Archive: News

Die Firma Apple erfasst durch Bildaufnahmen per Fahrzeug oder zu Fuß seit 2019 Umfelddaten. Unter Umfelddaten sind Straßen und andere öffentliche Bereiche zu verstehen. Die jeweiligen Zeitpläne für die Aufnahmen werden vorab auf der Website von Apple veröffentlicht:
https://maps.apple.com/imagecollection

Apple nutzt diese Aufnahmen für seine eigenen Dienste, wie Apple Maps, beispielsweise zur verbesserten Navigation. Im Frühjahr 2022 hat Apple begonnen, diese Aufnahmen auch für das Feature „Look-Around“ zu nutzen. Diese funktioniert ähnlich wie „Google Street View“ und zeigt auch Häuserfronten an.

Betroffene Personen haben aufgrund der datenschutzrechtlichen gesetzlichen Vorgaben einen Anspruch auf Information über Art und Zwecke der Kameraaufnahmen und können der Verarbeitung ihrer personenbezogenen Daten widersprechen. Dies gilt unabhängig davon, ob die Bilder bereits für das Look-Around-Feature verwendet werden und auch unabhängig davon, ob die Aufnahmen bereits gemacht worden sind. Ein Widerspruch ist jederzeit möglich, z.B. bei der unverpixelten Darstellung der eigenen Häuserfront.

Betroffene Personen in Deutschland, die ihre Rechte geltend machen wollen, z.B. Datenschutzbeschwerden, können diese direkt an die Datenschutzaufsicht in Irland schicken oder an das bayerische Landesamt für Datenschutzaufsicht (BayLDA) richten. Das Bayerisches Landesamt für Datenschutzaufsicht eine Informationsseite zum Thema Apple Kamerafahrten veröffentlicht, welche Betroffene u.a. bei der Ausübung ihrer Rechte unterstützen soll.

Zur Informationsseite des BayLDA:
https://www.lda.bayern.de/de/thema_apple_kamerafahrten.html

Die vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. ins Leben gerufene Initiative „Datenschutz geht zur Schule“ sensibilisiert bereits in ganz Deutschland Schülerinnen und Schüler, damit diese mit eigenen Daten und Daten anderer im Internet und in den sozialen Medien sicherer und bewusster umgehen.

Nun hat der BvD zusammen mit den Datenschutzaufsichtsbehörden LfDI Baden-Württemberg, dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), dem Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) sowie dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) das Projekt „Datenschutz – leicht erklärt“ ins Leben gerufen.

In diesem Projekt wurden 18 Videos aufgezeichnet und veröffentlicht, welche Datenschutz-Themen beleuchten, die bisher nur im Rahmen von Sensibilisierungsveranstaltungen in den Klassenräumen vermittelt wurden.

Zu den Videos:
https://www.datenschutz-leicht-erklaert.de

Die Landesbeauftrage für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen, Bettina Gayk, weist auf einen Umstand hin, der ggf. in Vergessenheit geraten könnte. Das Erstellen von Löschkonzepten mit definierten Löschfristen reicht nicht aus, wenn diese nicht auch technisch umgesetzt werden.

Die LDI NRW weist darauf hin, dass durch die aktuellen Lockerungen im Rahmen des Infektionsschutzgesetzes, die von den Arbeitgebern erhobenen Daten spätestens sechs Monate nach Erhebung vernichtet oder gelöscht werden müssen. „Da die Rechtsgrundlage entfallen ist, gehen wir davon aus, dass die Speicherung regelmäßig nicht mehr erforderlich ist und die Daten schon jetzt gelöscht werden sollten“, so Bettina Gayk.

Dies betrifft insbesondere Gesundheitsdaten von Beschäftigten und, sofern noch vorhanden, Daten zur Kontaktnachverfolgung. Diese müssen gelöscht, also vollständig und unwiderruflich vernichtet werden. Bei in Papierform erhobenen Daten sollte ein geeigneter Aktenvernichter verwendet werden – Geräte der Sicherheitsstufe 4 oder höher.

Lesen Sie mehr unter:
https://www.ldi.nrw.de/3g-nachweis-und-kontaktdaten-einfach-zerreissen-reicht-nicht

Mit der DSGVO sind alle detaillierten Regelungen des bisherigen Bundesdatenschutzgesetzes (BDSG) zur Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung weggefallen (siehe insbesondere § 28 Abs. 3 und 4 sowie § 29 BDSG-alt). Die Grundlage für die Beurteilung der Zulässigkeit einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung ist in der DSGVO, abgesehen von einer Einwilligung der betroffenen Person, eine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Danach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich sein, sofern nicht die Interessen der betroffenen Person überwiegen.

