DS-GVO aktuell
15. Februar 2025
Beschwerdeunabhängige Kontrollen durch Datenschutzbehörden
Auf gleicher Weise wie der HmbBfDI 2023 nach datenschutzrechtlichen Kennzahlen fragt, könnte zu jeder Zeit eine gleichartige Anfrage von Ihre Landesdatenschutzbehörde auch in Ihren Briefkasten landen.
Die Behörden nutzen verschiedene Methoden wie Fragebögen, Vor-Ort-Prüfungen oder technische Analysen, um mögliche Datenschutzverstöße aufzudecken.
Um auf eine Kontrolle gut vorbereitet zu sein, sollten Verantwortliche im Unternehmen oder Verein regelmäßig ihre Datenschutzmaßnahmen überprüfen.
Lesen Sie hier mehr dazu

7. Februar 2025
Kann „Microsoft CoPilot“ datenschutzkonform eingesetzt werden?
Microsoft CoPilot steht seit einiger Zeit kostenfrei zur Verfügung und ist ebenso wie „Microsoft CoPilot with commercial Data Protection“ mit weniger Funktionen und Sicherheitseinstellungen als der „CoPilot for Microsoft 365“ ausgestattet.
Dies bedeutet, dass ….
Microsoft CoPilot, auch mit der Lizenz „with commercial Data Protection“,
(„mit kommerziellem Datenschutz“)
nicht Datenschutzkonform (DS-GVO) einsetzbar ist.
Verwirrend und für einige überraschend wird sein, dass der Einsatz von Microsoft CoPilot (Generativ / with commercial Data Protection) nicht per se ausgeschlossen ist. Sofern diese KI nicht in einem Zusammenhang mit personenbezogenen Daten verwendet wird, ist eine Verwendung durchaus möglich.
Lesen Sie hier mehr dazu

30. Januar 2025
Deepseek ist in aller Munde und bringt sogar die Tech-Giganten an den Börsen ins Wanken.
Klar, dass wir alle diese KI mal ausprobieren möchten. Aber Datenschutzrechtlich ist einiges im Argen und sollte vor allem in unternehmerischen Bereich bedacht werden.
Nach Aussagen von Datenschutzexperten fehle es Datenschutzrechtlich „an so ziemlich allem“.
Deepseek weist in seine Datenschutzrichtlinien daraufhin, dass das Unternehmen umfangreiche Benutzer- Informationen durch die App erfasst. Außerdem ist dort zu lesen – „Wir speichern die von uns erfassten Daten auf sicheren Servern in der Volksrepublik China“.
Aus diesem Grund müssen sich DeepSeek-Nutzer darüber im Klaren sein, dass alle Daten, die mit der Plattform geteilt werden, auf Anfrage auch dem Zugriff der Regierung in China unterliegen können.
Als besonders datenschutzrechtlich problematisch gelten die Speicherung und Verwendung von;
· der IP-Adresse,
· Datum und Uhrzeit der Anforderung
· Name der angeforderten Datei
· Seite, von der aus der Datei angefordert wurde
· Zugriffsstatus (Datei übertragen, Datei nicht gefunden, etc.)
· verwendeter Webbrowser und verwendetes Betriebssystem
· Sprache und Version der Browsersoftware
· Chatverläufe,
· Audiodateien,
· hochgeladene Dateien,
· den Mustern und dem Rhythmus der Tastaturanschläge. (Keylogging)
Die DS-GVO erlaubt nur eine Übermittlung von personenbezogenen Daten mit Staaten, deren Schutzniveau, mit dem in der Europäischen Union vergleichbar sind. Zurzeit fehlt es jedoch an einem Abkommen zwischen China und der EU. Somit ist eine Datenaustausch von personenbezogenen Daten, wie z.B. die IP-Adresse, rechtlich nicht erlaubt.

29. Oktober 2024
Dienstliche E-Mails an Ihre private E-Mail-Adresse weiterleiten
Darf man das?
Kurz zusammengefasst:
Das OLG München (Az. 7 U 351/23 e) entschied kürzlich das dies als ein schwerer Vertrauensbruch gewertet wird und eine fristlose Kündigung nach § 626 BGB rechtfertigt.
Hat Ihr Unternehmen bereits Richtlinien zu dem Umgang mit dienstlichen E-Mails herausgegeben? Gibt es klare Anweisungen und/oder Schulungen zu diesem Thema?
Wenn nicht, dann besteht ein akuter Handlungsbedarf!
Hier erfahren Sie mehr
Ich berate Sie gerne persönlich und freue mich über Ihre Kontaktaufnahme.
Bei Fragen, Anregungen oder Interesse an einer Beratung stehe ich Ihnen gerne persönlich zur Verfügung.
Sie erreichen mich über mein Rückrufservice.

