abruf müssen Unternehmen ihre technischen Strukturen prüfen, dass diese den Anforderungen aus Art. 32 Datenschutz-Grundverordnung (DSGVO) genügen und ein dem Risiko angemessenes Schutzniveau gewährleisten.

Darüber hinaus gilt es, die betrieblichen organisatorischen Maßnahmen zu hinterfragen, zu prüfen und bei Bedarf neu zu definierten.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Die_elektronische_Arbeitsunfaehigkeitsbescheinigung.pdf

Briefe verschicken große Teile der Bevölkerung kaum noch. Viele haben nicht einmal mehr Umschläge und Briefmarken im Haus. Kein Wunder, dass manche Unternehmen auch bei einer Krankmeldung auf Übermittlung mittels WhatsApp setzen.

Die Datenschutzaufsicht Rheinland-Pfalz will davon allerdings nichts wissen. Sie schreibt hierzu, Messenger-Dienste würden sich auf keinen Fall dafür eignen, „um besonders schützenswerte Gesundheitsdaten, wie beispielsweise die Kopie einer Arbeitsunfähigkeitsbescheinigung, zu kommunizieren.“ Gegenüber den Unternehmen, bei denen dies trotzdem üblich war, hat sie Verwarnungen ausgesprochen. Offensichtlich blieb es nur deshalb bei einer Verwarnung, weil die Unternehmen nach entsprechenden Beschwerden von sich aus angekündigt hatten, die betriebliche Nutzung von WhatsApp einzustellen.

Die Datenschutzaufsicht betont, dass sie betriebsinterne WhatsApp-Gruppen generell für nicht vereinbar mit dem Datenschutz hält. Dies liege daran, dass „mit Blick auf die nicht zu unterbindenden Datenübertragungen in die USA eine datenschutzkonforme Nutzung in aller Regel nicht sichergestellt werden kann.“

Quelle: Datenschutzaufsicht Rheinland-Pfalz, Tätigkeitsbericht 2021, Seite 28.

Lesen Sie mehr unter:
https://www.zaftda.de/tb-bundeslaender/rheinland-pfalz/landesdatenschutzbeauftragter-5/811-30-tb-lfd-rheinland-pfalz-2021-o-drs-nr-vom-08-09-2022/file

Einige Gerichtsentscheidungen beschäftigen sich mit Themen, die auf den ersten Blick ausgesprochen speziell wirken. Doch bei näherer Betrachtung enthalten sie Ausführungen, die weit über den eigentlichen Einzelfall hinaus von Bedeutung sind. So hier, wo das Gericht grundsätzliche Ausführungen zum Datenschutzkonzept des Betriebsrats macht.

Hat der Betriebsrat die Pflicht, ein Datenschutzkonzept zu erstellen und umzusetzen oder nicht?
Welche Folgen könnte ein nicht vorhandenes Datenschutzkonzept haben? Ein Urteil schafft Klarheit.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Datenschutzkonzept_Fuer_den_Betriebsrat_obligatorisch.pdf

„DATEV Unternehmen online“ (DUO) ist eine cloudbasierte Lösung zum Austausch von Dokumenten zwischen Unternehmen und Steuerberatern. Sie kommt vor allem in kleinen und mittleren Unternehmen zum Einsatz. Doch welche datenschutzrelevanten Einstellungen sind hier für den Einsatz wichtig?

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Datenschutz_in_DATEV_Unternehmen_online.pdf

Aus aktuellem Anlass möchten wir Sie noch einmal darauf hinweisen, dass das Betreiben von Diensten auf Webseiten, welche personenbezogene Daten, auch IP-Adressen, in unsichere Drittländer übermitteln, einwilligungspflichtig ist.

Das betrifft u.a. auch den Einsatz von Google Fonts.

Aufgrund des Urteils vom Landgericht München aus Januar 2022 (https://openjur.de/u/2384915.html) ist eine Einbindung von Google Fonts – über die von Google bereitgestellte API, welche die Fonts direkt von Google-Server lädt – ohne vorherige Einwilligung des Nutzers nicht datenschutzkonform. D.h. dass in diesem Fall ein Verstoß gegen die EU-DSGVO und das TTDSG vorliegt. Die Einwilligung kann bzw. sollte via Consent-Tool eingeholt werden.

