MeineBerater

TOMs – Technische und organisatorische Maßnahmen Teil 2

Posted 4. November 2021 by Birgit von Maurnböck

Wir haben den technischen und organisatorischen Maßnahmen (TOMs) bereits einen Beitrag gewidmet und uns darin die ersten vier Kontrollschritte angesehen. Hier ein kleiner Überblick der acht Gebote der technischen und organisatorischen Maßnahmen im Datenschutz:

Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Datentrennungskontrolle

In diesem Beitrag gehen wir auf die Eingabe- und Auftragskontrolle ein.

Eingabekontrolle

Die Eingabekontrolle sorgt dafür, dass nachverfolgt werden kann, wer wann gewollte oder auch ungewollte „Manipulationen“ also „Bearbeitungen“ an Daten vorgenommen hat.

Durch die durchgängige Vergabe von unterschiedlichen Nutzernamen für IT-Systeme kann genau festgestellt werden, welcher User wann eine bestimmte Änderung an Daten vorgenommen hat.

Können Sie bereits nachvollziehen, wer wann was mit personenbezogenen Daten im Unternehmen macht?

Auftragskontrolle

Was kann man sich in der Praxis unter dem Begriff „Auftragskontrolle” vorstellen?

Der Auftragsverarbeiter ist jede Stelle, die im Auftrag des Unternehmens personenbezogene Daten verarbeitet. Hierbei handelt es sich beispielsweise um (fast jeden) IT-Dienstleister, Software-Anbieter, Werbeagenturen, Cloud-Anbieter oder auch externe Lohnverrechner. Die genannten Unternehmen verarbeiten im Auftrag zum Beispiel Kundendaten oder Mitarbeiterdaten.

ACHTUNG: Sind Sie sich dessen bewusst, dass Sie ausnahmslos mit JEDEM Auftragsverarbeiter einen Vertrag abschließen müssen – einen sogenannten Auftragsverarbeiter-Vertrag? 😉

Wie Sie in diesem Beitrag lesen können, drohen bei Nichterfüllung hier ernst zu nehmende DSGVO-Strafen.

Auftragskontrolle = Kontrolle Ihrer Auftragsverarbeiter. Dadurch soll sichergestellt werden, dass Daten von einem Auftragsverarbeiter gemäß Ihren Weisungen verarbeitet werden. Sie sind schließlich dafür verantwortlich, die Daten entsprechend zu schützen.

Unsere Praxistipps

Kontrollieren Sie sofort, wer Ihre Auftragsverarbeiter sind. Am einfachsten geht das über Ihre Kreditorenliste – welche jener Unternehmen, die Ihnen Rechnungen schicken, verarbeiten für Sie personenbezogene Daten? Prüfen Sie, ob Sie schon mit allen Auftragsverarbeiter Verträge abgeschlossen haben. In einem weiteren Beitrag widmen wir uns dem Thema Inhalt des AV-Vertrages und weitere Kontrollen des Auftragsverarbeiters.
Die TOMs scheinen in der Praxis für viele Unternehmen eine Herausforderung zu sein. Kontaktieren Sie uns, wenn Sie Unterstützung bei der Umsetzung benötigen, durch unsere jahrelange Expertise im Datenschutz sind wir Ihre idealen Partner.
Lesen Sie im 1. Teil unserer TOMs Serie über die Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle.

Im 3. TOMs-Teil werden wir uns den Themen Verfügbarkeits- und Datentrennungskontrolle widmen.

Neue Nutzungsbedingungen bei WhatsApp: Jetzt wird es ernst!

Posted 19. Mai 2021 by Erich von Maurnböck

Benutzen Sie WhatsApp? Wenn ja, dann wissen Sie bereits, dass es aufgrund der geänderten Nutzungsbedingungen zu einer massiven Absenkung des Datenschutzniveaus kommt. Diese sollten ursprünglich bereits im Februar umgesetzt werden, die Deadline wurde jedoch auf Mai verlegt. Von nun an kann die Nachrichten-App nur noch genutzt werden, wenn man den geänderten Nutzungsbedingungen zustimmt. Worum es dabei genau geht und warum wir Ihnen raten, auf eine sichere Alternative umzusteigen, erfahren Sie in diesem Beitrag.

