Mit unserem Plan-Do-Check-Akt-Model zur Umsetzung der DSGVO erreichen Sie bereits nach kürzester Zeit ein angemessenes Datenschutzniveau im Unternehmen und könne diese kontinuierlich steigern.

Unser 10-Schritte Plan zur Umsetzung der DSGVO:

1. Prüfung der Organisationsstruktur
2. Ermittlung der Anforderungen zur Datenschutzkonformität
3. Budgetplanung
4. Erstellung einer Timeline
5. Festlegung der Zuständigkeiten
6. Abstimmung der Ziele und des Ablaufs mit der Unternehmensleitung
7. Umsetzung
8. Analyse des Datenschutzniveaus
9. Korrektur
10. Berichterstattung

Profitieren Sie von unserer Erfahrung und erreichen Sie schnell und unkompliziert Datenschutzkonformität in Ihrem Unternehmen.

www.lexkonnex-datenschutz.de

www.lexkonnex.de

Der Beitrag Wie weit sind Sie mit der Umsetzung der DSGVO? erschien zuerst auf Lexkonnex Datenschutz.

Was ist eine Abmahnung?

Eine Abmahnung ist das außergerichtliche Schreiben eines Konkurrenten. Es enthält die Aufforderung, eine angeblich wettbewerbswidrige Handlung zu unterlassen, zum Beispiel irreführende Preisvergleiche. Die Rechtsgrundlage für eine Abmahnung ist das „Gesetz gegen den unlauteren Wettbewerb“ (UWG).

Wie sieht eine Abmahnung aus?

In der Abmahnung wird zunächst der Sachverhalt bschrieben. Die rechtliche Begründung des vorgeworfenen Wettbewerbsverstoßes muss angegeben werden. Es muss ergänzend zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert werden. Dafür wird häufig, aber nicht notwendigerweise eine Frist gesetzt. Außerdem werden gerichtliche Schritte angedroht, wenn die geforderte strafbewehrte Unterlassungserklärung nicht abgegeben wird.

Typischerweise enthält eine Abmahnung auch folgende Inhalte:

• Aufforderung, das abgemahnte Verhalten zukünftig zu unterlassen, meist verbunden mit der Androhung einer Vertragsstrafe für den Fall, dass das abgemahnte Verhalten nochmals auftritt
• Aufforderung zur Erstattung von Rechtsverfolgungskosten an den Abmahnenden, z.B. Rechtsanwaltskosten

Abmahnungen werden im geschäftlichen Rechtsverkehr ausgesprochen, d.h. unter Unternehmern. Privatpersonen können keine Wettbewerbsverletzungen nach dem UWG begehen. Abmahner und Abmahnungsempfänger müssen Mitbewerber im Sinne des UWG sein. Dazu müssen sie in einem konkreten Wettbewerbsverhältnis stehen (§ 2 Nr. 3 UWG). Neben Mitbewerbern dürfen nach dem UWG bestimmte Verbände oder Wettbewerbsvereine Abmahnungen aussprechen, z.B. die Wettbewerbszentrale oder der Verbraucherzentrale Bundesverband e.V. Abmahnungen aussprechen.

Abmahnung bei Verstößen gegen DSGVO bisher umstritten

Seit Inkrafttreten der DSGVO herrscht ein Streit darüber, ob Verstöße gegen das Datenschutzrecht abgemahnt werden können. 

In der Rechtsprechung war aktuell zu beobachten, dass sich die Urteile mit zwei Kernthemen beschäftigen:

• Sind bestimmte Verstöße gegen die Bestimmungen der Datenschutzgrundverordnung mit einem Verstoß gegen die Wettbewerbs- und Marktverhaltensregeln im Sinne des UWG gleichzusetzen?
• Sind allein die in der DSGVO ermächtigten Einrichtungen berechtigt, Verstöße zu sanktionieren?

Klarhheit zu all diesen Fragen hat der Gesetzgeber im Dezember 2020 mit einer umfassenden Änderung des UWG mit dem Gesetz zur Stärkung des fairen Wettbewerbs geschaffen. Durch die Neurgelung legt der Gesetzgeber zugleich aber auch fest, dass Verstöße gegen die DSGVO grundsätzlich abmahnfähig sind.

Durch die Neuregelung in § 13 UWG dürfen bei Abmahnungen von Verstößen gegen die Datenschutzgrundverordnung oder das Bundesdatenschutzgesetz durch Unternehmen und gewerblich tätige Vereine zukünftig keine Abmahnkosten mehr geltend gemacht werden, wenn das abgemahnte Unternehmen in der Regel weniger als 250 Mitarbeiter beschäftigt (§ 13 Abs. 4 UWG). Bei abgemahnten Unternehmen mit weniger als 100 Mitarbeitern darf bei einem erstmaligen Verstoß auch keine strafbewehrte Unterlassungserklärung gefordert werden (§ 13a Abs. 2 UWG).

