ANALYSE, KARTEN, SCHRIFTARTEN & CO. – DATENSCHUTZ BEI INTERNETSEITEN

Seit den Urteilen des Europäischen Gerichtshofes (EuGH) im Oktober 2019 sowie des Bundesgerichtshofes (BGH) im Mai 2020 bezüglich der Verwendung von Cookies sind viele Internetseiten auf umfangreiche „Consent-Tools“ umgestiegen. Jedoch herrschen nach wie vor große Verunsicherungen und Fehlvorstellungen hinsichtlich eines datenschutzkonformen Einsatzes von Drittinhalten (z.B. Schriftarten, Formulare, Karten- oder Medieninhalte). Dieser Beitrag soll die rechtlichen Rahmenbedingungen umreißen und die wesentlichen Implementierungsmöglichkeiten kurz darstellen.


IST EINE EINWILLIGUNG ERFORDERLICH?

Zunächst sollte die Internetseite hinsichtlich eingebundener Drittinhalte, Cookies und Scripts überprüft werden. Unter Umständen ist hierbei die Einbindung Ihres Dienstleisters, welcher die Internetseite erstellt hat und / oder technisch betreut, erforderlich. Im ersten Schritt kann jedoch bereits eigenständig eine Überprüfung mit kostenfreien Anwendungen bei der Erstellung einer ersten Übersicht dienen. Hierfür geeignet scheinen insbesondere Webbkoll, BuiltWith, Ghostery und uBlock Origin. Darüber hinaus bieten auch einige Internetbrowser über integrierte Analysefunktionen.

Die Auflistung der eingesetzten Drittinhalte, Cookies und Scripts sollte kritisch hinterfragt werden: Welche dieser sind (technisch) zwingend erforderlich? Welche optionalen Technologien werden tatsächlich aktiv genutzt? Wurde die / der Datenschutzbeauftragte vor der Implementierung über die Verwendung in Kenntnis gesetzt? Bestehen datenschutzfreundlichere Alternativen?

Erfolgt ein Einsatz von Drittinhalten, Cookies und Scripts, die für einen Einsatz der Internetseite technisch zwingend erforderlich sind, das heißt ein fehlerfreier Aufruf der Internetseite ohne Implementierung und Nutzung dieser gänzlich unmöglich ist, bedarf es keiner Einwilligung der Personen, welche die Internetseite aufrufen. Das betrifft in der Regel zum Beispiel Cookies zur technischen Gewährleistung einer Anmeldung zu einem internen Bereich oder Warenkorbfunktionen zur Abwicklung einer Online-Bestellung.


WELCHE ANFORDERUNGEN WERDEN AN EINE WIRKSAME EINWILLIGUNG GESTELLT?

Grundsätzlich empfiehlt sich bei der Nutzung einwilligungsbedürftiger Drittinhalte, Cookies und Scripts die Verwendung eines sogenannten „Consent-Tools“ (auch: „Cookie-Banner“). Werden hingegen ausschließlich technisch erforderliche Inhalte verwendet, bedarf es eines solchen Banners nicht. In diesem Fall genügt eine Information über die verwendeten Inhalte im Rahmen der Datenschutzinformation (auch: „Datenschutzerklärung“).

Bei einem erstmaligen Aufruf der Internetseite muss gewährleistet sein, dass diese zunächst ausschließlich im technisch erforderlichen Umfang dargestellt wird. Sofern darüber hinaus die Nutzung von Cookies, Drittinhalten und Scripts gewünscht ist, dürfen diese erst nach erteilter Einwilligung der Nutzenden geladen werden. Das Einholen einer rein formalen Einwilligung, wobei eine Datenverarbeitung bereits vor oder gänzlich unabhängig von der konkreten Einwilligung stattfindet, ist unzulässig. Die konkrete Einwilligung der Nutzenden ist stets technisch exakt abzubilden.

Der Europäische Datenschutzausschuss (EDSA) setzt für eine wirksame Einwilligung bereits vor Abgabe der Einwilligung folgende Informationen voraus: Angaben zur verantwortlichen Stelle, Darstellung der konkreten Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, Absicht einer automatisierten Entscheidungsfindung sowie der Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland. Weiterhin ist gemäß Art. 7 Abs. 3 DS-GVO ebenfalls vor Abgabe der Einwilligung auf das Bestehen des Widerrufrechts hinzuweisen.

Eine Einwilligung ist tatsächlich nur dann als wirksame Einwilligung zu klassifizieren, sofern die Nutzenden tatsächlich eine Wahl über Zustimmung oder Ablehnung erhalten. Die oftmals vorzufindende Formulierung, wonach die Internetseite Cookies verwendet und mit dem weiteren Besuch von einer Zustimmung ausgegangen wird, erfüllt diese Anforderung nicht. Derartige „Cookie-Banner“ sind schlichtweg nutzlos und aus datenschutzrechtlicher Sicht absolut unzureichend. Ebenfalls als unzulässig einzuordnen sind vorausgefüllte Auswahlfelder oder das sogenannte „Nudging“, also das Beeinflussen der Nutzenden, der Verwendung zuzustimmen, indem die weiteren Optionen (z.B. „Ablehnen“ oder „weitere Einstellungen“) kaum lesbar oder nur schwer auffindbar integriert werden.

