DSGVO – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Mon, 26 Aug 2024 13:04:36 +0000 de hourly 1 HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt https://www.datensicherheit.de/hmbbfdi-zwischenbilanz-2024-bussgelder-hoehe-130000-euro-verhaengung https://www.datensicherheit.de/hmbbfdi-zwischenbilanz-2024-bussgelder-hoehe-130000-euro-verhaengung#respond Mon, 26 Aug 2024 13:04:36 +0000 https://www.datensicherheit.de/?p=45206 HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

[datensicherheit.de, 26.08.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Zwischenbilanz für das laufende Jahr, 2024, gezogen: Demnach wurden bislang (d.h. bis einschließlich Juli 2024) Bußgelder in Höhe von 130.000 Euro verhängt. Die Verstöße gegen die Datenschutzgrundverordnung (DSGVO) betrafen demnach beispielsweise die Nichteinhaltung von Löschpflichten, technische Sicherheitslücken bei Kundenservice-Systemen, verspätete Auskünfte eines Inkassounternehmens und heimliche Badezimmeraufnahmen im privaten Kontext.

HmbBfDI-Bußgelder gegen Unternehmen

So sei wegen „verletzter Löschpflichten“ ein Bußgeld in Höhe von 11.500 Euro gegenüber einem Unternehmen aus der Werbewirtschaft festgesetzt worden, „dessen IT-System zudem technische Sicherheitslücken aufwies“. Gegenüber einem Hotel sei ein Bußgeldbescheid in Höhe von 16.000 Euro erlassen worden, „weil es Personalausweisdaten ohne rechtliche Grundlage erhoben und gespeichert hatte“.

Zwei Bußgelder in einer Höhe von insgesamt 45.000 Euro hätten Unternehmen zu zahlen, „deren Support-Ticket-Systeme technische Sicherheitslücken aufwiesen“. Ein Logistikunternehmen habe wegen der fehlerhaften Entsorgung von Zustellerlisten 32.000 Euro zahlen müssen und ein Online-Händler wegen der deutlich verspäteten Meldung einer Datenpanne 6.000 Euro.

Auch Polizisten und Privatpersonen wurden vom HmbBfDI mit Bußgeldern belegt

Gegen zwei Angehörige der Polizei seien Bußgelder verhängt worden, „weil sie für private Zwecke dienstliche Datenbankabfragen durchgeführt hatten“. Fünf Bußgelder mussten laut HmbBfDI Privatpersonen entrichten, „weil sie Fotografien von Personen ohne deren Einverständnis gemacht oder gespeichert hatten“. In einem Fall habe ein Mann seiner Nachbarin nachgestellt und ein Video von ihr im Badezimmer angefertigt.

Die Summe der Bußgelder, die bis Juli 2024 vom HmbBfDI erhoben wurden, ergebe sich aus insgesamt 14 Ordnungswidrigkeitsverfahren. „Zum Vergleich: Im gesamten Jahr 2023 gab es beim HmbBfDI acht abgeschlossene Bußgeldverfahren, im Jahr 2022 waren es 15.“

]]>
https://www.datensicherheit.de/hmbbfdi-zwischenbilanz-2024-bussgelder-hoehe-130000-euro-verhaengung/feed 0
Bei DSGVO-Verstößen haften Unternehmen auch für weisungswidriges Verhalten Beschäftigter https://www.datensicherheit.de/dsgvo-verstoesse-haftung-unternehmen-weisungswidrigkeit-verhalten-beschaeftigte https://www.datensicherheit.de/dsgvo-verstoesse-haftung-unternehmen-weisungswidrigkeit-verhalten-beschaeftigte#respond Fri, 12 Apr 2024 08:42:25 +0000 https://www.datensicherheit.de/?p=44478 Für eine Schuldbefreiung reicht es nicht aus, dass Unternehmen nachweisen, zu datenschutzkonformem Verhalten angewiesen zu haben

[datensicherheit.de, 12.04.2024] Die Noerr Partnerschaftsgesellschaft mbB – Rechtsanwälte Steuerberater Wirtschaftsprüfer – hat am 11. April 2024 gemeldet, dass Unternehmen auch für Datenschutzverstöße durch weisungswidriges Verhalten ihrer Mitarbeiter haften: Der Europäische Gerichtshof (EuGH) hat demnach am selben Tag entschieden, „dass ein Unternehmen grundsätzlich für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) haftet, wenn der Verstoß durch ein weisungswidriges Verhalten von Beschäftigten verursacht wurde“. Für eine mögliche Schuldbefreiung („Exkulpation“) des Unternehmens reiche es nicht aus, dass das Unternehmen nachweist, dass es seine Beschäftigten zu datenschutzkonformem Verhalten angewiesen hat. Vielmehr müsse sich das Unternehmen auch vergewissern, dass seine Weisungen von den Beschäftigten auch korrekt ausgeführt werden.

Unternehmen benötigen robuste Datenschutz-Governance

„Für Unternehmen bedeutet dies, dass sie eine datenschutzrechtliche Haftung nicht allein durch interne Richtlinien und andere Weisungen vermeiden können“, kommentiert Sebastian Dienst, „Associated Partner“ der Kanzlei Noerr.

Diese müssten somit weitere organisatorische und ggf. sogar technische Maßnahmen (TOM) ergreifen, um die Einhaltung ihrer Anweisungen auch tatsächlich sicherzustellen. Noerr erläutert: „Dies erfordert eine robuste Datenschutz-Governance, also eine wirksame Aufbau- und Ablauforganisation zur Umsetzung der datenrechtlichen Vorgaben mit klar definierten Verantwortlichkeiten und praktikablen Prozessen.“

Unternehmen sollten Datenschutz-Richtlinien durch Schulungen und Sensibilisierungsmaßnahmen verständlich vermitteln

Dr. Lea Stegemann, „Senior Associate“ der Kanzlei Noerr, berichtet: „Unserer Erfahrung nach haben viele Unternehmen bereits interne Richtlinien zum Datenschutz formuliert. Häufig sind diese Richtlinien jedoch eher realitätsfern und für Beschäftigte teilweise schwer verständlich.“

Umso wichtiger sei es in der Praxis, „die Inhalte solcher Richtlinien durch regelmäßige Schulungen und andere Sensibilisierungsmaßnahmen verständlich zu vermitteln und die Einhaltung der Datenschutzvorgaben auch tatsächlich zu kontrollieren, so Dr. Stegemann abschließend.