Für Unternehmen, die diese Mitarbeitergrenzen überschreiten, kann also ein Datenschutzverstoß, wie z.B. eine mangelhafte Datenschutzerklärung auf der Internetseite, sowohl Rechtsverfolgungskosten des Wettbewerbers als auch bei mehrmaligem Verstoß die Zahlung einer Vertragsstrafe zur Folge haben.

Wenn Sie eine DSGVO Abmahnung erhalten haben, dann sollten Sie nicht auf die Unterstützung eines Fachanwaltes für Wettbewerb- oder Datenschutzrecht verzichten. Wenn Sie Hilfe brauchen– nehmen Sie einfach Kontakt zu uns auf: www.lexkonnex.de

Der Beitrag Abmahnungen bei Datenschutzverstößen erschien zuerst auf Lexkonnex Datenschutz.

Der Auskunftsanspruch betroffener Personen gemäß Art. 15 DSGVO gehört zu den wesentlichen Änderungen der DSGVO, die Unternehmen beachten müssen. Die Auslegung der Reichweite des Auskunftsanspruchs ist seit Inkrafttreten der DSGVO ein heiß diskutiertes Thema. Unternehmen versuchen natürlich die Auskunft soweit möglich zu begrenzen. Die Betroffenen haben ein Interesse daran alle Informationen zu erhalten, die in dem jeweiligen Unternehmen gespeichert werden.

In einer aktuellen Entscheidung hat sich der Bundesgerichtshof mit der Frage auseinandergesetzt und die Reichweite des Auskunftsanspruchs nach Art. 15 definiert.

In einem Streit zwischen einem Versicherten und seiner Versicherung verlangte der Versicherte eine ausführliche Auskunft über die zu seiner Person bei der Versicherung gespeicherten Daten. Der Kläger forderte sehr detaillierte Auskünfte u.a.

• Die gesamte Korrespondenz zwischen ihm und der Versicherung
• Nachträge zum Versicherungsschein und möglicherweise erteilte Zweitschriften von Versicherungsscheinen
• vollständige Daten seines Kontos
• Zudem auch Auskunft über Telefonvermerke, Gesprächsvermerke und Bewertungsvermerke der Versicherung, die sich auf das Versicherungsverhältnis mit ihm beziehen

Nach Erteilung der allgemeinen Auskunft gem. Art. 15 DSGVO lehnte die Versicherung eine weiterreichende Auskunft ab. Der Versicherungsnehmer hat daraufhin Klage erhoben.

Das Landgericht Köln wies die Klage mit der Begürndung ab, die Versicherung habe eine vollständige Auskunft erteilt. Hinsichtlich der Daten, die der Kläger zusätzlich fordere, habe er keinen Auskunftsanspruch nach Art. 15 Datenschutz-Grundverordnung (DSGVO). Diese Daten würden aus unterschiedlichen Gründen nicht von diesem Auskunftsanspruch erfasst.

Der BGH entschied in diesem Fall anders.

Nach seiner Auffassung können „entgegen der Ansicht des Berufungsgerichts die zurückliegende Korrespondenz der Parteien, das „Prämienkonto“ des Klägers und daten des Versicherungsscheins sowie interne Vermerke und Kommunikation der Beklagten nicht kategorisch vom Anwendungsbereich des Art. 15 Abs.1 DSGVO ausgeschlossen werden.“

Zudem bewertet der BGH auch die Frage, ob sich der Auskunftsanspruch auch auf interne Vermerke und die interne Kommunikation innerhalb der Versicherung bezieht, also beispielsweise auf die Kommunikation zwischen verschiedenen Abteilungen. Insbesondere seien interne Vermerke davon betroffen, wenn sie Informationen über den Kläger enthalten. Dazu gehören auch Vermerke der Versicherung über den Gesundheitszustand des Klägers.

Kein Auskunftsanspruch bestehe bei Beurteilungen zur Rechtslage, da diese keine Information über den Betroffenen darstellen und nicht als personenbezogene Daten anzusehen seien. Auch Provisionszahlungen der Versicherung an Vermittler unterliegen nicht dem Auskunftsanspruch, da sie keinen Bezug zur Person haben.

Im Ergebnis bedeutet das BGH-Urteil, dass Betroffene Anspruch auf eine umfassende Auskunft haben und zu allem eine Kopie fordern können, insbesondere auch zu internen Vermerken. Zu der Frage, ob der Anspruch aufgrund von Unverhältnismäßigkeit beschränkt oder ausgeschlossen werden kann, hat sich der BGH nicht geäußert.

