Seit Inkrafttreten der DSGVO hört man ständig den Ausdruck „TOMs“ in Zusammenhang mit dem Datenschutz. Wofür steht die Abkürzung überhaupt und was kann man sich in der Praxis darunter vorstellen? In unserer 3 teiligen Serie, erklären wir Ihnen alle wichtigen Begriffe, praxisorientiert und leicht verständlich für den Arbeitsalltag. In diesem Teil geht es um die vier Kontrollschritte Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle.
Mit den TOMs sind die technischen und organisatorischen Maßnahmen gemeint. Dabei handelt es sich um Sicherheitsvorkehrungen, die personenbezogene Daten vor unberechtigtem Zugriff schützen. Die Maßnahmen kann man anhand der folgenden acht Gebote darstellen, die in Form von Kontrollschritten beschrieben werden:
Auf die ersten vier Kontrollschritte gehen wir nun genauer ein:
Unbefugte dürfen sich keinen Zutritt zu Ihrem Betriebsgelände oder Bürogebäude, in denen sich Ihre betrieblichen Räumlichkeiten befinden, verschaffen. Das kann durch Maßnahmen wie beispielsweise sichere Türschlösser, Videoüberwachung oder eine Besucherkontrolle durch einen Portier gewährleistet werden. Übrigens: Das Türschloss am Beitragsfoto ist aus heutiger Sicht definitiv nicht mehr als sicher einzustufen.
Hat ein Dritter nun bereits Zutritt erlangt, so stellt die Zugangskontrolle sicher, dass sich die Person dennoch nicht den Zugang zu den EDV-Anlagen (Serverräumen, PCs, Laptops) schafft. Dazu dienen unter anderem biometrisch gesicherte Serverräume, das Wegsperren von Laptops, aber auch Firewalls und Anti-Viren-Programme.
Sollten nun bereits die Zutritts- und Zugangskontrolle versagt haben und der unbefugte Dritte ist bereits zu einem PC, Laptop oder an Ihren Schreibtisch gelangt, so regelt die Zugriffskontrolle, dass die Person trotzdem keinen Zugriff auf personenbezogene Daten erhält. Was sind die hier wichtigsten Maßnahmen: Gute Passwörter, versperrte Akten.
Die Weitergabekontrolle stellt sicher, dass Daten nur an berechtigte Empfänger übermittelt werden. Welche Maßnahmen stellen in der Praxis sicher, dass Daten ausschließlich in die richtigen Hände geraten? Beispiele für die Umsetzung der Weitergabekontrolle sind die Verschlüsselung von Emails, VPN-Technologie, Authentifizierung der User, Passwortschutz bei Email Anhängen sowie die Verwendung von digitalen Signaturen.
Seit dem 1. Januar 2021 ist der Brexit vollzogen, das United Kingdom ist kein Teil der EU mehr. Zudem ist seit Ende Juni die Übergangsphase vorbei. Falls Sie sich datenschutzrechtlich auf diese Änderung noch nicht eingestellt haben und sich über die Neuerungen bezüglich des Datentransfers informieren möchten, empfehlen wir Ihnen den folgenden Beitrag.
Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums „Drittländer“. Das bedeutet, dass personenbezogene Daten nicht ohne Weiteres in diese Länder transferiert werden dürfen. Für das UK sind somit zusätzliche Überlegungen notwendig.
Die bisherige Gleichstellung des Datenschutzniveaus auf Basis der Übergangsregelung im Abkommen zwischen der EU und UK endete am 30. Juni 2021. Die EU-Kommission hat gerade noch rechtzeitig einen sogenannten „Angemessenheitsbeschluss” in Kraft gesetzt, um Großbritannien ein angemessenes Datenschutzniveau zu bescheinigen. Grundsätzlich muss bis auf weiteres beim Einsatz von Datenverarbeitern aus Großbritannien nichts anderes beachtet werden als bei IT-Dienstleistern mit Sitz in der EU. Denn UK gilt seit 1. Juli 2021 als sicheres Drittland in Bezug auf die Verarbeitung personenbezogener Daten. Der erlassene Angemessenheitsbeschluss ist die nächsten vier Jahre gültig.
Die Neuerungen sind für Sie relevant, wenn Sie personenbezogene Daten nach UK übermitteln oder dort ansässigen Unternehmen Zugriff auf Ihre Daten gewähren.
Dies kommt vor allem in folgenden Fällen vor:
Betroffen davon können Ihre Kunden, Nutzer Ihrer Onlinedienste oder Besucher Ihrer Webseite sowie Mitarbeitende sein.