Übrigens: Die getätigte Einwilligung darf und sollte aus Gründen der Nachweisbarkeit gespeichert werden. So kann auch vermieden werden, dass Nutzende bei erneutem Aufrufen der Internetseite wiederholt der Datenverarbeitung zustimmen oder diese ablehnen müssen. Das permanente Abfragen wird durch die datenschutzrechtlichen Vorschriften weder verlangt, noch trägt dies zu einem positiven Nutzungserlebnis bei.


WAS BEDEUTET DAS FÜR EINZELNE DATENVERARBEITUNGEN?

Im weiteren Verlauf soll nun kurz dargestellt werden, welchen Maßnahmen in der Regel bei der Implementierung der folgenden Kategorien von Drittinhalten, Cookies und Scripts beachtet werden sollte.

Analyse des Nutzungsverhaltens: Bei einem Einsatz von Analyse- und Trackingdiensten werden durch diese in der Regel Cookies gesetzt, die hinsichtlich der Darstellung der Internetseite als nicht technisch erforderlich zu klassifizieren sind, sodass es grundsätzlich einer Einwilligung der Nutzenden bedarf. Einige Anbieter solcher Dienste werben explizit damit, dass durch den Verzicht einer Cookie-Setzung und stattdessen der Verwendung einer Fingerprinting-Methode das Einwilligungserfordernis umgangen werden kann. Aufgrund der (datenschutzrechtlichen) Vergleichbarkeit beider Methoden sind solche Aussagen mit Vorsicht zu betrachten. Hier bedarf es zuvor einer grundlegenden Überprüfung im Einzelfall.

Darstellung von Karteninhalten: Je nach gewähltem Kartendienst erfolgt oder unterbleibt bei der Nutzung der Karteninhalte das Setzen von Cookies. Mit Blick auf den Grundsatz der Datenminimierung gemäß Art. 5 Abs 1. lit. c DS-GVO sowie auf die Anforderung eines Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DS-GVO, sollte eine möglichst datensparsame Kartendarstellung gewählt werden. Sofern eine Cookie-Setzung unausweichlich ist, bedarf es für die Darstellung der Karteninhalte in der Regel der Einwilligung der Nutzenden.

Darstellung von Videoinhalten: Werden bei einem Abspielen eingebundener Videoinhalte keine Cookies gesetzt und findet darüber hinaus keine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, so kann eine Implementierung in der Regel ohne Einwilligung der Nutzenden erfolgen. Eine mögliche Rechtsgrundlage der Datenverarbeitung stellt dann das berechtigte Interesse der verantwortlichen Stelle gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO dar. Als Anforderung ist hierbei jedoch zu nennen, dass das Video nur durch einen extra Klick der Nutzenden und nicht automatisch starten darf. So zumindest führt es die FAQ des Bayrischen Landesamtes für Datenschutzaufsicht aus.

Einbindung von Webschriftarten oder Scripts: Beliebt – und oftmals mit einem Hinweis auf die Performance der Internetseite begründet – sind sogenannte Webschriftarten („Fonts“) oder Scripts, die bei einem Aufruf der Internetseite durch die Nutzenden von externen Servern geladen werden. Grundsätzlich lässt sich diese Datenverarbeitung auf das berechtigte Interesse der verantwortlichen Stelle stützen, jedoch sollte eine lokale Installation auf den Servern der verantwortlichen Stelle bevorzugt werden. Ein Drittstaatentransfer sollte grundsätzlich unterbleiben.

Hinweis: Erfolgt im Rahmen der Implementierung und Nutzung der oben aufgeführten Drittinhalte eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland, so bedarf es für die Übermittlung einer gesonderten Rechtsgrundlage.


WAS IST DARÜBER HINAUS DATENSCHUTZRECHTLICH ZU BEACHTEN?

Unabhängig von der Einwilligungsbedürftigkeit sind sämtliche Datenverarbeitungen in der Datenschutzinformation der Internetseite darzustellen. Die notwendigen Inhalte richten sich hierbei insbesondere nach Art. 13 DS-GVO. Da die Datenverarbeitungen auf jeder Internetseite unterschiedlich sind, gibt es nicht die „eine“ richtige Datenschutzinformation. Aus diesem Grund sollten auch die Ergebnisse sogenannter „Generatoren für Datenschutzerklärungen“ detailliert überprüft und gegebenenfalls angepasst werden.

Kommen im Zusammenhang mit der Internetseite Dienstleister zum Einsatz, die personenbezogene Daten im Auftrag verarbeiten (z.B. Hosting, Wartung und Pflege, Analyse und Tracking), so sind mit diesen zwingend Verträge zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO zu schließen. Darüber hinaus muss die verantwortliche Stelle über die Datenverarbeitungen der Internetseite gemäß Art. 30 Abs. 1 DS-GVO ein Verzeichnis der Verarbeitungstätigkeiten führen.