Update der Datenschutzrichtlinien

Seit Jänner gibt es viel Wind um eine bevorstehende Änderung der weltweiten Nutzungsbedingungen des Kommunikationsdienstes WhatsApp. Nutzer müssen darin zustimmen, dass ihre personenbezogenen Daten von nun an vom gesamten Facebook-Universum, zu dem der Nachrichtendienst seit einigen Jahren zählt, verwendet werden dürfen. Darunter fallen unter anderem das Adressbuch mit Telefonnummern, Profilnamen, Profilbilder und Statusmeldungen.

Zwar wird erklärt, dass keine Informationen, die WhatsApp weitergibt, für Facebook-Unternehmen Verwendung finden. Aber: gleichzeitig erfolgt der Hinweis darauf, dass WhatsApp mit anderen Facebook-Unternehmen Daten teilt, um Dienste „zu betreiben, anzubieten, zu verbessern, zu verstehen, zu individualisieren, zu unterstützen und zu vermarkten“. Daten dürfen so innerhalb des Konzerns unbeschränkt weitergegeben werden. Zusätzlich wird erläutert, dass Facebook für die Bereitstellung von Analysediensten beispielweise Telefonnummern, Geräteinformationen und weitere Informationen von WhatsApp erhält. Auch Personen, die gar nicht auf Facebook sind, sondern nur WhatsApp nutzen, sind dabei betroffen.

Folgen des Updates für Verbraucher

Um im Unternehmen DGSVO-konform unterwegs zu sein, wird schon seit Jahren darauf hingewiesen, dass WhatsApp kein datenschutzsicherer Kommunikationsdienst ist und daher nicht verwendet werden darf. Mitgrund dafür ist die Datenübertragung sämtlicher gespeicherter Kontakte in die USA. Näheres können Sie auch hier nachlesen. Wir empfehlen Ihnen den neuen Bedingungen nicht zuzustimmen und die App künftig nicht mehr zu benutzen. Für einige WhatsApper können die Änderungen nun eine hervorragende Gelegenheit sein, auch die private Kommunikation datenschutzsicherer zu gestalten.

Wir zeigen Ihnen hier überlegenswerte Alternativen sicherer Nachrichtendienste auf:

Sichere Nachrichten-Apps

Signal

Sicherheit wird bei Signal großgeschrieben: Private Nachrichten und Gruppenchats sind Ende-zu-Ende-verschlüsselt. Die Telefonnummern werden nur anonymisiert an den Server übermittelt. Zudem wird der Messenger-Dienst von einer gemeinnützigen Stiftung geführt. Signal ist Open-Source und somit kann der Code von jedem geprüft werden.

Threema

Threema ist ein freier und ebenso Ende-zu-Ende-verschlüsselter Messaging-Dienst aus der Schweiz, der wie auch Signal datenschutzsicherer als WhatsApp ist. Im Gegensatz zu Signal und Ginglo ist Threema jedoch nicht kostenlos. Es werden einmalige Zahlungen oder monatliche Zahlungen (Business Variante) verlangt.

Ginglo

Ginglo ist die Nachfolger Messenger-App von SIMSme der Deutschen Post. Hierbei werden keine Daten an Server außerhalb der Europäischen Union übertragen, eine Vollverschlüsselung ist inbegriffen. Zur Nutzung muss die Handynummer angegeben werden und der Zugriff auf gespeicherte Kontakte ist möglich, aber nicht zwingend erforderlich. Außerdem kann in jedem Chat für einzelne Nachrichten die Selbstzerstörung gewählt werden.

Unsere Praxistipps

Entscheiden Sie sich für eine sichere Nachrichten-App und löschen Sie WhatsApp auf Ihrem Handy.
Egal welchen Dienst Sie letztendlich wählen: Bleiben Sie datenschutzrechtlich auf der sicheren Seite, auch privat. Und diese ist eindeutig nicht jenseits des Atlantiks.
Bei Fragen kontaktieren Sie uns. Jederzeit!

Das Auskunftsbegehren: So ist es rechtskonform!

Posted 1. März 2021 by Birgit von Maurnböck

Seit Inkraftreten der DSGVO vor mittlerweile beinahe drei Jahren erhalten Unternehmen eine Vielzahl an Anfragen von betroffenen Personen mit dem Wortlaut: Welche Daten haben Sie von mir in Verarbeitung? Wissen alle Personen in Ihrem Unternehmen Bescheid, wie auf eine solche Anfrage zu antworten ist?

Entscheidung über Auskunftsbegehren

In Deutschland gab es dazu im letzten Jahr eine wichtige und sehr relevante Entscheidung über das Auskunftsbegehren: Die Behörde äußerte, dass nicht nur die Datenquelle mitgeteilt, sondern zusätzlich auch angegeben werden muss, wann und mit welchem genauen Inhalt, personenbezogene Daten aus einer Quelle übermittelt werden.

