Französische Datenschutzbehörde erlässt gegen Google Bußgeldbescheid in Höhe von 50 Millionen Euro wegen Verstößen gegen die EU-Datenschutzgrundverordnung (DSGVO). Auch die deutschen Behörden haben bereits die ersten Bußgelder verhängt.
ArbeitsrechtDatenschutz und IT-Recht
Der ESCHE Arbeitsrechts-Adventskalender berichtet: Früher soll es zu Weihnachten Überraschungen gegeben haben. Und wenn dann völlig unerwartet für die Tochter des Hauses doch ein Pferd unter dem Weihnachtsbaum lag, war es ein Moment, den niemand der Beteiligten je wieder vergessen sollte.
ArbeitsrechtDatenschutz und IT-Recht
Mit einer neuen Entscheidung hat das Bundesarbeitsgericht (BAG) anscheinend eine Verwertung von Videoaufzeichnungen für zulässig erachtet, die nach einer weit verbreiteten Auffassung von Datenschutzrechtlern schon hätten gelöscht sein müssen. Arbeitgeber frohlocken – zur Recht?
Datenschutz und IT-RechtGewerblicher Rechtsschutz
Wer trägt die Verantwortung, wenn beim Verarbeiten von Daten auf Facebook-Fanpages datenschutzrechtliche Vorschriften verletzt werden? Facebook, der Betreiber der Fanpage, oder beide? Der EuGH hat Anfang Juni 2018 entschieden, dass die Betreiber der Fanseiten mitverantwortlich sind. Jetzt hat Facebook ein Datenschutz-Update für Seitenbetreiber angekündigt.
Datenschutz und IT-RechtGewerblicher RechtsschutzUnternehmensteuerrecht
Das Bundesministerium der Finanzen (BMF) nimmt mit Schreiben vom 27. Oktober 2017 (Dokument Nr. 2017/0894289) Stellung zu den sogenannten Inbound-Fällen – d. h. unter welchen Voraussetzungen ein ausländischer Lizenzgeber, der einem Lizenznehmer in Deutschland eine Software oder Datenbank zur Nutzung überlässt, der sogenannten beschränkten Steuerpflicht unterliegt. Das Schreiben ist insbesondere für deutsche Lizenznehmer von Bedeutung, weil diese im Falle des Eingreifens der beschränkten Steuerpflicht einen sogenannten Steuerabzug („Quellensteuer“) in Höhe von 15 % des gesamten Entgelts vornehmen müssen. Nimmt der deutsche Lizenznehmer den Abzug nicht vor, droht ihm, die Quellensteuer selbst tragen zu müssen.
Datenschutz und IT-RechtGewerblicher Rechtsschutz
Google und andere Suchmaschinen zeigen bei Eingabe von Orts-, Personen- oder Produktnamen häufig verkleinerte Vorschaubilder („Thumbnails“) an. Sind die Werke ohne Einwilligung des Urheberrechtsinhabers in das öffentlich zugängliche Netze eigestellt worden, stellt sich die Frage, ob in der Wiedergabe dieser Vorschaubilder oder in dem Setzen eines Links auf ein solches Vorschaubild eine Urheberrechtsverletzung in Form der unerlaubten öffentlichen Wiedergabe (§ 15 Abs. 2 Urheberrechtsgesetzt) liegt.
Datenschutz und IT-RechtGewerblicher Rechtsschutz
Google haftet als Störerin für Suchergebnisse, wenn diese auf rechtswidrige Veröffentlichungen von Bildnissen verweisen (LG Frankfurt a. M., Urt. v. 19.02.2017, Az. 2-03 S 16/16). Die Privilegierung des § 8 TMG ist nicht auf die Betreiber von Suchmaschinen anwendbar.