Aber auch hier gibt der BGH eine Richtung vor. Er macht deutlich, dass der Auskunftsanspruch nur dann ausgeschlossen sein kann, wenn dies in der DSGVO explizit geregelt ist.

Der Beitrag Reichweite des Auskunftsanspruchs gem. Art 15 DSGVO erschien zuerst auf Lexkonnex Datenschutz.

Verschlüsselung: Wann ist welche Methode sinnvoll?

Es sollte bereits jedem klar sein, wie wichtig es ist, die personenbezogenen Daten, mit denen jedes Unternehmen arbeitet, ordnungsgemäß zu speichern und zu schützen. Wichtig ist die Entscheidung, wie man Daten schützt, deren Reise man nicht von Anfang bis Ende kontrollieren kann.

Man unterscheidet bei der Verschlüsselung von E-Mails grundsätzlich zwei Wege: Die Transport- und die Inhaltsverschlüsselung.

– Transportverschlüsselung: Die E-Mail-Nachrichten werden durch einen verschlüsselten Tunnel geschickt. Jedoch liegen die E-Mails nicht nur bei Absender und Empfänger im Klartext vor, sondern auch auf dazwischenliegenden Knoten. Nachrichten können also mitgelesen werden. TLS („Transport Layer Security“) ist das Standardprotokoll für die Transportverschlüsselung. TLS kommt häufig bei der Übertragung von Webseiten zum Einsatz und verhindert, dass Fremde etwa beim Online-Banking Daten mitlesen oder sogar manipulieren können.

– Inhaltsverschlüsselung: Hierbei wird der E-Mail-Inhalt verschlüsselt. Jedoch bleiben die sogenannten Metadaten (Absender, Betreff der Nachricht, Empfänger usw.) unverschlüsselt und damit lesbar. Protokolle für die Inhaltsverschlüsselung sind beispielsweise PGP und S/MIME. Sie sind besonders im Bereich von E-Mails weit verbreitet. Aber auch wer eine verschlüsselte ZIP-Datei erstellt, verschlüsselt den Inhalt der zugrunde liegenden Daten.

Beide Verschlüsselungsmethoden haben also ihre Nachteile:

• Die meist fehlende Ende-zu-Ende-Verschlüsselung bei der Transportverschlüsselung,
• der unverschlüsselte Transport von Metadaten bei der Inhaltsverschlüsselung.

Durch die Kombination beider Verfahren können die jeweiligen Nachteile vermieden werden. Das ist aber häufig recht aufwendig. Dabei hängt es vom Anwendungsszenario ab, ob die Vor- und Nachteile tatsächlich Auswirkungen auf die Sicherheit haben.

Ob nun eine Transport- oder Inhaltsverschlüsselung angewendet wird, hängt von den Strukturen und der Branche des Unternehmens oder der Organisation, der Mitarbeiterstruktur und den internen Arbeitsabläufen ab. Gehört die Arbeit mit sensiblen Daten zum Kerngeschäft des Unternehmens, ist eine Ende-zu-Ende-Verschlüsselung dringend zu empfehlen..

Was angemessen ist, sollte immer individuell beurteilt werden. Es gibt jedoch keine allgemeine Regel bei der Auswahl einer Methode. Beide Verfahren haben ihre Vor- und Nachteile, und die Verfahren zu kombinieren, ist oft aufwendig.

Deshalb ist es sinnvoll, risikobasiert auszuwählen.

Wenn Sie Hilfe brauchen, unterstützen wir Sie gerne bei der Auswahl – nehmen Sie einfach Kontakt zu uns auf: www.lexkonnex-datenschutz.de

Der Beitrag E-mail Verschlüsselung erschien zuerst auf Lexkonnex Datenschutz.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg, Dr. Stefan Brink, fasst auf seinem Interauftritt die häufigsten Datenpannen zusammen:
Platz 1: Postfehlversand
Platz 2: Hacking-Angriffe/Malware/Trojaner
Platz 3: E-Mail-FehlversanPlatzPlatz 4: Diebstahl eines Datenträgers
(Smartphone, Festplatte, USB-Stick etc.)
Platz 5: offener Mailverteiler

Unsere zertifizierte Datenschutzexperten stehen Ihnen gern zur Verfügung.

Der Beitrag Was sind die häufigsten Datenpannen? erschien zuerst auf Lexkonnex Datenschutz.

Der Einsatz von Ortungstechnik, die gezielt der Überwachung des Verhaltens von Beschäftigten dient, kommt nur dann in Betracht, wenn begründete und klar dokumentierte Anhaltspunkte dafür vorliegen, dass der Beschäftigte eine Straftat begangen hat, die mittels der Ortungstechnik beweisbar wird. Auch in diesem Fall ist zu prüfen, ob die Maßnahme verhältnismäßig ist.

