Posts Tagged ‘MeineBerater’

TOMs – Technische und organisatorische Maßnahmen Teil 2

Posted by Birgit von Maurnböck

Wir haben den technischen und organisatorischen Maßnahmen (TOMs) bereits einen Beitrag gewidmet und uns darin die ersten vier Kontrollschritte angesehen. Hier ein kleiner Überblick der acht Gebote der technischen und organisatorischen Maßnahmen im Datenschutz:

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Datentrennungskontrolle

In diesem Beitrag gehen wir auf die Eingabe- und Auftragskontrolle ein.

Eingabekontrolle

Die Eingabekontrolle sorgt dafür, dass nachverfolgt werden kann, wer wann gewollte oder auch ungewollte „Manipulationen“ also „Bearbeitungen“ an Daten vorgenommen hat.

Durch die durchgängige Vergabe von unterschiedlichen Nutzernamen für IT-Systeme kann genau festgestellt werden, welcher User wann eine bestimmte Änderung an Daten vorgenommen hat.

Können Sie bereits nachvollziehen, wer wann was mit personenbezogenen Daten im Unternehmen macht?

Auftragskontrolle

Was kann man sich in der Praxis unter dem Begriff „Auftragskontrolle” vorstellen?

Der Auftragsverarbeiter ist jede Stelle, die im Auftrag des Unternehmens personenbezogene Daten verarbeitet. Hierbei handelt es sich beispielsweise um (fast jeden) IT-Dienstleister, Software-Anbieter, Werbeagenturen, Cloud-Anbieter oder auch externe Lohnverrechner. Die genannten Unternehmen verarbeiten im Auftrag zum Beispiel Kundendaten oder Mitarbeiterdaten.

ACHTUNG: Sind Sie sich dessen bewusst, dass Sie ausnahmslos mit JEDEM Auftragsverarbeiter einen Vertrag abschließen müssen – einen sogenannten Auftragsverarbeiter-Vertrag? 😉

Wie Sie in diesem Beitrag lesen können, drohen bei Nichterfüllung hier ernst zu nehmende DSGVO-Strafen.

Auftragskontrolle = Kontrolle Ihrer Auftragsverarbeiter. Dadurch soll sichergestellt werden, dass Daten von einem Auftragsverarbeiter gemäß Ihren Weisungen verarbeitet werden. Sie sind schließlich dafür verantwortlich, die Daten entsprechend zu schützen.

Unsere Praxistipps

Im 3. TOMs-Teil werden wir uns den Themen Verfügbarkeits- und Datentrennungskontrolle widmen.

TOMs – Technische und organisatorische Maßnahmen Teil 1

Posted by Birgit von Maurnböck

Seit Inkrafttreten der DSGVO hört man ständig den Ausdruck „TOMs“ in Zusammenhang mit dem Datenschutz. Wofür steht die Abkürzung überhaupt und was kann man sich in der Praxis darunter vorstellen? In unserer 3 teiligen Serie, erklären wir Ihnen alle wichtigen Begriffe, praxisorientiert und leicht verständlich für den Arbeitsalltag. In diesem Teil geht es um die vier Kontrollschritte Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle.

Mit den TOMs sind die technischen und organisatorischen Maßnahmen gemeint. Dabei handelt es sich um Sicherheitsvorkehrungen, die personenbezogene Daten vor unberechtigtem Zugriff schützen. Die Maßnahmen kann man anhand der folgenden acht Gebote darstellen, die in Form von Kontrollschritten beschrieben werden:

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Datentrennungskontrolle

Auf die ersten vier Kontrollschritte gehen wir nun genauer ein:

Zutrittskontrolle

Unbefugte dürfen sich keinen Zutritt zu Ihrem Betriebsgelände oder Bürogebäude, in denen sich Ihre betrieblichen Räumlichkeiten befinden, verschaffen. Das kann durch Maßnahmen wie beispielsweise sichere Türschlösser, Videoüberwachung oder eine Besucherkontrolle durch einen Portier gewährleistet werden. Übrigens: Das Türschloss am Beitragsfoto ist aus heutiger Sicht definitiv nicht mehr als sicher einzustufen.

