Datenschutz und IT-Recht

18
May
2017

Datenschutz und IT-Recht

Bundesrat stimmt neuem Bundesdatenschutzgesetz zu

Dr. Christoph Cordes, LL.M.Lara Bos

Der Bundesrat hat erwartungsgemäß am 12.05.2017 dem neuen Bundesdatenschutzgesetz (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) zugestimmt. ). Zuvor hatte – wie bereits berichtet – der Bundestag am 27.04.2017 das neue Bundesdatenschutzgesetz verabschiedet. Das Gesetz dient der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) und wird zeitgleich mit der DS-GVO am 25.05.2018 in Kraft treten. Unternehmen müssen daher bis zum 25.05.2018 die DS-GVO und das neuen Bundesdatenschutzgesetzes umsetzen.

» mehr lesen
09
Jan
2017

Datenschutz und IT-RechtGewerblicher Rechtsschutz

Augen auf vor dem Setzen von Hyperlinks!

Dr. Oliver Stegmann

Mit Beschluss vom 18.11.2016 hat das Landgericht Hamburg (Az.: 310 O 402/16) im Anschluss an die Rechtsprechung des EuGH (Urteil vom 8.9.2016, C-160/15 - GS Media) entschieden, dass sich derjenige haftbar machen kann, der auf seiner Internetseite einen Hyperlink auf eine andere Internetseite setzt. Der Verlinkende haftet, wenn die Internetseite, auf die der Link führt (die Quellseite), urheberrechtlich geschützte Werke enthält, die dort ohne Erlaubnis des Rechteinhabers zugänglich gemacht wurden.

» mehr lesen
24
Nov
2016

Datenschutz und IT-Recht

Datentransfer in Drittstaaten – konzertierte Prüfaktion der Aufsichtsbehörden

Dr. Frank Bongers

Zehn deutsche Datenschutzaufsichtsbehörden beginnen in diesen Wochen eine konzertierte Prüfaktion von Unternehmen. Gegenstand der Prüfung ist der Transfer personenbezogener Daten in Staaten, die nicht Mitglieder der Europäischen Union oder des Europäischen Wirtschaftsraums sind. Nach dem Zufallsprinzip ausgewählte Unternehmen werden aufgefordert, dazu einen ausführlichen Fragebogen auszufüllen.

» mehr lesen
17
Oct
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 9: Datenübermittlungen im Konzern

Dr. Frank Bongers

In Konzernen kooperieren und kommunizieren die einzelnen Konzernunternehmen miteinander in vielfältiger Weise. Dies ist häufig – wie z. B. bei der Zentralisierung von Personalaufgaben oder dem Customer Relationship Management – mit einer Übermittlung personenbezogener Daten zwischen den Konzerngesellschaften verbunden. Die Zulässigkeit der konzerninternen Datentransfers ist deshalb für Konzerne elementar.

» mehr lesen
30
Sep
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 8: Neue Regelungen zur Einwilligung

Dr. Frank Bongers

Fragt man eine datenschutzrechtliche Aufsichtsbehörde, in welcher Art und Weise eine Datenverarbeitung am besten zu legitimieren sei, so hat diese in der Regel einen klaren Favoriten: Die Einwilligung des Betroffenen. Dies ist gut begründet, denn im Datenschutzrecht geht es um das Recht des Betroffenen, über die Verwendung seiner Daten möglichst weitgehend selbst zu bestimmen und nichts drückt dieses Recht besser aus, als eine Erklärung des Betroffenen. Dies gilt auch künftig bei der Anwendung der Datenschutz-Grundverordnung. Wichtige Details sind jedoch neu.

» mehr lesen
16
Sep
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 7: Die Datenschutz-Folgenabschätzung

Dr. Frank Bongers

Die neue Datenschutz-Grundverordnung verlangt von allen Verantwortlichen unter vielen Aspekten ein planmäßiges Handeln, welches datenschutzrechtliche Überlegungen von Anfang an mit einbezieht. Dies zeigt sich nicht nur in zahlreichen Dokumentations- und Informationspflichten. In vielen Fällen muss der Verantwortliche zur Vermeidung eines Bußgeldes sogar im Vorfeld eine nachweisbare Prüfung der datenschutzrechtlichen Folgen durchführen.