Weitere Informationen zum Thema:

InfoCuria Rechtsprechung
URTEIL DES GERICHTSHOFS (Dritte Kammer) / 11. April 2024 / In der Rechtssache C-741/21

]]>
https://www.datensicherheit.de/dsgvo-verstoesse-haftung-unternehmen-weisungswidrigkeit-verhalten-beschaeftigte/feed 0
EU-KI-Verordnung: BfDI begrüßt Ergänzung zur Datenschutz-Grundverordnung https://www.datensicherheit.de/eu-ki-verordnung-bfdi-begruessung-ergaenzung-datenschutz-grundverordnung https://www.datensicherheit.de/eu-ki-verordnung-bfdi-begruessung-ergaenzung-datenschutz-grundverordnung#respond Thu, 14 Mar 2024 17:06:45 +0000 https://www.datensicherheit.de/?p=44268 Der BfDI, Professor Ulrich Kelber, freut sich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte.]]>

Europäisches Parlament hat Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) verabschiedet

[datensicherheit.de, 14.03.2024] Laut einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 13. März 2024 hat das Europäische Parlament an diesem Tag die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) der EU verabschiedet. Der BfDI begrüßt demnach die europäische KI-Verordnung „als Ergänzung zur Datenschutz-Grundverordnung (DSGVO)“.

bfdi-professor-ulrich-kelber

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber rät aber auch der Bundesregierung, die Öffnungsklausel für striktere nationale Verbote zu nutzen

Durch die KI-Verordnung wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt

Der BfDI, Professor Ulrich Kelber, kommentiert: „Es freut mich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte. Die darin formulierten Anforderungen ergänzen bestehende Anforderungen und unterstützen deren Einhaltung. Dadurch wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt.“

Insbesondere begrüßt der BfDI nach eigenen Angaben, „dass die Datenschutzaufsichtsbehörden als Aufsicht für diverse Hochrisiko-KI-Systeme vorgesehen sind“.

Viele Vorgaben für Hochrisiko-KI-Systemeh haben engen Bezug zum Datenschutz

Viele der Vorgaben für Hochrisiko-KI-Systeme in der Verordnung hätten einen „engen Bezug zum Datenschutz“. So werde beispielsweise der Schutz vor automatisierter Entscheidung aus der DSGVO gestärkt und durch das Erfordernis menschlicher Aufsicht bei KI-unterstützten Entscheidungsfindungen erweitert.

Gleichzeitig bedauert der BfDI aber, dass einige der vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten (EDSB) in einer gemeinsamen Stellungnahme von 2021 geäußerten Kritikpunkte nicht umgesetzt worden seien: „Es ist ein Versäumnis, dass es kein klares Verbot biometrischer Fernerkennung im Öffentlichen Raum gibt. Die Bundesregierung sollte die Öffnungsklausel für striktere nationale Verbote nutzen.“

Weitere Informationen zum Thema:

edpb European Data Protection Board, 18.06.2021
EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie / EU-Kommission hat Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht

datensicherheit.de, 24.05.2022
KI-Whitepaper als Beitrag für kommende Umsetzung gesetzlicher Regulierung Künstlicher Intelligenz in der EU / TÜV-Verband, BSI und Fraunhofer stellen gemeinsames KI-Whitepaper „Towards Auditable AI Systems – From Principles to Practice“ vor

]]>
https://www.datensicherheit.de/eu-ki-verordnung-bfdi-begruessung-ergaenzung-datenschutz-grundverordnung/feed 0
Mehrjähriges WhatsApp-Verfahren: BfDI fordert Abschluss https://www.datensicherheit.de/whatsapp-verfahren-bfdi-forderung-abschluss https://www.datensicherheit.de/whatsapp-verfahren-bfdi-forderung-abschluss#respond Mon, 15 Jan 2024 22:03:19 +0000 https://www.datensicherheit.de/?p=43985 Die noch offenen Fragen des WhatsApp-Verfahrens sollten endlich abschließend geklärt werden

[datensicherheit.de, 15.01.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben ein Jahr nachdem die irische Datenschutzaufsichtsbehörde DPC einen Beschluss in Sachen „WhatsApp“ erlassen hat gefordert, „dass die offenen Fragen des Verfahrens endlich abschließend geklärt werden“.

BfDI hatte Beschwerde in der Sache WhatsApp an die zuständige irische Aufsichtsbehörde DPC weitergeleitet

In einer Beschwerde – mit Geltung der DSGVO am 25. Mai 2018 gegen den Messengerdienst eingereicht – hatte sich die Beschwerdeführerin demnach dagegen gewandt, dass Nutzer die im Zuge der DSGVO-Einführung geänderten Nutzungsbedingungen und die damit verbundene Datenschutzrichtlinie akzeptieren müssen, um diesen Messengerdienst nutzen zu können: Dies sei eine erzwungene Einwilligung und es sei nicht klar, auf welche Rechtsgrundlage „WhatsApp“ einzelne Verarbeitungsvorgänge stütze.

Als innerdeutsch für Telekommunikationsdienste (zu denen auch „WhatsApp“ zählt) zuständige Datenschutzaufsichtsbehörde hatte der BfDI diese Beschwerde an die für das Unternehmen mit Sitz in Dublin federführend zuständige irische Aufsichtsbehörde DPC weitergeleitet.