FAZIT

Mit der Bereitstellung und dem Betrieb einer Internetseite gehen zahlreiche datenschutzrechtliche Verpflichtungen einher, die einer detaillierten Betrachtung bedürfen. Aus diesem Grund sollte der / die Datenschutzbeauftragte frühestmöglich bei der Erstellung oder Änderung der Internetseite einbezogen werden. Sollten Sie bei der datenschutzrechtlichen Überprüfung Ihrer Internetseite oder bei der Erstellung einer passgenauen Datenschutzinformation Unterstützung benötigen, können Sie hierfür gern das DID Dresdner Institut für Datenschutz kontaktieren.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Cookies
  • Datenschutzinformation
  • Drittstaaten
  • Einwilligung
  • Internetseite
Lesen

DIE DATENSCHUTZRECHTLICHEN FOLGEN DES BREXIT

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union (EU) ausgetreten. Auf Grundlage des Austrittsübereinkommens vom 17. Oktober 2019 gilt das Recht der EU – und somit auch die Datenschutz-Grundverordnung (DS-GVO) – für eine Übergangszeit bis zum 31. Dezember 2020 fort. Die aktuellen Entwicklungen deuten jedoch darauf hin, dass zu Beginn des neuen Jahres das Vereinigte Königreich als datenschutzrechtliches Drittland anzusehen ist und somit für Datenübermittlungen die gleichen Anforderungen wie beispielsweise in die USA gelten.


RECHTSLAGE BIS ZUM 31. DEZEMBER 2020

Gemäß Art. 4 in Verbindung mit Art. 67 Abs. 1 lit. b des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft gelten die Regelungen der DS-GVO im Vereinigten Königreich und Nordirland bis zum 31. Dezember 2020 fort. Während dieses Übergangszeitraums sind für Datenübermittlungen an andere verantwortliche Stellen und Auftragsverarbeiter neben dem Vorliegen einer einschlägigen Übermittlungsgrundlage (z.B. Vertrag zur Auftragsverarbeitung) keine datenschutzrechtlichen Besonderheiten zu beachten. Die Regelungen des Kapitel V der DS-GVO hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind im genannten Zeitfenster mithin nicht einschlägig.


RECHTSLAGE AB DEM 01. JANUAR 2021

Mit Ablauf des Übergangszeitraums gilt das Vereinigte Königreich mangels eines weiteren internationalen Abkommens als datenschutzrechtliches Drittland im Sinne des Kapitel V der DS-GVO. Neben einer einschlägigen Übermittlungsgrundlage bedarf es auf der zweiten Stufe somit zusätzlich der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Da zum gegenwärtigen Zeitpunkt seitens der Europäischen Kommission jedoch kein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DS-GVO verabschiedet wurde, welcher den nationalen datenschutzrechtlichen Regelungen des Vereinigten Königreichs ein gleichwertiges Niveau zu denen der DS-GVO attestiert, scheidet die „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“ als besondere Voraussetzung einer Datenübermittlung an Verantwortliche und Auftragsverarbeiter im Vereinigten Königreich bereits aus.

Zur Gewährleistung einer datenschutzkonformen Übermittlung personenbezogener Daten sind durch den Verantwortlichen somit regelmäßig geeignete Garantien im Sinne des Art. 46 DS-GVO vorzuweisen. Hierzu zählen insbesondere folgende Garantien:
– durch die zuständige Aufsichtsbehörde zu genehmigende verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (BCR), gemäß Art. 47 DS-GVO;
Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, unter besonderer Berücksichtigung der aktuellen EuGH-Rechtsprechung hinsichtlich der Ergänzung durch zusätzliche technische und organisatorische Maßnahmen im Rahmen der Datenübermittlung, z.B. der Verschlüsselung personenbezogener Daten;
genehmigte Verhaltensregeln gemäß Art. 40 DS-GVO oder ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DS-GVO;
– einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden.

Liegen keine geeigneten Garantien im Sinne des Art. 46 DS-GVO vor, so ist eine Datenübermittlung in ein datenschutzrechtliches Drittland gemäß Art. 49 DS-GVO ausnahmsweise insbesondere dann zulässig, sofern:
– die betroffene Person in die Datenübermittlung ausdrücklich einwilligt, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde,
– die Übermittlung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig oder
– die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die aufgeführten Ausnahmetatbestände des Art. 49 DS-GVO sind jedoch durchweg restriktiv auszulegen und stellen keinesfalls eine belastbare Grundlage für regelmäßige Datenübermittlungen dar.


DIESE MAßNAHMEN SIND NUN ERFORDERLICH

Verantwortliche Stellen, die personenbezogene Daten an andere verantwortliche Stellen oder Auftragsverarbeiter mit Sitz im Vereinigten Königreich übermitteln, sollten zeitnah überprüfen, ob neben einer Übermittlungsgrundlage ebenfalls mindestens eine der in Art. 44 ff. DS-GVO aufgeführten Voraussetzungen zur Übermittlung personenbezogener Daten in ein Drittland vorliegt. Im Regelfall wird es diesbezüglich auf den Abschluss von Standarddatenschutzklauseln hinauslaufen, welche im Idealfall durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden. Zur Erstellung von Standardvertragsklauseln stellt die britische Datenschutzaufsichtsbehörde auf ihrer Internetseite einen entsprechenden Generator zur Verfügung.