Das ist besonders dann ein Thema, wenn man Daten nicht von der betroffenen Person direkt bekommt, sondern durch einen Dritten (Vermittler, Berater, Makler und ähnliches).

Auskunftsbegehren: Das muss man laut DSGVO bekanntgeben

Verarbeitungszwecke,
Kategorien personenbezogener Daten, die verarbeitet werden,
Empfänger oder Kategorien von Empfängern,
Speicherdauer,
Hinweis auf die Betroffenenrechte: Berichtigung, Löschung, Einschränkung, Widerspruch,
Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, werden alle verfügbaren Informationen über die Herkunft der Daten gebraucht,
Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
Geeignete Garantien bei Datenübermittlung in ein Drittland und
Kopie der personenbezogenen Daten (Kopien dürfen aber die Rechte und Freiheiten anderer Personen nicht beeinträchtigen).

So weitreichend, wie die Behörde in ihrer Entscheidung, war die DSGVO davor nicht auszulegen. Die Nennung der Quelle hätte aus unserer Sicht ausreichen sollen. Nachdem sich die Behörden aller Länder an den Urteilen ihrer Kollegen EU-weit orientieren, ist also noch größere Sorgfalt und Detaillierung bei der Beantwortung in Zukunft geboten.

Unsere Praxistipps

Lassen Sie unbedingt Vorsicht walten bei der Beantwortung eines Auskunftsersuchen. Scheuen Sie sich nicht, Hilfe in Anspruch zu nehmen – eine Beschwerde an die Behörde ist vom Betroffenen schneller platziert, als einem lieb ist. Vergessen Sie nicht, Sie haben nur einen Monat Zeit, das ist nicht lange!
Spielen Sie den Auskunftsprozess intern durch – so finden Sie heraus, ob Sie diesen auch im Ernstfall im Griff haben.
Beantworten Sie Auskunftsanfragen immer sorgfältig und natürlich fristgerecht, nehmen Sie diese Verpflichtung wirklich ernst.
Kontaktieren Sie uns bei weiteren Fragen zum Auskunftsbegehren.

COVID-19 Tests: Vorsorge statt Nachsorge

Posted 25. Februar 2021 by Birgit von Maurnböck

Wollen Sie oder bieten Sie bereits in Ihrem Betrieb Antigen-Schnelltests an? Alles was Sie zu den COVID-19 Tests in Ihrem Unternehmen wissen müssen, erfahren Sie hier.

Angebote und Regelungen für COVID-19 Tests

Seit 8.2.2021 können Frisöre, Kosmetikstudios und andere körpernahe Dienstleistungsbetriebe mit einem negativen „Zutrittstest“ besucht werden. Das kostenlose Angebot für COVID-19-Tests in Österreich wird nun auch schrittweise ausgebaut: Es reicht von Teststraßen der Länder, Angeboten der Gemeinden, Gratis-Tests in Apotheken bis zu Testprogrammen in Betrieben.

Was gilt als „Zutrittstest“?

Als „Zutrittstests“ gelten laut Aussendung des Gesundheitsministeriums alle negativen PCR- und Antigen-Tests, die im Rahmen von behördlichen Stellen durchgeführt wurden. Dazu zählen

Teststraßen und -angebote von Bundesländern und Gemeinden,
Apotheken,
niedergelassene Ärztinnen und Ärzte oder
Tests, die in Betrieben oder in Alten- und Pflegeheime durch qualifiziertes und berechtigtes Gesundheitspersonal durchgeführt wurden.

Selbsttests können nicht als Zutrittstests verwendet werden, da hierbei die Kontrolle fehlt. Auch Ergebnisse von Schultests zählen nicht als Zutrittstests.

COVID-19 Tests in Betrieben

Auch Sie werden künftig bei der Testung ihrer Mitarbeiterinnen und Mitarbeiter unterstützt. Seit dem 15. Februar gibt es für Antigen- oder PCR-Testungen einen Kostenersatz von 10 € pro durchgeführtem Test. Auch betriebsfremde Personen wie Angehörige, Kunden und Mitarbeiter können dabei in Ihrem Unternehmen einen COVID-19 Test machen. Dadurch werden Betriebe zu Testzentren und helfen dabei, die Pandemie einzudämmen.