EDSA: WhatsApp hatte in unzulässiger Weise personenbezogene Daten verarbeitet

Nach fast vier Jahren Verfahrensgang habe die DPC am 1. April 2022 den europäischen Datenschutzaufsichtsbehörden einen Beschlussentwurf übermittelt. Gegen diesen Beschlussentwurf hätten die deutschen sowie die finnische, französische, italienische, niederländische und die norwegische Danteschutzaufsichtsbehörden Einsprüche eingelegt. Da über wesentliche Punkte dieser Einsprüche keine Einigung mit der DPC habe hergestellt werden können, sei ein sogenanntes Streitbeilegungsverfahren vor dem Europäischen Datenschutzausschuss (EDSA) eingeleitet worden.

Auf dieses Streitbeilegungsverfahren hin habe der EDSA am 5. Dezember 2022 den verbindlichen Beschluss 5/2022 verabschiedet und darin die DPC angewiesen, ihren Beschluss zu ändern und festzustellen, dass „WhatsApp“ in unzulässiger Weise personenbezogene Daten seiner Nutzer zu Zwecken der Serviceverbesserungen und der Sicherheit verarbeite. Dem sei die DPC dann mit ihrem am 12. Januar 2023 erlassenen Beschluss nachgekommen.

Abschließende Bewertung der von WhatsApp getroffenen Maßnahmen noch offen

„Eine abschließende Bewertung, ob die auf den Beschluss seitens ,WhatsApp’ getroffenen Maßnahmen hinreichend sind, um den DPC-Beschluss umzusetzen und den Dienst datenschutzkonform nutzen zu können, steht derzeit aus“, so der BfDI.

Zudem habe der EDSA der DPC aufgegeben, zu untersuchen, ob „WhatsApp“ (sensible) personenbezogene Daten für Zwecke der verhaltensbezogenen Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen verarbeitet und ob dies im Einklang mit der DSGVO geschieht. Auch diese Untersuchungen stehen laut BfDI derzeit noch aus. Er setze sich gegenüber der DPC und im EDSA für eine vollständige Klärung der offenen Fragestellungen und einen zügigen Abschluss dieses Verfahrens ein.

Weitere Informationen zum Thema:

DPC Data Protection Commission, 12.01.2023
In the matter of the General Data Protection Regulation DPC Inquiry Reference: IN-18-5-6 / In the matter of JG, a complainant, concerning a complaint directed against WhatsApp Ireland Limited in respect of the WhatsApp Service / Decision of the Data Protection Commission made pursuant to Section 113 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation / Further to a complaint-based inquiry commenced pursuant to Section 110 of the Data Protection Act 2018

edpb European Data Protection Board, 05.12.2022
Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR)

datensicherheit.de, 14.05.2021
Kein Grund zur Beruhigung: Neue WhatsApp-Datenschutzrichtlinien treten in Kraft / Angebot von WhatsApp wird zu einem unlösbaren Widerspruch

datensicherheit.de, 13.04.2021
Neue WhatsApp-Nutzungsbedingungen: Dringlichkeitsverfahren gegen Facebook / Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Messengerdienste

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Zusammenarbeit der Aufsichtsbehörden in Deutschland und Europa nach der DSGVO

]]>
https://www.datensicherheit.de/whatsapp-verfahren-bfdi-forderung-abschluss/feed 0
Zyklus-Apps: Verbraucherzentrale moniert Datenschutz-Defizite https://www.datensicherheit.de/zyklus-apps-verbraucherzentrale-moniert-datenschutz-defizite https://www.datensicherheit.de/zyklus-apps-verbraucherzentrale-moniert-datenschutz-defizite#respond Thu, 28 Sep 2023 16:16:49 +0000 https://www.datensicherheit.de/?p=43523 App-Anbieter antworten zumeist nur unzureichend auf Auskunftsersuchen

[datensicherheit.de, 28.09.2023] Der Verbraucherzentrale Bundesverband (vzbv) hat nach eigenen Angaben zusammen mit der Stiftung Warentest überprüft, „wie zwölf ausgewählte Zyklus-App-Anbieter auf das Auskunftsrecht reagieren“. Diese Zyklus-Apps verarbeiten demnach mehrheitlich personenbezogene Daten und so sind die App-Anbieter verpflichtet, auf Anfrage individuelle Auskünfte zur Datenverarbeitung zu geben. Der vzbv fordert daher von den App-Anbietern die Einhaltung der DSGVO und verständliche Antworten auf Auskunftsersuchen von Verbraucherinnen sowie die Nennung der Betroffenenrechte.

Zyklus-Apps bieten Nutzerinnen Möglichkeit zur Dokumentation sensibler Daten

Zyklus-Apps sollen Nutzerinnen die Möglichkeit bieten, sensible Daten zum Monatszyklus zu dokumentieren: „Dazu gehören Angaben zur Menstruation, zum Beispiel Anfangs- und Enddatum der Periode oder Informationen zu körperlichen und seelischen Beschwerden.“ Auch Gründe für die Nutzung könnten in diesen Apps hinterlegt werden – wie etwa Verhütung oder Schwangerschaftswunsch. Mittels der in der App eingegebenen Daten könnten Prognosen zu den fruchtbaren Tagen und dem Einsetzen der nächsten Regelblutung getroffen werden.

„Zyklus-Apps bieten viele Vorteile: von Erinnerungen an die Periode über Unterstützung bei der Verhütung bis hin zur Planung einer Schwangerschaft. Gerade bei diesen intimen Themen müssen sich Verbraucherinnen darauf verlassen können, dass ihr Recht auf Auskunft ernst genommen und transparent beantwortet wird“, betont Sandra Krüger, Referentin im Projekt „Verbraucherschutz bei digitalen Gesundheitsangeboten“ im vzbv. Vage oder ausbleibende Antworten der Anbieter seien für Verbraucherinnen nicht tragbar.

Antworten der App-Anbieter auf Auskunftsersuchen zumeist unzureichend

In der Untersuchung seien im Namen von drei App-Nutzerinnen umgangssprachlich formulierte Auskunftsersuchen an die zwölf ausgewählten App-Anbieter gestellt worden. „Die Nutzerinnen wollten wissen, ob und welche Daten über sie verarbeitet werden und wen sie bei Fragen zum Datenschutz kontaktieren können.“ Von den zwölf Zyklus-Apps würden sechs Anbieter personenbezogene Daten verarbeiten. Diese haben laut vzbv „den Großteil der an sie gerichteten Anfragen (insgesamt 15 von 17) nicht vollständig gemäß Artikel 15 DSGVO beantwortet“. Beispielsweise habe keiner dieser sechs Anbieter in allen drei Anfragen vollständig die Betroffenenrechte genannt.