» mehr lesen
13
Sep
2016

Datenschutz und IT-Recht

Bußgelder nach der DS-GVO - Jahresumsatzes der gesamten Unternehmensgruppe bzw. des gesamten Konzerns im Fokus

Die Datenschutz-Grundverordnung (DS-GVO) sieht Geldbußen bis zu EUR 20 Mio. oder im Falle eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Das Bayerische Landesamt für Datenschutz (BayLDA) hat sich nun zur Bestimmung des Bußgeldrahmens bei Unternehmen geäußert. Danach könnten den Unternehmen Milliardenbußgelder drohen.

» mehr lesen
18
Aug
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 5: Das Recht auf Datenübertragbarkeit

Dr. Frank Bongers

Noch ein neues Recht für die betroffenen Personen: Das Recht auf Datenübertragbarkeit. Dabei geht es ausnahmsweise nicht um ein Recht darauf, dass die für die Verarbeitung Verantwortlichen die personenbezogenen Daten nicht verarbeiten. Vielmehr sollen die speichernden Stellen gerade eine Übermittlung personenbezogener Daten unterstützen – wenn die betroffene Person dies will.

» mehr lesen
08
Aug
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 4 : Das Recht auf „Vergessenwerden“

Dr. Frank Bongers

Persönlichkeitsrechte sind besonders gefährdet, wenn personenbezogene Daten öffentlich gemacht werden. Werden Daten z. B. im Internet veröffentlicht, reicht es in der Regel zum Schutz des Persönlichkeitsrechts nicht aus, dass die Stelle, die die Daten ursprünglich verarbeitet hatte, diese Daten löscht. Die Datenschutz-Grundverordnung will deshalb unter der Überschrift „Recht auf Vergessenwerden“ die Interessen der betroffenen Personen besser schützen.

» mehr lesen
27
Jul
2016

Datenschutz und IT-Recht

Videoüberwachung – Was ändert sich mit der EU-Datenschutz-Grundverordnung (DS-GVO)?

Die Zulässigkeit einer Videoüberwachung ist ein zentrales Thema in Unternehmen. Dies ergibt sich bereits daraus, dass der Einsatz von Videokameras einerseits ein effektives Mittel z. B. zur Verhinderung oder Aufdeckung von Straftaten darstellt, andererseits die Überwachungsbänder im Falle eines Prozesses ggf. nicht verwertbar sind, wenn die Überwachung rechtswidrig war. Welche Regelungen zur Videoüberwachung gilt es daher nach dem Bundesdatenschutzgesetz (BDSG) zu beachten und was ändert sich mit der neuen DS-GVO?

» mehr lesen
18
Jul
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 3: Neue Informationspflichten als „Motor“ des Datenschutzes (Variante 2: Erhebung bei der betroffenen Person)

Dr. Frank Bongers

Die Datenschutz-Grundverordnung (DS-GVO) regelt schon für den Zeitpunkt der Datenerhebung sehr umfangreiche Informationspflichten gegenüber den betroffenen Personen. Da die Informationen zum Teil etwaige datenschutzrechtliche „Schwachstellen“ erkennbar machen, muss schon im Vorfeld des Inkrafttretens der DS-GVO die Datenschutz-Compliance sichergestellt werden.