Unter Umständen kann die Übermittlung personenbezogener Daten in ein Drittland auch durch einen Wechsel zu einem Dienstleister mit Sitz innerhalb der EU grundsätzlich vermieden werden.

Im Falle der Aufrechthaltung des Drittlandtransfers sind weiterhin folgende Maßnahmen zu treffen:
– die Ergänzung der Datenschutzinformationen gemäß Art. 13 oder Art. 14 DS-GVO hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland unter Nennung der im Einzelfall einschlägigen Voraussetzung der Artt. 44 ff. DS-GVO,
– die Ergänzung einer vollständigen Darstellung der Datenübermittlung im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO,
– gegebenenfalls die Vornahme von oder die Prüfung und Ergänzung bereits erfolgter Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO,
– die vollständige Beauskunftung der Drittlandübermittlung im Rahmen der Beantwortung von Auskunftsansprüchen gemäß Art. 15 DS-GVO.


UPDATE VOM 04. JANUAR 2021

In einer Pressemitteilung vom 28. Dezember 2020 weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hinsichtlich des Handels- und Zusammenarbeitsabkkommens zwischen dem Vereinigten Königreich und der Europäischen Union auf eine Übergangsregelung bezüglich Datenübermittlungen hin. Demnach sind Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich und Nordirland für einen Übergangszeitraum von maximal sechs Monaten nicht als Übermittlung in ein datenschutzrechtliches Drittland anzusehen. Der Sächsische Datenschutzbeauftragte Andreas Schurig hierzu: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden.“


FAZIT

Sämtliche verantwortliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln sollten zeitnah das Vorliegen der besonderen datenschutzrechtlichen Voraussetzungen des Kapitel V der DS-GVO überprüfen und die dargestellten notwendigen Maßnahmen ergreifen. Die Aufsichtsbehörden können im Falle von Verstößen Datenübermittlungen aussetzen sowie hierzu ergänzend Bußgelder verhängen. Das Aussitzen der datenschutzrechtlichen Folgen des Brexit und das (erfolglose?) Warten auf einen Angemessenheitsbeschluss der Kommission stellt somit keine ernsthafte Alternative dar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Auftragsverarbeitung
  • Brexit
  • Datenübermittlungen
  • Drittstaaten
  • Standardvertragsklauseln
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK

Das Jahr 2020 wird uns allen wohl noch lange in Erinnerung bleiben. Die Corona-Pandemie hat unser Leben in vielen Bereichen auf den Kopf gestellt. Mit Sicherheit gibt es in den Augen vieler – so auch einiger Politiker – „wichtigere“ Rechte deren Einhaltung derzeit geboten ist als das Recht auf Datenschutz. Wir dürfen jedoch nicht vergessen, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist und auch als solches behandelt werden muss. In diesem außergewöhnlichen Jahr haben uns insbesondere folgende datenschutzrechtliche Fragestellungen bzw. Aspekte begleitet: 


WELCHE AUSWIRKUNGEN HAT DIE CORONA-PANDEMIE AUF DEN DATENSCHUTZ?

Die zweite Welle der Corona-Pandemie rollt derzeit über Deutschland hinweg. In diesem Zuge werden erneut immer wieder kurzfristig Regelungen und neue Maßnahmen zur Bekämpfung des Corona-Virus (SARS-CoV-2) getroffen. Die Verordnung sehen hierbei auch Regelungen zur Verarbeitung personenbezogener Daten vor. Die Grundsätze des Datenschutzes sind bei der Bewältigung der Corona-Pandemie ohne Frage nicht außer Acht zu lassen.

Mittlerweile haben sie die meisten Datenschutz-Aufsichtsbehörden zum Datenschutzrecht in der Corona-Pandemie positioniert. Die Hinweise des Sächsischen Datenschutzbeauftragten sind hier abrufbar. Hilfreich hierzu sind ebenfalls die „FAQs“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg sowie die Informationen des Unabhängigen Landeszentraum für den Datenschutz Schleswig-Holstein.

Besondere Bedeutung erlangt in diesem Zusammenhang ebenfalls die Corona-Warn-App (CWA). Nach einer beachtenswerten medienöffentlichen Diskussion ist die Funktionsweise der CWA wohl als datenschutzkonform einzustufen. Selbstverständlich muss die Nutzung der CWA stets auf freiwilliger Basis erfolgen und darf auf keinen Fall zweckentfremdet werden.


WELCHE DATENSCHUTZRECHTLICHEN REGELUNGEN GELTEN IM HOMEOFFICE?

Unternehmen, Behörden und sonstige Organisationen schicken wann auch immer es möglich ist ihre Beschäftigten aktuell wieder ins Homeoffice, sofern diese von dort überhaupt zurückgekehrt sein sollten. Der Arbeitgeber seinerseits bleibt auch bei der Verlagerung des Arbeitsplatzes Verantwortlicher im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO). Selbstredend müssen Beschäftigte auch bei dem Arbeiten von Zuhause die datenschutzrechtlichen Vorgaben beachten. Aus Sicht des Arbeitgebers ist es daher dringend anzuraten entsprechende, dem Risiko angemessene und wirksame technische und organisatorische Maßnahmen zu treffen, um die Arbeit von zu Hause datenschutzkonform gestalten zu können.