Der Bundesrat hat erwartungsgemäß am 12.05.2017 dem neuen Bundesdatenschutzgesetz (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) zugestimmt. ). Zuvor hatte – wie bereits berichtet – der Bundestag am 27.04.2017 das neue Bundesdatenschutzgesetz verabschiedet. Das Gesetz dient der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) und wird zeitgleich mit der DS-GVO am 25.05.2018 in Kraft treten. Unternehmen müssen daher bis zum 25.05.2018 die DS-GVO und das neuen Bundesdatenschutzgesetzes umsetzen.
Am 27. April 2017 hat der Bundestag das Datenschutzanpassungs- und Umsetzungsgesetz in der Fassung der Beschlussempfehlung verabschiedet. Das beschlossene Gesetz entspricht überwiegend dem vielfach kritisierten Entwurf der Bundesregierung aus dem Februar 2017.
Datenschutz und IT-RechtGewerblicher Rechtsschutz
Mit Beschluss vom 18.11.2016 hat das Landgericht Hamburg (Az.: 310 O 402/16) im Anschluss an die Rechtsprechung des EuGH (Urteil vom 8.9.2016, C-160/15 - GS Media) entschieden, dass sich derjenige haftbar machen kann, der auf seiner Internetseite einen Hyperlink auf eine andere Internetseite setzt. Der Verlinkende haftet, wenn die Internetseite, auf die der Link führt (die Quellseite), urheberrechtlich geschützte Werke enthält, die dort ohne Erlaubnis des Rechteinhabers zugänglich gemacht wurden.
Zehn deutsche Datenschutzaufsichtsbehörden beginnen in diesen Wochen eine konzertierte Prüfaktion von Unternehmen. Gegenstand der Prüfung ist der Transfer personenbezogener Daten in Staaten, die nicht Mitglieder der Europäischen Union oder des Europäischen Wirtschaftsraums sind. Nach dem Zufallsprinzip ausgewählte Unternehmen werden aufgefordert, dazu einen ausführlichen Fragebogen auszufüllen.
Geht’s um Kundendaten, ist für die Praxis die Frage besonders wichtig, ob und inwieweit die Kundendaten für Zwecke der Werbung verarbeitet werden dürfen. Die Möglichkeit, mit Kundendaten werben zu können, kann nicht nur für den weiteren Geschäftserfolg elementar sein, sie bestimmt zuweilen sogar maßgeblich den Wert des Unternehmens.
In Konzernen kooperieren und kommunizieren die einzelnen Konzernunternehmen miteinander in vielfältiger Weise. Dies ist häufig – wie z. B. bei der Zentralisierung von Personalaufgaben oder dem Customer Relationship Management – mit einer Übermittlung personenbezogener Daten zwischen den Konzerngesellschaften verbunden. Die Zulässigkeit der konzerninternen Datentransfers ist deshalb für Konzerne elementar.
Fragt man eine datenschutzrechtliche Aufsichtsbehörde, in welcher Art und Weise eine Datenverarbeitung am besten zu legitimieren sei, so hat diese in der Regel einen klaren Favoriten: Die Einwilligung des Betroffenen. Dies ist gut begründet, denn im Datenschutzrecht geht es um das Recht des Betroffenen, über die Verwendung seiner Daten möglichst weitgehend selbst zu bestimmen und nichts drückt dieses Recht besser aus, als eine Erklärung des Betroffenen. Dies gilt auch künftig bei der Anwendung der Datenschutz-Grundverordnung. Wichtige Details sind jedoch neu.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat Facebook ab sofort untersagt, personenbezogene Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Sofern Facebook personenbezogene Daten von WhatsApp-Nutzern erhalten hat, sollen diese gelöscht werden.
Die neue Datenschutz-Grundverordnung verlangt von allen Verantwortlichen unter vielen Aspekten ein planmäßiges Handeln, welches datenschutzrechtliche Überlegungen von Anfang an mit einbezieht. Dies zeigt sich nicht nur in zahlreichen Dokumentations- und Informationspflichten. In vielen Fällen muss der Verantwortliche zur Vermeidung eines Bußgeldes sogar im Vorfeld eine nachweisbare Prüfung der datenschutzrechtlichen Folgen durchführen.