Zugangskontrolle

Hat ein Dritter nun bereits Zutritt erlangt, so stellt die Zugangskontrolle sicher, dass sich die Person dennoch nicht den Zugang zu den EDV-Anlagen (Serverräumen, PCs, Laptops) schafft. Dazu dienen unter anderem biometrisch gesicherte Serverräume, das Wegsperren von Laptops, aber auch Firewalls und Anti-Viren-Programme.

Zugriffskontrolle

Sollten nun bereits die Zutritts- und Zugangskontrolle versagt haben und der unbefugte Dritte ist bereits zu einem PC, Laptop oder an Ihren Schreibtisch gelangt, so regelt die Zugriffskontrolle, dass die Person trotzdem keinen Zugriff auf personenbezogene Daten erhält. Was sind die hier wichtigsten Maßnahmen: Gute Passwörter, versperrte Akten.

Weitergabekontrolle

Die Weitergabekontrolle stellt sicher, dass Daten nur an berechtigte Empfänger übermittelt werden. Welche Maßnahmen stellen in der Praxis sicher, dass Daten ausschließlich in die richtigen Hände geraten? Beispiele für die Umsetzung der Weitergabekontrolle sind die Verschlüsselung von Emails, VPN-Technologie, Authentifizierung der User, Passwortschutz bei Email Anhängen sowie die Verwendung von digitalen Signaturen.

Unsere Praxistipps

Werbung ohne Einwilligung! Ist das denn möglich?

Posted by Birgit von Maurnböck

Niemand darf zu Werbezwecken ohne Einwilligung kontaktiert werden. So sagt man, steht es in der DSGVO. Ganz so ist es allerdings nicht. In Österreich regelt das Telekommunikationsgesetz das Thema Werbeanrufe und elektronische Werbung. Hierbei werden Ausnahmen normiert, die eine Zusendung elektronischer Post auch ohne Einwilligung ermöglichen. Welche Voraussetzungen dazu gegeben sein müssen, erfahren Sie in unserem Beitrag.

Kontaktaufnahme laut Telekommunikationsgesetz

Seit langer Zeit (2007) ist im Telekommunikationsgesetz geregelt, dass Personen nicht mit unerbetenen Nachrichten bombardiert werden dürfen. (Dies gilt übrigens auch im B2B-Bereich.) Die DSGVO enthält diesbezüglich einige Regelungen, die jedoch nicht in die Tiefe gehen. Informationen dazu können Sie in unserem vorherigen Beitrag lesen. Um zu Werbezwecken Kontakt aufnehmen zu dürfen, ist eine Einwilligung der betroffenen Person notwendig. Ein Widerruf der Einwilligung muss jederzeit möglich sein. Die Identität des Absenders sollte klar erkennbar sein und die Rufnummer darf weder unterdrückt noch verfälscht angezeigt werden. Auch ein Newsletter unterliegt einer Impressumspflicht! Ebenso wichtig ist es, dass eine geeignete Adresse übermittelt wird, an welche die Empfänger den Wunsch zur Einstellung der Zusendung richten können.

Ausnahmen im Telekommunikationsgesetz

Wann ist nun keine Einwilligung zur Kontaktaufnahme notwendig? Die Ausnahmen werden im Telekommunikationsgesetz – im § 107, für besonders interessierte Juristen, – definiert. Wir fassen für Sie zusammen:

Eine Einwilligung zum Erhalt elektronischer WERBUNG ist unter folgenden Bedingungen nicht nötig:

1. Der Absender hat die Kontaktinformation für die Nachricht im Rahmen eines Verkaufs oder einer Dienstleistung erhalten.
2. Die Nachricht erfolgt zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen.
3. Der Empfänger hat klar die Möglichkeit erhalten, die Nutzung seiner Kontaktinformation ohne Folgen abzulehnen.
4. Der Empfänger hat die Zusendung nicht bereits vorab, vor allem nicht durch Eintragung in die sogenannte Robinsonliste, abgelehnt.

