DSGVO / BLOG

DSGVO.CARE / BLOG

DSGVO / Blog

Der einfühlsamste, etwas humoristische und alles Wichtige auf den Punkt bringende DSGVO-Blog in diesem Universum.


"Alle sind gleich, aber manche sind gleicher als andere!" Wusste schon George Orwell vor langer Zeit. Dies ist der erste Teil einer kleinen Artikelreihe zum Thema "Sensible Daten". Ein kleiner Praxis-Ratgeber, wie Sie sich das Leben mit sensiblen Daten in Zeiten der DSGVO leichter machen.
Vor allem abseits der Daten besonderer Kategorien (Artikel 9 Daten), ist es sinnvoll feiner zu clustern und unterschiedliche Sensibilitätsstufen einzubauen.

Nein, die Strafen werden euch nicht bezahlt! Aber immerhin die Anwalts- und Prozesskosten bis zu 1 Mio €. Und weil man ja nicht immer gleich alles vor Gericht austragen muss, gibts Mediationskosten bis 10.000 € ebenso ersetzt. Ermöglicht wird das Ganze vom deutschen Start-Up hepster in Kooperation mit der etablierten ROLAND Rechtsschutz-Versicherungs-AG.
Wir halten das für eine gute, weil äußerst überschaubare Investition - vor allem im Vergleich zu den vielen Cyber Seciurity Versicherungen, welche ebenfalls teils als DSGVO-Versicherungen angepriesen werden.

Blockchain ist mehr als nur Bitcoin und immer mehr Start-ups, sowie auch der Ein oder Andere Etablierte, versuchen sich mit dem Buzzword an Fördergeldern, oder/und an tatsächlich Sinn stiftende Applikationen, welche geeignet sind einen bisher benötigten Treuhänder obsolet zu machen.
Die Vorteile liegen auf der Hand, nachvollziehbar, dezentral organisiert und somit ausfallsicher sowie schneller und günstiger als ein Notar oder Treuhänder. Doch aufgepasst mit personenbezogene Daten in der Blockchain! Wie wird das Recht auf Löschen umgesetzt und wer ist eigentlich verantwortlich für die Daten...

Es gibt sie... es gibt sie nicht... es..., nein es gibt Sie nicht die ISO-Zertifizierung für DSGVO aber es gibt die ISO/IEC 27701:2019 mit dieser kann zumindest das DSMS (Datenschutzmanagementsystem) zertifiziert werden. Wir empfehlen auf jeden Fall diese Norm zu berücksichtigen wenn Sie ohnehin vor haben die ISO 27001 einzuführen und sich zertifizieren zu lassen da diese schön ineinander greifen und sich der Mehraufwand in bescheidenen Grenzen hält.

Einerseits die DSGVO, andererseits zahlreiche andere Verpflichtungen, und manchmal kommen sich diese in die Quere. So erging es bestimmt schon zahlreichen Unternehmen. Einander widersprechende Formulierungen sind leider kein Einzelfall und bereiten oftmals Kopfzerbrechen. Wenns um Gesundheitsdaten geht, schrillen bei vielen zum Glück die Alarmglocken. Derzeitige Praxis: Die Daten müssen für eine Prüfung durch das Finanzamt zuvor anonymisiert werden, damit man nicht gegen eine berufliche Schweigepflicht verstößt zum Beispiel!

Gemeinsame Verantwortlichkeit - genau dann, wenn beide etwas mit den personenbezogenen Daten machen und zwar völlig unabhängig von einander. Benötigt wird in diesem Fall eine so genannte Artikel 26 Vereinbarung. Wie diese aussehen soll hat das Amtsgericht Mannheim jetzt etwas genauer "spezifiziert".
Man nehme eine AVV (Auftragsverarbeiter Vereinbarung) und ergänze diese um die fehlenden Details ....

Ja richtig gehört: "Die Nutzung von Google Analytics darf nur mit Einwilligung der Webseitenbesucher erfolgen." So die Datenschutz Konferenz vom 14. November 2019. Das sollte auch in Österreich ernst genommen werden und bedeutet das Aus für die Banner die praktisch automatisch mit Nutzung der Website diese "Einwilligung" erzwingen.

Kühne Behauptung vom irischen FinTech-StartUp Revolut, so kühn, dass die irische Aufsichtsbehörde Revolut gleich einmal etwas genauer unter die Lupe nimmt. User-Daten werden ab sofort automatisch an Social Media Plattformen und Analyse Dienste weitergeleitet, Werbung automatisch zugesendet - ohne Enwilligung (Opt-In).

Google Analytics steht mal wieder in der Kritik dieses mal bei der Hambunger Aufsichtsbehörde. Die Datenschutzkonferenz (DSK) hat bereits klar gemacht, dass Tracking künftig nicht mehr DSGVO-konform ist ohne eine Einwilligung des Betroffenen. Dazu kommt darüber hinaus das laut Beschwerdeführer rund 20.000 Webseiten Google Analytics nicht nach den Empfehlungen der DSK implementiert haben.

Klar ist, dass diese gelöscht werden sobald ein Dienstverhältnis aufgelöst wird. Ist das nicht der Fall geht das deutsche Landesgericht in Hamm von zwei Jahren aus. Das Bundesarbeitsgericht hingegen sagt: HALT, nicht so einfach, jeder konkrete Fall ist gesondert zu entscheiden. Da soll sich noch einer auskennen...

Facebook gewinnt gegen das deutsche Bundeskartellamt - gegen eine Datenschutzbehörde hätte das anders aussehen können. Aber die für Facebook zuständige sitzt bekanntlich in Irland und ist offenbar nicht so sehr darauf erpicht, sich mit den Geld ins Land bringenden US-Riesen anzufeinden - so wird zumindest mancherorts spekuliert und moniert.