Zurzeit werden in großem Stil Abmahnungen gegen Website-Betreiber versandt, in welchen meist auch Schadensersatz von bis zu 1.500,00 Euro gefordert wird, wenn Google Fonts auf der Website ohne Einwilligung eingesetzt wird. Diese Abmahnungen erfolgen häufig in Verbindung mit der Aufforderung zur Abgabe einer Unterlassungserklärung.

---

Wie prüfe ich die Einbindung von Google Fonts?

Bitte prüfen Sie – wenn noch nicht erfolgt – unverzüglich, ob Sie einwilligungspflichtige Dienste, wie Google Fonts auf der Webseite einsetzen.

Hierzu die zu prüfende Webseite z.B. in Google Chrome öffnen und anschließend über die Entwicklertools die geladenen Sourcen prüfen:

• Rechte Maustaste auf der Webseite klicken
• Eintrag „Untersuchen“ wählen
• In den Entwicklertools auf „Sources“ klicken

Werden hier neben Ihrem eigenen Domain-Namen auch fonts.googleapis.com o.ä. angezeigt, besteht dringender Handlungsbedarf.

---

Was ist zu tun?

Entweder

1. Einbindung eines Consent-Tools und Einholung einer rechtskonformen Einwilligung.

Oder

2. Als Alternative zur vorherigen Einwilligung kann Google Fonts auch lokal eingebunden werden, um eine Verbindung zu den Google-Servern und damit eine Übermittlung von Nutzerdaten in die USA zu verhindern. Hierzu werden die Fonts von Google lokal auf dem eigenen Server gespeichert und müssen nicht mehr über die API von den Google Servern geladen werden.

Wenden Sie sich in diesem Fall an Ihren Webseitenbetreuer, damit der Dienstleister die Fonts lokal auf Ihrem eigenen Server bzw. ein Consent-Tool einbinden kann.

---

Was passiert, wenn ich bereits ein solches Abmahnschreiben erhalten habe?

Trifft der Vorwurf zu, haben die „Abmahnenden“ aktuell das Recht auf ihrer Seite.
Wir empfehlen Ihnen bei solchen Abmahnschreiben rechtlichen Rat einzuholen, denn es bestehen leider unterschiedliche Risiken. Wird z.B. der Aufforderung der Schadensersatzzahlung nachgekommen, könnten weitere finanzielle Forderungen und Drohungen folgen. Auch die Reaktion auf das Schreiben selbst hängt von der Art des Schreibens und auch vom Absender (z.B. Privatperson, Rechtsanwalt in Vertretung einer Privatperson) und dessen Seriosität ab.

In jedem Fall aber sollte der Abmahngrund schnellstmöglich beseitigt werden.

---

Unser Service für Sie!

Gern unterstützen wir Sie bei der rechtskonformen Gestaltung Ihrer Webseite insbesondere:

• Erstellen einer ausführlichen Analyse zum Ist-Stand mit Handlungsempfehlungen zur schnellen Umsetzung.
• Unterstützung bei der Erstellung einer rechtskonformen Datenschutzerklärung auf Ihrer Webseite.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat auf seiner Homepage aktuelle FAQs zu Microsoft 365 (ehemals Office 365) veröffentlicht. Aus diesen lässt sich entnehmen, wie ein datenschutzkonformer Einsatz von Microsoft 365 unter Beachtung bestimmter technischer und organisatorischer Maßnahmen möglich ist.

Diese sind u.a.:

• Verwendung einer eigenen IT-Infrastruktur mit Maßnahmen zur Verschleierung der IP-Adressen
• Nutzung über einen abgesicherten Browser mit integrierten Schutzmaßnahmen
• Zwischenschaltung vorkonfigurierter Terminal-Clients zur Anonymisierung der Metadaten
• Verwendung dienstlicher Mailadressen/Accounts ohne Personenbezug
• Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 bzw. dem darunterliegenden Windows-Betriebssystem
• Verzicht auf die Nutzung der Cloud-Version von Microsoft 365
• Überwachung von Microsoft-Produktupdates und Prüfung damit verbundener Konfigurationsänderungen
• Nutzung der von Microsoft bereitgestellten Konfigurationsmöglichkeiten zur Unterbindung der Übertragung von Diagnose-/Telemetriedaten oder durch eigene technische und organisatorische Maßnahmen

Lesen Sie mehr in den FAQs zu Microsoft 365 unter:
https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/

Bitte beachten Sie die Empfehlungen der Aufsichtsbehörden, um Bußgelder und mögliche Sanktionen zu vermeiden. Wir unterstützen Sie gern bei der Umsetzung oder ggfs. bei der Analyse bereits installierter Lösungen.