Ein Praxisbeispiel hierzu: Herr Huber hat bei Ihnen ein Seminar zum Thema Brandschutz besucht und Ihnen in diesem Zusammenhang seine Kontaktdaten gegeben. Als er an Ihrer Weiterbildung teilnahm, haben Sie ihn gefragt, ob er Werbung von Ihnen erhalten möchte. Sie haben ihn über die Möglichkeit der Ablehnung informiert. Er hat nicht abgelehnt. Nun möchten Sie ihm Werbung für Ihr neues Seminar zum Thema Hygiene zusenden. Um rechtskonform zu handeln, prüfen Sie vorab, ob er in der Robinsonliste eingetragen ist. Die Eintragung in diese Liste steht übrigens über allen anderen Voraussetzungen. Wenn Herr Huber dort nicht eingetragen ist, können Sie ihm nun Werbung zusenden. Ihr Werbeemail ist klar als Werbung zu erkennen, hat ein Impressum und einen Link, wo sich Herr Huber jederzeit vom Erhalt weiterer Zusendungen abmelden kann. So geht elektronische rechtskonforme Werbung!

Unsere Praxistipps

Facebook, LinkedIn & Clubhouse – Aktuelle Datenlecks

Posted by Erich von Maurnböck

Datenschutzmängel bei Facebook sind keine Neuigkeiten, nun hat sich die Social-Media-Plattform allerdings mit einem besonders schweren Datenleck in die Nachrichten manövriert. Auch LinkedIn und Clubhouse sind aktuell aus ähnlichen Gründen in aller Munde. Lesen Sie in diesem Beitrag genauere Informationen zu den Vorfällen.

Datenmissbrauch bei Facebook

Vor einigen Wochen wurde bei Facebook eine schwere Datenpanne mit rund 530 Millionen betroffenen Personen bekannt. Durch eine Sicherheitslücke wurde eine enorm hohe Menge an personenbezogenen Daten im Internet veröffentlicht, welche in einem Forum für Cyberkriminelle auftauchten und dort kostenfrei zur Verfügung standen. Das Leak war bereits vor Jahren bekannt geworden und laut der Social-Media-Plattform 2019 behoben worden.

Unter den Betroffenen befinden sich 6 Millionen Deutsche, die sich nun mit der Unterstützung des Münchner Unternehmens „Europäische Gesellschaft für Datenschutz“ (EuGD) zu einer Klage auf Schadenersatz für immateriellen Schaden entschlossen haben. Sollte diese erfolgreich sein, könnte jeder betroffenen Person 1000,- € Schadenersatz zukommen. Dies hätte wohl einen abschreckenden Effekt, sogar für Facebook!

Datenmissbrauch bei LinkedIn

Auch bei LinkedIn wurde kurz darauf ein Fall von Datenmissbrauch publik. Mehr als 500 Millionen Profildaten wurden in einem populären Hackerforum gegen eine geringe Gebühr zum Verkauf angeboten. Bei den Daten handelt es sich um Namen, Telefonnummern, Email Adressen und Arbeitgebende. Das soziale Netzwerk für Geschäftskontakte bezeichnet den Vorfall als unerlaubtes Scraping. Damit sind bestimmte Techniken gemeint, die durch gezieltes Extrahieren von Daten, zum Gewinn bestimmter Informationen herangezogen werden.

Datenmissbrauch bei Clubhouse

Clubhouse ist die jüngste Social-Media-Plattform und hat in den letzten Monaten große Bekanntheit erlangt. Zuletzt fiel die Trend-App jedoch ebenso wie Facebook und LinkedIn äußerst negativ in den Schlagzeilen auf. Auch von Clubhouse-Nutzern wurden personenbezogene Daten im Internet frei zugänglich gemacht. In diesem Fall wurde ebenso wie bei LinkedIn durch Datenscraping eine Datenbank der gesammelten Daten erstellt, die ein gefundenes Fressen für Hacker darstellt. Von diesem Vorfall sind insgesamt 1,3 Millionen Nutzer betroffen.

Unsere Praxistipps

Neue Nutzungsbedingungen bei WhatsApp: Jetzt wird es ernst!