Persönliche Daten von Nutzerinnen verarbeitende Zyklus-App-Anbieter seien aufgrund der DSGVO verpflichtet, auf Anfrage eine individuelle Auskunft, unter anderem zu Verarbeitungszwecken, Datenkategorien und Speicherdauer, zu geben. Für Verbraucherinnen könne das Auskunftsersuchen ein erster Schritt sein, um danach weitere Betroffenenrechte auszuüben, wie zum Beispiel die Löschung oder Korrektur von Daten.

Verbraucherinnen sollten bereits vor App-Download bewusste Entscheidung für oder gegen Nutzung treffen können

Krüger führt aus: „Anbieter sollten sensibilisiert sein, auch formlose Auskunftsanfragen zu erkennen und nicht nur solche, die explizit die gesetzliche Grundlage gemäß Artikel 15 DSGVO nennen. Die Auskunftsanfragen müssen klar und verständlich beantwortet werden und Nutzerinnen müssen auf ihre Betroffenenrechte hingewiesen werden.“

Bereits in der Datenschutzerklärung sollten App-Anbieter alle tatsächlich durchgeführten Datenverarbeitungsschritte für die jeweilige App nachvollziehbar erklären, damit Verbraucherinnen in der Lage sind, „bereits vor dem Download eine bewusste Entscheidung für oder gegen eine Nutzung der App zu treffen“.

Weitere Informationen zum Thema:

Stiftung Warentest, 28.09.2023
Zyklus-Apps im Test App statt Pille? Nur selten verlässlich

verbraucherzentrale, 21.01.2020
Auskunft über personenbezogene Daten: interaktive Briefvorlage

]]>
https://www.datensicherheit.de/zyklus-apps-verbraucherzentrale-moniert-datenschutz-defizite/feed 0
Bundesdatenschutzgesetz: Novelle sieht Datenschutzkonferenz als etabliertes Format an https://www.datensicherheit.de/bundesdatenschutzgesetz-novelle-datenschutzkonferenz-etablierung-format https://www.datensicherheit.de/bundesdatenschutzgesetz-novelle-datenschutzkonferenz-etablierung-format#respond Mon, 18 Sep 2023 08:53:26 +0000 https://www.datensicherheit.de/?p=43441 Zusammenarbeit der deutschen Datenschutzaufsichtsbehörden soll gesetzlich anerkannt werden

[datensicherheit.de, 18.09.2023] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat in seinem Kommentar vom 7. September 2023 das neue Bundesdatenschutzgesetz als „Fortschritt“ bezeichnet, fordert aber dazu auf, die „Länderrolle“ widerzuspiegeln.

Bundesdatenschutzgesetz soll Datenschutz-Grundverordnung ergänzen und präzisieren

Anfang August 2023 hat demnach das Bundesinnenministerium den Entwurf für ein novelliertes Bundesdatenschutzgesetz veröffentlicht – die deutschen Datenschutzbehörden haben dazu Position bezogen. Der LfDI RLP, Prof. Dr. Dieter Kugelmann, hat nach eigenen Angaben daran wesentlich mitgewirkt: „Wir haben einige Punkte identifiziert, die der Nachschärfung bedürfen. An einem Punkt ist der Entwurf ein Fortschritt: Erstmalig wird darin die schon lange existierende Datenschutzkonferenz als etabliertes Format der Zusammenarbeit zwischen den deutschen Datenschutzaufsichtsbehörden gesetzlich anerkannt.“

Das Bundesdatenschutzgesetz ergänze und präzisiere die Datenschutz-Grundverordnung (DSGVO) der EU in Bereichen, welche die EU-Staaten jeweils selbst ausgestalten dürften. In Deutschland regele das Bundesdatenschutzgesetz den Datenschutz bei privaten Unternehmen sowie Einrichtungen und insbesondere auch die Zuständigkeiten der Datenschutzaufsichtsbehörden der Länder und des Bundes.

Datenschutzkonferenz soll gesetzlich festgeschrieben werden

Die im Entwurf nun faktisch vorgesehene Institutionalisierung der Datenschutzkonferenz (DSK) hätten die 18 deutschen Datenschutzaufsichtsbehörden in ihrer gemeinsamen Stellungnahme ausdrücklich begrüßt. Die DSK sei als Format für die gelingende Zusammenarbeit der Behörden seit Langem etabliert. Professor Kugelmann leitet den im Jahr 2020 gegründeten Arbeitskreis „DSK 2.0“, welcher auf die weitere Intensivierung und Professionalisierung hinarbeiten soll. Schon heute habe die DSK eine Geschäftsordnung und lasse Mehrheitsbeschlüsse zu.

„Der vorliegende Gesetzentwurf schreibt insoweit die Fortschritte fest, die wir in den vergangenen Monaten erzielt haben. Das ist gut.“ Was in diesem Gesetzentwurf jedoch fehle, sei die Einrichtung einer DSK-Geschäftsstelle. Professor Kugelmann betont: „Die Datenschutzkonferenz braucht eine Geschäftsstelle, um dauerhaft effizient arbeiten zu können. Ich bedaure, dass die Chance zur organisatorischen Festlegung des Gremiums im Gesetzentwurf noch nicht genutzt wurde. Ich werde mich weiter für die Einrichtung einer Geschäftsstelle einsetzen.“

Zuständigkeit der Länder für den Datenschutz auf föderaler Ebene und Mitwirkung auf EU-Ebene

