{"id":2279,"date":"2020-06-24T12:48:12","date_gmt":"2020-06-24T10:48:12","guid":{"rendered":"https:\/\/www.ecovis.com\/datenschutzberater\/?p=797"},"modified":"2021-08-29T21:11:54","modified_gmt":"2021-08-29T19:11:54","slug":"datenschutznews-juni2020","status":"publish","type":"post","link":"https:\/\/www.ecovis.com\/datenschutzberater\/datenschutznews-juni2020\/","title":{"rendered":"Datenschutznews &#8211; auf \u00c4nderungen jetzt vorbereiten!"},"content":{"rendered":"<div id=\"thema1\"><\/div>\n<p>Haben Sie oder einer Ihrer Dienstleister Datenverarbeitungen in England? K\u00f6nnen Sie Auskunftsantr\u00e4ge von Betroffenen innerhalb eines Monats vollst\u00e4ndig und konkret beantworten? Nutzen Sie Messenger-Dienste im Unternehmen? Diese und weitere Fragen aus dem aktuellen T\u00e4tigkeitsbericht des Landesbeauftragten f\u00fcr Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern haben wir hier kurz f\u00fcr unsere Kunden zusammengefasst:<\/p>\n<h2>I. Brexit<\/h2>\n<p>Mit dem Brexit steht der Austritt Gro\u00dfbritanniens aus der Europ\u00e4ischen Union bedauerlicherweise unmittelbar bevor. Dies hat auch datenschutzrechtlich erhebliche Folgen. Da nach Aussagen des europ\u00e4ischen Verhandlungsf\u00fchrers zur \u00dcbernahme bzw. Beibehaltung der datenschutzrechtlichen Anforderungen keine Einigung \u201ein Sicht ist\u201c, m\u00fcssen wir gegenw\u00e4rtig davon ausgehen, dass es zu keinem sog. Angemessenheitsbeschluss kommen wird. Damit werden alle \u00dcbermittlungen personenbezogener Daten nach Gro\u00dfbritannien mit dem Vollzug des Austritts ohne Angemessenheitsbeschluss rechtswidrig, wenn hier keine individuellen vertraglichen Vereinbarungen mit den britischen Gesch\u00e4ftspartnern\/Dienstleistern oder Subdienstleistern geschlossen werden.<\/p>\n<p>Da diese Abschl\u00fcsse erfahrungsgem\u00e4\u00df mindestens drei Monate Vorlaufzeit ben\u00f6tigen, ist Handeln dringend erforderlich.<\/p>\n<p>Bitte \u00fcberpr\u00fcfen Sie, ob Sie zum gegenw\u00e4rtigen Zeitpunkt mit Auftragnehmern mit Sitz im Vereinigten K\u00f6nigreich zusammenarbeiten. Betroffen sind m\u00f6glichweise auch weitere Auftragsverarbeiter oder deren Subunternehmer, die in Gro\u00dfbritannien ihren Sitz haben oder die Datenverarbeitung in Gro\u00dfbritannien erfolgt. Dies ist in den geschlossenen Auftragsverarbeitungsvertr\u00e4gen aufgef\u00fchrt.<br \/>\nBitte kontaktieren Sie bereits jetzt diese Auftragsverarbeiter \u2013 oder wenn Sie sich nicht sicher sind alle Auftragsverarbeiter mit der Bitte um Auskunft &#8211; und erfragen Sie deren weiteres Vorgehen. Viele Dienstleister verlagern ihre Datenverarbeitungen und den Sitz des Unternehmens gegenw\u00e4rtig bereits in die EU oder bieten aktive den Abschluss neuer Vereinbarungen an.<br \/>\nBitte informieren Sie uns entsprechend, damit wir die Herstellung der Rechtm\u00e4\u00dfigkeit der Daten\u00fcbermittlung zum 1.1.2021 pr\u00fcfen und dokumentieren k\u00f6nnen.<\/p>\n<p>Sollte sich Ihr Dienstleister nicht um eine L\u00f6sung bem\u00fchen, ist es ratsam, sich bereits jetzt \u00fcber die K\u00fcndigungsfristen zu informieren und nach einem anderen Auftragsverarbeiter Ausschau zu halten.