Posted by Erich von Maurnböck

Benutzen Sie WhatsApp? Wenn ja, dann wissen Sie bereits, dass es aufgrund der geänderten Nutzungsbedingungen zu einer massiven Absenkung des Datenschutzniveaus kommt. Diese sollten ursprünglich bereits im Februar umgesetzt werden, die Deadline wurde jedoch auf Mai verlegt. Von nun an kann die Nachrichten-App nur noch genutzt werden, wenn man den geänderten Nutzungsbedingungen zustimmt. Worum es dabei genau geht und warum wir Ihnen raten, auf eine sichere Alternative umzusteigen, erfahren Sie in diesem Beitrag.

Update der Datenschutzrichtlinien

Seit Jänner gibt es viel Wind um eine bevorstehende Änderung der weltweiten Nutzungsbedingungen des Kommunikationsdienstes WhatsApp. Nutzer müssen darin zustimmen, dass ihre personenbezogenen Daten von nun an vom gesamten Facebook-Universum, zu dem der Nachrichtendienst seit einigen Jahren zählt, verwendet werden dürfen. Darunter fallen unter anderem das Adressbuch mit Telefonnummern, Profilnamen, Profilbilder und Statusmeldungen.

Zwar wird erklärt, dass keine Informationen, die WhatsApp weitergibt, für Facebook-Unternehmen Verwendung finden. Aber: gleichzeitig erfolgt der Hinweis darauf, dass WhatsApp mit anderen Facebook-Unternehmen Daten teilt, um Dienste „zu betreiben, anzubieten, zu verbessern, zu verstehen, zu individualisieren, zu unterstützen und zu vermarkten“. Daten dürfen so innerhalb des Konzerns unbeschränkt weitergegeben werden. Zusätzlich wird erläutert, dass Facebook für die Bereitstellung von Analysediensten beispielweise Telefonnummern, Geräteinformationen und weitere Informationen von WhatsApp erhält. Auch Personen, die gar nicht auf Facebook sind, sondern nur WhatsApp nutzen, sind dabei betroffen.

Folgen des Updates für Verbraucher

Um im Unternehmen DGSVO-konform unterwegs zu sein, wird schon seit Jahren darauf hingewiesen, dass WhatsApp kein datenschutzsicherer Kommunikationsdienst ist und daher nicht verwendet werden darf. Mitgrund dafür ist die Datenübertragung sämtlicher gespeicherter Kontakte in die USA. Näheres können Sie auch hier nachlesen. Wir empfehlen Ihnen den neuen Bedingungen nicht zuzustimmen und die App künftig nicht mehr zu benutzen. Für einige WhatsApper können die Änderungen nun eine hervorragende Gelegenheit sein, auch die private Kommunikation datenschutzsicherer zu gestalten.

Wir zeigen Ihnen hier überlegenswerte Alternativen sicherer Nachrichtendienste auf:

Sichere Nachrichten-Apps

Sicherheit wird bei Signal großgeschrieben: Private Nachrichten und Gruppenchats sind Ende-zu-Ende-verschlüsselt. Die Telefonnummern werden nur anonymisiert an den Server übermittelt. Zudem wird der Messenger-Dienst von einer gemeinnützigen Stiftung geführt. Signal ist Open-Source und somit kann der Code von jedem geprüft werden.

Threema ist ein freier und ebenso Ende-zu-Ende-verschlüsselter Messaging-Dienst aus der Schweiz, der wie auch Signal datenschutzsicherer als WhatsApp ist. Im Gegensatz zu Signal und Ginglo ist Threema jedoch nicht kostenlos. Es werden einmalige Zahlungen oder monatliche Zahlungen (Business Variante) verlangt.

Ginglo ist die Nachfolger Messenger-App von SIMSme der Deutschen Post. Hierbei werden keine Daten an Server außerhalb der Europäischen Union übertragen, eine Vollverschlüsselung ist inbegriffen. Zur Nutzung muss die Handynummer angegeben werden und der Zugriff auf gespeicherte Kontakte ist möglich, aber nicht zwingend erforderlich. Außerdem kann in jedem Chat für einzelne Nachrichten die Selbstzerstörung gewählt werden.