Großbritannien reiht sich mit dem Angemessenheitsbeschluss in die bereits anschauliche Liste an sicheren Drittstaaten ein. Sie müssen im Namen des Unternehmens dennoch
Generell bringt der Beschluss eine große Erleichterung für alle datengetriebenen Geschäftsmodelle und den Einsatz von IT-Lösungen von britischen Anbietern.
Für die nächsten vier Jahre sollte die Datenübermittlung nach UK unproblematisch möglich sein. Doch: Wir behalten die Lage für Sie im Auge, Änderungen sind jederzeit möglich. Im schlimmsten Fall könnte der Angemessenheitsbeschluss von heute auf morgen gekippt werden, beispielsweise wenn UK die USA zu einem sicheren Drittland erklären würden.
Bei weiteren Fragen oder Unklarheiten kontaktieren Sie uns jederzeit!
Die Europäische Kommission hat kürzlich die finale Fassung der neuen EU-Standardklauseln für die Übermittlungen personenbezogener Daten in Drittländer (USA ist auch ein Drittland!) veröffentlicht. Gleichzeitig ist auch die endgültige Fassung der Standardvertragsklauseln für Auftragsverarbeitungsverträge fertiggestellt worden. Was das Ganze für Sie bedeuten kann, gibt es hier zum Nachlesen.
Vergangenen Juli hatte der Europäische Gerichtshof mit dem „Schrems II“-Urteil nicht nur die Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shields für unzulässig erklärt, sondern auch erkannt, dass das Instrument der Standardklauseln beim Datentransfer in Drittstaaten datenschutzrechtlich nicht reicht. Zur Erinnerung: Als Drittstaaten gelten alle Länder außerhalb des EWR mit wenigen Ausnahmen (als sicher gelten: Andorra, Argentinien, Färöer-Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, UK und Uruguay).
Weitere Informationen zum Fall des Privacy Shields, können Sie hier nachlesen.
Seit der Entscheidung war vielen Unternehmen unklar, wie die Datenübermittlung an Empfänger in Drittstaaten erfolgen soll. Deshalb ist die Freude über neue Standardklauseln zur Sicherstellung der geeigneten Garantien nach Art. 46 DSGVO groß.
Der modulare Aufbau der neuen Standardklauseln zeigt die möglichen Konstellationen zwischen den Vertragspartnern bei Drittstaatenübermittlungen. Es gibt insgesamt vier Module:
Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche
Auch der Abschluss der neuen Standardvertragsklauseln alleine ist keine Garantie für einen sicheren Drittstaatendatentransfer. Unternehmen sind selber dafür zuständig, zu prüfen, ob Standardklauseln ausreichen oder ob zusätzliche Maßnahmen erforderlich sind, um ein adäquates Datenschutzniveau zu gewährleisten. Um personenbezogene Daten etwa vor dem Zugriff von Regierungen zu schützen, müssen weitere Maßnahmen ergriffen werden. Es besteht zum Beispiel die Möglichkeit Daten vor der Übermittlung zu verschlüsseln oder zu anonymisieren.
Durch die neuen Standardklauseln besteht nun dringender Handlungsbedarf, wenn man mit Datenverarbeitern in Drittstaaten zusammenarbeitet.
Für Verantwortliche und Auftragsverarbeiter, die aktuell die bisher bestehenden Standardvertragsklauseln für Übermittlungen in Drittländer nutzten, beträgt die Übergangsfrist 15 Monate.
Wir empfehlen Ihnen daher, zeitnah bestehende Verträge zu prüfen und die für den Neuabschluss von Verträgen erforderlichen Schritte in die Wege zu leiten.
Wenn Sie Unterstützung benötigen, kontaktieren Sie uns jederzeit gerne.
Niemand darf zu Werbezwecken ohne Einwilligung kontaktiert werden. So sagt man, steht es in der DSGVO. Ganz so ist es allerdings nicht. In Österreich regelt das Telekommunikationsgesetz das Thema Werbeanrufe und elektronische Werbung. Hierbei werden Ausnahmen normiert, die eine Zusendung elektronischer Post auch ohne Einwilligung ermöglichen. Welche Voraussetzungen dazu gegeben sein müssen, erfahren Sie in unserem Beitrag.
