Aktuell:

 

Wir sind nicht nur „ein Meldekanal“, wir sind seit 2011 mit mehreren vertraulichen Meldewegen und persönlich Ombudsmann in Whistleblowingsystemen - geschützt über unsere anwaltliche Tätigkeit.

 

Wir unterstützen Sie kompetent und erfahren bei dem Aufbau einer Unternehmenskultur, die Hinweisgabe fordert und fördert.

 

Wir sichern Ihr Hinweisgebersystem ab, gewährleisten Compliance und entlasten Ihre Infrastruktur.

 

Details lesen Sie hier

 

 

Darüber hinaus bin ich seit 2004 berate ich zum Datenschutz und bin externer Datenschutzbeauftragter.

Wir sind seit 2002 für unsere Mandanten von Augsburg aus bundesweit in den Bereichen Software- und Hardware tätig. Wir gestalten Verträge für das gesamte Online-Business mit allen Arten bis zur Bereitstellung von Apps. Bitte besuchen Sie auch unsere Webseite www.schmid-frank.de

 

Ich freue mich, wenn Sie auf mich zukommen. Gerne gleich anrufen unter 0821-45 40 543 oder Mail an mail@rechtsanwalt-schmid.com oder wolfgang.schmid@schmid-frank.de

 

Ihr Wolfgang Schmid

 

 

Neu: Newsletter für Mitarbeiter

Nutzen Sie 4 mal im Jahr den von uns vorbereiteten Newsletter für Ihre Mitarbeiter.

Kosten im Jahr 120 Euro, pro Stück 35 Euro.

 

Details lesen Sie hier

 

 

 


News - Gerne abonnieren

Januar 2021

 

"FvfP"
Wenn Sie erfahren wollen, wer das neue Amt des Fachverantwortlichen für Pseudnoymisierung übernehmen könnte, kann ich alle DSBs beruhigen. Sie nicht!
Der FvfP ist eine Konsequenz aus dem ersten Entwurf eines CodeOfConduct des BMI im Rahmen des DigitalGipfels 2019.
Um was geht es: Feste Regeln, wie Ihre verantwortliche Stelle den DSGVO-Anspruch "Pseudonymisierung als zentraler Fokus der technisch-org. Maßnahmen" kontrolliert umsetzt.
Viele von Ihren verantwortlichen Stellen, die Daten für Werbezwecke anderweitig, sozusagen zweckentfremdet verwenden, die erhobene personenbezogene Daten gerne in BigDataAnalysen packen wollen, kommen auch um den Art 6 IV nicht herum und dann erfolgreich meist nur durch Pseudnomyisierung.
Hier wird der CoCPseudo mit seinem Vorgehensraster Ihnen helfen bei der Bewertung/Kompatibilitätsprüfung.
Also bitte lesen!
https://www.gdd.de/downloads/aktuelles/whitepaper/Fokusgruppe_DatenschutzEnt
wurf_CoC_Pseudonymisieru
ng_V1.0.pdf
P.S. der Begriff CoCPseudo ist mir gerade so eingefallen, ich hoffe, Sie verbreiten Ihn viral, nicht coronal.
 
Sicherheit der Arbeit nach dem Stand der Technik Wie können Sie den Stand der Technik bewerten, wenn Sie im Unternehmen die Sicherheit der Verarbeitung nach Art. 32 DSGVO prüfen oder dazu beraten?
Hier fackeln Sie nicht herum und nehmen das jährlich erscheinende Referenzwerk der Teletrust und übergeben dies Ihrer IT-Abteilung. Macht jetzt sogar Sinn, dies in 2020 endlich zu tun, da meiner Ansicht nach die Aufsichtsbehörden echte Datenschutzverstöße eher im Bereich technische Sicherheit sanktioniert haben und dies weiter tun werden, vgl. Tätigkeitsbericht der Bay. Aufsicht,
https://www.zaftda.de/tb-
bundeslaender/bayern/aufsichtsbehoerde-1/718-9-tb-noeb-bayern-2019-keine-lan
dtagsdrucksache-28-01-
2020/file, Seite 18 zu Webseitenchecks und Cybersecurity.
Das Dokument von Teletrust ist sehr gut, erscheint jedes Jahr neu für die relevanten Systeme, Komponenten und Prozesse im Sinne des IT-Sicherheitsgesetzes, dazu gibt es konkrete Hinweise und Handlungsempfehlungen.
https://www.teletrust.de/publikationen/broschueren/stand-der-technik/
 