Neben der gemeinsamen DSK-Stellungnahme haben die Landesdatenschutzaufsichtsbehörden laut LfDI RLP eine zweite, eigene Stellungnahme an das Bundesinnenministerium geschickt. Diese Stellungnahme der Länder gehe insbesondere auf diejenigen Aspekte des Gesetzentwurfs ein, welche die Verteilung der Zuständigkeiten der Aufsichtsbehörden auf föderaler Ebene und die Mitwirkung auf der Ebene der EU betreffen. Professor Kugelmann moniert: „Einige der vorgesehenen Änderungen fallen hinter die Lösungen zurück, die die Aufsichtsbehörden in der Praxis für eine schnelle und gute Abstimmung schon gefunden haben.“

Die Stellungnahme formuliere daher aus Ländersicht konstruktive Vorschläge zu denjenigen Passagen im Gesetzentwurf, welche etwa länderübergreifende Datenverarbeitungsvorhaben und die deutsche Vertretung auf EU-Ebene betreffen. Abschließend unterstreicht Professor Kugelmann: „Als rheinland-pfälzischer Landesdatenschutzbeauftragter leitet mich stets das Ziel, eine einheitliche Anwendung der DS-GVO für alle Bürgerinnen und Bürger, die Wirtschaft und die Verwaltung zu erreichen, ohne die zahlreichen Vorteile der regionalen Zuständigkeit zu verlieren.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 06.09.2023
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

LfDI RLP, 06.09.2023
Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

]]>
https://www.datensicherheit.de/bundesdatenschutzgesetz-novelle-datenschutzkonferenz-etablierung-format/feed 0
5 Jahre DSGVO mahnen zum Verzicht auf löchrige Schutzschilde https://www.datensicherheit.de/5-jahre-dsgvo-mahnung-verzicht-loecher-schutzschilde https://www.datensicherheit.de/5-jahre-dsgvo-mahnung-verzicht-loecher-schutzschilde#respond Wed, 31 May 2023 11:36:10 +0000 https://www.datensicherheit.de/?p=43230 owncloud-holger-dyroffDie DSGVO der EU sei anstrengend, aber eine Erfolgsgeschichte, so Holger Dyroff in seiner aktuellen Stellungnahme.]]> owncloud-holger-dyroff

Holger Dyroff kommentiert DSGVO-Jubiläum

[datensicherheit.de, 31.05.2023] Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) sei anstrengend, aber eine Erfolgsgeschichte, kommentiert Holger Dyroff, Co-Founder und „COO“ von ownCloud, und fordert: „Die Europäische Kommission sollte das fünfjährige Jubiläum der DSGVO dazu nutzen, noch einmal genau über ,Privacy Shield 2.0‘ nachzudenken!“

owncloud-holger-dyroff

Foto: ownCloud

Holger Dyroff: Unternehmen drohen bei Einsatz US-amerikanischer Cloud-Lösungen weitere Jahre der Rechtsunsicherheit!

DSGVO hat allgemeines Problembewusstsein für Datenschutz geschärft

„Die DSGVO feiert fünfjähriges Jubiläum. Seit dem 25. Mai 2020 ist die Europäische Datenschutzgrundverordnung in Kraft. Auch wenn sie bei ihrer Einführung die Verantwortlichen viele Nerven gekostet hat, kann sie als Erfolgsgeschichte gelten“, so Dyroff. Sie habe etwa äußerst Erfreuliches bewirkt – nämlich das allgemeine Problembewusstsein für den Datenschutz geschärft.

Dafür hätten nicht zuletzt die vielen Schlagzeilen über die „saftigen Bußgelder“ gesorgt, welche „wegen Verstößen gegen die DSGVO verhängt“ wurden. Selbst mächtige US-Player müssten vor ihr zittern. Das habe jüngst auch der Meta-Konzern zu spüren bekommen, welcher wegen der Weitergabe von europäischer „facebook“-Nutzerdaten in die USA zu einer Rekordsbuße von 1,2 Milliarden Euro „verdonnert“ worden sei.

DSGVO als Erfolgsgeschichte findet weltweit Nachahmer

Dass die DSGVO eine Erfolgsgeschichte sei, zeige auch die Tatsache, dass sie viele Nachahmer weltweit gefunden habe: Australien, Brasilien, Südkorea, Thailand und sogar US-Staaten wie Kalifornien hätten sie sich bei ihren Datenschutzgesetzen diese zum Vorbild genommen. „Und am 1. September 2023 wird in der Schweiz das neue Datenschutzgesetz (nDSG) in Kraft treten. Es wird die Rechte der Schweizer Bürgerinnen und Bürger im Digitalen Zeitalter stärken und den Datenschutz der Eidgenossenschaft auf ein mit den EU-Staaten vergleichbares Niveau heben – indem es sich ebenfalls an der DSGVO orientiert.“

Dass Unternehmen sich an die Vorgaben der EU-DSGVO halten sollten, verstehe sich praktisch von selbst. Zu den vielen guten moralischen, rechtlichen und finanziellen Gründen komme jetzt nach fünf Jahren ein weiterer guter Grund hinzu: „Unternehmen müssen sich bei Verstößen künftig auch auf Schadenersatzforderungen für immaterielle Schäden gefasst machen.“ In einem Grundsatzurteil habe der Europäische Gerichtshof (EuGH) Anfang Mai 2023 bestätigt, dass Betroffene von Verstößen für immaterielle Beeinträchtigungen wie beispielsweise Bloßstellung Schadenersatz fordern könnten – ähnlich dem Schmerzensgeld bei Körperverletzungen. Für Unternehmen sei es deshalb wichtiger denn je, saubere Prozesse zur Erfüllung ihre Pflichten zu implementieren.

