Kategorie: Datenschutz
Die Bestandsaufnahme – wichtiges Instrument für den Datenschutz
Wikipedia definiert die Bestandsaufnahme als eine „… dokumentierte Untersuchung einer Vielzahl von einzelnen Gegenständen in Hinsicht auf ein oder mehrere bestimmte Merkmale, die Vollständigkeit zum Ziel hat.“
In Bezug auf den Datenschutz ist der Sinn einer Bestandsaufnahme grundsätzlich schnell erklärt. Systematisch wird ein Ist-Zustand erhoben, der zeigt, an welchen Stellen im Unternehmen welche personenbezogenen Daten wie verarbeitet werden.
Was sollten Kunden beim Einsatz von M365 berücksichtigen – Fatih Ataoglu im Datenschutz Talk
- Datenschutz beim Einsatz von Microsoft Azure - Fatih Ataoglu im Datenschutz Talk
- Microsoft und der CLOUD Act - Fatih Ataoglu im Datenschutz Talk
- Datenschutz unter Microsoft M365 – Fatih Ataoglu im Datenschutz Talk
Im dritten Teil der Themenreihe mit Microsoft Deutschland sprechen Heiko Gossen und Fatih Ataoglu, Head of Data Privacy & Security von Microsoft Deutschland u.a über die sechs Datenschutzprinzipien beim Betrieb der Microsoft Clouddienste. Es geht auber auch um die Möglichkeiten, die man als Kunde hat (und auch wahrnehmen sollte), um die Nutzung der Dienste unter M365 datenschutzkonform zu gestalten.
Angesprochene Links:
Nächste Woche folgt dann der vierte und zunächst letzte Teil der Reihe. Darin werden wir die Nutzung von Microsoft Azure Diensten unter Datenschutzaspekten besprechen.
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/was-sollten-kunden-beim-einsatz-von-m365-berucksichtigen-fatih-ataoglu-im-datenschutz-talk
Weitere Links:
Datenschutz hat bei Microsoft oberste Priorität
Microsoft Data Protection Addendum (DPA)
Wie Microsoft die Datenschutz-Grundverordnung umsetzt
Weitere nationale und internationale Anforderungen (ISO 27001, ISO 27018, ISO 27701, etc.)
Microsoft Initiative “Defending your Data”
Microsoft erklärt Diagnosedaten
Microsoft erklärt legitime Geschäftstätigkeiten
Microsoft und der CLOUD Act – Fatih Ataoglu im Datenschutz Talk
Im zweiten Teil der Themenreihe mit Microsoft Deutschland begrüßt Heiko Gossen wieder Herrn Fatih Ataoglu, Head of Data Privacy & Security von Microsoft Deutschland.
In dieser Folge geht es vor allem um das Thema des Drittstaaten-Transfers und den damit verbundenen Risiken, dass staatliche Stellen in den USA Zugriff auf die Daten von europäischen Kunden nehmen können. Herr Ataoglu erläutert, wie man einsehen kann, welche Daten grundsätzlich als Diagnosedaten übertragen werden und wie häufig bspw. Microsoft in der Vergangenheit verpflichtet wurde, Kundendaten herauszugeben. Um diese Anfragen transparent machen zu dürfen, hat sich Microsoft bereits vor Jahren das Recht zur Veröffentlichung des Law Enforcement Repors vor US-Gerichten erkämpft.
In der Folge angesprochenen Links:
- Diagnosedatentool
- Link zu den Beschreibungen für die Diagnosedaten in Docs
- Law Enforcement Report
- Cloud Compendium
Nächste Woche schauen wir dann auf die Anwenderseite und darauf, was Kunden zur Gewährleistung eines angemessenen Datenschutz- und Datensicherheitsniveau tun können.
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/microsoft-und-der-cloud-act-fatih-ataoglu-im-datenschutz-talk
Weitere Links:
Datenschutz hat bei Microsoft oberste Priorität
Microsoft Data Protection Addendum (DPA)
Wie Microsoft die Datenschutz-Grundverordnung umsetzt
Weitere nationale und internationale Anforderungen (ISO 27001, ISO 27018, ISO 27701, etc.)