Um eine Teststraße zu werden, müssen sich Betriebe hier registrieren: https://www.wko.at/service/corona-betriebliches-testen.html

Unsere Praxistipps

Achten Sie unbedingt auf den Datenschutz! Testergebnisse sind Gesundheitsdaten und damit höchst vertraulich zu behandeln!

Laden Sie auf keinen Fall einfach alle Mitarbeiterdaten auf die Testplattform hoch. Das wäre eine unzulässige Weiterleitung von Daten.
Sie als Unternehmen sind mit einer Teststraße ein sogenannter Auftragsverarbeiter des Bundesministeriums. Als Rechtsgrundlage erhalten Sie beim Registrieren die entsprechenden Verträge zum Download. Ergänzen Sie diese Verarbeitung in Ihrem Verarbeitungsverzeichnis.
ACHTUNG! Jede Person, die sich testen lassen will, muss VORHER die entsprechende Datenschutzerklärung erhalten. Auch diese wird zum Download zur Verfügung gestellt – gerne können wir Ihnen diese auch zur Verfügung stellen.
Achten Sie darauf, dass die Testtermine nicht für alle einsehbar sind und löschen Sie diese nach erfolgtem Test wieder.
Keine Doodle Abfragen zur Testanmeldung anbieten!
Und zu guter Letzt: Sorgen Sie dafür, dass vor den Testräumlichkeiten ausreichend Abstand vorhanden ist und verhängen Sie am besten Maskenpflicht für alle wartenden Personen.
Wenn Sie Unterstützung bei der datenschutzkonformen Umsetzung oder andere Fragen haben, kontaktieren Sie uns gerne.

Das Rennen um die betrieblichen COVID-19 Impfungen

Posted 25. Februar 2021 by Birgit von Maurnböck

Das Rennen um den Corona Impfstoff hat im Jänner begonnen. Nach wie vor gibt es wenig genaue Informationen darüber, wer wann geimpft werden soll. Viele Betriebe, die wegen ihrem Tätigkeitsbereich zur sogenannten kritischen Infrastruktur zählen, haben sich daher bereits im Vorfeld mit der Regierung in Verbindung gesetzt, damit Ihre Mitarbeitenden möglichst früh Vakzine erhalten. Erste „Eilmeldungen“ wurden bereits aufgegeben, geimpft wird aber noch nicht. Wie sieht es nun konkret mit den betrieblichen COVID-19 Impfungen aus? Welche Voraussetzungen müssen gegeben sein? Was ist datenschutzrechtlich zu beachten? Alle aktuellen Informationen dazu bekommen Sie bei uns.

Voraussetzungen für betriebliche COVID-19 Impfungen

Generell soll ab Verfügbarkeit der Impfstoffe eine rasche Versorgung der Bevölkerung gewährleistet werden. Dabei können Unternehmen mit eigener Betriebsärztin oder eigenem Betriebsarzt einen entscheidenden Beitrag leisten (grundsätzlich ab 50 Mitarbeitenden gesetzlich vorgesehen). Für Unternehmen entstehen abseits der betrieblichen Organisation der COVID-19 Impfungen keine Kosten. Weitere Voraussetzungen, die allerdings zu prüfen sind gibt es trotzdem:

Organisatorische Aspekte für das Impfen direkt im Betrieb,
Abwägung, ob innerbetriebliche Impfung am Standort/an den Standorten sinnvoll und durchführbar ist,
Klärung der Durchführung im Unternehmen von Betriebsärzten, niedergelassenen Medizinern, unterstützendem Personal,
Zurverfügungstellung des ärztlichen Personals (berufsberechtigten Medizinern oder Bekanntgabe der Mediziner, welche die Impfung direkt im Unternehmen durchführen),
Erfüllung der berufsrechtlichen Voraussetzungen des notwendigen Personals,
Kühlschrank zur Gewährleistung der ordnungsgemäßen Kühlung des Vakzins,
Begleitende Eintragung der Impfungen in den e-Impfpass (verpflichtend),
Ausreichende Impf-Räumlichkeiten (für Nachbeobachtung).