Eine Hilfestellung zum Datenschutz im Homeoffice bietet u.a. die Landesbeauftragte für den Datenschutz Niedersachsen. Hilfreich sind zudem die Informationen aus dem Best-Practice-Ansatz des Bayrischen Landesamtes für Datenschutzaufsicht.  


WAS IST BEIM EINSATZ VON VIDEOKONFERENZSYSTEMEN ZU BEACHTEN?

Und noch ein datenschutzrechtliches Themengebiet, welches im Zusammenhang mit der Corona-Pandemie offen zu Tage getreten ist. Welche grundlegenden Voraussetzungen an einen datenschutzkonformen Einsatz eines Videokonferenzsystems geknüpft sind, haben wir ebenso bereits in einem Beitrag dargestellt wie eine Auseinandersetzung, mit der die zu diesem Thema veröffentlichte Orientierungshilfe der Datenschutzkonferenz.  


ZWEI JAHRE DS-GVO: WO STEHEN WIR?

Die DS-GVO sieht in Art. 97 vor, dass sie zwei Jahre nach dem Wirkungsbeginn 2018 und danach alle vier Jahre einer Evaluierung durch die EU-Kommission unterzogen wird. In ihrem Bericht zieht die Kommission eine vorwiegend positive Bilanz, da die Datenschutz-Grundverordnung insbesondere als zeitgemäß gilt und die Rechte der Bürgerinnen und Bürger stärkt. 


IST DER EINSATZ VON COOKIES NOCH ZULÄSSIG?

Dieser Frage beschäftigte seit dem Urteil des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) die Webseitenbetreiber sowie Marketingverantwortlichen. Dem Grunde nach konnte das Urteil des BGH allerdings aufgrund der vorangegangenen Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) erwartet werden. Die größere Verwunderung führte der BGH mit seinem Weg zur Urteilsfindung und einer sehr abenteuerlichen Auslegung des § 15 Abs. 3 Telemediengesetz (TMG) herbei. Wahrscheinlich auch, um dem Gesetzgeber den Wink zur Notwendigkeit einer gesetzlichen Neuregelung zu geben.

Selbstverständlich bleibt der Einsatz von Cookies bzw. die Einbindung vergleichbarer Drittanbieterdienste (bspw. Analyse-, Marketing-, Tracking-, Karten-, Video-, Push-Nachrichten- und Umfrage-Dienste) zulässig, jedoch nur unter bestimmten Voraussetzungen. In einer Vielzahl von Fällen wird es erforderlich eine datenschutzrechtliche Einwilligung der Nutzerinnen und Nutzer einzuholen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat diesbezüglich eine hilfreiche Handreichung veröffentlicht. 


DATENSCHUTZ-AUFSICHTSBEHÖRDE VS: MICROSOFT: KANN ES EINEN GEWINNER GEBEN?

Aufhänger des öffentlichen Diskurses zwischen der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und Microsoft war die Veröffentlichung einer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ im Mai 2020 durch die BlnBfDI, in welcher vor dem Einsatz verschiedener Videokonferenzsysteme – darunter Microsoft Teams und Skype – warnt (die ursprüngliche Mitteilung ist mittlerweile nicht mehr verfügbar, da Microsoft die BlnBfDI für das Veröffentlichen unrichtiger Informationen abgemahnt hatte). Es folgte eine Pressemitteilung sowie eine Überarbeitung der Checkliste durch die Aufsichtsbehörde. Die Warnung vor dem Einsatz von Microsoft-Produkten wird aber aufrechterhalten.

Nachdem der Europäische Datenschutzbeauftragte in einem Gutachten vom 02. Juli 2020 sich ebenfalls zum Einsatz von Microsoft-Produkten geäußert hatte, konkretisierte die BlnBfDI in einem Schreiben an Microsoft ihre rechtliche Bewertung. Microsoft passte im weiteren Verlauf seine Stellungnahme an.

Mittlerweile hat sich die Datenschutzkonferenz zu Microsoft Office 365 im Allgemeinen geäußert. Das Unternehmen hat seine Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) mehrfach angepasst und neuerdings eine Ergänzung zu den Standardvertragsklauseln veröffentlicht.

Beendet ist nach alledem die Auseinandersetzung zwischen der BlnBfDI und Microsoft mit Sicherheit noch nicht. Auch die generelle Bewertung der Datenschutzkonformität von Microsoft-Produkten wird uns noch eine Wiele begleiten.


SIND DATENÜBERMITTLUNGEN IN DRITTLÄNDER NOCH MÖGLICH?

Im Juli dieses Jahres ließ der EuGH die nächste datenschutzrechtliche Bombe platzen, obwohl man hier, wenn man ehrlich ist, das Ende auch bereits längere Zeit kommen sehen konnte. Mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung erklärte der EuGH den sog. „EU-US-Privacy-Shield“ für unzulässig und stellte somit die Datenübermittlung in die USA auf den Kopf. Gleichzeitig formulierte der Gerichtshof die zukünftig einzuhaltenden Voraussetzungen einer Datenübermittlung in Drittländer. Eine Zusammenfassung zum Urteil haben wir bereits gegeben. Seit dem Urteilsspruch ringen Organisationen mit den Fragen der Legitimierung eines solchen Drittstaatentransfers sowie der Einhaltung der vom EuGH aufgestellten Voraussetzungen. Daher muss die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.