Seit langer Zeit (2007) ist im Telekommunikationsgesetz geregelt, dass Personen nicht mit unerbetenen Nachrichten bombardiert werden dürfen. (Dies gilt übrigens auch im B2B-Bereich.) Die DSGVO enthält diesbezüglich einige Regelungen, die jedoch nicht in die Tiefe gehen. Informationen dazu können Sie in unserem vorherigen Beitrag lesen. Um zu Werbezwecken Kontakt aufnehmen zu dürfen, ist eine Einwilligung der betroffenen Person notwendig. Ein Widerruf der Einwilligung muss jederzeit möglich sein. Die Identität des Absenders sollte klar erkennbar sein und die Rufnummer darf weder unterdrückt noch verfälscht angezeigt werden. Auch ein Newsletter unterliegt einer Impressumspflicht! Ebenso wichtig ist es, dass eine geeignete Adresse übermittelt wird, an welche die Empfänger den Wunsch zur Einstellung der Zusendung richten können.
Wann ist nun keine Einwilligung zur Kontaktaufnahme notwendig? Die Ausnahmen werden im Telekommunikationsgesetz – im § 107, für besonders interessierte Juristen, – definiert. Wir fassen für Sie zusammen:
Eine Einwilligung zum Erhalt elektronischer WERBUNG ist unter folgenden Bedingungen nicht nötig:
1. | Der Absender hat die Kontaktinformation für die Nachricht im Rahmen eines Verkaufs oder einer Dienstleistung erhalten. |
2. | Die Nachricht erfolgt zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen. |
3. | Der Empfänger hat klar die Möglichkeit erhalten, die Nutzung seiner Kontaktinformation ohne Folgen abzulehnen. |
4. | Der Empfänger hat die Zusendung nicht bereits vorab, vor allem nicht durch Eintragung in die sogenannte Robinsonliste, abgelehnt. |
Ein Praxisbeispiel hierzu: Herr Huber hat bei Ihnen ein Seminar zum Thema Brandschutz besucht und Ihnen in diesem Zusammenhang seine Kontaktdaten gegeben. Als er an Ihrer Weiterbildung teilnahm, haben Sie ihn gefragt, ob er Werbung von Ihnen erhalten möchte. Sie haben ihn über die Möglichkeit der Ablehnung informiert. Er hat nicht abgelehnt. Nun möchten Sie ihm Werbung für Ihr neues Seminar zum Thema Hygiene zusenden. Um rechtskonform zu handeln, prüfen Sie vorab, ob er in der Robinsonliste eingetragen ist. Die Eintragung in diese Liste steht übrigens über allen anderen Voraussetzungen. Wenn Herr Huber dort nicht eingetragen ist, können Sie ihm nun Werbung zusenden. Ihr Werbeemail ist klar als Werbung zu erkennen, hat ein Impressum und einen Link, wo sich Herr Huber jederzeit vom Erhalt weiterer Zusendungen abmelden kann. So geht elektronische rechtskonforme Werbung!
Datenschutzmängel bei Facebook sind keine Neuigkeiten, nun hat sich die Social-Media-Plattform allerdings mit einem besonders schweren Datenleck in die Nachrichten manövriert. Auch LinkedIn und Clubhouse sind aktuell aus ähnlichen Gründen in aller Munde. Lesen Sie in diesem Beitrag genauere Informationen zu den Vorfällen.
Vor einigen Wochen wurde bei Facebook eine schwere Datenpanne mit rund 530 Millionen betroffenen Personen bekannt. Durch eine Sicherheitslücke wurde eine enorm hohe Menge an personenbezogenen Daten im Internet veröffentlicht, welche in einem Forum für Cyberkriminelle auftauchten und dort kostenfrei zur Verfügung standen. Das Leak war bereits vor Jahren bekannt geworden und laut der Social-Media-Plattform 2019 behoben worden.
Unter den Betroffenen befinden sich 6 Millionen Deutsche, die sich nun mit der Unterstützung des Münchner Unternehmens „Europäische Gesellschaft für Datenschutz“ (EuGD) zu einer Klage auf Schadenersatz für immateriellen Schaden entschlossen haben. Sollte diese erfolgreich sein, könnte jeder betroffenen Person 1000,- € Schadenersatz zukommen. Dies hätte wohl einen abschreckenden Effekt, sogar für Facebook!
Auch bei LinkedIn wurde kurz darauf ein Fall von Datenmissbrauch publik. Mehr als 500 Millionen Profildaten wurden in einem populären Hackerforum gegen eine geringe Gebühr zum Verkauf angeboten. Bei den Daten handelt es sich um Namen, Telefonnummern, Email Adressen und Arbeitgebende. Das soziale Netzwerk für Geschäftskontakte bezeichnet den Vorfall als unerlaubtes Scraping. Damit sind bestimmte Techniken gemeint, die durch gezieltes Extrahieren von Daten, zum Gewinn bestimmter Informationen herangezogen werden.