Die Datenschutz-Grundverordnung (DS-GVO) sieht Geldbußen bis zu EUR 20 Mio. oder im Falle eines Unternehmens bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Das Bayerische Landesamt für Datenschutz (BayLDA) hat sich nun zur Bestimmung des Bußgeldrahmens bei Unternehmen geäußert. Danach könnten den Unternehmen Milliardenbußgelder drohen.
Wenn am 25.05.2018 die Datenschutz-Grundverordnung anzuwenden ist, ändern sich zahlreiche Begriffe und Definitionen. Dabei geht es häufig gar nicht um neue Inhalte. In vielen Fällen werden vertraute Begriffe sprachlich neu gefasst. Dieser Blog-Beitrag gibt einen Überblick über die Änderungen der Begriffe, die am häufigsten in der Praxis verwandt werden.
Noch ein neues Recht für die betroffenen Personen: Das Recht auf Datenübertragbarkeit. Dabei geht es ausnahmsweise nicht um ein Recht darauf, dass die für die Verarbeitung Verantwortlichen die personenbezogenen Daten nicht verarbeiten. Vielmehr sollen die speichernden Stellen gerade eine Übermittlung personenbezogener Daten unterstützen – wenn die betroffene Person dies will.
Persönlichkeitsrechte sind besonders gefährdet, wenn personenbezogene Daten öffentlich gemacht werden. Werden Daten z. B. im Internet veröffentlicht, reicht es in der Regel zum Schutz des Persönlichkeitsrechts nicht aus, dass die Stelle, die die Daten ursprünglich verarbeitet hatte, diese Daten löscht. Die Datenschutz-Grundverordnung will deshalb unter der Überschrift „Recht auf Vergessenwerden“ die Interessen der betroffenen Personen besser schützen.
Das Bundeskriminalamt (BKA) hat aktuell das Bundeslagebild Cybercrime 2015 veröffentlicht. Die allein in Deutschland für das Lagebild erfassten Fälle werden mit einer Gesamtschadenssumme von EUR 40,5 Mio. beziffert. Zudem gewinne z. B. das Geschäftsmodell „Cybercrime-as-a-Service“ zunehmend an Bedeutung.
Die Zulässigkeit einer Videoüberwachung ist ein zentrales Thema in Unternehmen. Dies ergibt sich bereits daraus, dass der Einsatz von Videokameras einerseits ein effektives Mittel z. B. zur Verhinderung oder Aufdeckung von Straftaten darstellt, andererseits die Überwachungsbänder im Falle eines Prozesses ggf. nicht verwertbar sind, wenn die Überwachung rechtswidrig war. Welche Regelungen zur Videoüberwachung gilt es daher nach dem Bundesdatenschutzgesetz (BDSG) zu beachten und was ändert sich mit der neuen DS-GVO?
Die Datenschutz-Grundverordnung (DS-GVO) regelt schon für den Zeitpunkt der Datenerhebung sehr umfangreiche Informationspflichten gegenüber den betroffenen Personen. Da die Informationen zum Teil etwaige datenschutzrechtliche „Schwachstellen“ erkennbar machen, muss schon im Vorfeld des Inkrafttretens der DS-GVO die Datenschutz-Compliance sichergestellt werden.
Mit Urteil vom 06.10.2015 hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen zum Austausch von Daten zwischen Unternehmen der EU und Unternehmen in den USA für ungültig erklärt. Nach diesem Urteil konnten Datentransfers in die USA lediglich auf Basis von Standardvertragsklauseln und Binding Corporate Rules erfolgen. Unternehmen, die nach wie vor eine Datenübermittlung in die USA auf die Safe-Harbor-Zertifizierung stützten, drohten Bußgelder bis zu EUR 300.000,00. Am Dienstag, den 12.07.2016, ist nun nach ewigem Tauziehen mit dem „Privacy Shield“ der neue Rechtsrahmen für den Datentransfer in die USA in Kraft getreten.