Unsere Praxistipps

DSGVO-Strafe in Italien: Aggressives Telemarketing

Posted by Erich von Maurnböck

Wissen Sie genau darüber Bescheid, wann Sie Kontaktdaten verarbeiten und zu Marketingzwecken verwenden dürfen? In Italien kam es erneut zu einer sehr hohen DSGVO-Strafe von 4,5 Millionen Euro aufgrund von unrechtmäßigem Telemarketing, von dem ganze 7,5 Millionen Personen betroffen waren.

Telemarketing ohne Rechtsgrundlage

Gegen den italienischen Festnetzbetreiber „Fastweb“ gingen bei der Datenschutzbehörde hunderte Beschwerden ein. Betroffene beklagten sich über aggressives Telemarketing. Die italienische Datenschutzbehörde leitete Ermittlungen gegen den Kommunikationsbetreiber ein und stellte dabei fest, dass die verwendeten Telefonnummern nicht im Register des Unternehmens eingetragen waren. Die Kontaktdaten wurden von externen Partnern ohne Einwilligung der Betroffenen bezogen. Insgesamt waren von der Verarbeitung 7,5 Millionen Personen betroffen.

Folgen des aggressiven Telemarketings

Die durchgeführten Werbeanrufe ohne Rechtsgrundlage stellen einen klaren Verstoß gegen die DSGVO dar. Bei der Prüfung des Festnetzbetreibers durch die italienische Datenschutzbehörde stellte diese zudem weitere Verstöße fest: Zum einen wurde keine ordnungsgemäße Ausübung der Betroffenenrechte, insbesondere des Widerspruchs, ermöglicht, zum anderen waren auch die technischen und organisatorischen Maßnahmen zum Datenschutz mangelhaft.

Daraufhin wurde eine Strafe von 4,5 Millionen Euro gegen „Fastweb“ verhängt. Zudem wurde der Betreiber angewiesen, seine Sicherheitsmaßnahmen zu verstärken und seine Werbepraxis rechtmäßig zu gestalten.

Unsere Praxistipps

Bezahlung mit Daten: Neues Gewährleistungsrecht

Posted by Birgit von Maurnböck

Daten sind in den letzten Jahren zu einem beliebten Währungsmittel geworden. Bestimmt haben Sie schon häufig mit Daten für vermeintlich „kostenlose“ Dienste bezahlt. Nun wurde ein neues Gewährleistungsrecht auf den Weg gebracht, das künftig Verbesserungen für Verbraucher verspricht. Die wichtigsten Informationen dazu haben wir für Sie in diesem Beitrag zusammengefasst.

Die Bezahlung durch Daten

Zahlreiche Plattformen und Dienste stellen kostenlose Leistungen zur Verfügung. Gezwungenermaßen müssen wir einwilligen, dass beispielsweise auf unsere Kontakte, Fotos, Mikrofon, Standort oder auf andere Informationen zugegriffen wird. Wir nehmen das jedoch in Kauf, um uns ein Video anzusehen oder einen Messenger-Dienst zu nutzen. Schließlich werden wir vor die Entscheidung gestellt: Möchten wir den Dienst in Anspruch nehmen und dafür mit unseren Daten bezahlen? Oder wollen wir den Zugriff lieber nicht erlauben und können dafür aber die jeweilige Leistung nicht in Anspruch nehmen? Diese Zwickmühle veranlasst uns häufig dazu, den Zugriff auf unsere privaten Daten trotzdem zu erlauben, obwohl wir mit diesem grundsätzlich keineswegs einverstanden sind. Eine Gesetzesänderung gibt uns nun mehr Rechte.

Neue Ansprüche bei der Bezahlung mit Daten

Ein neues Gewährleistungsrecht nach EU-Richtlinie soll uns Verbrauchern zukünftig das Leben erleichtern. Dieses ist bis zum 1. Juli 2021 durch nationale Gesetze umzusetzen und soll mit 1. Jänner 2022 zur Anwendung kommen. Im Vordergrund steht grundsätzlich eine Verbesserung der Durchsetzung von Gewährleistungsansprüchen bei Mängeln, beispielsweise bei der Beweislast. Zusätzlich werden auch digitale Neuerungen verlangt: Zum einen kostenlose Software-Updates für „Smart Goods“, beispielsweise Smartphones oder „intelligente“ Fitnessuhren, und zum anderen neue Regelungen in Bezug auf die Bezahlung mit Daten.