11. September 2024
Auskunftanfrage nach Art. 15 DS-GVO – Empfängerkategorien reichen meist nicht aus!
Informationen zum Verfahren ( Vorabentscheidungsersuchen) EuGH C-154/21 – 12.01.2023
Kurz zusammengefasst:
Nach Art. 15 Datenschutz-Grundverordnung hat jeder Kunde Ihres Unternehmens, aber auch jeder (Ex-)Mitarbeiter, Bewerber, Aushilfskraft oder Praktikant das Recht Auskunft darüber verlangen, welche personenbezogenen Daten Sie von ihm erhoben und an wen Sie diese weitergegeben haben. Der Europäische Gerichtshof (EuGH) hat bereits 2023 klargestellt, wie die Auskunft über die Empfänger der personenbezogenen Daten auszusehen hat.
Hier erfahren Sie mehr

14. August 2024
Der EuGH hat ein, mit einem Bezug zur Datenschutzverstößen von Auftragsverarbeitern, wegweisendes Urteil getroffen.
Informationen zum Verfahren ( Vorabentscheidungsersuchen) EuGH C-683/21 – 14.12.2023
Kurz zusammengefasst:
Mit diesem Urteil wird klargestellt, dass auch dann seitens des Verantwortlichen eine Verantwortung für Datenschutzverstöße besteht, wenn diese nicht von einem Mitarbeiter, sondern von einem Auftragsverarbeiter begangen wurde. Voraussetzung ist, dass die betreffenden Verarbeitungsvorgänge im Namen des Verantwortlichen, also der Auftraggeber, durchgeführt wurden und der Verstoß somit im Zuge der Auftragserfüllung erfolgte.
Hier erfahren Sie mehr

14. Dezember 2023
Schadensersatz bei einem möglichen Missbrauch von persönlicher Daten.
Kurz zusammengefasst:
Mit diesen Gerichtsurteil hat die EuGh die Rechte von Verbrauchern in der EU enorm gestärkt.
Für Unternehmer bzw. Datenverarbeiter wird es im Falle eines Hackerangriffs schwierig sein nachzuweisen, dass ihre Schutzmaßnahmen zum Zeitpunkt der Datenschutzverletzung geeignet waren und sie in keinerlei Hinsicht für den Schaden verantwortlich sind. Als Folge dieses Urteil müssen Verantwortliche dafür sorgen das die Dokumentationen auch dazu geeignet sind die Sicherheitsmaßnahmen für einen zurückliegenden Zeitraum zu beweisen. Dabei geht vorallem um den Nachweis das eine Sicherheitsmaßnahme nicht nur geplant, sondern auch tatsächlich umgesetzt wurde.
Da sich die EuGH bei dieser Feststellung nicht auf eine “größere” Menge von betroffenen Daten bezieht, wird es zukünftig vorallem für kleinere Unternehmen ein großes Risiko für Schadenersatzansprüche von Einzelpersonen und somit zu einer Zunahme von Klagen wegen immaterieller Schäden führen.
In der Regel wird es dem Verantwortlichen kaum möglich sein, sich zu entlasten bzw. darzulegen und zu beweisen, dass das geforderte Sicherheitsniveau zum Zeitpunkt des Cyberangriffs oder Datenschutzverletzung eingehalten wurde. Es sei denn, er hat Maßnahmen getroffen um das geforderte Sicherheitsniveau und die getroffenen Schutzmaßnahmen auch rückwirkend nachzuweisen.
Die Verantwortlichen aller Unternehmen, Freiberufler, Vereine und öffentliche Organisationen werden zukünftig Ihre Dokumentierungs- und Nachweispflicht weitaus sorgfältiger und für die Vergangenheit nachweisbar nachkommen müssen.
Hier erfahren Sie mehr
Hinweis:
Die DS-GVO, das BDSG und weitere Datenschutzgesetze sowie -verordnungen gelten für ganz oder teilweise automatisierte Verarbeitungen von personenbezogener Daten sowie für die nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem, wie z.B. einem Archiv, gespeichert sind oder gespeichert werden sollen.
Das Urteil in der Rechtssache EuGH C340/21 bezieht sich also auch auf Datenschutzverletzungen von nicht automatisierte Datenverarbeitungen!