FAQs zum Datenschutz in der Pandemie, Videokonferenzen und diverse Unterlagen aus Stuttgart Dass der Datenschutz während der  Corona-Pandemie auch ein großes Thema spielt, ist wohl hinlänglich bekannt. Bei der Frage, ob und welche Maßnahmen im Rahmen des Zulässigen gegenüber Mitarbeitern ergriffen werden können oder aufgrund der Fürsorgepflicht sogar müssen, um einen wirksamen Gesundheitsschutz zu gewährleisten, geht die Bandbreite von Fragen über Fiebermessungen bis hin zu Corona-Tests. Das große Problem hierbei: Es handelt sich nicht einfach nur um persönliche Daten, sondern vielmehr um besonders geschützte Gesundheitsdaten. In diese darf nach Art.9 DSGVO nur restriktiv eingegriffen werden. Rechtmäßig ist der Eingriff nur, wenn die Maßnahmen in besonderem Maße verhältnismäßig bzw. Erforderlich sind.  Es hilft
nichts: Das endet immer wieder in einer Einzelfallabwägung Eine Einordnungshilfe und weitere Informationen erhalten Sie in der PM des Bundesbeauftragten für Datenschutz und Informationsfreiheit https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/Gesundhei
tSozialesArtikel/Datenschut
z-in-Corona-Pandemie.html;jsessionid=3CA4099CE25A9AE580154A567DD994B7.1_cid3
44?nn=5217154
 Ansonsten gibt es zum Datenschutz in der Pandemie genügend Quellen, z.B Hardcore - wie immer - die Stuttgarter, die jetzt bereits den Schulen den Einsatz von Zoom nicht empfehlen.
https://www.baden-wuerttemberg.datenschutz.de/faq-corona/
 
Eine Übersicht, welche Kommunikation datenschutzfreundlich ist, finden Sie auch hier, https://www.baden- wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten
-der-kommunikation/
Ich empfehle dann den Link zum Berliner DSB, der sich sehr intensivmit Videokonferenzsystemen auseinandersetzt. Gut gemacht. Meiner Ansicht nach ist derzeit wieder mal der Weg das Ziel bei der Absicherung der Videokonferenzen.
Um bei Zoom, Teams und Co. schon einmal für eine gewisse Grundsicherheit zu sorgen, sind ein paar Basics zu
beachten: es braucht einen sicheren Serverstandort (vorzugswürdig natürlich innerhalb der EU), den Abschluss eines Auftragsverarbeitungsvertrags iSd Art.28 DSGVO und Datenschutzhinweise für das bevorstehende Meeting an die Teilnehmer. Darüber hinaus können abhängig vom jeweiligen Videokonferenzanbieter weitere Einstellungen, wie das Einrichten eines (meist optionalen) Passwortschutzes, der Bestätigung des Beitritts der einzelnen Teilnehmer zum Meeting oder ein Blurren des Hintergrunds, vorgenommen und das IT- Sicherheitsniveau noch weiter angehoben werden.
Wenn Sie tiefergehende Einblicke in die Sicherheitstechnik erhalten wollen, kommen Sie an den Profis nicht
vorbei: BSI zu Videokonferenzen und Sicherheit https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/KoViKo_140420.html
Da bin ich raus, das ist technisch ganz großes Kino.
Auch nicht schlecht dann die GDD
https://www.gdd.de/downloads/praxishilfen/gdd-praxishilfe_xvi-videokonferenz
en-und-datenschutz
 