Informationspflichten bei der Datenerhebung sind nicht neu, die Datenschutz-Grundverordnung (DS-GVO) stößt jedoch insofern in neue Dimensionen vor. Dies führt nicht nur zu einem erheblichen Aufwand. Die Informationen werden zudem geeignet sein, datenschutzrechtliche „Schwachstellen“ sichtbar zu machen und werden sich deshalb als „Motor“ des neuen Datenschutzrechts erweisen.
Die neue EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und sieht bei Datenschutzverletzungen umfassende Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen vor. Soweit noch nicht erfolgt, sollten Unternehmen dringend interne Verfahren etablieren, um die Erfüllung dieser Pflichten sicherstellen zu können. Andernfalls droht den Unternehmen ein Bußgeld in Höhe von bis zu € 10 Mio. oder 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher der Beträge höher ist.
Datenschutzfragen stehen für viele Unternehmen bisher nicht ganz oben auf der Prioritätenliste. Daran haben die bisher bestehenden Bußgeldandrohungen des Bundesdatenschutzgesetzes (BDSG) wenig geändert. Die Datenschutz-Grundverordnung (DS-GVO) setzt jetzt jedoch neue Maßstäbe. Das höchstmögliche Bußgeld für den einzelnen Datenschutzverstoß erhöht sich um ca. das 66-fache und kann bei Unternehmen mit einem hohen weltweiten Jahresumsatz sogar darüber hinausgehen. Mit diesem Blog-Beitrag beginnt eine Serie, mit der wir Sie über die wesentlichen Neuerungen der DS-GVO regelmäßig informieren werden...
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten auf Basis des Safe-Harbor-Abkommens mit Bußgeldern geahndet.
Am 12.05.2016 hat der Generalanwalt am Europäischen Gerichtshof (EuGH), Manuel Campos Sánchez-Bordona, seine Schlussanträge zur Vorlagefrage des Bundesgerichtshofs (BGH) vorgestellt. Sánchez-Bordona schlägt dem EuGH vor, dynamischen IP-Adressen als personenbezogenes Datum zu klassifizieren.
Die EU-Datenschutz-Grundverordnung ist am 04.05.2016 im Amtsblatt veröffentlicht worden. Damit steht nun fest, ab wann sie anzuwenden ist.
Datenschutz und IT-RechtGewerblicher Rechtsschutz
Im Oktober 2015 stellte die „Bild“-Zeitung Personen, die auf Facebook flüchtlingsfeindliche Hassbotschaften verbreiteten, an den sog. "Pranger der Schande". Hierzu wurden die Facebook-Profilbilder und Kommentare der jeweiligen Personen auf „Bild“ und „Bild-Online“ veröffentlicht. Nach Auffassung des OLG München ist die Bild-Aktion rechtswidrig, da die Veröffentlichung der Facebook-Profilbilder die Persönlichkeitsrechte der Abgebildeten verletzt. Die Vorinstanz hatte noch anders entschieden.
Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) beteiligt sich an einer international koordinierten Datenschutzprüfung.
Am 14.04.2016 hat das Europäische Parlament die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ beschlossen. Bereits zuvor hatte der Europäische Rat die Verordnung angenommen. Somit steht einer Veröffentlichung im Amtsblatt nichts mehr entgegen.
Datenschutzkonferenz veröffentlicht Anforderungen zum Schutz von Gesundheitsdaten und stellt Forderung an den Gesetzgeber.
Wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auf seiner Webseite mitteilt, wurden in 2016 über 50 Unternehmen in Bayern nach dem Zufallsprinzip ausgewählt und deren Datenschutzorganisation zunächst auf Basis eines Fragebogens geprüft.