Daten europäischer Bürger bei US-Unternehmen nicht genug im Sinne der DSGVO geschützt

Für die Europäische Kommission wäre das fünfjährige Jubiläum eigentlich der ideale Anlass, noch einmal in sich zu gehen. Sie sei nämlich derzeit im Begriff, ein drittes Mal denselben Fehler zu begehen: „In den vergangenen Jahren kippte der Europäische Gerichtshof bereits zwei Abkommen der Kommission mit den USA. Erst sollte ,Safe Harbor’ und dann ,Privacy Shield’ einen sicheren Datentransfer von Europa nach Amerika gewährleisten, doch die obersten europäischen Richter zogen beides Mal die Notbremse“, ruft Dyroff in Erinnerung. „Wegen der umfassenden Zugriffsrechte der amerikanischen Geheimdienste, so ihre Begründung, seien die personenbezogenen Daten europäischer Bürger bei US-Unternehmen nicht genug im Sinne der DSGVO geschützt.“

Vor Kurzem hätten sich die EU-Kommission und die US-Regierung auf eine neue Regelung geeinigt, der dasselbe Schicksal drohe: „Es deutet nämlich nichts darauf hin, dass sich an den amerikanischen Überwachungsgesetzen – und damit am Grundproblem – irgendetwas ändern wird.“ Datenschützer gingen deshalb davon aus, dass der Europäische Gerichtshof auch dieses „Privacy Shield 2.0“-Abkommen wieder kassieren werde. Unternehmen drohten dann beim Einsatz US-amerikanischer „Cloud“-Lösungen weitere Jahre der Rechtsunsicherheit. Um das zu verhindern, sollte die Europäische Kommission sich anlässlich des DSGVO-Jubiläum darauf besinnen, was es wirklich bräuchte: „Ein .No Spy’-Abkommen mit den USA, das den Verzicht auf geheimdienstliche Aktivitäten garantiert“, betont Dyroff und stellt klar: „Bis zu einem solchen Abkommen gilt, dass die Clouds von US-Anbietern für persönliche Daten nicht rechtssicher genutzt werden können.“ Es sei gut, dass es digital souveräne Lösungen als Alternativen gebe.

Weitere Informationen zum Thema:

datensicherheit.de, 25.05.2023
5 Jahre DSGVO: Professor Kelber zieht positives Fazit / Datenschutz-Grundverordnung (DSGVO) ein europäisches Erfolgsmodell

]]>
https://www.datensicherheit.de/5-jahre-dsgvo-mahnung-verzicht-loecher-schutzschilde/feed 0
5 Jahre DSGVO: Professor Kelber zieht positives Fazit https://www.datensicherheit.de/5-jahre-dsgvo-professor-kelber-zieht-positives-fazit https://www.datensicherheit.de/5-jahre-dsgvo-professor-kelber-zieht-positives-fazit#respond Thu, 25 May 2023 18:42:52 +0000 https://www.datensicherheit.de/?p=43224 bfdi-professor-ulrich-kelber-600-kleinZu den Ländern, welche sich an der DSGVO orientieren, gehören u.a. Japan, Korea, Israel, Brasilien und immer mehr US-Staaten.]]> bfdi-professor-ulrich-kelber-600-klein

Datenschutz-Grundverordnung (DSGVO) ein europäisches Erfolgsmodell

[datensicherheit.de, 25.05.2023] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bewertet nach eigenen Angaben die Datenschutz-Grundverordnung (DSGVO) als „europäisches Erfolgsmodell“, welches demnach eine verbesserte Rechtsdurchsetzung garantiert.

bfdi-professor-ulrich-kelber-klein

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber fordert eine Herstellerhaftung auch im Datenschutz

DSGVO hat in Europa neuen Standard mit Vorbildcharakter gesetzt

„Zu Beginn gab es natürlich einige Unsicherheit bei allen Beteiligten, wie sie bei der Einführung eines großen, neuen Rechtssystems vollkommen normal sind. Inzwischen bewegen wir uns zunehmend in sicherem und berechenbarem Fahrwasser“, kommentiert der BfDI, Prof. Ulrich Kelber:. Gerade die letzten Entscheidungen in grenzüberschreitenden Fällen hätten dabei gezeigt, dass sich auch die großen internationalen Anbieter an Recht und Gesetz halten müssten.

Zur Vorbildwirkung führt Professor Kelber aus: „Die DSGVO hat in Europa einen neuen Standard gesetzt, der zunehmend weltweit Eingang in die Datenschutzregeln anderer Länder findet. Auch sie wollen so einen freien Datenverkehr ermöglichen, der Vertrauen bei den Bürgerinnen und Bürgern findet.“ Zu den Ländern, welche sich an der DSGVO orientieren, gehörten u.a. Japan, Korea, Israel, Brasilien und immer mehr US-Staaten.

DSGVO hilft, geltendes Recht durchzusetzen

Zukünftige Herausforderungen sieht der BfDI insbesondere bei der konkreten Regulierung von neuen Technologien, wie z.B. Künstlicher Intelligenz (KI). Für die Zukunft formuliert er zwei konkrete Wünsche: „Bei den großen, grenzüberschreitenden Fällen brauchen wir eine schnellere Bearbeitung, damit diese über den einzelnen Fall hinaus Signalwirkung entfalten und Rechtssicherheit schaffen können.“

Es sei wichtig, geltendes Recht durchzusetzen. Außerdem werde eine Herstellerhaftung auch im Datenschutz benötigt. „Es kann nicht sein, dass vor allem kleine und mittlere Unternehmen dafür datenschutzrechtlich geradestehen müssen, was eigentlich Aufgabe der Microsofts, Googles und AWS dieser Welt wäre“, so Professor Kelber abschließend. Dies gelte umso mehr, wenn zunehmend KI-Systeme zum Einsatz kommen.