Datenschutzkonform bei den betrieblichen COVID-19 Impfungen

Jeder Impf-Registrierte muss wissen, was mit seinen Daten passiert. Sie als Unternehmen müssen sicherstellen, dass jeder Registrierte weiß, welche Daten wofür verarbeitet und gespeichert werden.
Vor der COVID-19 Impfung muss geklärt sein, wie sämtliche Daten von Registrierten, wie etwa Name und Anschrift, aber auch Angaben zu Kontraindikationen und Vorerkrankungen, vor der Impfung erhoben und gespeichert werden.
Es muss klargestellt sein, dass die Übermittlung der personenbezogenen Daten, datenschutzrechtlich geprüft worden ist. Weisen Sie dabei darauf hin, dass keine Übermittlung von Namen und vollständigem Geburtsdatum vorgesehen ist.
Es muss klar hervorgehen, welche Stelle für die Datenverarbeitung im Zusammenhang mit den Corona-Schutzimpfungen durch Impfzentren und mobile Impfteams verantwortlich ist.
Während der Impfung ist eine Videoüberwachung in den Impfräumlichkeiten verboten.
Nach der Impfung sind die Daten durch einen freigegebenen Prozess nur in pseudonymisierter Form weiterzuleiten.
Überlegen Sie, nur die Räumlichkeiten zur Verfügung zu stellen und das gesamte Procedere einem professionellen Anbieter zu übertragen. Dann müssen Sie sich mit dem Thema Datenschutz auch nicht so intensiv auseinandersetzen.
Werben Sie bei Ihren Mitarbeitenden damit, dass Sie nicht nur die Gesundheit, sondern auch die Privatsphäre absolut schützen.

Unser Fazit

Personengruppen mit einer chronischen Vorerkrankung, die sogenannte Risikogruppe, können sich beim Arzt ihres Vertrauens vormerken lassen.

Weiters informieren Sie am besten Ihre Mitarbeitenden darüber, dass es seit dem 1.Februar 2021 die Möglichkeit einer unverbindlichen Vormerkung für COVID-19-Impfungen auf den Impfplattformen der Bundesländern unter https://www.oesterreich-impft.at/ gibt.

Wir unterstützen mit unserem datenschutzrechtlichen Knowhow bereits viele Unternehmen, die in ihrem Betrieb COVID-19 Impfungen durchführen lassen wollen. Gerne beraten wir auch Sie ausführlich zu diesem Thema persönlich und erstellen individuelle Konzepte für Ihr Unternehmen. Kontaktieren Sie uns gerne direkt hier.

Datenpannen-Meldung: Achtung,72-Stunden-Frist!

Posted 10. Februar 2021 by Birgit von Maurnböck

Dass das Melden einer Datenpanne – auch Data Breach Notification genannt – unter gewissen Voraussetzungen sehr wichtig ist, kann gar nicht oft genug erwähnt werden. Wieso es außerdem von so großer Bedeutung ist, die dafür vorgeschriebene Frist von 72 Stunden einzuhalten, und was passieren kann, wenn diese versäumt wird, erfahren Sie in diesem Beitrag.

Datenpanne in Polen

Bei einer pädiatrischen Prüfung an der Medizinischen Universität Katowice in Polen hat sich eine Datenpanne ereignet. Die Studierenden wurden während dem Schreiben gefilmt und die Videoaufzeichnungen wurden versehentlich über die Lernplattform der Hochschule öffentlich zugänglich gemacht. Somit konnten nicht nur die Studierenden selbst sowie die Dozenten darauf zugreifen, sondern all jene, die für die Lehrveranstaltung registriert waren. Einige der Betroffenen konnten durch ihre bei der Prüfung vorgelegten Studien-Ausweise identifiziert werden. Insgesamt nahmen an der Prüfung sechs Klassen mit jeweils 26 Personen teil. Die polnische Datenschutzbehörde verhängte eine DSGVO-Strafe von 5.498,- €. Das interessante an dieser Entscheidung ist, dass das Bußgeld nicht aufgrund des Vorfalles an sich verhängt wurde, sondern deshalb, weil die Datenpanne nicht ordnungsgemäß und laut DSGVO-Vorschrift an die Datenschutzbehörde sowie an die Betroffenen gemeldet worden war. Einige der Studierenden erfuhren erst durch ihre Studienkollegen von dem Vorfall.

Diese Entscheidung zeigt deutlich, dass es besonders wichtig ist, die vorgeschriebene Frist einzuhalten. Eine Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde gemeldet werden. Einige prominente Fragen, die sich dazu häufig stellen, beantworten wir nun in diesem Beitrag:

Muss jede Datenpanne gemeldet werden?

Nein, eine Datenpanne muss nur dann an die Datenschutzbehörde gemeldet werden, wenn ein Risiko für Gesundheit, Ruf oder Vermögen der betroffenen Person(en) besteht. Aber auch Datenschutzverletzungen, die nicht meldepflichtig sind, müssen unbedingt unternehmensintern dokumentiert werden.