WAS ERWARTET UNS 2021?

Auch im kommenden Jahr werden uns Datenschützer wohl allem voran die Probleme im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer beschäftigten. Dies gilt umso mehr, als dass das Vereinigte Königreich ab 01.01.2021 ebenfalls als ein solches Drittland zu qualifizieren sein wird.

In diesem Zusammenhang wird mit Sicherheit der weitere Werdegang von Microsoft und anderer US-Dienstleister sowie die künftige datenschutzrechtliche Ausgestaltung vertraglicher, technischer sowie organisatorischer Maßnahmen einiges an Spannungen bereithalten.  

Alle Arbeitgeber und im Homeoffice tätigen Arbeitnehmer sollten insbesondere die weitere Entwicklung des aktuellen Referentenentwurfes eines Gesetzes zur mobilen Arbeit (Mobile Arbeit-Gesetz – MAG) beobachten. 

Ansonsten bleibt abzuwarten, was das Jahr 2021 sonst für uns bereithalten wird. In diesem Sinne wünschen wir unseren Blog-Lesern besinnliche Weihnachtsfeiertage, einen ruhigen Jahresausklang sowie einen gesunden Start in das neue Jahr!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Cookie
  • Corona-Pandemie
  • Drittstaaten
  • DS-GVO
  • Homeoffice
  • Jahresrückblick
  • Videokonferenzen
Lesen

MICROSOFT VERÖFFENTLICHT ERGÄNZUNG ZU DEN STANDARDVERTRAGSKLAUSELN

Seitdem der Europäische Gerichtshof (EuGH) mit der sogenannte Schrems II-Entscheidung die Datenübermittlung in die USA durch die Unzulässigkeitserklärung des EU-US-Privacy-Shield ins Wanken gebracht hatte, herrschen in der Datenschutzpraxis zahlreiche Fragen und Unsicherheiten , ob und wie künftig eine Datenübermittlung in sogenannte Drittländer (insbesondere in die USA) stattfinden kann. Unklar ist insbesondere, wie die vom EuGH geforderten geeigneten Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus durch die verantwortlichen Organisationen erreicht werden können. Nun ist in dieser Sache mit Microsoft der erste Dienstleister aktiv geworden. 


WAS IST PASSIERT?

Microsoft hat ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlich. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Insbesondere werden folgende relevante Zusagen seitens Microsoft gegeben: 

(1) Microsoft verpflichtet sich, bei einer Anordnung zur Herausgabe von Daten durch US-Behörden dazu (Ziff. 1 des Addendum): 
– alle Maßnahmen zu ergreifen, damit der Anfragende die Daten unmittelbar bei dem Kunden von Microsoft erfragen muss; 
– den Kunden unverzüglich zu benachrichtigen und für den Fall der Untersagung einer solchen Benachrichtigung des Kunden, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht auf Aufhebung des Verbots zu erwirken, damit dem Kunden so bald wie möglich so viele Informationen wie möglich mitgeteilt werden und 
– alle rechtmäßigen Anstrengungen zu unternehmen, um die geltend gemachte Offenlegung wegen Rechtsmängeln oder Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der Mitgliedstaaten anzufechten.

(2) Microsoft gewährt den Betroffenen im Falle einer Offenlegung von Daten auf Anordnung einer US-Behörde einen Anspruch auf Ersatz des Schadens, der durch die Offenlegung entstanden ist (Ziff. 2 des Addendum). 


WIE REAGIEREN DIE AUFSICHTSBEHÖRDEN ZUR MAßNAHME VON MICROSOFT?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, der Bayrische Landesbeauftragte für den Datenschutz und das Bayrische Landesamt für Datenschutzaufsicht und der Hessische Beauftragte für Datenschutz und Informationsfreiheit äußern sich wie folgt: 

„Damit [mit dem Additional Safeguards Addendum] sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink

„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne zusätzliche Maßnahmen nicht mehr zulässig sind. Microsoft hat mit seiner heute vorgestellten Initiative diese Forderung des Europäischen Gerichtshofs und der für die Durchsetzung der DSGVO zuständigen Datenschutzaufsichtsbehörden in einem ersten Schritt aufgegriffen. Gerade für kleine und mittlere Unternehmen, die auf den unkomplizierten und trotzdem datenschutzkonformen Einsatz von Standardprodukten in besonderem Maße angewiesen sind, ist dies eine ermutigende Nachricht.“ 
Präsident des Bayrischen Landesamt für Datenschutzaufsicht Michael Will

„Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der Datenschutz-Grundverordnung erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“ 
Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Petri

“Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch

Eine kritische Auseinandersetzung erfolgt durch Matthias Bergt – Referatsleiter des Referates I B der Berliner Beauftragten für Datenschutz Informationsfreiheit – in seinem Beitrag „Zusatz zu Standardvertragsklauseln: Massenweise Nebelkerzen von Microsoft und manchen Datenschutz-Aufsichtsbehörden“.  