» mehr lesen
13
Jul
2016

Datenschutz und IT-Recht

Aktuelles zu Safe Harbor – Privacy Shield tritt in Kraft

Mit Urteil vom 06.10.2015 hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen zum Austausch von Daten zwischen Unternehmen der EU und Unternehmen in den USA für ungültig erklärt. Nach diesem Urteil konnten Datentransfers in die USA lediglich auf Basis von Standardvertragsklauseln und Binding Corporate Rules erfolgen. Unternehmen, die nach wie vor eine Datenübermittlung in die USA auf die Safe-Harbor-Zertifizierung stützten, drohten Bußgelder bis zu EUR 300.000,00. Am Dienstag, den 12.07.2016, ist nun nach ewigem Tauziehen mit dem „Privacy Shield“ der neue Rechtsrahmen für den Datentransfer in die USA in Kraft getreten.

» mehr lesen
01
Jul
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 2: Neue Informationspflichten als „Motor“ des Datenschutzes (Variante 1: Erhebung nicht bei der betroffenen Person)

Dr. Frank Bongers

Informationspflichten bei der Datenerhebung sind nicht neu, die Datenschutz-Grundverordnung (DS-GVO) stößt jedoch insofern in neue Dimensionen vor. Dies führt nicht nur zu einem erheblichen Aufwand. Die Informationen werden zudem geeignet sein, datenschutzrechtliche „Schwachstellen“ sichtbar zu machen und werden sich deshalb als „Motor“ des neuen Datenschutzrechts erweisen.

» mehr lesen
16
Jun
2016

Datenschutz und IT-Recht

Praxishinweis: Meldepflichten bei Datenschutzverletzungen nach der neuen Datenschutzgrundverordnung − welche Maßnahmen Unternehmen jetzt treffen sollten

Die neue EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und sieht bei Datenschutzverletzungen umfassende Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen vor. Soweit noch nicht erfolgt, sollten Unternehmen dringend interne Verfahren etablieren, um die Erfüllung dieser Pflichten sicherstellen zu können. Andernfalls droht den Unternehmen ein Bußgeld in Höhe von bis zu € 10 Mio. oder 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher der Beträge höher ist.

» mehr lesen
13
Jun
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 1: „The honeymoon is over“ – Neue Höchstgrenzen für Bußgelder

Dr. Frank Bongers

Datenschutzfragen stehen für viele Unternehmen bisher nicht ganz oben auf der Prioritätenliste. Daran haben die bisher bestehenden Bußgeldandrohungen des Bundesdatenschutzgesetzes (BDSG) wenig geändert. Die Datenschutz-Grundverordnung (DS-GVO) setzt jetzt jedoch neue Maßstäbe. Das höchstmögliche Bußgeld für den einzelnen Datenschutzverstoß erhöht sich um ca. das 66-fache und kann bei Unternehmen mit einem hohen weltweiten Jahresumsatz sogar darüber hinausgehen. Mit diesem Blog-Beitrag beginnt eine Serie, mit der wir Sie über die wesentlichen Neuerungen der DS-GVO regelmäßig informieren werden...

» mehr lesen
09
May
2016

Datenschutz und IT-RechtGewerblicher Rechtsschutz

"Pranger der Schande" – OLG München erklärt Bild-Aktion für rechtswidrig

Dr. Oliver Stegmann

Im Oktober 2015 stellte die „Bild“-Zeitung Personen, die auf Facebook flüchtlingsfeindliche Hassbotschaften verbreiteten, an den sog. "Pranger der Schande". Hierzu wurden die Facebook-Profilbilder und Kommentare der jeweiligen Personen auf „Bild“ und „Bild-Online“ veröffentlicht. Nach Auffassung des OLG München ist die Bild-Aktion rechtswidrig, da die Veröffentlichung der Facebook-Profilbilder die Persönlichkeitsrechte der Abgebildeten verletzt. Die Vorinstanz hatte noch anders entschieden.

» mehr lesen
15
Apr
2016

Datenschutz und IT-Recht

Es ist vollbracht: Datenschutz–Grundverordnung verabschiedet

Dr. Frank Bongers

Am 14.04.2016 hat das Europäische Parlament die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ beschlossen. Bereits zuvor hatte der Europäische Rat die Verordnung angenommen. Somit steht einer Veröffentlichung im Amtsblatt nichts mehr entgegen.