Wer informiert wen? Wer kontaktiert bei einer Datenpanne die Behörde?

Die Person im Unternehmen, die die Datenpanne zuerst bemerkt, sollte sich schnellstmöglich an die für den Datenschutz zuständige Person sowie gegebenenfalls an die Geschäftsführung wenden. Hat das Unternehmen einen Datenschutzbeauftragten, so sollte dieser im ersten Schritt kontaktiert werden. Geschäftsführung und alle für den Datenschutz zuständigen Personen entscheiden gemeinsam über die weiteren Schritte und evaluieren, ob eine Behördenmeldung sowie eine Kontaktaufnahme mit den betroffenen Personen notwendig ist.

Wie ist die Behörde nach einer Datenpanne zu kontaktieren?

Auf der Website der österreichischen Datenschutzbehörde „www.dsb.gv.at“ wird ein Formular zur Verfügung gestellt, das speziell für die Meldung von Datenpannen vorgesehen ist. Dieses wird vom Datenschutzbeauftragten oder, wenn keiner vorhanden ist, vom unternehmensinternen Datenschutzkoordinator ausgefüllt und fristgerecht, also innerhalb von 72 Stunden, abgeschickt.

Welche Informationen beinhaltet eine Behördenmeldung bei einer Datenpanne?

All diese Punkte müssen bei der Behördenmeldung angeführt werden:

Art der Datenschutzverletzung,
Betroffene Datenkategorien,
Anzahl der betroffenen Personen mit den dazugehörigen Datensätzen,
Eventuelle Folgen der Panne,
Die Kontaktdaten eines Ansprechpartners, die des Datenschutzbeauftragten oder des Datenschutzkoordinators als auch die Kontaktdaten des Geschäftsführers,
Beschreibung der betrieblichen Maßnahmen zur Risikoeindämmung und zukünftigen Verhütung eines solchen Vorfalls.

All diese Fragen sind im Formular auf der Webseite der österreichischen Datenschutzbehörde beinhaltet.

Unsere Praxistipps

Bei einer Datenpanne muss schnellstmöglich die Behörde informiert werden. Setzen Sie sich sofort mit der Behörde in Verbindung und machen Sie eine Meldung.
Kontaktieren Sie uns, wenn sich in Ihrem Unternehmen ein Datenschutzvorfall ereignet hat oder Sie dies auch nur vermuten. Wir unterstützen Sie bei allen notwendigen Schritten und leiten Sie fristgerecht und sicher durch Ihre Datenpanne.

Grindr: 10 Millionen Euro DSGVO-Strafe gegen Dating-App

Posted 10. Februar 2021 by Erich von Maurnböck

Sensible Daten und illegale Datenweitergabe sind zwei Begriffe, die sich wohl kaum miteinander vereinbaren lassen. Das muss nun auch die Dating-App Grindr in Norwegen lernen, die einer DSGVO-Strafe von rund 10 Millionen Euro entgegenzusehen hat. Wie genau es zu dieser enorm hohen Summe kommt, erfahren Sie in diesem Beitrag.

Fall Gringr

Die Dating-App Grindr, die sich auf Vermittlung von Dates für nicht-hetero Männer spezialisiert hat, muss in Norwegen einer DSGVO-Strafe von 100 Mio. norwegischen Kronen – umgerechnet rund 10 Mio. Euro – entgegensehen. Dem Unternehmen wird vorgeworfen, personenbezogene Nutzerdaten wie Standort- und Profildaten ohne jegliche rechtliche Grundlage zu Marketingzwecken an mehrere Drittparteien weitergegeben zu haben. Besonders heikel ist noch zu ergänzen, dass die bloße Tatsache, dass Personen auf Grindr registriert sind, Auskunft über sensible Daten gibt – nämlich über die sexuelle Orientierung der registrierten Männer. Informationen darüber sind besonders schützenswert, was den Verstoß gegen die DSGVO weiters verschärft.

Wie kommt es zu einer so hohen Strafe für Gringr?

Grundsätzlich gibt es zwei Arten, nach denen DSGVO-Bußgelder berechnet werden. Bei „kleineren“ Verstößen liegt der Betrag bei höchstens 10 Mio. Euro oder 2 % des Jahresumsatzes während die Höchststrafe bei den schweren Verstößen bei 20 Mio. Euro oder 4 % des Jahresumsatzes liegt – hierbei wird stets der höhere Betrag herangezogen.