Direktwerbung als ein wichtiger Faktor für Wirtschaftsunternehmen oder spendenfinanzierte Organisationen wird in der DSGVO durch Erwägungsgrund Nr. 47 Satz 7 auch anerkannt, so heißt es: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Andererseits führe gerade eine werbliche Nutzung von Verbraucherdaten zu vielen Anfragen und Beschwerden bei den Datenschutzaufsichtsbehörden, wobei häufig die fehlende Kenntnis der datenschutz- und verbraucherschutzrechtlichen Regelungen bei den Verantwortlichen oder bei den Verbraucherinnen und Verbrauchern der Anlass sei.

Die Datenschutzkonferenz erläutert daher in ihrer aktualisierten Orientierungshilfe (Stand Februar 2022), wie die DSGVO für die direkte Werbeansprache zu verstehen ist.

Orientierungshilfe (Stand Februar 2022):
https://www.datenschutzkonferenz-online.de/media/oh/OH-Werbung_Februar%202022_final.pdf

Regelmäßig müssen Gerichte über Streitigkeiten in Datenschutz-Themen urteilen. Auf der folgenden Seite der Datenschutz-Praxis finden Sie eine Sammlung interessanter und aktueller Urteile:
https://www.datenschutz-praxis.de/urteil/

Bereits im Juli 2021 empfahl Herr Kelber, der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), dass Bundesministerien, -behörden und alle öffentliche Stellen, die Fanpages in Facebook betreiben, Facebook bis Ende 2021 verlassen sollten, da ein datenschutzkonformer Betrieb einer Facebook-Fanpage nicht möglich sei.

Das von Facebook bekannte “Addendum” aus Oktober 2019 sieht vor, dass sich sich Seitenbetreiber und Facebook die Verantwortung der Fanseite teilen. Doch alle relevanten Pflichten für den eingeforderten Datenschutz liegen bei Facebook. Die Datenschutzbehörden von Bund und Ländern halten dieses “Addendum” für unzureichend, um die Datenschutz-Bestimmungen zu erfüllen. “Die Ressorts und deren Geschäftsbereiche, die Fanpages betreiben, können somit ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO weiterhin nicht nachkommen.”

Öffentliche Stellen müssen einen rechtskonformen Betrieb von Facebook-Fanpages nachweisen können, so Dr. Juliane Hundert – Sächsische Datenschutzbeauftragte.

Dieser Nachweis betrifft vor allem:

• den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook, (eine solche Vereinbarung gibt es aktuell nicht, sondern nur das bereits o.g. Addendum. Sobald es hierzu Neuerungen gibt, informieren wir Sie umgehend)
• ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO,
• die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie
• die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten.

Weitere wichtige Informationen zu diesem Thema finden Sie unter:

Pressemitteilung der Sächsischen Datenschutzbeauftragten:
https://www.saechsdsb.de/images/stories/sdb_inhalt/Pressearbeit/20220405_PM_Facebook-Fanpages.pdf

Pressemitteilung der DSK:
https://www.datenschutzkonferenz-online.de/media/pm/DSK_103_PM_4-22.pdf

Kurzgutachten der DSK zu Facebook Fanpages:
https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/DSK_Kurzgutachten_Facebook-Fanpages_V1_18.03.2022.pdf

Am 1. Dezember 2021 ist das neue Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) in Kraft getreten. Neben der EU-DSGVO enthält das Gesetz – wie bereits in Newslettern mitgeteilt – einige Neuerungen und Klarstellungen für Websitebetreiber. Das Wichtigste: Fast alle Cookies und Tracking-Dienste brauchen eine echte Einwilligung.

In unserem aktuellen Newsletter möchten wir Sie über die Anforderungen an Einwilligungen z.B. über ein Consent-Tool und auch über den Einsatz von Cookies und Trackingsdiensten informieren:

Consent-Management-Tools für Webseiten

Jeder kennt die oft als nervig empfundenen Cookie-PopUps, auch Consent-Abfrage oder Cookie-Tool genannt. Diese Begriffe beschreiben letzten Endes den gleichen Vorgang, nämlich die Abfrage einer Einwilligung des Webseiten-Besuchers.

Für solche Einwilligungsabfragen haben sich Consent-Management-Tools in den letzten Jahren etabliert, auch bekannt als Consent-Management-Plattform (CMP). “Tool” ist dabei ein Synonym für den Dienst, den der Betreiber auf seiner Webseite einbindet.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Consent-Management-Tools_fuer_Webseiten.pdf

---

Cookies und Tracking: Die wichtigsten Fragen und Antworten

• Braucht jede Webseite einen Cookie-Banner?
• Wie kann man Social-Media-Buttons einbinden?
• Darf man Werkzeuge zur Reichweitenanalyse verwenden?