Microsoft Initiative “Defending your Data”
Microsoft erklärt Diagnosedaten
Microsoft erklärt funktionale Daten
Microsoft erklärt legitime Geschäftstätigkeiten
Datenschutz in Microsoft Teams
Digitale Bildung mit Microsoft Teams
Datenschutz unter Microsoft M365 – Fatih Ataoglu im Datenschutz Talk
- Datenschutz beim Einsatz von Microsoft Azure - Fatih Ataoglu im Datenschutz Talk
- Was sollten Kunden beim Einsatz von M365 berücksichtigen – Fatih Ataoglu im Datenschutz Talk
- Microsoft und der CLOUD Act - Fatih Ataoglu im Datenschutz Talk
In dieser Themenfolge begrüßt Heiko Gossen den Head of Data Privacy & Security von Microsoft Deutschland, Herrn Fatih Ataoglu. Als Start einer kleinen Reihe zum Thema Datenschutz bei Microsoftprodukten im Business-Umfeld geht es heute zunächst um den datenschutzvetraglichen Rahmen bei Nutzung der M365 Produkte (bspw. MS Teams, Exchange & Outlook, Sharepoint, One Drive, Powerpoint, Word, Excel etc.).
Dabei stehen die vertraglichen Rahmenparamenter (wer ist Vertragspartner, wo finde ich die aktuellen Verträge etc.) sowie die geeigneten Garantien nach Art. 28 Abs. 1 DSGVO im Mittelpunkt. Die beiden schauen aber auch kritisch darauf, welche Daten Microsoft zu eigenen Zwecken verarbeitet und welche Schutzmaßnahmen Micorsoft ergreift, damit Support-Mitarbeiter nicht unbefugt auf Daten der Kunden zugreifen können.
In der Folge angesprochenen Links:
- Aktuelle Blogs und Pressemitteilungen gibt es auf dem Microsoft News Center Deutschland
- Anlaufstelle zu den Themen IT, Sicherheit und Compliance ist das Microsoft Trust Center
- Lockbox-Verfahren in Office 356
In Teil 2 dieser Reihe geht es dann um Microsoft und der CLOUD Act sowie die Herausforderungen, die sich durch die US-Amerikanische Muttergesellschaft ergeben.
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/datenschutz-unter-microsoft-m365-fatih-ataoglu-im-datenschutz-talk
Weitere Links:
Datenschutz hat bei Microsoft oberste Priorität
Microsoft Data Protection Addendum (DPA)
Wie Microsoft die Datenschutz-Grundverordnung umsetzt
Weitere nationale und internationale Anforderungen (ISO 27001, ISO 27018, ISO 27701, etc.)
Microsoft Initiative “Defending your Data”
Microsoft erklärt Diagnosedaten
Microsoft erklärt funktionale Daten
Microsoft erklärt legitime Geschäftstätigkeiten
Datenschutz: Wettbewerbsvorteil oder doch „nur“ Hygienefaktor?
Als Berater und Datenschutzbeauftragter könnte man schnell der Annahme verfallen, Datenschutz müsse eines der wichtigsten Themen im Unternehmen überhaupt sein. Dass dem in der Mehrzahl aller Unternehmen nicht so ist, wissen die meisten – zumindest unterbewusst. Aber wie wichtig sollte Datenschutz genommen werden und welchen Stellenwert sollte er tatsächlich haben?
Umfang des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO – welche Datenkategorien gehören dazu?
Um den Anforderungen der Datenschutzgrundverordnung nach Transparenz nachkommen zu können und die betroffene Person in die Lage zu versetzen Ihre Recht auf Widerspruch, auf Löschung oder auf Bereitstellung der verarbeiteten Daten wahrnehmen zu können, ist es erforderlich, dass der Betroffene sein Recht auf Auskunft nutzen kann.
Mit dem Recht auf Auskunft kann die Person Information darüber erhalten, ob und wenn ja welche Daten über sie verarbeitet werden.
Das Auskunftsrecht beschränkt sich nicht nur auf die Daten die durch das Unternehmen verarbeitet werden, vielmehr umfasst das Recht auch weitere Informationen, die mit beauskunftet werden müssen. Dazu gehört zum Beispiel die Information, auf welcher Grundlage, zu welchem Zweck und wie lange sie verarbeitet werden, ob sie an Dritte weitergegeben werden und noch ein paar weitere Punkte.