In diesem Fall wurde das höhere Strafmaß gewählt, da es sich um eine ungesetzmäßige Weitergabe sensibler Daten handelte. Bei einem Jahresumsatz des Konzerns von rund 100 Mio. Euro würden die 4 % demnach 4 Mio. Euro betragen. Die Datenschutzbehörde hat sich hierbei auf den Höchstrahmen von bis zu 20 Mio. Euro berufen und die Strafe auf 10 Mio. Euro festgelegt.

Wie Sie also sehen können, erlaubt die DSGVO enorme Strafen aufgrund von Datenschutzverletzungen.

Unsere Praxistipps

Lassen Sie es nicht darauf ankommen, investieren Sie lieber ein bisschen mehr in Ihren Datenschutz, als umgekehrt ein Vielfaches davon in eine Strafzahlung zu stecken.
Wir unterstützen Sie gerne bei der Umsetzung und machen Sie datenschutzfit! Sie können uns direkt kontaktieren.

Videoüberwachung: 10,4 Millionen Euro DSGVO-Strafe

Posted 12. Januar 2021 by Erich von Maurnböck

Wissen Sie, wann und wo Sie videoüberwachen dürfen und wie Sie mit den Aufnahmen umzugehen haben? Die Antwort darauf sowie eine Warnung, was bei einem Verstoß passieren kann, erhalten Sie in diesem Beitrag.

Fall Videoüberwachung der Mitarbeitenden

Das Unternehmen „notebooksbilliger.de“ hat über einen Zeitraum von mindestens zwei Jahren Mitarbeitende sowie Kunden am Arbeitsplatz, im Verkaufsraum, im Lager sowie in anderen Aufenthaltsbereichen videoüberwacht. Der Grund dafür war die Verhinderung von Diebstählen und die Nachvollziehbarkeit von Warenflüssen. Eine entsprechende Rechtsgrundlage gemäß DSGVO für die Videoüberwachung war jedoch nicht vorhanden. Die Erklärung des Unternehmens ließ die Datenschutzbehörde nicht durchgehen, da ebenso mit anderen Mitteln wie stichprobenartigen Taschenkontrollen vorgegangen werden hätte können. Ein Generalverdacht ist ebenso unzulässig. Um die Videoüberwachung zu rechtfertigen, hätte es tatsächliche Verdachtsfälle von Fehlverhalten geben müssen.

Aus diesem Grund hat der Landesbeauftragte für Datenschutz in Niedersachsen ein Bußgeld von 10,4 Mio. Euro verhängt. Auf den Umsatz von „notebooksbilliger.de“ umgerechnet sind das ungefähr 1,04 % bis 1,18 %. Grundsätzlich kann das Strafausmaß gemäß DSGVO bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Unsere Praxistipps

Um solche Fehler zu vermeiden raten wir Ihnen:

Stellen Sie sicher, dass Ihre Videoüberwachung auf einer gültigen Rechtsgrundlage basiert.
Kennzeichnen Sie Videoüberwachungen richtig und an einer Stelle, an der Personen rechtzeitig – also bevor Sie bereits mitten im Bild sind – darüber informiert werden.
Reicht eine Überwachung in Echtzeit aus? Oder haben Sie einen berechtigten Grund, die Aufzeichnungen aufzubewahren? Achtung, hierbei sind strenge Fristen einzuhalten. Nach 72 Stunden müssen Sie die Videos in jedem Fall löschen.
Für weitere Informationen zu diesem Thema oder zur Unterstützung bei der Umsetzung in Ihrem Unternehmen können Sie uns sehr gerne kontaktieren – wir sehen uns an, wie, wo und ob eine Videoüberwachung zulässig ist.

Cyberschäden durch Angriffe: Deutlicher Anstieg

Posted 9. Dezember 2020 by Erich von Maurnböck

Wissen Sie, wie häufig es mittlerweile zu schweren Cyberattacken auf Unternehmen unterschiedlichster Größen weltweit kommt? Lesen Sie in diesem Beitrag, wieso ein geeigneter Schutz vor solchen besonders wichtig ist. Selbstverständlich haben wir einige Praxistipps für Sie auf Lager, die Sie in Ihrem Unternehmen umsetzen können.

Cyberschäden in Österreich

Virtuelle Angreifer und Betrüger stellen für Unternehmen weltweit ein großes und vor allem teures Problem dar. So zeigt der führende österreichische Industrieversicherer für Unternehmens- und Spezialrisiken AGCS in Österreich in seiner Auswertung, dass aus den Jahren 2015 bis 2020 insgesamt 1.736 Cyberschadenmeldungen vorliegen. Hierbei ist außerdem ein deutlicher Anstieg zu vermerken: Im Jahr 2016 wurden 77 Schäden registriert, drei Jahre später im Jahr 2019 bereits ganze 809 Fälle.