A propos Stuttgart, es gibt einen neuen Vorschlag zu einem Auftragsverarbeitungsmustervertrag, der sehr dem bekannten Muster der Bayern aus dem Dezember 2017 ähnelt, also auftraggeberfreundlich ist.
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/200
429_AVV-Muster_DE.pdf
Sehr brauchbar, das Ganze auch auf Englisch
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/200
409_AVV-version_EN.pdf
Sehr gut zu Lernzwecken ist der Ratgeber Beschäftigtendatenschutz https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/04/Rat
geber-Besch
%C3%A4ftigtendatenschutz.pdf
Die Stuttgarter raten z.B. von der privaten Nutzungsberechtigung der dienstlichen IT ab und empfehlen ein eigenes WLAN. Spätestens jetzt haben Sie es sich mit der IT ganz verscherzt, die noch sauer war wegen desTeletrustSchmökers. Ein eigenes WLAN für Mitarbeiter und die Absicherung wird enorm mehr Arbeitsaufwand auslösen. Auch eine betriebliche Übung, wie in einem Fall auf Seite 17 unterstellt, kann der Arbeitnehmer nicht mehr einfach so unterstellen dürfen.
 
NeverEnding: Passwortsicherheit
Einfach mal wieder an die Mitarbeiter weitersenden:
https://www.baden-wuerttemberg.datenschutz.de/passwoerter-am-arbeitsplatz-ti
pps-fuer-sie-und-ihre-
mitarbeiter/
 
NeverEnding2: ePrivacyVO und CookieEinwilligung Ein neuer Vorschlag der kroatischen Ratspräsidentschaft für eine ePrivacy-Verordnung liegt zur Neuregelung von Art. 6 und Art. 8 der ePrivacy-Verordnung vor:
Die vorgeschlagenen Änderungen in Art. 8 ("Schutz von Informationen im Zusammenhang mit
Endeinrichtungen") berühren die wichtige Frage zum zulässigen Einsatz von Tracking-Technologien mittels
Cookies:  In Art. 8 Abs. 1 lit. g hat die Präsidentschaft einen Verarbeitungserlaubnistatbestand aufgrund berechtigter Interessen vorgeschlagen. Dieser Erlaubnistatbestand soll an den Einfügungen eines neuen Art. 8 Abs. 1a gemessen werden.
Bisher lag der Fokus der ePrivacy-Verordnung auf einer Einwilligung der betroffenen Person. Der neue Vorschlag beruft sich auf die bekannte Interessenabwägung der DS-GVO. Danach bedarf es einer Abwägung der berechtigten Interessen gegenüber den Interessen oder den Grundrechten und -freiheiten des Endnutzers. Die berechtigten Interessen sind nicht auf bestimmte Zwecke des Zugriffs beschränkt, was den Interessen der Websiteanbieter entgegenkommt. Cookies zum Zweck der Werbeausspielung könnten also zukünftig in Form eines berechtigten Interesses des Verantwortlichen gerechtfertigt sein.
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_5979_2020_
INIT
Na also, seit einem halben Jahr, seit der EuGH Cookie-Rechtsprechung und getriggert, wie immer, durch die Aufsichtsbehörden, machen wir alle verrückt und jetzt kommen diese neuen Vorschläge.
Ich werde Sie weiter informieren. Langweilig wird es nicht.
 