LG Hamburg verbietet Einsatz von Google Analytics ohne Nutzungshinweis in der Datenschutzerklärung im Wege der einstweiligen Verfügung.
Datentransfer in die USA auf Basis von Standardvertragsklauseln und Binding Corporate Rules bleibt vorerst zulässig.
Seit 2014 können sich die Bürger der Europäischen Union auf ein „Recht auf Vergessenwerden“ im Internet berufen. Diesen Anspruch hatte der Europäische Gerichtshof in einem Urteil im Mai 2014gegenüber Google (und allen anderen Betreiben von Internetsuchmaschinen) zuerkannt.
Die EU-Datenschutz-Grundverordnung kommt. Seit dem 16.12.2015 sind die Weichen gestellt. Nun liegt eine erste amtliche Übersetzung ins Deutsche vor.
Art. 29-Datenschutzgruppe will "EU-US Privacy Shield" prüfen. Datentransfer in die USA auf Basis von Standardvertragsklauseln und Binding Corporate Rules bleibt vorerst zulässig.
Moderne Informations- und Kommunikationstechnologie erlaubt es uns fast ortsunabhängig – also auch zu Hause – zu arbeiten. Die damit verbundene Zeitersparnis, Flexibilität und eine bessere Vereinbarung von Beruf und Familie machen Tätigkeiten im Home Office attraktiv.
Immer mehr Arbeitnehmer nutzen private Smartphones oder andere private IT-Geräte für dienstliche Zwecke. Zum Teil geschieht dies mit Wissen oder sogar auf Wunsch des Arbeitgebers. Häufig übernehmen Mitarbeiter jedoch die Initiative, weil die Grenzen zwischen Arbeits- und Privatleben besonders durchlässig sind oder sie schlicht über die bessere Technik verfügen.
Videokameras sind allgegenwärtig: Am Zugang zu Gebäuden, im Einzelhandel, an Tankstellen oder Bankautomaten, zur Überwachung von Produktionsabläufen, in öffentlichen Verkehrsmitteln und auf öffentlichen Plätzen.
Das VG Köln hat kürzlich entschieden, dass Googles E-Mail-Dienst "Gmail" in Deutschland als Telekommunikationsdienst angemeldet werden muss. Damit greifen unter anderem die Datenschutzregeln des deutschen Telekommunikationsgesetzes (TKG). Das Urteil könnte auch Auswirkungen auf viele andere Kommunikationsdienste haben.
Der Spielzeughersteller VTech ist offenbar Opfer eines Hacker-Angriffs geworden. Wie Spiegel-Online berichtet habe der Lernspielzeug-Hersteller VTech aus Hongkong mitgeteilt, dass die betroffenen Kinderprofile den jeweiligen Namen, das Geschlecht und das Geburtsdatum enthielten.
Das Bedrohungs- und Gefährdungspotenzial für Unternehmen durch digitale Angriffe wächst unaufhörlich, wie auch Studien nahelegen. Die Strafverfolgung nutzt den Unternehmen wenig, gerade in Sachen Datenschutz. Hier hilft nur Prävention – nach außen wie nach innen.
Ab November 2015 will der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBffDI) anhand eines "Drei-Phasen-Plans" konkrete Maßnahmen zur Umsetzung des Safe Harbor Urteils ergreifen. Ab Februar 2016 (dritte Phase) drohen den Unternehmen bei einer rechtswidrigen Datenübermittlung in die USA Untersagungsanordnungen und Bußgelder. Bis zur endgültigen Entscheidung der Datenschutzbehörden über die Folgen der Safe Harbor Entscheidung für alternative Übermittlungsinstrumente soll die Nutzung von Standardvertragsklauseln und BCR allerdings zulässig bleiben.
Der Hessische Datenschutzbeauftragte hat heute das bereits angekündigte "Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder" mit nachfolgendem Inhalt veröffentlich.