Diese und weitere Fragen beantwortet der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) in seiner aktualisierten FAQ-Sammlung zum Thema „Cookies und Tracking“ sowie in seiner neuen Hilfestellung für Webseiten-Betreiber und Hersteller von Smartphone-Apps.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Cookies_und_Tracking_Die_wichtigsten_Fragen_und_Antworten.pdf

FAQ zu Cookies und Tracking des LfDI BaWü:
https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

Ist Ihre Webseite schon gesetzeskonform umgestaltet und angepasst?
Wir erstellen Ihnen gern ein Audit und geben Ihnen wichtige Hinweise zu Consent-Tools, Cookies sowie Muster für eine Datenschutzerklärung.
Angebot anfordern: dsb@prodatis.com | 0351 266 23 30

Die bisherige gesetzliche Grundlage für die 3G-Regel am Arbeitsplatz ist mit der Änderung des § 28b IfSG zum 20. März 2022 ersatzlos entfallen. Orientierung könnte jedoch die ebenfalls neu gefasste Corona-Arbeitsschutzverordnung bieten. § 2 Abs. 3 dieser Verordnung regelt, dass der Arbeitgeber im Rahmen seiner Gefährdungsbeurteilung insbesondere die Notwendigkeit einer Maskenpflicht, einer Homeoffice-Pflicht und eines einmal wöchentlichen Testangebots zu prüfen hat.

Die Neufassung der SARS-CoV-2-Arbeitsschutzverordnung ist seit dem 20. März 2022 in Kraft. Die Verordnung tritt mit Ablauf des 25. Mai 2022 außer Kraft.

Folgende verbindliche Vorgaben zum betrieblichen Infektionsschutzes in § 28b des Infektionsschutzgesetzes sind seit dem 20. März 2022 entfallen:

• betriebliche 3G-Nachweis- und Kontrollpflichten. Diese bestehen lediglich noch in Einrichtungen der medizinischen Versorgung, Pflege und Betreuung zum Schutz vulnerabler Personen weiter.
• Homeoffice-Pflichten, nach denen Arbeitgeber den Beschäftigten im Fall von Büroarbeit oder vergleichbaren Tätigkeiten verbindlich anzubieten hat, diese Tätigkeiten in deren Wohnung auszuführen, wenn keine zwingenden betriebsbedingten Gründe entgegenstehen. Auch die Verpflichtung der Beschäftigten dieses Angebot anzunehmen, soweit ihrerseits keine Gründe entgegenstehen, entfällt.

Weitere Informationen zur neu gefassten Corona-Arbeitsschutzverordnung finden Sie unter: https://www.bmas.de/DE/Corona/Fragen-und-Antworten/Fragen-und-Antworten-ASVO/faq-corona-asvo.html

Infektionsschutzgesetz – Was bedeuten die Änderungen für Arbeitgeber?:
https://datenschutz.prodatis.com/nl/Aenderungen_am_Infektionsschutzgesetz.pdf

Löschen von Daten – Dokumentation & Aufbewahrungsdauer:
https://datenschutz.prodatis.com/nl/Loeschung_von_Daten_Dokumentation_und_Aufbewahrungsdauer.pdf

Nach dem Infektionsschutzgesetz müssen ab dem 15. März 2022 Personen, die beispielsweise in Krankenhäusern, Arztpraxen oder ambulanten Pflegediensten tätig sind, entweder geimpft oder genesen sein.

Mit dieser einrichtungsbezogenen Impfpflicht im Gesundheitswesen sind auch zahlreiche datenschutzrechtliche Fragen verbunden:

• Welche Daten dürfen verarbeitet werden?
• Welche Inhalte muss ein ärztliches Zeugnis haben?
• Dürfen Kopien von vorgelegten Nachweisen angefertigt werden?

Zu diesen und weiteren Fragen hat die Sächsische Datenschutzbeauftragte eine Handreichung veröffentlicht.

Download der Handreichung:
https://www.saechsdsb.de/images/stories/sdb_inhalt/Corona/Datenschutz-FAQ_zur_einrichtungsbezogenen_Impfpflicht_im_Gesundheitsbereich.pdf

Webseite der Sächsischen Datenschutzbeauftragten:
https://www.saechsdsb.de

Vom kleinen Handwerksbetrieb bis hin zum Großkonzern, immer mehr Unternehmen werden Opfer von Cyberattaken. Eines der größten Attaken stellen hierbei Ransomware-Angriffe dar. Sie sperren die Computer des Unternehmens und/oder verschlüsseln die Daten und fordern anschließend ein hohes Lösegeld für die Freigabe der Daten.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat deshalb eine Reihe anlassloser Prüfungen gestartet, um zu prüfen, ob Unternehmen für den Ernstfall gewappnet sind.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Ransomware-Angriffe_Ist_Ihr_Unternehmen_gewappnet.pdf