WELCHE NEUEN ERKENNTNISSE IN SACHEN INTERNATIONALER DATENTRANSFER GIBT ES NOCH?

 Unlängst veröffentlichte bereits der Europäische Datenschutzausschuss (EDSA) ein Paper mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer. Dieses Dokument enthält erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen. Das Papier des EDSA wurde zunächst in eine Öffentliche Konsultation bis zum 21.12.2020 gegeben. 

Zudem veröffentlichte die EU-Kommission am 12.11.2020 – nur einem Tag nach der Veröffentlichung durch den EDSA – den Entwurf der neuen Standard Contractual Clauses. In dieser Sache läuft die öffentliche Konsultation noch bis zum 10.12.2020. 


FAZIT

Seit dem viel zitierten Urteil des EuGH stehen Verantwortliche und Auftragsverarbeiter bei geplanten Datenübermittlung in Drittstaaten vor einigen herausfordernden Aufgaben. Mit dem Vorgehen eines der größten Technologieunternehmen wird zwar – so auch die Aufsichtsbehörden – keines Falles schlagartig die Problematik der Drittsaatentransfers gelöst, insbesondere da die vorgelegte Ergänzung der Standardvertragsklauseln nicht die generelle Zugriffsmöglichkeiten der US-Geheimdienste unterbindet. Den bisher veröffentlichten Stellungnahmen der einzelnen Landesdatenschutzbeauftragten lässt sich dennoch entnehmen, dass die Maßnahme als ein Fingerzeig in die richtige Richtung gewertet werden kann, auch wenn diese Euphorie augenscheinlich nicht von allen Aufsichtsbehörden geschürt wird. Es wird nunmehr eine Bewertung des Vorschlages von Microsoft seitens der Datenschutzkonferenz abzuwarten sein. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenübermittlungen
  • Drittstaaten
  • Microsoft
  • Schrems II
  • Standardvertragsklauseln
Lesen

EINSATZ VON VIDEOKONFERENZSYSTEMEN

Im Zuge der Corona-Pandemie wurde durch Veränderungen im beruflichen Alltag – insbesondere bei der Durchführung von Meetings und Besprechungen – und einer damit gleichlaufenden Verlagerung von Tätigkeiten ins Homeoffice der Bedarf an Videokonferenzen merklich gesteigert. Mit dem Einsatz und der Verwendung von sogenannten Videokonferenzsystemen gehen eine Vielzahl von datenschutzrechtlichen Fragestellungen einher, welche im folgenden Beitrag näher beleuchtet werden sollen.


WELCHE ARTEN VON VIDEOKONFERENZSYSTEMEN SIND ZU UNTERSCHEIDEN?

Für Verantwortliche bieten sich bei dem Einsatz von Videokonferenzsystem grundsätzlich drei Möglichkeiten:

(1) Betrieb der ausgewählten Software auf eigenen Servern. Diese Lösung wird als sogenannte „on-permise-Lösung“ bezeichnet, also ein Nutzungsmodell auf eigenen IT-Ressourcen. Der Veranstalter der Konferenz ist für die jeweilige Videokonferenz demnach auch der Verantwortliche i.S.d Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO).

(2) In Abwandlung zur ersten Alternative kann sich der Verantwortliche bei dem Betrieb der Software der Serverleistung eines externen IT-Dienstleisters bedienen. Der auf diesem Wege eingesetzte Dienstleister ist ein Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO.

(3) Schließlich besteht die Möglichkeit, dass Verantwortliche Videokonferenzsysteme über einen cloudbasierten Online-Dienst („Software-as-a-Service“) nutzen. Der Anbieter einer solchen Softwarelösung ist regelmäßig nicht als Verantwortlicher der konkreten Konferenz, sondern als Auftragsverarbeiter zu qualifizieren. Verarbeitet der Anbieter, die im Rahmen der Konferenz übermittelten Daten jedoch zu eigenen Zwecken, ist er für diese Datenverarbeitung insoweit als Verantwortlicher einzustufen.

Je nach Ausgestaltung des Einsatzes der Anwendung müssen Verantwortliche unterschiedlichen Anforderungen nach den Bestimmungen der DS-GVO nachkommen. Dies betrifft allen voran die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, wonach der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können muss. Erforderlich ist mithin die Anlage eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Unter Umständen kann die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO geboten sein. Darüber hinaus ist insbesondere bei dem Einsatz eines Auftragsverarbeiters ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO mit dem betroffenen Dienstleister abzuschließen.


AUF WELCHE RECHTSGRUNDLAGE KANN DIE DURCHFÜHRUNG EINER VIDEOKONFERENZ GESTÜTZT WERDEN?

Bei der Durchführung einer Videokonferenz handelt es sich unstreitig um eine Verarbeitung personenbezogener Daten. Zur rechtmäßigen Verarbeitung bedarf es gemäß Art. 5 Abs. 1 lit. a), Art. 6 DS-GVO einer belastbaren Rechtsgrundlage. Die konkrete Erlaubnisnorm ist in Kontext der jeweiligen Verarbeitungssituation zu bestimmen. Erfolgt die Videokonferenz über einen cloudbasierten Dienst, um beispielsweise einen Online-Kurs oder ein Seminar durchzuführen, wird die Verarbeitung regelmäßig zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO erforderlich sein. Ebenso kommt Art. 6 Abs. 1 lit. f) DS-GVO in Betracht. Abhängig vom Einzelfall wird die Teilnehme von Mitarbeitern in vielen Fällen gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Daneben kann ebenfalls die Einwilligung der Teilnehmer gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO herangezogen werden.