Nach ersten Medienberichten haben sich die deutschen Aufsichtsbehörden auf eine gemeinsame Position zu Safe Harbor geeinigt. Inhaltlich orientiere sich die Position an der Stellungnahme der Artikel-29-Datenschutzgruppe.
Es vergeht kaum eine Woche, in der nicht über einen neuen Hackerangriff beziehungsweise eine Cyberattacke berichtet wird. Sicher ist offenbar nur, dass nichts sicher ist. Dies mussten in der Vergangenheit selbst die europäische Zentralbank und der Bundestag feststellen.
Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig Holstein hält nach dem Safe-Harbor-Urteil eine Datenübermittlung auch auf Basis von Standardvertragsklauseln und Einwilligungserklärung nicht mehr für zulässig. Zugleich kündigt das ULD die Prüfung von Verboten und Ordnungswidrigkeitsverfahren an.
Nicht nur die Automobilindustrie sorgt in diesen Tagen für Schlagzeilen. Heute hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung zum Datenschutz getroffen und damit zugleich unzählige Unternehmen verunsichert. Das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen Unternehmen der EU und Unternehmen in den USA wurde für ungültig erklärt.
Mit seinem Urteil folgt der EuGH der Auffassung des Generalanwalts. Eine Pressekonferenz ist für 15.00 Uhr angekündigt.
Der Zugang eines Bußgeldbescheides verursacht in der Regel große Aufregung: und das zu Recht. Er kann nicht nur finanziell sehr belastend sein, sondern führt schon bei einem Bußgeld von nur knapp über € 200 zu einer Eintragung im Gewerbezentralregister. Zudem kann von den Betroffenen zum Anlass genommen werden, Schadensersatzforderungen geltend zu machen.
In dem Verfahren des Facebook-Kritikers Maximilian Schrems gegen die irische Datenschutzbehörde (Rechtssache C-362/14) bezweifelt der Generalanwalt am Gerichtshof der Europäischen Union (EuGH), Yves Bot, in seinen Schlussanträgen, dass auf der Grundlage der „Safe Harbor-Entscheidung“ der Europäischen Kommission ein angemessenes Datenschutzniveau für personenbezogene Daten in den USA besteht.
ArbeitsrechtDatenschutz und IT-Recht
Hat ein Arbeitgeber den Verdacht, dass ein Arbeitnehmer eine Arbeitsunfähigkeit vortäuscht, hofft er nicht selten, den Arbeitnehmer mit Videoaufnahmen aus dessen Privatleben überführen zu können. Dass dieser "Schuss" nach hinten losgehen kann, zeigt ein Urteil des Bundesarbeitsgerichts (BAG) vom 19.02.2015 (8 AZR 1007/13).
Kundendaten gehören bei vielen Asset Deals zu den wichtigsten Werten eines Unternehmens. Werden sie nicht richtig übertragen, sind sie für den Käufer aber wertlos. Und der Fehlkauf für alle Parteien noch das kleinste Problem, erklärt Karsten Krupna...
Der betriebliche Datenschutzbeauftragte hat primär die Aufgaben, auf die Einhaltung datenschutzrechtlicher Vorschriften hinzuwirken. Seine Bestellung ist in der Regel für jede verantwortliche Stelle Pflicht, es gibt aber auch gute Gründe unabhängig von der Pflicht einen betrieblichen Datenschutzbeauftragten zu bestellen.
Bei juristischen Mustern ist es wie mit einem Anzug von der Stange. Sie können passen, gewöhnlich bedarf es jedoch einer individuellen Überarbeitung.
Nach einem aktuellen Bericht der BBC hat ein Londoner Krankenhaus versehentlich die Namen und E-Mail-Adressen von 780 Patienten einschließlich Informationen über deren HIV-Infektion mit einem Newsletter versandt. Der Klinik droht nun ein Bußgeld. Auch in Deutschland gibt es vergleichbare Fälle...