Wie bereits in unseren Newslettern, u.a. vom 04.04.2022 und 29.10.2021 beschrieben, müssen nach geltendem Datenschutz-Recht für die Einbindung von nicht notwendigen Cookies auf Webseiten immer Einwilligungen der Webseitenbesucher eingeholt werden. 

In der Praxis hat sich hier der Einsatz eines sogenannten Consent-Tools bewährt. 

Nun ist eine regelrechte Abmahnwelle – durch Privatpersonen – ausgebrochen. So werden gehäuft Abmahnungen an Webseitenbetreiber versandt, in denen meist auch Schadenersatzforderungen ausgesprochen werden. Die Abmahnung gilt dem fehlenden Einholen von Einwilligungen für die Einbindung von Cookies und z.B. auch Webfonts in Webseiten.

Das Hauptziel dieser Abmahnschreiben sind Schadensersatzansprüche nach der DSGVO geltend zu machen. Die Höhe der Forderungen liegt zwischen 100 und 2.000 Euro. 

Die Betreiber der Webseiten werden weiterhin aufgefordert, den benannten Datenschutzverstoß unverzüglich abzustellen.

Der Abmahnwelle vorangegangen ist ein Urteil des Landgerichts München (Urt. vom 22.01.2022, AZ 3 O 17493/20), indem einem Webseitenbesucher auf Grund der Nutzung von Google Fonts und der fehlenden Einwilligung ein Schadensersatz in Höhe von 100 Euro zugesprochen wurde. 

Was ist das Problem? Trifft der der Vorwurf zu, haben die „Abmahnenden“ aktuell das Recht auf ihrer Seite. Wenn Cookies bspw. von Google Analytics oder Google Fonts eingesetzt werden, bevor der Besucher der Webseite die Cookies über das Cookie-Consent-Toll akzeptiert hat oder Besucher nicht nach ihrer Zustimmung gefragt werden, liegen Datenschutzverstöße gemäß DSGVO vor. 

Durch die Einsicht in den Quelltext der Webseite sind diese Cookies leicht durch Dritte identifizierbar.

Wir empfehlen Ihnen bei solchen Abmahnschreiben rechtlichen Rat einzuholen, denn es bestehen leider unterschiedliche Risiken. Wird z.B. der Aufforderung der Schadensersatzzahlung nachgekommen, könnten weitere finanzielle Forderungen und Drohungen folgen. Auch die Reaktion auf das Schreiben selbst hängt von der Art des Schreibens und auch vom Absender (z.B. Privatperson, Rechtsanwalt in Vertretung einer Privatperson) und dessen Seriosität ab.  

In jedem Fall sollte schnellstmöglich auf der eigenen Webseite geprüft werden, ob eine Einwilligung erforderlich ist z.B. bei der Einbindung von Google Tools. Trifft dies zu, sind die technischen Voraussetzungen für das dokumentierte und aktive Einholen von Einwilligungen von Webseitenbesuchern z.B. durch ein Consent-Tool unverzüglich umzusetzen, um weitere Abmahnungen zu vermeiden. 

Gern unterstützen wir Sie bei der rechtskonformen Gestaltung der Webseite und erstellen eine Analyse zum Ist-/Soll Zustand.   

Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien:
https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf

FAQ zu Cookies und Tracking:
https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

Irreführende Cookie-Banner: noyb reicht neue Beschwerden ein:
https://datenschutz.prodatis.com/nl/Irrefuehrende_Cookie-Banner_noyb_reicht_neue_Beschwerden_ein.pdf

---

Die Datenschutz-Grundverordnung (DSGVO) nennt in Art. 5 DSGVO Datenminimierung als einen der Grundsätze der Verarbeitung personenbezogener Daten:
Personenbezogene Daten müssen demnach „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Warum?

• „Was man nicht braucht, hat man dann nicht und muss man deshalb nicht schützen.“

Wie lässt sich Datenminimierung umsetzen?

• erfasste Attribute der betroffenen Personen reduzieren
• Voreinstellungen festlegen, die dieVerarbeitung personenbezogener Daten auf das Maß beschränken, das für den Verarbeitungszweck notwendig ist
• Datenmasken implementieren, die Datenfelder unterdrücken
• automatische Sperr- und Löschroutinen, Pseudonymisierungs- und Anonymisierungsverfahren vorsehen
• Löschkonzept festlegen und umsetzen

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Datenschutzgrundsaetze_Teil1_Datenminimierung.pdf