» mehr lesen
10
Dec
2015

Datenschutz und IT-Recht

Für Gmail gilt deutsches TK-Recht

Das VG Köln hat kürzlich entschieden, dass Googles E-Mail-Dienst "Gmail" in Deutschland als Telekommunikationsdienst angemeldet werden muss. Damit greifen unter anderem die Datenschutzregeln des deutschen Telekommunikationsgesetzes (TKG). Das Urteil könnte auch Auswirkungen auf viele andere Kommunikationsdienste haben.

» mehr lesen
13
Nov
2015

Datenschutz und IT-Recht

Aktuelles zu Safe-Harbor - nach "Drei-Phasen-Plan" drohen ab Februar 2016 Untersagungsanordnungen und Bußgelder

Ab November 2015 will der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBffDI) anhand eines "Drei-Phasen-Plans" konkrete Maßnahmen zur Umsetzung des Safe Harbor Urteils ergreifen. Ab Februar 2016 (dritte Phase) drohen den Unternehmen bei einer rechtswidrigen Datenübermittlung in die USA Untersagungsanordnungen und Bußgelder. Bis zur endgültigen Entscheidung der Datenschutzbehörden über die Folgen der Safe Harbor Entscheidung für alternative Übermittlungsinstrumente soll die Nutzung von Standardvertragsklauseln und BCR allerdings zulässig bleiben.

» mehr lesen
06
Oct
2015

Datenschutz und IT-Recht

EuGH beschließt das Ende von Safe Harbor: Welche Konsequenzen folgen hieraus für Datentransfers in die USA?

Dr. Frank Bongers

Nicht nur die Automobilindustrie sorgt in diesen Tagen für Schlagzeilen. Heute hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung zum Datenschutz getroffen und damit zugleich unzählige Unternehmen verunsichert. Das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen Unternehmen der EU und Unternehmen in den USA wurde für ungültig erklärt.

» mehr lesen
25
Sep
2015

Datenschutz und IT-Recht

Safe Harbor – das Ende des sicheren Hafens?

In dem Verfahren des Facebook-Kritikers Maximilian Schrems gegen die irische Datenschutzbehörde (Rechtssache C-362/14) bezweifelt der Generalanwalt am Gerichtshof der Europäischen Union (EuGH), Yves Bot, in seinen Schlussanträgen, dass auf der Grundlage der „Safe Harbor-Entscheidung“ der Europäischen Kommission ein angemessenes Datenschutzniveau für personenbezogene Daten in den USA besteht.

» mehr lesen
28
Aug
2015

Datenschutz und IT-Recht

Schutz vor Cyberangriffen: Neue Sicherheitsanforderungen für alle geschäftsmäßig handelnden Onlinedienste

Änderungen durch das neue IT-Sicherheitsgesetz betreffen auch Onlinedienste. Verstöße können mit Bußgeldern bis zu EUR 50.000,00 geahndet werden. Am 25.07.2015 ist das viel diskutierte IT-Sicherheitsgesetz in Kraft getreten. Danach müssen Betreiber von „kritischen Infrastrukturen“ Mindeststandards für die IT-Sicherheit beachten, um ihre Systeme insbesondere vor Cyberangriffen zu schützen.

» mehr lesen
26
Aug
2015

Datenschutz und IT-Recht

Bayerisches Landesamt für Datenschutzaufsicht ahndet mangelhaften Vertrag zur Auftragsdatenverarbeitung mit Geldbuße in fünfstelliger Höhe

Ausweislich der Pressemitteilung des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) vom 20. August 2015, wurde die Geldbuße gegen den Auftraggeber festgesetzt, weil das betreffende Unternehmen in seinen Verträgen zur Auftragsdatenverarbeitung „keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt“ hatte. Vielmehr „enthielten die Aufträge nur einige wenige pauschale Aussagen, und Wiederholungen des Gesetzestextes“.