Außerdem sind weitere Rechtsgrundlagen zu überprüfen, wenn neben der eigentlichen Durchführung der Videokonferenz andere Verarbeitungstätigkeiten durchgeführt werden, beispielsweise die Aufzeichnung der Konferenz oder die Übermittlung personenbezogener Daten in Drittländer.


WER MUSS DIE DATENSCHUTZINFORMATION ERFÜLLEN?

Der Veranstalter einer Videokonferenz muss die Informationspflichten gemäß Art. 13 DS-GVO gegenüber allen Betroffenen erfüllen. Nicht ausreichend ist hierbei auf die Datenschutzinformationen des Diensteanbieters zu verweisen. Diese Hinweise können nicht die Informationspflichten des Verantwortlichen ersetzen. Dieser muss gegenüber den Betroffenen für seinen Verantwortungsbereich den Informationspflichten nachkommen und unter Umständen Betroffenenrechte umsetzen. Von der Informationsverpflichtung werden unter anderem Hinweise zum Verantwortlichen und gegebenenfalls zum Datenschutzbeauftragten, zu den Verarbeitungszwecken sowie zur Rechtsgrundlage für die Verarbeitung, und den berechtigten Interessen, die bei einer Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO umfasst werden sowie der Speicherdauer. Ferner muss über die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde informiert werden.

Im Rahmen der Informationspflichten ist insbesondere zu beachten, dass gemäß Art. 13 Abs. 1 lit. f) DS-GVO anzugeben ist, wenn eine Übermittlung personenbezogener Daten in ein Drittland erfolgt und ob diese Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission oder andere Garantien gestützt wird.

Möglich ist es bspw. den Teilnehmenden einer Videokonferenz im Vorfeld per E-Mail die Informationen zur Verfügung zu stellen. In Betracht gezogen werden kann auch, dass der Text auf der Organisationswebseite zur Verfügung gestellt wird und in der Konferenzeinladung eine entsprechende Verlinkung erfolgt.


WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN MÜSSEN VERANTWORTLICHE TREFFEN?

Der Verantwortliche muss dafür Sorge tragen, dass nach den Grundsätzen der Art. 5 Abs. 1 lit. f) DS-GVO, Art. 24, Art. 25 und Art. 32 DS-GVO geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mittlerweile haben sich folgende generische technische und organisatorische Maßnahmen herausgebildet (Auflistung nicht abschließend):
– Wird keine on-permise-Lösung genutzt, müssen Serverstandorte überprüft werden,
– Verschlüsselte Übertragung (Transportverschlüsselung oder ggf. Ende-zu-Ende-Verschlüsselung),
– Aufzeichnungsfunktion der Konferenz deaktivieren,
– Verhaltensüberwachung beziehungsweise Aufmerksamkeitstracking ausschalten,
– Zugangsbeschränkungen durch Login,
– Zutritt zur Konferenz regeln (beispielsweise über Warteraumfunktionen),
– Möglichkeiten zu Hintergründen und Weichzeichnern (»background blur«) aufzeigen,
– Privacy by Default (Kamera und Mikrofon deaktivieren, Freigabe durch Teilnehmer selbst ermöglichen),
– Löschung von Protokollen und Aufzeichnungen, sobald sie nicht mehr erforderlich sind,
– Datensparsame Zugangsmöglichkeiten (beispielsweise über den Browser oder per Telefon).


WELCHE HERAUSFORDERUNGEN ERGEBEN SICH BEI DEM EINSATZ VON DIENSTLEISTERN IN SOGENANNTEN DRITTSTAATEN?

Herausforderungen ergeben sich außerdem bei einer mit dem Einsatz von Konferenzsystemen verbundenen Übermittlung von personenbezogenen Daten in sogenannte Drittländer, insbesondere die USA, durch beispielsweise den Einsatz eines entsprechenden Dienstleisters. Hierbei rücken – durch die Unzulässigkeitserklärung des sog. Privacy-Shields durch den Europäischen Gerichtshof – die sogenannten Standarddatenschutzklauseln als Legitimationsgrundlage in das Blickfeld der Verantwortlichen. Diese sind jedoch zur Sicherstellung geeigneter Garantien nicht ausreichend. Vielmehr bedarf es der Sicherstellung weiterer technische und organisatorischer sowie rechtlicher Maßnahmen.


FAZIT

Vor der Inbetriebnahme eines entsprechenden Videokonferenzsystems müssen Verantwortliche einzelfallbezogen eine Reihe von datenschutzrechtlichen Anforderungen umsetzen. Nur so kann der rechtkonforme Einsatz gewährleistet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzinformation
  • Drittstaaten
  • Technische-organisatorische Maßnahmen
  • Videokonferenzen
Lesen