Letzteres ist in Hinblick auf den Datenschutz besonders interessant: Während das Gewährleistungsrecht bislang nur für entgeltliche Verträge gültig war, sollen die neuen Bestimmungen nun auch dann gelten, wenn Betroffene für digitale Leistungen nicht mit Geld, sondern mit personenbezogenen Daten bezahlen.

Lädt eine Person beispielsweise Fotos in einen kostenlosen Cloud-Dienst, so kann dieser, sollte das Abrufen der Fotos Probleme mit sich bringen, oder das Material verzerrt oder falsch dargestellt werden, von seinem Gewährleistungsrecht Gebrauch machen. Der Cloud-Dienst ist nach dem neuen Gesetz gewährleistungspflichtig in Bezug auf sämtliche mögliche Mängel, welche anfallen könnten. Der betroffene Kunde hat dann zum Beispiel das Recht, zu verlangen, dass seine personenbezogenen Daten vom Anbieter nicht mehr genutzt werden dürfen.

Unsere Praxistipps

Wir sind COVID-19-Beauftragte

Posted by Birgit von Maurnböck

Durch die Lockerung der COVID-19-Maßnahmen können unter anderem wieder Lokale besucht werden, Events stattfinden und Sportstätten geöffnet werden. Die Regeln zur „Rückkehr“ sind jedoch streng. Zusätzlich zur Test- und Maskenpflicht wird in vielen Fällen ein COVID-19-Beauftragter benötigt – Geschäftsführerin Birgit von Maurnböck ist dazu ausgebildet und unterstützt Sie gerne.

Lockerung der COVID-19-Maßnahmen

Nach langem Warten kehrt wieder ein Stück Normalität zurück nach Österreich: Mit dem 19. Mai kommt es zu Lockerungen der COVID-19-Maßnahmen. So ist es unter anderem wieder möglich, Lokale und Restaurants sowie Sportstätten und Veranstaltungen zu besuchen. Ganz „normal“ läuft das Ganze jedoch noch nicht ab – all diese Schritte sind mit strengen Regelungen verbunden. Zusätzlich zu einer FFP2-Maskenpflicht in allgemeinen Bereichen oder außerhalb des eigenen Sitzplatzes, muss

beim Betreten entweder ein Test gemacht werden, ein gültiges negatives Testergebnis, eine Bestätigung über eine bereits durchgemachte COVID-19-Erkrankung (sechs Monate danach) oder ein Impfzertifikat (22 Tage nach der Erstimpfung) vorgewiesen werden. Genauere Regelungen können Sie auf der Website des Sozialministeriums nachlesen.
Auf eine Regulierung gehen wir jedoch nun genauer ein: In der Gastronomie, im Tourismus, in der Kultur, bei Veranstaltungen, bei Kongressen, bei Messen sowie in Sport- und Freizeitbetrieben muss ein Präventionskonzept erstellt und ein COVID-19-Beauftragter ernannt werden.

Birgit von Maurnböck ist COVID-19-Beauftragte

Unsere Geschäftsführerin hat die Ausbildung zur COVID-19-Beauftragten beim Wiener Roten Kreuz – Österreichs einzigem zertifizierten Ausbildungszentrum für Veranstaltungssicherheit – absolviert und weiß nun genauestens Bescheid über Hygiene-Maßnahmen wie Mundschutz, Händewaschen und Desinfektion, die Regelung von Besucherströmen und Abständen, die Beurteilung von Risiken sowie auch über das Verhalten im Ernstfall, also bei einem Verdachtsfall oder einer tatsächlich vorliegenden Infektion.
Da von nun an österreichweit personenbezogene Daten aller Besucher erfasst werden, ist es selbstverständlich von besonderem Vorteil, als COVID-19-Beauftragte und somit als Verantwortliche für die Verarbeitung dieser Daten eine Datenschutzbeauftragte und einen Profi im Bereich Datenschutz einzusetzen.

Welche Vorteile haben Sie durch eine COVID-19-Beauftragte?