Wir schauen uns hier speziell das Auskunftsrecht, inklusive des Rechts auf Kopie, an und auch konkret die Frage, welche Daten beauskunftet werden müssen und welche nicht beauskunftet werden brauchen.
Das neue chinesische Datenschutzgesetz – Pia Stoffels im Datenschutz Talk
In China wird in Kürze – am 1. November 2021 – das erste Gesetz zum Schutz personenbezogener Daten in Kraft treten – das Personal Information Protection Law (PIPL) . Die Pekinger Zentralregierung reagiert damit auf zunehmende Sorgen in der chinesischen Bevölkerung über Datenmissbrauch durch die Wirtschaft und insbesondere große Internetfirmen. Staatliche Stellen bleiben von den neuen Regeln größtenteils ausgenommen. Außerdem wird vermutet, dass damit auch der heimische Technologiesektor etwas beschränkt werden soll. Daher spricht Markus Zechel in dieser Folge mit Pia Stoffels – einer echten Expertin, die beruflich viel mit China zu tun hat. Als Data Privacy & Compliance Counsel muss sie sich regelmäßig mit der Frage der Zulässigkeit von Datentransfers in asiatische Länder beschäftigen. Die beiden beleuchten die Gemeinsamkeiten mit der DSGVO sowie einige Unterschiede, aber auch die Frage, ob dies ein wichtiger Schritt in Richtung eines Angemessenheitsbeschlusses werden könnte.
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/das-neue-chinesische-datenschutzgesetz-pia-stoffels-im-datenschutz-talk
Das Auskunftsrecht nach Art. 15 DSGVO – Natalia Wozniak im Datenschutz Talk
- 30,5 Mio € Bußgeld gegen Clearview - Datenschutz News KW 36/2024
- Unzureichende TOM im EU-Parlament - Datenschutz News KW 34/2024
- Phishing über kompromittierte MS Office 365 Accounts- Datenschutz News KW 31/2024
- Die UEFA TicketApp und der Datenschutz - Datenschutz News KW 27/2024
- Meta plant KI-Trainig mit Nutzerdaten - Datenschutz News KW 23/2024
- M365 - EU Kommission veröffentlicht DSFA - Datenschutz News KW 18/2024
- Datenleck bei Urban Sports Club - Datenschutz News KW 14/2024
- EU-Gesundheitsdatenraum beschlossen - Datenschutz News KW 12/2024
- Bußgeld gegen Virenschutzanbieter Avast- Datenschutz News KW 10/2024
- Bezahlen mit Daten – der neue § 327 BGB
Das Auskunftsrecht nach Art. 15 DSGVO sorgt bei vielen für Unsicherheiten, nicht zuletzt auch aufgrund unterschiedlicher Gerichtsentscheidungen, die bei ähnlichen Sachverhalten zu unterschiedlichen Entscheidungen kommen.
In dieser Folge besprechen Heiko Gossen und Natalia Wozniak nicht nur die gesetzlichen Anforderungen an Unternehmen rund um das Auskunftsrecht, sondern auch wie ein praktischer und datenschutzkonformer Umgang damit aussehen kann. Außerdem schauen die beiden auf aktuelle Urteile, u.a. höchstrichterliche Urteile:
- BGH, Urteil vom 15.06.2021 – VI ZR 576/19
- Auskunftsumfang bezieht sich auch auf interne Vermerke und zurückliegende (dem Betroffenen bereits bekannte) Korrespondenz.
- Auskunftsumfang bezieht sich auch auf interne Vermerke und zurückliegende (dem Betroffenen bereits bekannte) Korrespondenz.
- VG Schwerin, Urteil vom 29.04.2021 – 1 A 1343/19 SN
- Gutachten in seiner Gesamtheit können potenziell vom Anspruch auf Kopie umfasst sein; Relevant ist die Unterscheidung zwischen Sachdaten und personenbezogenen Daten (grundsätzlich sind alle Arten von Informationen betroffen, mit Beispielen).
- Gutachten in seiner Gesamtheit können potenziell vom Anspruch auf Kopie umfasst sein; Relevant ist die Unterscheidung zwischen Sachdaten und personenbezogenen Daten (grundsätzlich sind alle Arten von Informationen betroffen, mit Beispielen).