<br \/>\nQuelle: <a href=\"https:\/\/www.datenschutz-mv.de\/datenschutz\/DSGVO\/Brexit\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.datenschutz-mv.de\/datenschutz\/DSGVO\/Brexit\/<\/a><\/p>\n<div id=\"thema2\"><\/div>\n<hr \/>\n<h2>II. Bericht der Datenschutzaufsichtsbeh\u00f6rde M-V ver\u00f6ffentlicht &#8211; \u201egigantisches Dunkelfeld von Rechtsbr\u00fcchen\u201c<\/h2>\n<p>Der Landesbeauftragte f\u00fcr Datenschutz Mecklenburg-Vorpommern hat in seinem T\u00e4tigkeitsbericht f\u00fcr das Jahr 2019 insgesamt \u00fcber:<\/p>\n<ul>\n<li>793 Stellungnahmen, Empfehlungen und Beratungen<\/li>\n<li>108 gemeldete Schutzverletzungen<\/li>\n<li>533 Eingaben und Beschwerden<\/li>\n<li>67 anlassbezogene Pr\u00fcfungen<\/li>\n<li>82 aufsichtsrechtliche Ma\u00dfnahmen<\/li>\n<li>94 begonnene f\u00f6rmliche Verwaltungsverfahren<\/li>\n<\/ul>\n<p>aber nur 5 Bu\u00dfgeldverfahren und 8 Androhungen von Zwangsgeldern sowie 3 anlassunabh\u00e4ngige Pr\u00fcfungen berichtet. Dies zeigt eine deutliche Schwerpunktsetzung auf die Verfolgung konkreter Hinweise auf Rechtsverst\u00f6\u00dfe und eine kooperative L\u00f6sung im Zusammenwirken mit den Verantwortlichen. Allerdings vermutet er \u201eneben den bekannten und erkannten Verst\u00f6\u00dfen im Datenschutzbereich\u201c auch ein \u201egigantisches Dunkelfeld von Rechtsbr\u00fcchen, die niemand bemerkt oder als solche erkennt\u201c. Gleichzeitig spiegelt der T\u00e4tigkeitsbericht auch die eingeschr\u00e4nkten personellen Ressourcen der Aufsichtsbeh\u00f6rde wieder, die zu langen Bearbeitungsdauern und eingeschr\u00e4nkten Beratungsleistungen f\u00fchrt.<\/p>\n<p>Wir m\u00f6chten die wichtigsten Aussagen f\u00fcr Sie zusammenfassen:<\/p>\n<h3>1. Microsoft und Windows 10<\/h3>\n<p>Die Frage, ob Windows 10 datenschutzkonform ist, kann nicht pauschal beantwortet werden.\u00a0Windows 10 ist eine Produktfamilie, bei der das eigentliche Betriebssystem nur noch einen\u00a0Teil der Funktionalit\u00e4t ausmacht. Beispielsweise sind der Sprachassistent Cortana und die\u00a0Anti-Virus-Software Windows Defender im Lieferumfang enthalten. Durch Updates k\u00f6nnen\u00a0neue Funktionen hinzukommen.<\/p>\n<p>In den wichtigen Punkten der Pr\u00fcfung von Windows 10 und Microsoft Office 365 kommt die Aufsichtsbeh\u00f6rde nur zu dem v\u00f6llig unbefriedigenden Zwischenstand, dass die Unternehmen und Beh\u00f6rden genau pr\u00fcfen sollen, \u201eob sie die beim Einsatz von Windows 10 entstehenden Risiken beherrschen k\u00f6nnen. Falls nicht, sollten andere Betriebssysteme, insbesondere aus dem Open Source Bereich, in Betracht gezogen werden.\u201c Die Aufsichtsbeh\u00f6rde empfiehlt \u201eden Verantwortlichen in Wirtschaft und Verwaltung, entweder die Einf\u00fchrung von Microsoft Office365 solange zur\u00fcckzustellen, bis die rechtlichen Rahmenbedingungen gekl\u00e4rt sind, oder den Einsatz anderer Produkte, insbesondere aus dem Open Source Bereich, zu pr\u00fcfen.\u201c Eine weitere M\u00f6glichkeit besteht darin, Windows 7 mit einem kostenpflichtigen zus\u00e4tzlichen Support zu nutzen. Diese Option bietet Microsoft bis Januar 2023 an.<\/p>\n<p>Der Einsatz von Windows 10 ist demnach weiterhin mit rechtlichen Risiken verbunden, weshalb die Datenschutzbeh\u00f6rden von Bund und L\u00e4ndern weiter mit Microsoft im Dialog stehen.<\/p>\n<h3>2. Regeln f\u00fcr ein sicheres Passwort<\/h3>\n<p>Die Wahl eines sicheren Passworts ist unabdingbar. Wer sich bei einem Onlinedienst f\u00fcr einen anderen Nutzer anmelden kann, nimmt dessen Identit\u00e4t an und handelt in seinem Namen. Die Landesbeh\u00f6rde empfiehlt ein geeignetes Passwortmanagementsystem aufzubauen und regelm\u00e4\u00dfig zu evaluieren.