Weitere Informationen zum Thema:

datensicherheit.de, 24.05.2022
4 Jahre Datenschutz-Grundverordnung: DSGVO-Konformität kann auch vor Ransomware-Schäden schützen / Michael Scheffler rät, DSGVO-Vorteile gerade auch für Unternehmen noch stärker ins Blickfeld zu nehmen

datensicherheit.de, 18.10.2021
PSW GROUP: Mahnung zur Einhaltung der DSGVO / DSGVO-Bußgelder könnten schnell existenzbedrohend werden

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

]]>
https://www.datensicherheit.de/5-jahre-dsgvo-professor-kelber-zieht-positives-fazit/feed 0
Tipps zum Website-Check auf Datenschutzkonformität https://www.datensicherheit.de/tipps-website-check-datenschutzkonformitaet https://www.datensicherheit.de/tipps-website-check-datenschutzkonformitaet#respond Mon, 22 May 2023 20:16:22 +0000 https://www.datensicherheit.de/?p=43209 psw-group-patrycja-schrenkWebsite-Betreiber setzen Cookies ein, um Tracking, Analysen und verschiedene Funktionen zu ermöglichen. Doch gibt es immer mehr Anforderungen an den Datenschutz.]]> psw-group-patrycja-schrenk

DSGVO-konformer Betrieb einer Website ist eine komplexe Angelegenheit

[datensicherheit.de, 22.05.2023] „Eine Website DSGVO-konform zu betreiben ist eine komplexe Angelegenheit: Im Hintergrund werden zahlreiche Plugins, externe Ressourcen und andere Quellen geladen“, betont die PSW GROUP in ihrer aktuellen Stellungnahme. Website-Betreiber setzten sogenannte Cookies ein, um Tracking, Analysen und verschiedene Funktionen zu ermöglichen. Gleichzeitig gebe es aber auch immer mehr Verordnungen, Gesetze und Anforderungen an den Datenschutz, die erfüllt werden müssten. Immer wieder verschickten findige Rechtsanwälte Abmahnungen wegen nicht korrekter Einstellungen. „Ob berechtigt oder nicht: Für Website-Betreiber ist es allemal unnötig und nervig, sich damit auseinanderzusetzen – und häufig auch teuer.“

psw-group-patrycja-schrenk

Foto: PSW GROUP

Patrycja Schrenk: DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich!

Tools helfen Betreibern selbst zu testen, ob die eigene Website auch wirklich datenschutzkonform ist

Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gibt zu bedenken: „Die DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich. Der größte Aufwand liegt in der Identifizierung von Webseiten-Erweiterungen und Cookies.“ Auch die Information der Betroffenen sei ein weiterer Punkt, „der Hürden bereithält“. Denn zum Einen müsse der Grundsatz der Transparenz gewährleistet sein und eine einfache Sprache verwendet werden, zum Anderen müssten die rechtlichen Vorgaben erfüllt werden. Gerade letzteres führe dazu, dass Datenschutzerklärungen zu langen Rechtstexten mutierten und es für Laien schwierig werde, zu verstehen, worum es eigentlich geht.

Immerhin: Dank einiger Tools könne jeder Website-Betreiber selbst testen, ob die eigene Website auch wirklich datenschutzkonform ist: „Tatsächlich gibt es eine Unmenge an brauchbaren Tools zur Analyse. Mit ,Qualys’, den Entwicklertools im Browser und ,Cookiedatabase’ können wir jedoch drei Tools wirklich jedem ans Herz legen, da diese sich in unserem Alltag als Datenschützer bewährt haben.“

Qualys SSL-Labs misst Sicherheit einer SSL-verschlüsselten Website

„Qualys SSL-Labs“ misst demnach die Sicherheit einer SSL-verschlüsselten Website: Verschiedene Parameter – beispielsweise der Einsatz von „Perfect Forward Secrecy“ (PFS) – werden zur Bewertung herangezogen. „Konkret untersucht der kostenlose Online-Test die SSL-Zertifikatskette von Webseiten. Das Sicherheitsprotokoll SSL dient der Verschlüsselung sensibler Daten während einer Online-Übermittlung. Des Weiteren werden auch die Übertagungsprotokolle geprüft – je aktueller, je besser“, erläutert Schrenk. Für den Test werde einfach die Domain eingegeben, den Rest erledige das Tool. Ratings zwischen „A“ bis „F“ bewerteten die Website dann von „ausgezeichnet“ bis „extrem unsicher“.

Mit den sogenannten „Entwicklertools“ stehe gleich eine ganze Kollektion hilfreicher Werkzeuge bereit, die jeder Webbrowser kostenlos mitgeliefert bekomme. Sie erlaubten es, die gerade angezeigte Webseite zu analysieren und hinter die Kulissen zu schauen. „Hier erfahren Website-Betreibende zum Beispiel welche Cookies eingebunden und welche Dienste, zum Beispiel ,Google Fonts’ oder ,Google Analytics’, geladen werden, wie groß diese sind, welche Web Services im Hintergrund laufen und wo potenzielle Problemstellen und Risiken verborgen liegen.“

Entwicklertools zeigen an, welche Cookies auf der jeweiligen Website gesetzt sind

„Zu den Entwicklertools gelangt man über einen Rechtsklick an jeder beliebigen Stelle einer Website und anschließend mit einem Klick auf durchsuchen oder F12 auf der Tastatur. Die Entwicklertools zeigen nun unter anderem an, welche Cookies auf der jeweiligen Website gesetzt sind und ob sie aus einer externen Quelle stammen oder direkt von der Website eingebunden werden.“ Cookies aus externer Quelle seien in den meisten Fällen ein Problem und sollten nach Möglichkeit unterbunden werden, rät Schrenk. Dem gegenüber seien technisch notwendige Cookies all jene, „die keine Analyse- oder Marketing-Zwecke verfolgen, sondern notwendig für eine Funktion der Website sind“. Ein Cookie zum Speichern des Warenkorbes sei beispielsweise „technisch notwendig“, genauso wie auch das Cookie zum Speichern der Cookie-Banner-Einstellungen.

Natürlich sei es nicht allein damit getan, zu wissen, welche Cookies geladen werden. Doch es könne durchaus schwierig sein, die Art oder den Zweck eines Cookies zu ermitteln – „vor allem, wenn dessen Bezeichnung keinen Anhaltspunkt bietet und die angezeigte Domain mit der eigenen Website identisch ist“. Schrenk führt aus: „Aber auch dafür gibt es eine Lösung. Denn mit ,cookiedatabase.org’ gibt es eine sehr praktische Cookie-Datenbank, mit der sich die gängigsten Cookies identifizieren lassen.“ Die Suchfunktion des Dienstes liefere reichlich Informationen über Cookies, „unter anderem von welchem Dienst das Cookie stammt, zu welchem Zweck das Cookie verwendet wird, wie lange das Cookie gespeichert wird und welche Funktion das Cookie hat“.