Sie sind rechtskonform unterwegs. Die Bestellung eines solchen Beauftragten ist verpflichtend vorgeschrieben.
Außerdem profitieren nicht nur sämtliche Besucher und Teilnehmer sowie Mitarbeitende von den Maßnahmen zur Reduktion des Corona-Infektionsrisikos, sondern schlussendlich wir alle!

Sollten Sie eine COVID-19-Beauftragte benötigen, kontaktieren Sie uns. Wir unterstützen Sie gerne beim Erstellen eines Präventionskonzepts und fungieren in der offiziellen Rolle als COVID-19-Beauftragte.

Wir freuen uns auf Ihre Anfragen und wünschen Ihnen gelungene, erfolgreiche, gesunde Öffnungsschritte!

Praxisleitfaden: Datentransfer in die USA und andere Drittländer

Posted by Erich von Maurnböck

In diesem Praxisleitfaden haben wir eine Schritt für Schritt Anleitung für Sie verfasst, um Ihnen zu zeigen, was europäische Unternehmen zum Datentransfer in die USA und in andere Drittländer ohne Angemessenheitsbeschluss umsetzen müssen. So bleiben Sie und Ihr Unternehmen rechtskonform.

Schritt 1: Überprüfung des externen Datentransfers

Zuerst müssen Sie Ihre Datenflüsse genauestens dahingehend überprüfen, ob Daten überhaupt in Drittländer übermittelt werden. Als solche gelten alle Staaten, in denen die DSGVO keine Gültigkeit hat – also alle außerhalb des Europäischen Wirtschaftsraums (EWR). Achtung, unter anderem gehört auch die Schweiz nicht zum EWR! Ein Datenaustausch innerhalb des EWR sollte unbedenklich sein.
Vergessen Sie nicht darauf, auch bei Datenflüssen an vermeintliche EU-Unternehmen genau hinzusehen, denn diese könnten Daten schließlich an Drittländer weiterübermitteln. Beispiele hierfür wären Mailchimp, Salesforce, HubSpot und Facebook. Praxistipp dazu: Checken Sie die Verträge, die Sie mit Ihren Dienstleistern abgeschlossen haben.

Schritt 2: Relevante Grundlage des Datentransfers bestimmen

Um Daten an Unternehmen in Drittländern übermitteln zu dürfen, ist eine geeignete Grundlage notwendig. Folgende Grundlagen gibt es hierfür:

Ohne Rechtsgrundlage keine Datenverarbeitung, das muss ohnehin immer der Grundsatz sein!

Schritt 3: Spezialfall USA – Datentransfer gegen Geheimdienste sichern

Identifizieren Sie unbedingt Electronic Communication Service Provider in den USA und überprüfen Sie jeden Datentransfern in die USA daraufhin, ob ein Abhören durch die NSA möglich ist. Daten bei all jenen Unternehmen, die ein Electronic Communication Service Provider sind und dem sogenannten FISA 702 unterliegen, können jederzeit von den Geheimdiensten ausgelesen werden. Genau davor soll aber die DSGVO schützen! Von solchen Unternehmen dürfen auf keinen Fall Daten von EU-Bürgern verarbeitet werden.

Folgen bei unrechtmäßigem Datentransfer in Drittländer

Verantwortliche müssen Datenübermittlungen überprüfen und diese unterlassen, sollte es keine geeignete geeignete Rechtsgrundlage geben. Wird dies verabsäumt, wird das höhere Strafmaß gemäß DSGVO herangezogen: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Gesamtkonzerns! Die Datenschutzbehörden dürfen Verarbeitungen solcher Art auch jederzeit untersagen. Und, ganz übel: Betroffene könnten Schadenersatz geltend machen. Eine Schon- oder Übergangsfrist gibt es dazu nicht, das hat der EuGH bereits im Juli 2020 so verkündet.

Handeln Sie sofort und prüfen Sie Ihre ausländischen Dienstleister, speziell jene Dienstleister mit Bezug zu den USA.

Wir unterstützen Sie sehr gerne dabei, Ihre Datenflüsse nach den beschriebenen Kriterien zu überprüfen. Bleiben Sie auf der sicheren Seite, meist wird die auf der europäischen Seite des Atlantiks liegen. Kontaktieren Sie uns jederzeit, wenn Sie Fragen zum Thema Datentransfer haben.