Tätigkeitsbericht der Stuttgarter Aufsicht https://www.zaftda.de/tb-bundeslaender/baden-wuerttemberg/landesdatenschutzb
eauftragter/719-35-tb-
lfd-baden-wuerttemberg-2019-16-7777-vom-30-01-2020/file
Interessant ist die Top7 Liste der gemeldeten Datenpannen:
Postfehlversand auf Platz 1, E-Mail-Fehlversand auf Platz 3, Versendung einer E-Mail mit offenem Adressverteiler auf Platz 5, Faxfehlversand auf Platz 7 Krass finde ich, dass BW immer von der Benachrichtigungspflicht der Betroffenen bei Datenpannen in Arztpraxen ausgeht, also ein  "hohes Risiko" annimmt, während die bay. Aufsicht eine DSFA bei Arztpraxen, die ja bei einem "hohen Risiko" erforderlich wird, nicht grundsätzlich annimmt. Ich halte ein hohes Risiko nur in besonderen Fällen für gegeben; liest man im Standarddatenschutzmodell, wird dies bestätigt.
Die Bayern schreiben im
Tätigkeitsbericht auf S. 68, vgl.
https://www.zaftda.de/tb-bundeslaender/bayern/aufsichtsbehoerde-1/718-9-
tb-noeb-bayern-2019-keine-landtagsdrucksache-28-01-2020/file, dass eine Verschlüsselung abhängig ist vom Risiko, nicht also generell die EndezuEnde-Verschlüsselung vorgeschrieben ist. Na also!
Super aber dann von den Stuttgartern die Ausführungen zu § 7 III UWG und was sind ähnliche Waren/Dienstleistungen, vgl. ab Seite 23 ff.
Der Rest ist gute Falllektüre.
 
Aktuelles zum Berufsbild des DSB und Interpretation zu seinem Amt https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/I
nhalt/Antworten-auf-
haeufig-gestellte-Fragen-zu-
Datenschutzbeauftragten/Inhalt/FAQ_zum_Datenschutzbeauftragten/FAQ_ein_Dokum
ent.pdf
 
Bußgelder unter der DSGVO in Deutschland - ein Resümee Unter https://www.cmshs-bloggt.de/tmc/datenschutzrecht/100-bussgelder-dsgvo-deutsc
hland-uebersicht/#
und der Übersicht
 

 
Doch kein angemessenes Datenschutzniveau in Britannien?
England nervt gerade wieder die europäischen Datenschützer. Eigentlich ist das englische Datenschutzgesetz hochwertig und damit vergleichbar zur DSGVO, damit angemessen im Sinne der Voraussetzung einer Angemessenheitsentscheidung der EU-Kommission. Damit bedarf es nach dem Exit keiner weiteren vertraglichen Garantien, wie etwa Model-Clauses. Jetzt will die offenbar doch noch nicht genesene Regierung das Datenschutzgesetz abschaffen und mit umfassenden Überwachungsrechten neue konzipieren.
Mal sehen, wie dies weitergeht.
https://newsletter.heise.de/d/d.html?o00hddp000flfo00c0000kjq00000000csqeqg4
xgfg4rtjfsi5ccgvrve41091
 
Musterlösungen zur Umsetzung der DS-GVO im Praxisalltag Die Initiative der Kooperation des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und der Kassenärztlichen Vereinigung Rheinland-Pfalz stellt auf ihrer Homepage www.mit- sicherheit-gutbehandelt.de verschiedene Muster zur Umsetzung des sachgerechten Datenschutzes im Praxisalltag zur Verfügung. Wer kennt sie nicht, die unbelehrbaren Mediziner. Die Webseite ist fast schon aufgebaut wie ein Datenschutzhandbuch. Wer also hier tätig ist, gleich mal reinschauen.
Immer wieder gut natürlich
https://gesundheitsdatenschutz.org/html/praxishilfen.php
 
Rechtliche Anforderungen beim Fotografieren unter der DS-GVO Super Übersicht mit Mustertexten gibt es bei den Pfälzern. Gute Arbeit.
https://www.datenschutz.rlp.de/de/themenfelder-themen/recht-am-eigenen-bild/
 
Office 365
Wichtig ist, im Umgang mit den Daten Transparenz zu schaffen, Sie müssen über die IT potentiellen Risiken an Datentransfers abschalten, soweit möglich. Das heißt unter anderem:
Deaktivierung nicht notwendiger
Connected Experiences, Nichtnutzung bzw. geringe Nutzung unsicherer Funktionen wie der Web-Version oder SharePoint sowie eine besondere Verschlüsselung sensibler Kundendaten mithilfe der Kunden-Lockbox. Stellen Sie Europa als Serverstandort ein und deaktivieren Sie das Programm zur Verbesserung der Benutzerfreundlichkeit und der Diagnosedatenübermittlung. Nutzen und dokumentieren Sie auch unbedingt alle Formalien, die von MS zur Verfügung gestellt werden. Dazu zählen insbesondere die DPA und Zertifizierungen.
Wenn sie auch noch eine eigene DSFA durchführen, um mögliche Risiken aufzudecken und individuell darauf reagieren zu können, haben Sie wohl so viel getan, was von Ihnen verlangt werden kann.
 