Datenschutzrechtlich unproblematisch ist hingegen, wenn die Ortung durch das System technisch etwa erst nach einem Kfz-Diebstahl oder zur Sicherheit des Beschäftigten eingesetzt wird. Andere Einsatzmöglichkeiten von GPS sind im Fuhrparkmanagement denkbar.  Eine Ortung während der erlaubten privaten Nutzung eines Kfz oder eines Smartphones ist ebenfalls unzulässig.

Wichtig ist, dass bereits bei der Planung und Auswahl eines Ortungssystems der Datenschutz zu beachten ist und vor allem, dass Daten sparsam verarbeitet werden. Es dürfen nur die Daten erhoben werden, die dem betrieblichen Zweck dienen. Zudem ist es erforderlich, dass der Zweck klar dokumentiert ist und transparent im Unternehmen kommuniziert wurde. Die Verwendung der Daten zu einem anderen, als ursprünglich festgelegten Zweck ist nicht gestattet und nur in den seltensten Fällen rechtskonform.

Beim Einsatz von GPS -Ortungssysteme im Unternehmen sind daher folgende Punkte zu beachten:

• Nur erforderliche Daten werden erhoben.
• Die Datenschutzeinstellungen des Systems sind zu prüfen und zu dokumentieren.
• Die Beschäftigten sind durch eine Benachrichtigung oder eine Leuchtanzeige am Gerät, darüber in Kenntnis zu setzten, wann eine Ortung erfolgt. Ansonsten liegt eine verbotene heimliche Überwachung der Mitarbeiter vor.
• Der Datenschutzbeauftragte und ggf. der Betriebsrat müssen einbezogen werden.
• Ausführliche Dokumentation über den Einsatzbereich sowie über die betroffenen Mitarbeiter ist zu erstellen und aktuell zu halten.
• Der Abschluss einer Betriebsvereinbarung ist empfehlenswert.

Wenn Sie den Einsatz eines GPS-Systems in Ihrem Unternehmen planen, ist eine datenschutzrechtliche Prüfung unabdingbar.

Unsere zertifizierte Datenschutzexperten stehen Ihnen gern zur Verfügung.

Der Beitrag GPS-Ortung im Unternehmen erschien zuerst auf Lexkonnex Datenschutz.

Eine Bank, die unberechtigt Daten des Schuldners an die SCHUFA übermittelt, muss für diese unberechtigte Datenübermittlung einen DSGVO-Schadensersatz iHv. 1.000,- EUR bezahlen

“Dafür bedarf es entgegen der Ansicht der Beklagten nicht die in der bisherigen deutschen Rechtsprechung für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung, welche sich nicht mit Art. 82 DS-GVO verträgt. Sie ist weder vorgesehen noch von dessen Ziel und Entstehungsgeschichte gedeckt (…). Der Anspruch ist hiervon grundsätzlich unabhängig.

Für diese Ansicht spricht auch der Erwägungsgrund 85 S. 1 der DS-GVO. Danach kann eine Verletzung des Schutzes personenbezogener Daten einen immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa den Verlust der Kontrolle über ihre personenbezogenen Daten.

Das Gericht argumentiert wie folgt:

“Der immaterielle Schaden des Klägers liegt hier in dem Verlust der Kontrolle über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa hat die Beklagte personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch wird der Kläger bloßgestellt und es droht zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen kann (…).

Zur Datenqualität erklärt das Gericht:

“Bei den Daten handelt es sich um schützenswerte und sensible Daten des Klägers.

Sie können maßgeblichen negativen Einfluss auf die Teilnahme am wirtschaftlichen Verkehr haben, indem Kredite versagt oder Verträgen nicht eingegangen werden. Dadurch können mittelbar Grundrechte wir die Berufsfreiheit und die allgemeine Handlungsfreiheit beeinträchtigt werden. Im konkreten Fall ist andererseits jedoch zu berücksichtigen, dass die Einmeldung nur zwei Wochen bestand (18.09.-01.10.2018) und danach als erledigt erklärt wurde und sich „nur“ auf einen Betrag von 1.020 Euro bezog.

Vor diesem Hintergrund siedelt das Gericht die Beeinträchtigung des Klägers in einem unteren Bereich an, für den es ein Schmerzensgeld von 1.000 Euro für angemessen hält.”

Sollten Sie auch eine Anfrage von einer Datenschutzbehörde erhalten, zögern Sie nicht uns zu kontaktieren. Wir stehen Ihnen als Datenschutzexperten gern zur Verfügung.

Der Beitrag 1000,00 € Schadensersatz wg. SCHUFA-Meldung erschien zuerst auf Lexkonnex Datenschutz.