<\/p>\n<h5><strong>Tipps zur sicheren Passwortgestaltung:<\/strong><\/h5>\n<ul>\n<li>je l\u00e4nger desto sicherer, mindestens acht, besser aber 10 bis 12 Zeichen oder mehr<\/li>\n<li>alle verf\u00fcgbaren Zeichen, beispielsweise Gro\u00df- und Kleinbuchstaben, Ziffern und\u00a0Sonderzeichen (Leerzeichen, ?!%+\u2026), verwenden<\/li>\n<li>Passw\u00f6rter nicht mehrfach verwenden, sondern f\u00fcr jeden Dienst ein eigenes nutzen<\/li>\n<li>Passw\u00f6rter niemals an andere weitergeben<\/li>\n<li>wenn m\u00f6glich eine 2-Faktor-Authentifizierung nutzen, um die Sicherheit weiter zu\u00a0erh\u00f6hen; neben dem Passwort ist hierf\u00fcr ein weiteres Zugangsmerkmal wie eine<\/li>\n<li>SMS oder TAN erforderlich<\/li>\n<li>ggf. einen Passwortmanager nutzen, um die unterschiedlichen Passw\u00f6rter zu verwalten<\/li>\n<\/ul>\n<h3>3. Social-Plugins und Cookies<\/h3>\n<p>Webseitenbetreiber sind f\u00fcr das Setzen von Cookies oder das Einbinden von Drittinhalten (z.B. Social Plugins) datenschutzrechtlich verantwortlich. Bei Social-Plugins handelt es sich um kleine Schaltfl\u00e4chen auf Webseiten, \u00fcber die personenbezogene Daten der Webseitenbesucher an die Anbieter (idR. Facebook, Twitter etc.) \u00fcbertragen werden k\u00f6nnen.<\/p>\n<p>F\u00fcr das Einbinden von Social-Plugins gilt in Zukunft, dass sich der Webseitenbetreiber die hierf\u00fcr n\u00f6tige informierte Einwilligung vom Webseitenbesucher einholen muss. Das Setzen von Cookies, welche rein technisch f\u00fcr das Bereitstellen der Webseite nicht erforderlich sind (z. B. f\u00fcr den Warenkorb), ben\u00f6tigt k\u00fcnftig auch die informierte Einwilligung. Ebenfalls wurde h\u00f6chstrichterlich bekr\u00e4ftigt, dass vorausgef\u00fcllte Ankreuzk\u00e4stchen zum Einholen einer informierten Einwilligung datenschutzrechtlich nicht zul\u00e4ssig sind. Ein sogenannter Cookie-Banner, der von der Annahme ausgeht, dass ein Weitersurfen auf der Website eine informierte Einwilligung bedeuten soll, ist somit unzureichend.<\/p>\n<h3>4. Vertraulichkeit bei der \u00dcbermittlung von E-Mails<\/h3>\n<p>Die Landesbeh\u00f6rde weist darauf hin, dass eine unverschl\u00fcsselte Kommunikation etwa bzgl. Bewerberdaten oder auch von (Lohn-)Abrechnungsdaten der Vertraulichkeit und Integrit\u00e4t nicht ausreichend Rechnung tr\u00e4gt. Sollen sensible Informationen ausgetauscht werden, darf bei unverschl\u00fcsseltem E-Mail-Verkehr nicht unber\u00fccksichtigt bleiben, dass Personen die jeweilige E-Mail unbefugt mitlesen k\u00f6nnen.<\/p>\n<p>Des Weiteren spricht die Beh\u00f6rde beim Versenden von Rundmails die Empfehlung aus, das Feld BC (Blindkopie) statt CC zu nutzen. Hiermit w\u00fcrde die Nachricht alle Empf\u00e4nger erreichen, ohne dass der jeweilige Empf\u00e4nger sehen kann, welche andere Personen diese E-Mail noch erhalten haben. Somit kann eine ungewollte Kontaktaufnahme der Empf\u00e4nger untereinander vermieden werden.<\/p>\n<h3>5. Umgang mit externen Datentr\u00e4gern (z.B. Festplatte)<\/h3>\n<h5>Die Landesbeh\u00f6rde sensibilisiert aufgrund eines gemeldeten Datenschutzvorfalls beim Einsatz von externen Datentr\u00e4gern noch einmal wie folgt:<\/h5>\n<ul>\n<li>kritische Pr\u00fcfung der Zwecke der gespeicherten Daten (es ist die L\u00f6schung der Daten erforderlich, sobald der Zweck f\u00fcr den die Daten erhoben wurden, weggefallen ist)<\/li>\n<li>Verschl\u00fcsselung der externen Datentr\u00e4ger erforderlich<\/li>\n<li>Erarbeitung von klaren Regelungen im Umgang mit externen Datentr\u00e4gern im Rahmen von