Digitale Barrierefreiheit nützt allen
...auch Ihnen als Anbieter. Warum erfahren Sie unter https://www.barrierefrei.bayern.de/beispiele/digitale-barrierefreiheit/
Hilfestellungen zur technischen Umsetzung gibt https://www.einfach-fuer-alle.de/umsetzen/
 

 

 

 

 

Januar 2020 

 

 

 

Liebe Leser,

 

zum Jahresende darf ich wieder interessante Informationen rund um den Datenschutz versenden. Ich finde, ab Oktober wurden Dokumente und Orientierungshilfen wieder brauchbar.

 

 

Viel Spass beim Lesen!

 

Dann wünsche ich noch einen guten Rutsch ins 2020!

 

 

Deutsches Wohnen

Mit 14,5 Mio Euro ein hammer Bußgeld. Interessant auf jeden Fall, dass hier Wiederholungstäter sanktioniert wurden und regelrecht Datenfriedhöfe vorhanden waren. Wenn Sie in Ihrem Unternehmen Bestandsaufnahmen zu Löschfristen in den Abteilungen anstellen, halte ich es derzeit für unwahrscheinlich, dass Sie mit Ihrem Unternehmen in ein Bußgeld laufen. Dass es in diesem Fall  auch wirklich am Ende ein Bußgeld in dieser Höhe gibt, halte ich auch für unwahrscheinlich.

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf

 

SDM 2.0

Das Standarddatenschutzmodell 2.0 ist da und glänzt wieder durch Abstraktion pur. Mein Lieblingssatz lautet auf Seite

„Der Grundsatz der Datenminimierung geht davon aus, dass der beste Datenschutz darin besteht, wenn keine oder möglichst wenige personenbezogene Daten verarbeitet werden.“ Vgl. Seite 16.

https://www.datenschutzkonferenz-online.de/media/pm/20191111_pm_sdm2.pdf

Gleichwohl meine ich, dass Sie es kennen sollten, dass brauchbare Inhalte vorhanden sind, z.B.

Speicherbegrenzung bedeutet pseudonymisieren, anonymisieren und löschen“, vgl. Seite 17. Also ist das Konzept der Speicherbegrenzung nicht nur löschen, sondern hat Vorstufen, die Sie brauchen, wenn Ihre verantwortliche Stelle sich schwer tut beim Löschen.

Oder Seite 19:

„Es muss unverzüglich gelöscht werden. Soweit dies nicht ohne weiteres zu realisieren ist, hat der Verantwortliche hierfür geeignete Vorgehensweisen festzulegen (Art. 24, 25 Abs. 1 i. V. m. 5 Abs. 1 lit. e DS-GVO).“ Also wieder nicht sofort löschen, wenn nicht möglich.

Auf Seite 26 erhalten Sie eine griffige Zusammenfassung, was ist „Datenminimierung“: „Das Minimierungsgebot erstreckt sich dabei nicht nur auf die Menge der verarbeiteten Daten, sondern auch auf den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit“. Darum geht’s, nicht mehr und nicht weniger! Start ist das Design, Ziel die Speicherbegrenzung.

Ab Seite 30 endlich konkrete Vorgaben für die Fachabteilungen, was Verfügbarkeit bedeutet, Vertraulichkeit, etc.

Interessant ab Seite 38 der Gliederungsvorschlag wie Verarbeitungen/Verarbeitungstätigkeiten dokumentiert werden können, nämlich in Zweck, Technisches System dahinter (Applikation) mit Zweckabsicherung und dann IT-Infrastruktur, also „Daten-Systeme-Dienste“. Ich meine, die alte Gliederung, die vielen von Ihnen von der Bitkom VVT abgeleitet haben, könnte hier ergänzt werden.