Clubhouse ist die jüngste Social-Media-Plattform und hat in den letzten Monaten große Bekanntheit erlangt. Zuletzt fiel die Trend-App jedoch ebenso wie Facebook und LinkedIn äußerst negativ in den Schlagzeilen auf. Auch von Clubhouse-Nutzern wurden personenbezogene Daten im Internet frei zugänglich gemacht. In diesem Fall wurde ebenso wie bei LinkedIn durch Datenscraping eine Datenbank der gesammelten Daten erstellt, die ein gefundenes Fressen für Hacker darstellt. Von diesem Vorfall sind insgesamt 1,3 Millionen Nutzer betroffen.
Wissen Sie genau darüber Bescheid, wann Sie Kontaktdaten verarbeiten und zu Marketingzwecken verwenden dürfen? In Italien kam es erneut zu einer sehr hohen DSGVO-Strafe von 4,5 Millionen Euro aufgrund von unrechtmäßigem Telemarketing, von dem ganze 7,5 Millionen Personen betroffen waren.
Gegen den italienischen Festnetzbetreiber „Fastweb“ gingen bei der Datenschutzbehörde hunderte Beschwerden ein. Betroffene beklagten sich über aggressives Telemarketing. Die italienische Datenschutzbehörde leitete Ermittlungen gegen den Kommunikationsbetreiber ein und stellte dabei fest, dass die verwendeten Telefonnummern nicht im Register des Unternehmens eingetragen waren. Die Kontaktdaten wurden von externen Partnern ohne Einwilligung der Betroffenen bezogen. Insgesamt waren von der Verarbeitung 7,5 Millionen Personen betroffen.
Die durchgeführten Werbeanrufe ohne Rechtsgrundlage stellen einen klaren Verstoß gegen die DSGVO dar. Bei der Prüfung des Festnetzbetreibers durch die italienische Datenschutzbehörde stellte diese zudem weitere Verstöße fest: Zum einen wurde keine ordnungsgemäße Ausübung der Betroffenenrechte, insbesondere des Widerspruchs, ermöglicht, zum anderen waren auch die technischen und organisatorischen Maßnahmen zum Datenschutz mangelhaft.
Daraufhin wurde eine Strafe von 4,5 Millionen Euro gegen „Fastweb“ verhängt. Zudem wurde der Betreiber angewiesen, seine Sicherheitsmaßnahmen zu verstärken und seine Werbepraxis rechtmäßig zu gestalten.
Daten sind in den letzten Jahren zu einem beliebten Währungsmittel geworden. Bestimmt haben Sie schon häufig mit Daten für vermeintlich „kostenlose“ Dienste bezahlt. Nun wurde ein neues Gewährleistungsrecht auf den Weg gebracht, das künftig Verbesserungen für Verbraucher verspricht. Die wichtigsten Informationen dazu haben wir für Sie in diesem Beitrag zusammengefasst.
Zahlreiche Plattformen und Dienste stellen kostenlose Leistungen zur Verfügung. Gezwungenermaßen müssen wir einwilligen, dass beispielsweise auf unsere Kontakte, Fotos, Mikrofon, Standort oder auf andere Informationen zugegriffen wird. Wir nehmen das jedoch in Kauf, um uns ein Video anzusehen oder einen Messenger-Dienst zu nutzen. Schließlich werden wir vor die Entscheidung gestellt: Möchten wir den Dienst in Anspruch nehmen und dafür mit unseren Daten bezahlen? Oder wollen wir den Zugriff lieber nicht erlauben und können dafür aber die jeweilige Leistung nicht in Anspruch nehmen? Diese Zwickmühle veranlasst uns häufig dazu, den Zugriff auf unsere privaten Daten trotzdem zu erlauben, obwohl wir mit diesem grundsätzlich keineswegs einverstanden sind. Eine Gesetzesänderung gibt uns nun mehr Rechte.