Änderungen durch das neue IT-Sicherheitsgesetz betreffen auch Onlinedienste. Verstöße können mit Bußgeldern bis zu EUR 50.000,00 geahndet werden. Am 25.07.2015 ist das viel diskutierte IT-Sicherheitsgesetz in Kraft getreten. Danach müssen Betreiber von „kritischen Infrastrukturen“ Mindeststandards für die IT-Sicherheit beachten, um ihre Systeme insbesondere vor Cyberangriffen zu schützen.
Ausweislich der Pressemitteilung des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) vom 20. August 2015, wurde die Geldbuße gegen den Auftraggeber festgesetzt, weil das betreffende Unternehmen in seinen Verträgen zur Auftragsdatenverarbeitung „keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt“ hatte. Vielmehr „enthielten die Aufträge nur einige wenige pauschale Aussagen, und Wiederholungen des Gesetzestextes“.
Eine sehr praxisrelevante und dabei häufig unterschätzte Herausforderung ist das Auskunftsverlangen eines Betroffenen. Betroffener ist nach dem Bundesdatenschutzgesetz (BDSG) die Person zu der Daten gespeichert wurden. Jede Person hat nach § 34 BDSG gegenüber jeder Stelle, die personenbezogene Daten zu dieser Person gespeichert hat, Anspruch auf umfassende Auskunft über die gespeicherten Daten.
Trotz Einhaltung der gesetzlich vorgesehenen technischen und organisatorischen Maßnahmen, gibt es für Unternehmen keinen 100%igen Schutz gegen Hackerangriffe. Dies ist vor allem darauf zurückzuführen, dass bestehende Sicherheitslücken meist erst durch Hackerangriffe aufgezeigt. Hacker sind dem Unternehmen damit regelmäßig einen Schritt voraus.
Nach Einschätzung des Präsidenten der BaFin gehören Cyberrisiken zu den "Toprisiken eines jeden Unternehmens". In seiner Rede zum Thema "Cyberrisiken - ein Thema für deutsche Banken?" am 08.07.2015 auf dem Bundesbank Symposium in Frankfurt am Main erklärt Felix Hufeld, Präsident der BaFin, "die Qualität der Cyberrisiken im Finanzsektor" habe "ein alarmierendes Niveau erreicht".
Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE-Datenschutz-Checklisten. Nahezu jedes Unternehmen lässt Daten verarbeiten. Die Bandbreite reicht über IT-Dienstleistungen, Gehaltsabrechnungen, Call-Center-Dienste, den Einsatz von Tracking-Tools bis hin zur Akten- und Datenträgervernichtung. In all diesen Fällen und selbst bei schlichten Wartungsarbeiten, bei denen Externe etwaigen Zugriff auf personenbezogene Daten haben, ist der Auftraggeber gefordert.
Der Weitergabe von "gebrauchter" Software standen bisher erhebliche rechtliche Hürden entgegen. Unter anderem schien es nicht zulässig zu sein, eine von dem Softwarehersteller erworbene Lizenz aufzuspalten und das Recht zur Nutzung der Software nur für eine bestimmte Nutzerzahl weiterzuverkaufen.
Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE-Datenschutz-Checklisten. Nicht nur auf Datenverarbeitungsdienstleistungen spezialisierte Unternehmen, werden Auftragnehmer eine Auftragsdatenverarbeitung. Häufig erhalten Unternehmen in der Kooperation mit anderen Unternehmen Daten, um diese für Zwecke des anderen Unternehmens zu verarbeiten. Dies trifft besonders häufig in Konzernkonstellationen, in denen z. B. interne Dienstleistungen zentralisiert werden, zu.
Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE Datenschutz-Checklisten. Outsourcing, insbesondere IT-Outsourcing, führt fast immer auch zu einer Weitergabe personenbezogener Daten an den Dienstleister. Die frühzeitige Berücksichtigung des Datenschutzes verhindert, dass das Outsourcing-Projekt an unerkannten Datenschutzhindernissen scheitert.