Den Bereich Risikobewertung können Sie knicken. Das ist quälend abstrakt. Da war das SDM 1.0 deutlich besser.

 

Übersicht zur Bußgeldern in Europa finden Sie unter:

https://www.enforcementtracker.com/

 

Bußgeldkatalog

Es gibt nach wie vor keinen Katalog typischer Verstöße mit typischer Bußgeldhöhe. Derzeit erfolgen nur auf Basis des Art. 83 Abschläge und Aufschläge bei Wiederholungstätern oder demütigen Unternehmen, es wird nach leicht, mittel, schweren und sehr schweren Pflichtverletzungen berechnet. Das ist noch sehr öde.

https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf

Liest man dann bei Härting eine konkrete Berechnung, fällt man vom Glauben ab:

https://www.haerting.de/neuigkeit/dsk-konzept-zur-berechnung-von-dsgvo-bussgeldern-veroeffentlicht.

 

Cookie-Opt-In im Banner

Was für eine Qual. Und Sie müssen dies an Ihre Marketingabteilung weitergeben!

Wenn jetzt die Aufsichtsbehörden einen draufsetzen und auch Google Analytics als Opt-In-pflichtig bewerten, müssten Sie schon auf Piwik, sprich Matomo umsteigen, um Statistik-Tracker in das Opt-Out zu packen. GA hat es aber auch übertrieben, wenn GA sich nach den Nutzungsbedingungen das Recht einräumt, die Daten auch für andere Zwecke zu verwenden, liegt also eigentlich keine AV mehr sondern wohl eher JointController vor.

https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics

Da freut es, wenn die Aufsicht von BW zum eigentlichen Thema ganz salopp feststellt, dass nur Drittanbietertracking den Einwilligungsbanner erfordert:

„Wer etwa Cookies nutzt, um das Nutzerverhalten zu Werbezwecken zu analysieren und zu tracken oder durch Dritte analysieren zu lassen, benötigt dafür grundsätzlich die informiert, freiwillig, vorherig, aktiv, separat und widerruflich erklärte Einwilligung des Nutzers. „Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. Beispiele sind Analyse-Tools, Social-Media-Plugins, externe Kartendienste und andere Elemente Dritter.

https://www.baden-wuerttemberg.datenschutz.de/zum-einsatz-von-cookies-und-cookie-bannern-was-gilt-es-bei-einwilligungen-zu-tun-eugh-urteil-planet49/

Das genau ist der Wortlaut der EuGH-Rechtsprechung. Kurzum: Findet „seitenübergreifend“ Nachverfolgung (Tracking) statt, braucht es einen OptIn-Banner. Mir scheint damit, dass einige über das Ziel hinausschießen!

 

Die „20“

Ich hoffe, niemand von Ihnen ist arbeitslos geworden durch das 2.DSAnpUG und der Erhöhung der Pflichtbestellgrenze für DSBs auf 20 AN.

https://dipbt.bundestag.de/doc/btd/19/111/1911181.pdf

 

Querschnittsprüfung in Niedersachsen

Frau Barbara Thiel leistet gute Arbeit.

https://lfd.niedersachsen.de/download/149301

Lassen Sie in Q1 aus dem Fragenkatalog, der hier veröffentlich wurde, https://lfd.niedersachsen.de/download/146715/Kriterienkatalog_zur_Querschnittspruefung_in_der_Wirtschaft_2018_19.pdf Ihr Unternehmen von Ihrer Abteilung prüfen, alternativ ist auch der Fragebogen für Großunternehmen, sind nur 50 Fragen, zu empfehlen. Dann können Sie einschätzen, was im Fall einer echten Prüfung auf Sie zukommt. Die meisten Mängel waren in den TOMs

 

Windows 10 und der Datenschutz

https://tlfdi.de/mam/tlfdi/presse/191111_presseinfo_windows.pdf

https://tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/beschluss_zu_top_13_win10_prufschema.pdf

Also, alle Konfigurationsmöglichkeiten sollten genutzt werden, geben Sie die Orientierungshilfe an die IT weiter. Der Weg ist das Ziel.