Dienstanweisungen<\/li>\n<\/ul>\n<h3>6. Datenverarbeitung in Vereinen \/ Stiftungen<\/h3>\n<p>Die Verarbeitung personenbezogener Daten in Vereinen und Stiftungen ist immer dann zul\u00e4ssig, wenn sie f\u00fcr die Begr\u00fcndung und Durchf\u00fchrung des Vertragsverh\u00e4ltnisses (Buchhaltung, Mitglieder- und Mitarbeiterverwaltung, Durchf\u00fchrung von Vereinsaktivit\u00e4ten) erforderlich ist. Weiterhin ist auch jene Datenverarbeitung zul\u00e4ssig, die aus der Verfolgung der Vereins- und Stiftungsziele erw\u00e4chst. Diese Ziele m\u00fcssen aber in der Satzung definiert sein, damit sie als Rechtfertigungsgrund dienen k\u00f6nnen.<\/p>\n<p>Sollen personenbezogene Daten zu Zwecken verarbeitet werden, die in der Satzung nicht erw\u00e4hnt sind, ist als gesetzliche Grundlage eine Einwilligung der Mitglieder erforderlich. Eine\u00a0Einwilligung kann beispielsweise in Teilnahmeantr\u00e4gen enthalten sein.<\/p>\n<h3>7. Einsatz von Messenger-Diensten im Gesundheitswesen<\/h3>\n<p>Die Landesbeh\u00f6rde weist darauf hin, dass beim Einsatz von Messengerdiensten im Krankenhaus eine gewissenhafte Pr\u00fcfung des Funktionsumfangs zu erfolgen hat.<\/p>\n<h5>Verlangt wird:<\/h5>\n<ul>\n<li>dass man die Messenger-Applikation nur nach zus\u00e4tzlicher Authentifikation nutzen kann (das Ger\u00e4t lediglich zu entsperren ist nicht ausreichend)<\/li>\n<li>die Kontaktdaten des Messengers m\u00fcssen separat verwaltet werden; sie d\u00fcrfen nicht mit denen anderer Apps vermischt sein<\/li>\n<li>Inhalts- und Verkehrsdaten m\u00fcssen regelm\u00e4\u00dfig gel\u00f6scht werden. Insbesondere auf den Endger\u00e4ten muss dies automatisiert geschehen (l\u00e4ngerfristige Speicherungen von personenbezogenen Daten von Patienten sind nur auf den Servern des Krankenhauses oder seiner Auftragsverarbeiter zul\u00e4ssig)<\/li>\n<li>Ende-zu-Ende-Verschl\u00fcsselung<\/li>\n<li>Verschl\u00fcsselte Speicherung der Daten auf dem Endger\u00e4t<\/li>\n<li>Endger\u00e4t muss regelm\u00e4\u00dfig mit Sicherheits-Updates versorgt werden<\/li>\n<li>Einbindung der Endger\u00e4te in Mobile Device Management wird empfohlen<\/li>\n<\/ul>\n<h3>8. Verantwortlichkeit bei der Telematik-Infrastruktur<\/h3>\n<p>Der Landesbeauftragte hat sich gemeinsam mit den Datenschutzaufsichtsbeh\u00f6rden anderer Bundesl\u00e4nder daf\u00fcr eingesetzt, dass die Gematik f\u00fcr all das, was den Nutzern vorgeschrieben ist, die Verantwortung tragen muss. Die Gematik ist damit f\u00fcr die zentrale Zone TI-Plattform alleinverantwortlich. Dies betrifft die vorgegebenen Spezifikationen und Konfigurationen f\u00fcr die Konnektoren, VPN Zugangsdienste und Kartenterminals.<br \/>\nIm Hinblick auf den Anschluss in der Praxis vor Ort \u2013 der dezentralen Zone &#8211; besteht hingegen eine gemeinsame Verantwortlichkeit.<\/p>\n<p>Allein verantwortlich ist die Praxis jedoch f\u00fcr das Schaffen der Rahmenbedingungen, in denen die TI Anwendung findet. Dies umfasst die Konfiguration der Praxis-Software oder Zugangskontrolle zu Datenverarbeitungsger\u00e4ten und R\u00e4umlichkeiten. Die Information der Patienten sollte im Bereich Empf\u00e4nger um die Gematik erg\u00e4nzt werden.<\/p>\n<p>Quelle: Der T\u00e4tigkeitsbericht 2019 steht unter <a href=\"https:\/\/www.datenschutz-mv.de\/datenschutz\/publikationen\/taetigkeitsberichte\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.datenschutz-mv.de\/datenschutz\/publikationen\/taetigkeitsberichte\/<\/a> zum Download bereit.