Die „Corona-Kontaktlisten“ sind inzwischen ein etabliertes Mittel, damit Restaurants und Gaststätten trotz Corona Gäste bewirten können. Doch inzwischen zeigen sich erhebliche rechtliche Fragestellungen, insbesondere im Bereich des Datenschutzes. Ich versuche das hier kurz aufzugreifen und darzustellen für das Bundesland NRW.
Dazu auch: Verteidigung gegen Corona-Bussgeld
(mehr …)
Anwalt für DSGVO-Bussgeld – Anschreiben von der Landesdatenschutzbeauftragten NRW erhalten: Wenn Sie ein Anschreiben der Landesdatenschutzbeauftragten NRW bekommen, werden Sie erst einmal überrascht sein, vielleicht sogar in Sorge. In dem Anschreiben wird Ihnen ein mitunter kurzer Sachverhalt mitgeteilt, wobei Sie eine Frist erhalten, innerhalb derer Sie zur Stellungnahme aufgefordert werden.
(mehr …)Softwarepflegevertrag und gesetzliche Änderungen: Spätestens mit der Datenschutzgrundverordnung ab Mitte 2018 dürfte gerade in Fällen von Software im Bereich „Big Data“ und beim Kundenbezug die Frage aufkommen, ob eine Pflicht des Softwareanbieters zur Anpassung an gesetzliche Änderungen besteht. Tatsächlich dürfte dies mitunter in Betracht kommen, allerdings wird es auf den Einzelfall ankommen.
(mehr …)
Die Veränderung von Daten durch einen Arbeitnehmer kann schnell arbeitsrechtliche Fragen aufwerfen, insbesondere wenn es hierbei um Straftatbestände geht. Das Landesarbeitsgericht Köln (11 Sa 405/15) hatte beispielsweise einen Sachverhalt zu bewerten, der Verschränkungen zum IT-Strafrecht bietet: Frau A und Herr B arbeiten beim gleichen Arbeitgeber und sind liiert, wobei gegen Frau A der Verdacht des Arbeitszeitbetruges besteht. Sie wird freigestellt und händigt die überlassene Hardware aus. Nun plötzlich werden private Einträge in ihrem Kalender von aussen gelöscht, es kommt heraus, dass dies über den Account des Herrn B passierte. Liegt eine strafbare Datenveränderung vor?
Es ist soweit: Am 14.04.2016 wurde die „Datenschutzgrundverordnung“ durch das europäische Parlament beschlossen. Der Datenschutz steht damit ab 2018 vor tiefgreifenden Änderungen, Betriebe und Datenschützer haben nun noch gut 1 Jahr Zeit, um sich auf die Änderungen einzustellen.
Bereits im Juni 2015 kam die bis dahin stockende „Datenschutzgrundverordnung“ einen wesentlichen Schritt voran durch den einigenden Beschluss der EU-Justizminister. Damit wurde die Datenschutzgrundverordnung auch in der Öffentlichkeit ein Stück weit bekannter. Im Dezember 2015 kam dann der „Durchbruch“ in dem man sich auf einen Verordnungstext einigen konnte, seit April 2016 stand die finalisierte und beschlossene Fassung der Datenschutzgrund hinsichtlich der verschiedenen Sprachen fest, wobei Ende Oktober 2016 einige redaktionelle Änderung publiziert wurde.
Unternehmen sollten sich auf die Datenschutzgrundverordnung einstellen und ihre Prozesse umstellen. Der vorliegende Beitrag soll als erster kleiner Stichwort-Beitrag mit einer sehr kurzen Einführung dienen.
(mehr …)
Auftragsverarbeitung: Die Auftragsverarbeitung (früher im BDSG noch „Auftragsdatenverarbeitung“) ist inzwischen durchaus bekannt: Wenn jemand einen anderen Beauftragt, für ihn Daten zu verarbeiten, greift die Auftragsverarbeitung nach DSGVO.
Durch diese Regelung wird die Datenverarbeitung auf der einen Seite vereinfacht: Im Rahmen einer Auftragsdatenverarbeitung wird der eigentlich als „Dritte“ zu betrachtende Verarbeiter quasi eine Einheit mit dem Auftraggeber. Es liegt keine datenschutzrechtlich relevante „Übermittlung an einen Dritten“ vor, die eigentlich die Einwilligung des Betroffenen verlangen würde. Arbeitsprozesse werden somit effizienter. Auf der anderen Seite ist die Situation für den Betroffenen einfacher, er kann sich nämlich weiterhin an den Auftraggeber wenden um seine Rechte geltend zu machen – der Auftraggeber darf den Betroffenen nicht an den Auftragnehmer verweisen.
Doch es gibt Fallstricke – ein kurzer Überblick.
(mehr …)
Es ist ärgerlich genug, wenn ein Unternehmen Daten „verliert“ – neben einem wirtschaftlichen Schaden droht auch ein Imageschaden. Das ist Grund genug, darüber nachzudenken, die Angelegenheit zu „vertuschen“ und so zu tun, als wäre nichts geschehen. Für die Betroffenen, deren Daten ein Leck geschlagen haben, ist das ein problematisches Verhalten.
Kommt es in einem Unternehmen jedoch zu einem Datenleck – etwa durch einen Hackerangriff, verlorene Datenträger oder den Fehlversand von E-Mails –, stellt sich sofort die Frage nach Melde- und Benachrichtigungspflichten. Heute greifen nicht mehr die alten Regelungen des § 42a BDSG a. F., sondern ein abgestuftes System aus DSGVO (Art. 33, 34), BDSG sowie für zahlreiche Branchen das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und das BSIG.
(mehr …)