 

Vorgaben Cloud Computing durch das BSI

Wer von Ihnen gefragt wird, wann ein Cloud System sicher eingerichtet ist, kann diesen Link weitergeben.

https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/Anforderungskatalog_node.html

 

 

Brexit und Datenschutz

Langweilig. Entweder gibt es ein Abkommen, dann gilt UK als EUMitglied. Wenn nicht, gibt es einen Angemessenheitsbeschluss der EU, was angesichts des guten britischen DS-Gesetzes klar sein müsste oder Sie brauchen ModelClauses.

https://dataagenda.de/wp-content/uploads/2019/10/DataAgenda-Arbeitspapier-09_Wie-geht-weiter-nach-dem-Brexit.pdf

 

Stiftung Datenschutz liefert Fallbeispiele mit Lösungen im Personalbereich ab Seite 10. Gut gemacht. Das geben Sie direkt in einer eigenen Schulungseinheit an die Personaler weiter.

https://stiftungdatenschutz.org/fileadmin/Redaktion/Beschaeftigtendatenschutz/SDS_Datenschutz_Beschaeftigte_2019-08-13.pdf

Mega hier natürlich wieder das Update aus BW

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/03/Ratgeber-Besch%C3%A4ftigtendatenschutz.pdf

51 Seiten Beschäftigtendatenschutz Stand Aug 2019 in der 3. Auflage mit ganz vielen Fällen und Lösungen. Die MA-Schulung Personal ist inhaltlich fertig.

 

Datenschutzverletzung ungleich Meldepflicht

Die Veröffentlichung der bay. Aufsicht für den öff. Bereich ist sehr gelungen. Auch hier können Sie erkennen, dass meistens eine illegale Datenverarbeitung nicht unbedingt gleich eine meldepflichtigte Datenpanne ist.

https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Meldepflichten.pdf

Sehr cool der Hinweis auf Seite 9 auf die FristenRL von 1971, die bei der Meldefrist einen längeren Zeitraum vorsieht als 72 Stunden, wenn Wochenenden dazwischen sind. Prüfen Sie also Verletzungshandlung und dann den Verletzungserfolg. Es muss sich um eine Verletzung der Sicherheit von personenbezogenen Daten handeln!!, vgl. S. 14. Dies kann also nur vorliegen, wenn org. Vorgaben nicht beachtet wurden oder technische Sicherungen überwunden wurden.

 

Tolle Flyer, Kleber und Infos gegen Betriebsspionage gibt es bei der MaxPlanck Gesellschaft aus München

https://wiskos.de/de/informationen_fuer/Unternehmen.html#i24445

 

10Punkte-Plan für den sicheren Umgang mit Kopierern

Zur Weitergabe in Schulungen oder Kopieren gibt es vom LFDI Hamburg

https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/fotokopierer__die_angreifbare_datenstation-3904

 

Merkblatt Einwilligung

Vom BVD kommt eine sehr gelungene Kurzfassung zur Einwilligung, die Sie an Ihre Abteilungen versenden können. Das ist klasse.

https://www.bvdnet.de/wp-content/uploads/2019/02/Merkblatt_Einwilligungen_BvD.pdf

 

Datenschutz im Gesundheitswesen

Die Veröffentlichung des BMWI ist sehr mächtig aber lesenswert. Stand ist Nov 2018

https://www.bvdnet.de/wp-content/uploads/2019/02/orientierungshilfe-gesundheitsdatenschutz.pdf

 

Kaum machbar: Rechtskonformer Einsatz von WhatsApp im Kontext Gesundheitsdaten

https://www.datenschutzkonferenz-online.de/media/oh/20191106_whitepaper_messenger_krankenhaus_dsk.pdf

 

 

 

VG, Ihr Wolfgang Schmid

 

 

 

 

 

 

 

p.s. Ältere Newsletter finden Sie im Newsletter Archiv