Ein neues Gewährleistungsrecht nach EU-Richtlinie soll uns Verbrauchern zukünftig das Leben erleichtern. Dieses ist bis zum 1. Juli 2021 durch nationale Gesetze umzusetzen und soll mit 1. Jänner 2022 zur Anwendung kommen. Im Vordergrund steht grundsätzlich eine Verbesserung der Durchsetzung von Gewährleistungsansprüchen bei Mängeln, beispielsweise bei der Beweislast. Zusätzlich werden auch digitale Neuerungen verlangt: Zum einen kostenlose Software-Updates für „Smart Goods“, beispielsweise Smartphones oder „intelligente“ Fitnessuhren, und zum anderen neue Regelungen in Bezug auf die Bezahlung mit Daten.
Letzteres ist in Hinblick auf den Datenschutz besonders interessant: Während das Gewährleistungsrecht bislang nur für entgeltliche Verträge gültig war, sollen die neuen Bestimmungen nun auch dann gelten, wenn Betroffene für digitale Leistungen nicht mit Geld, sondern mit personenbezogenen Daten bezahlen.
Lädt eine Person beispielsweise Fotos in einen kostenlosen Cloud-Dienst, so kann dieser, sollte das Abrufen der Fotos Probleme mit sich bringen, oder das Material verzerrt oder falsch dargestellt werden, von seinem Gewährleistungsrecht Gebrauch machen. Der Cloud-Dienst ist nach dem neuen Gesetz gewährleistungspflichtig in Bezug auf sämtliche mögliche Mängel, welche anfallen könnten. Der betroffene Kunde hat dann zum Beispiel das Recht, zu verlangen, dass seine personenbezogenen Daten vom Anbieter nicht mehr genutzt werden dürfen.
Durch die Lockerung der COVID-19-Maßnahmen können unter anderem wieder Lokale besucht werden, Events stattfinden und Sportstätten geöffnet werden. Die Regeln zur „Rückkehr“ sind jedoch streng. Zusätzlich zur Test- und Maskenpflicht wird in vielen Fällen ein COVID-19-Beauftragter benötigt – Geschäftsführerin Birgit von Maurnböck ist dazu ausgebildet und unterstützt Sie gerne.
Nach langem Warten kehrt wieder ein Stück Normalität zurück nach Österreich: Mit dem 19. Mai kommt es zu Lockerungen der COVID-19-Maßnahmen. So ist es unter anderem wieder möglich, Lokale und Restaurants sowie Sportstätten und Veranstaltungen zu besuchen. Ganz „normal“ läuft das Ganze jedoch noch nicht ab – all diese Schritte sind mit strengen Regelungen verbunden. Zusätzlich zu einer FFP2-Maskenpflicht in allgemeinen Bereichen oder außerhalb des eigenen Sitzplatzes, muss
beim Betreten entweder ein Test gemacht werden, ein gültiges negatives Testergebnis, eine Bestätigung über eine bereits durchgemachte COVID-19-Erkrankung (sechs Monate danach) oder ein Impfzertifikat (22 Tage nach der Erstimpfung) vorgewiesen werden. Genauere Regelungen können Sie auf der Website des Sozialministeriums nachlesen.
Auf eine Regulierung gehen wir jedoch nun genauer ein: In der Gastronomie, im Tourismus, in der Kultur, bei Veranstaltungen, bei Kongressen, bei Messen sowie in Sport- und Freizeitbetrieben muss ein Präventionskonzept erstellt und ein COVID-19-Beauftragter ernannt werden.
Unsere Geschäftsführerin hat die Ausbildung zur COVID-19-Beauftragten beim Wiener Roten Kreuz – Österreichs einzigem zertifizierten Ausbildungszentrum für Veranstaltungssicherheit – absolviert und weiß nun genauestens Bescheid über Hygiene-Maßnahmen wie Mundschutz, Händewaschen und Desinfektion, die Regelung von Besucherströmen und Abständen, die Beurteilung von Risiken sowie auch über das Verhalten im Ernstfall, also bei einem Verdachtsfall oder einer tatsächlich vorliegenden Infektion.
Da von nun an österreichweit personenbezogene Daten aller Besucher erfasst werden, ist es selbstverständlich von besonderem Vorteil, als COVID-19-Beauftragte und somit als Verantwortliche für die Verarbeitung dieser Daten eine Datenschutzbeauftragte und einen Profi im Bereich Datenschutz einzusetzen.
Sollten Sie eine COVID-19-Beauftragte benötigen, kontaktieren Sie uns. Wir unterstützen Sie gerne beim Erstellen eines Präventionskonzepts und fungieren in der offiziellen Rolle als COVID-19-Beauftragte.
Wir freuen uns auf Ihre Anfragen und wünschen Ihnen gelungene, erfolgreiche, gesunde Öffnungsschritte!