<\/p>\n<div id=\"thema3\"><\/div>\n<hr \/>\n<h2>III. Anforderungen zur Erf\u00fcllung eines Auskunftsanspruches<\/h2>\n<p>Mitarbeiter, Kunden, Mitglieder und sonstige Personen, deren personenbezogene Daten durch ein Unternehmen, einen Verein oder eine Stiftung verarbeitet werden (Betroffener), haben das Recht, eine Auskunft \u00fcber eben jene Datenverarbeitung zu erhalten. Diese Auskunft ist grunds\u00e4tzlich innerhalb eines Monats zu erteilen.<\/p>\n<p>Zum Umfang und den Anforderungen hat das Landesarbeitsgericht D\u00fcsseldorf k\u00fcrzlich Stellung bezogen und wegen des Versto\u00dfes hiergegen dem Betroffenen einen Schadenersatz in H\u00f6he von 5.000\u20ac zugesprochen (Arbeitsgericht D\u00fcsseldorf, 9 Ca 6557\/18).<\/p>\n<p>Es stellt dabei klar, dass sowohl der Verarbeitungszweck, als auch die Kategorien der personenbezogenen Daten, die verarbeitet werden, deutlich zu benennen sind. Die Angaben zum Zweck m\u00fcssen vollst\u00e4ndig und so konkret und detailliert sein, dass sich der Betroffene ein Bild davon machen kann, welche Datenverarbeitungen zu welchen Zwecken erfolgen. Eine Aufz\u00e4hlung aller m\u00f6glichen Verarbeitungszwecke gen\u00fcgt dem nicht.<\/p>\n<p>Aber es hat auch klargestellt, dass f\u00fcr den Betroffenen kein Anspruch auf Herausgabe einer Kopie s\u00e4mtlicher in den internen IT-Systemen, Servern, Mail-Postf\u00e4chern, Web-Anwendungen, Verzeichnisstrukturen und sonstigen Speichermedien vorliegender Daten zusteht. Die Herausgabe einzelner Mail-Verl\u00e4ufe, etc. bezeichnet das Gericht als unverh\u00e4ltnism\u00e4\u00dfigen Aufwand und spricht sich gegen eine solche Herausgabe aus.Des Weiteren bedarf es keiner Auskunft \u00fcber die rechtm\u00e4\u00dfige Datenverarbeitung durch Dritte, beispielsweise durch vorschriftsm\u00e4\u00dfig eingebundene Dienstleister.<\/p>\n<p>Quelle: Arbeitsgericht D\u00fcsseldorf, 9 Ca 6557\/18,\u00a0<a href=\"https:\/\/www.justiz.nrw.de\/nrwe\/arbgs\/duesseldorf\/arbg_duesseldorf\/j2020\/9_Ca_6557_18_Urteil_20200305.html\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.justiz.nrw.de\/nrwe\/arbgs\/duesseldorf\/arbg_duesseldorf\/j2020\/9_Ca_6557_18_Urteil_20200305.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Haben Sie oder einer Ihrer Dienstleister Datenverarbeitungen in England? K\u00f6nnen Sie Auskunftsantr\u00e4ge von Betroffenen innerhalb eines Monats vollst\u00e4ndig und konkret beantworten? Nutzen Sie Messenger-Dienste im Unternehmen? Diese und weitere Fragen aus dem aktuellen T\u00e4tigkeitsbericht des Landesbeauftragten f\u00fcr Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern haben wir hier kurz f\u00fcr unsere Kunden zusammengefasst: I. Brexit Mit dem Brexit steht [&hellip;]<\/p>\n","protected":false},"author":9,"featured_media":2212,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-2279","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2279","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=2279"}],"version-history":[{"count":1,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2279\/revisions"}],"predecessor-version":[{"id":2280,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2279\/revisions\/2280"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media\/2212"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=2279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=2279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=2279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}