» mehr lesen
17
Aug
2015

Datenschutz und IT-Recht

Esche Datenschutz-Checkliste: Gerne erteilen wir Ihnen Auskunft zu Ihren personenbezogenen Daten!

Dr. Frank Bongers

Eine sehr praxisrelevante und dabei häufig unterschätzte Herausforderung ist das Auskunftsverlangen eines Betroffenen. Betroffener ist nach dem Bundesdatenschutzgesetz (BDSG) die Person zu der Daten gespeichert wurden. Jede Person hat nach § 34 BDSG gegenüber jeder Stelle, die personenbezogene Daten zu dieser Person gespeichert hat, Anspruch auf umfassende Auskunft über die gespeicherten Daten.

» mehr lesen
07
Aug
2015

Datenschutz und IT-Recht

Esche Datenschutz-Checkliste: Verhalten bei Hackerangriffen (oder sonstigen Datenpannen)

Dr. Frank Bongers

Trotz Einhaltung der gesetzlich vorgesehenen technischen und organisatorischen Maßnahmen, gibt es für Unternehmen keinen 100%igen Schutz gegen Hackerangriffe. Dies ist vor allem darauf zurückzuführen, dass bestehende Sicherheitslücken meist erst durch Hackerangriffe aufgezeigt. Hacker sind dem Unternehmen damit regelmäßig einen Schritt voraus.

» mehr lesen
30
Jul
2015

Datenschutz und IT-Recht

Milliardenschäden durch organisierten Cyber-Diebstahl im Bankensektor

Nach Einschätzung des Präsidenten der BaFin gehören Cyberrisiken zu den "Toprisiken eines jeden Unternehmens". In seiner Rede zum Thema "Cyberrisiken - ein Thema für deutsche Banken?" am 08.07.2015 auf dem Bundesbank Symposium in Frankfurt am Main erklärt Felix Hufeld, Präsident der BaFin, "die Qualität der Cyberrisiken im Finanzsektor" habe "ein alarmierendes Niveau erreicht".

» mehr lesen
27
Jul
2015

Datenschutz und IT-Recht

Esche Datenschutz-Checkliste: Auftragsdatenverarbeitung für Auftraggeber

Dr. Frank Bongers

Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE-Datenschutz-Checklisten. Nahezu jedes Unternehmen lässt Daten verarbeiten. Die Bandbreite reicht über IT-Dienstleistungen, Gehaltsabrechnungen, Call-Center-Dienste, den Einsatz von Tracking-Tools bis hin zur Akten- und Datenträgervernichtung. In all diesen Fällen und selbst bei schlichten Wartungsarbeiten, bei denen Externe etwaigen Zugriff auf personenbezogene Daten haben, ist der Auftraggeber gefordert.

» mehr lesen
06
Jul
2015

Datenschutz und IT-Recht

Esche Datenschutz-Checkliste: Auftragsdatenverarbeitung für Auftragnehmer

Dr. Frank Bongers

Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE-Datenschutz-Checklisten. Nicht nur auf Datenverarbeitungsdienstleistungen spezialisierte Unternehmen, werden Auftragnehmer eine Auftragsdatenverarbeitung. Häufig erhalten Unternehmen in der Kooperation mit anderen Unternehmen Daten, um diese für Zwecke des anderen Unternehmens zu verarbeiten. Dies trifft besonders häufig in Konzernkonstellationen, in denen z. B. interne Dienstleistungen zentralisiert werden, zu.

» mehr lesen
01
Jul
2015

Datenschutz und IT-Recht

Esche Datenschutz-Checkliste: Outsourcing

Dr. Frank Bongers

Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE Datenschutz-Checklisten. Outsourcing, insbesondere IT-Outsourcing, führt fast immer auch zu einer Weitergabe personenbezogener Daten an den Dienstleister. Die frühzeitige Berücksichtigung des Datenschutzes verhindert, dass das Outsourcing-Projekt an unerkannten Datenschutzhindernissen scheitert.

» mehr lesen