Die versicherten Schäden stellen jedoch nur einen Bruchteil der tatsächlichen Zahlen dar – einer Schätzung zufolge lag die Anzahl aller Schadensfälle bei rund 500.000. Nur in Österreich! Den Großteil mussten die betroffenen Unternehmen, Vereine oder sonstige Einrichtungen jedoch selbst begleichen – schätzungsweise weit über fünf Milliarden Euro.

Große Ereignisse wie landesweite Wahlen sowie auch die aktuelle Pandemie bieten demnach eine gute Möglichkeit für Cyberangriffe.

Cyberschaden in England

Manchester United, der berühmteste Fußballclub Englands, wurde von Hackern angegriffen und lahmgelegt. Die Erpresser fordern nun Millionen, um die Systemlahmlegung aufzuheben. Obwohl bereits das nationale Sicherheits-Center im Einsatz ist, ist bislang kein Ende in Sicht. Dem Club droht zudem noch weiterer Ärger: Sollten im Zuge des Hackerangriffs Datenschutzrechte gegenüber Fans verletzt werden, ist zusätzlich zu den Schäden durch den Cyberangriff mit einer Geldstrafe von bis zu 18 Millionen Pfund, umgerechnet über 20 Millionen Euro, zu rechnen.

Wie kommen Cyberschäden zustande?

Interne Vorfälle, wie unbeabsichtigte Fehler (beispielsweise fehlende oder zu wenige Updates, falsche Bedienung/Konfiguration) – das sind mehr als die Hälfte aller Fälle!
Externe Vorfälle wie Phishing oder DDoS-Angriffe (Distributed Denial of Service, also auf Deutsch die Blockierung des Internetdienstes).
Absichtlich und böswillige unternehmensinterne Aktionen.

Unsere Praxistipps

Achten Sie stets darauf, dass die Betriebssoftware sämtlicher Server, Computer, Drucker und Netzwerkkomponenten (Firewalls etc.), die Sie in Verwendung haben, auf dem neuesten Stand ist.
Verwenden Sie sichere Passwörter und Codes und behandeln Sie diese diskret und vertraulich.
Achten Sie darauf, welche Mitarbeitenden welche Benutzerrechte haben. Beschränken Sie diese auf ein sinnvoll benötigtes Minimum.
Handeln Sie sofort, wenn Sicherheitslücken jeglicher Art bekannt werden. Je früher Sie dagegen steuern, umso geringer ist der Schaden meist zu halten.
Schulen Sie regelmäßig Ihre Mitarbeitenden hinsichtlich IT-Sicherheit in Ihrem Unternehmen.
Für weitere Tipps oder bei Fragen steht Ihnen Erich von Maurnböck gerne zur Seite. Wir freuen uns auf Ihre Anfragen!

Posts Tagged ‘blog2social’

Eingabekontrolle

Auftragskontrolle

Unsere Praxistipps

Update der Datenschutzrichtlinien

Folgen des Updates für Verbraucher

Sichere Nachrichten-Apps

Unsere Praxistipps

Entscheidung über Auskunftsbegehren

Auskunftsbegehren: Das muss man laut DSGVO bekanntgeben

Unsere Praxistipps

Angebote und Regelungen für COVID-19 Tests

Was gilt als „Zutrittstest“?

COVID-19 Tests in Betrieben

Unsere Praxistipps

Voraussetzungen für betriebliche COVID-19 Impfungen

Datenschutzkonform bei den betrieblichen COVID-19 Impfungen

Unser Fazit

Datenpanne in Polen

Muss jede Datenpanne gemeldet werden?

Wer informiert wen? Wer kontaktiert bei einer Datenpanne die Behörde?

Wie ist die Behörde nach einer Datenpanne zu kontaktieren?

Welche Informationen beinhaltet eine Behördenmeldung bei einer Datenpanne?

Unsere Praxistipps

Fall Gringr

Wie kommt es zu einer so hohen Strafe für Gringr?

Unsere Praxistipps

Fall Videoüberwachung der Mitarbeitenden

Unsere Praxistipps

Cyberschäden in Österreich

Cyberschaden in England

Wie kommen Cyberschäden zustande?

Unsere Praxistipps