- Landesarbeitsgericht Niedersachsen, Urteil vom 09.06.2020 – Az.: 9 Sa 608/19
- Kein Anspruch auf Überlassung gesamter Inhalte, z.B. von Personalakten.
- Kein Anspruch auf Überlassung gesamter Inhalte, z.B. von Personalakten.
- Bundesarbeitsgericht, Urteil vom 27. April 2021 – 2 AZR 342/20
- Recht auf Kopie (hier von E-Mails) erfordert hinreichende Bestimmtheit, dazu ist gestuftes Vorgehen zielführend.
- Recht auf Kopie (hier von E-Mails) erfordert hinreichende Bestimmtheit, dazu ist gestuftes Vorgehen zielführend.
- OLG Stuttgart, Urteil vom 31.03.2021, AZ 9U34/21
- Auskunftserteilung an einen Dritten (z.B. Rechtsanwalt) nur nach Vorlage der Vollmacht im Original oder nach entsprechender Information durch den Betroffenen selbst.
- Auskunftserteilung an einen Dritten (z.B. Rechtsanwalt) nur nach Vorlage der Vollmacht im Original oder nach entsprechender Information durch den Betroffenen selbst.
- Amtsgericht Bonn, Urteil vom 30.7.2020 – 118 C 315/19
- Auskunftsbegehren ist nicht allein dadurch rechtsmissbräuchlich, wenn zugleich auch andere Ziele, wie die Vorbereitung eines Gerichtsverfahrens, verfolgt werden.
- Auskunftsbegehren ist nicht allein dadurch rechtsmissbräuchlich, wenn zugleich auch andere Ziele, wie die Vorbereitung eines Gerichtsverfahrens, verfolgt werden.
- Landesarbeitsgericht Baden-Württemberg, Urteil vom 17.3.2021, 21 Sa 43/20
- Kein pauschaler Ausschluss von Daten im Hinweisgebersystem – Darlegungs- und Beweislast des AG, dass im konkreten Fall Rechte und Freiheiten Dritter beeinträchtigt sind.
- Kein pauschaler Ausschluss von Daten im Hinweisgebersystem – Darlegungs- und Beweislast des AG, dass im konkreten Fall Rechte und Freiheiten Dritter beeinträchtigt sind.
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/das-auskunftsrecht-nach-art-15-dsgvo-natalia-wozniak-im-datenschutz-talk
Informationssicherheit und Datenschutz in der Software-Entwicklung
Heute, am 256. Tag des Jahres, ist der Tag des Programmierers. Dieser Tag kommt im Gegensatz zu anderen besonderen Feiertagen, wie zum Beispiel dem Tag des Systemadministrators, nicht aus den USA, sondern aus Russland und wurde im Jahr 2009 von der russischen Regierung sogar ganz offiziell per Dekret als beruflicher Gedenktag anerkannt. Ob Programmierer in Russland am heutigen Tag in Anlehnung an ihre US-amerikanischen Administratoren-Kollegen mit einem Stück Medovik geehrt werden, wissen wir leider nicht. Was wir aber sehr gut kennen, sind die Anforderungen, die Informationssicherheit und Datenschutz an die Software-Entwicklung stellen. Deren Wichtigkeit sowie die einzelnen Anforderungen fassen wir im Folgenden zusammen.
Das neue Telekommunikation-Telemedien Datenschutz-Gesetz (TTDSG) für den Bereich der Telemedien
Das TTDSG setzt die E-Privacy Richtlinie (RiLi 2002/58/EG in der durch die RiLi 2009/136/EG geänderten Fassung) in nationales Recht um. Denn neben der DSGVO ist auf europäischer Ebene auch die e-Privacy Richtlinie zu berücksichtigen. Zwar sollte die lange erwartete E-Privacy Verordnung die ältere E-Privacy Richtlinie ersetzen, allerdings können sich die Mitgliedsstaaten nun schon seit Jahren nicht auf einen gemeinsamen Konsens einigen.
Daher nahm die konkrete Idee für das TTDSG, das der nationalen Umsetzung der E-Privacy Richtlinie dient, seinen Lauf.
Das TTDSG tritt am 01.12.2021 in Kraft.
An dieser Stelle wollen wir die Änderungen für den Bereich der Telemediendienste näher beleuchten.