Datenschutzerklärung für die Website zwingend erforderlich!

„Ein wichtiger Baustein einer jeden datenschutzkonformen Website ist die Datenschutzerklärung selbst.“ Diese müsse Besucher einer Website über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufklären – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie „Google Analytics“ sowie Social-Media-Plugins. „Die Datenschutzerklärung muss nicht nur darüber informieren, welche Daten erhoben werden, sondern auch was mit ihnen passiert, warum diese Daten erhoben werden und ob Daten an Dritte weitergegeben werden“, informiert Schrenk und betont: „Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.“

Diese Angaben sind laut Schrenk zwingend erforderlich:

  • Name und Kontaktdaten des/der Verantwortlichen
  • Zweck und Rechtsgrundlage der Datenverarbeitungen: „Was wird auf der Website gemacht, welche Tools werden dazu eingesetzt und welche Legitimation hab der Betreibende dafür? Falls die Rechtsgrundlage Artikel 6, Absatz 1 der DSGVO ist, muss das berechtigte Interessen des oder der Verantwortlichen oder Dritter beschrieben werden.“
  • Aufklärung über Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
  • Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
  • Speicherdauer der Daten
  • Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 30.04.2023
How to… check your website? Kostenlose Tools zum Website-Check / Worauf sollte man achten?

]]>
https://www.datensicherheit.de/tipps-website-check-datenschutzkonformitaet/feed 0
Sanktionsmöglichkeiten: HmbBfDI bekommt erweiterte Kompetenzen https://www.datensicherheit.de/sanktionsmoeglichkeiten-hmbbfdi-erweiterung-kompetenzen https://www.datensicherheit.de/sanktionsmoeglichkeiten-hmbbfdi-erweiterung-kompetenzen#respond Mon, 23 Jan 2023 20:20:19 +0000 https://www.datensicherheit.de/?p=42802 HmbBfDI kann Bußgelder gegenüber Telemedienanbietern in Hamburg erlassen, wenn diese z.B. Cookies in rechtswidriger Art und Weise verwenden

[datensicherheit.de, 23.01.2023] Laut einer aktuellen Meldung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) hat die Bürgerschaft in ihrer Sitzung am 18. Januar 2023 die Kompetenzen des HmbBfDI bei der Anwendung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) erweitert. Demnach wird der HmbBfDI nun in die Lage versetzt, „Abhilfemaßnahmen und Bußgelder gegenüber Telemedienanbietern in Hamburg zu erlassen, wenn diese z.B. ,Cookies’ in rechtswidriger Art und Weise verwenden“.

HmbBfDI unterstreicht freiwillige Einwilligung der Nutzer

Nutzer sollten beim Besuch einer Website oder Nutzung einer App davon ausgehen dürfen, „dass ungefragt nur solche Daten verarbeitet werden, die zur Erbringung des nachgefragten Dienstes auch tatsächlich erforderlich sind“. Möchten Diensteanbieter weitere Daten erheben und verarbeiten, müssten sie die Nutzer dazu vorab in informierter Art und Weise um ihre freiwillige Einwilligung ersuchen. Diese Vorgaben würden mittlerweile von vielen Betreibern in der Regel durch vorgeschaltete „Einwilligungsbanner“ umgesetzt – nicht immer erfolge dies jedoch rechtskonform. Genau hierbei greife das am 1. Dezember 2021 bundesweit in Kraft getretene TTDSG.

Dieses setze die europäischen Vorgaben der sogenannten „Cookie“-Richtlinie aus dem Jahr 2009 in deutsches Recht um. Weil der europäische Gesetzgeber schon damals erkannt habe, welche Techniken (wie z. B. „Cookies“, aber auch andere Tracking-Technologien) verwendet würden, um Nutzerverhalten nachzuvollziehen, und weil die Informationen in „Cookies“ für sich genommen nicht immer einen Personenbezug aufwiesen, umfasse das TTDSG auch solche Informationen, „die keinen Personenbezug haben und geht damit weiter als die Datenschutzgrundverordnung (DSGVO)“.

HmbBfDI zur zuständigen Aufsichtsbehörde für Telemedien in Hamburg erklärt

Entsprechend schütze das TTDSG die Integrität von Endgeräten„indem der Grundsatz gilt, dass es einer vorherigen Einwilligung bedarf, bevor Informationen auf Endgeräten abgespeichert oder daraus ausgelesen werden dürfen, wenn nicht die engen und abschließenden Ausnahmen des Gesetzes greifen“. Bislang gesetzlich ungeregelt sei in Hamburg die Ausübung der entsprechenden Befugnisse aus dem TDDSG gewesen, das u.a. Bußgelder bis zu einer Höhe von 300.000 Euro für Verstöße vorsehe.

In ihrer Sitzung am 18. Januar 2023 habe die Hamburgische Bürgerschaft diese Lücke nun geschlossen„und §19 Abs. 7 HmbDSG“ erlassen: Dieser Paragraph erkläre den HmbBfDI zur zuständigen Aufsichtsbehörde für Telemedien in Hamburg, weise ihm die Befugnis zur Verhängung von Bußgeldern nach dem TTDSG zu und gebe ihm die Untersuchungs- und Abhilfebefugnisse aus Art. 58 der DSGVO.

HmbBfDI kann Instrumentarium der DSGVO auch für TTDSG-Anwendungsbereich einsetzen

„Mit der Umsetzung in Landesrecht kann der HmbBfDI das Instrumentarium, das ihm die DSGVO gegeben hat, auch für den Anwendungsbereich des TTDSG einsetzen. Bei Verstößen können nun Verwarnungen oder Anordnungen ausgesprochen sowie Geldbußen verhängt werden“, erläutert Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

Man werde im ersten Quartal 2023 beginnen, Telemedienangebote von Hamburger Unternehmen auf deren Vereinbarkeit mit den Vorgaben des TTDSG zu prüfen.

]]>
https://www.datensicherheit.de/sanktionsmoeglichkeiten-hmbbfdi-erweiterung-kompetenzen/feed 0