TÄTIGKEITSBERICHT DER SÄCHSISCHEN DATENSCHUTZBEAUFTRAGTEN

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat bereits am Dienstag, den 24. Mai 2022 ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken des Amtsvorgängers Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete. Auf über 200 Seiten sind Schwerpunkte der aufsichtsbehördlichen Tätigkeit inklusive Hinweise zur Auslegung der Datenschutz-Grundverordnung (DS-GVO), zur Sanktionspraxis und Rechtsprechung zusammengefasst. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer und die 3G-Regelung am Arbeitsplatz. Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen erreichte ein ähnlich hohes Niveau wie im Vorjahr. Ein Teil davon betraf die Telemedien. Grund genug, dass im Rahmen des nachfolgenden Beitrages der Blick auf einige Auszüge aus dem Bericht gelegt werden sollen.


ANFORDERUNGEN AN COOKIES UND VERGLEICHBARE TECHNOLOGIEN

Durch das In-Kraft-Treten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sind seit dem 1. Dezember 2022 neben den Voraussetzungen an die Verarbeitung personenbezogener Daten nach der DS-GVO weitere Anforderungen hinsichtlich der Einbindung bzw. des Setzens von „Cookies“ und vergleichbarer Technologien – insbesondere nach § 25 TTDSG – zu beachten. Diesbezüglich wird im Tätigkeitsbericht wie folgt ausgeführt: „Die für Websites und Apps an der ehesten infrage kommende Rechtsgrundlage ist neben der Einwilligung (Art. 6 Abs. 1 Buchst. a) [DS-GVO] das berechtigte Interesse (Art. 6 Abs. 1 Buchst. f) [DS-GVO]. Dieses berechtigte Interesse muss aber nachgewiesen werden und fordert eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person. Dies ist alles andere als trivial, eine bloße Nützlichkeitsbegründung seitens des Verantwortlichen ist nicht ausreichend […]. Fakten, die für eine Interessenabwägung zugunsten des Verantwortlichen sprechen, sind zum Beispiel eine nachweisbare und den Anforderungen des Art. 28 DSGVO entsprechende Auftragsverarbeitung mit einem eingebundenen Dienstleister oder eine Verarbeitung durch den Verantwortlichen selbst bzw. technisch-organisatorische Maßnahmen wie eine zügige Anonymisierung von personenbezogenen Daten (zum Beispiel IP-Adressen, Cookie-Identifikatoren). Verarbeitungen, die aufgrund ihres Risikos eher nicht auf ein berechtigtes Interesse gestützt werden können, sind die Bildung von Profilen und sogenannten Nutzer-Journeys, also all das, was landläufig unter Tracking verstanden wird. Das berechtigte Interesse ist in aller Regel auch dann infrage zu stellen, wenn ein Dritter die erlangten Daten für eigene Zwecke nutzt oder dies nicht klar ausgeschlossen ist. Um es klar zu sagen: Die Nutzung von Diensten großer Anbieter, deren Geschäftsmodell das Sammeln und Aggregieren von Nutzungsdaten zu Werbezwecken ist und die dazu noch über eine entsprechende Marktmacht verfügen, ist mit einem berechtigten Interesse des Verantwortlichen nicht vereinbar. […] Fehlen die Voraussetzungen für ein berechtigtes Interesse, bleibt in aller Regel nur ein Rückgriff auf eine Einwilligung. Dabei sind alle Anforderungen aus der DSGVO zu beachten, die strikte Regeln für Transparenz, Bestimmtheit und Freiwilligkeit fordert sowie in Fällen der Nutzung durch Minderjährige eine Einwilligung der Erziehungsberechtigten vorsieht.“

Und weiter heißt es: „Werden zusätzlich zu einer Verarbeitung auch Cookies oder ähnliche Technologien eingesetzt, muss deren Einsatz den Anforderungen des TTDSG entsprechen, welches dafür grundsätzlich eine Einwilligung vorsieht […]. Ausnahmen von einem Einwilligungserfordernis sind eng begrenzt auf eine unbedingte Erforderlichkeit, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann […]. Ausgehend von den Begrifflichkeiten des Nutzerwunsches und der Erforderlichkeit muss jeder Cookie überprüft werden: Wann, wie, für wie lange und für wen wird ein Cookie gesetzt? Es geht dabei um eine Bewertung des Zweckes und der Mittel […] So muss ein individualisierter Warenkorb-Cookie in einem Online-Shop erst dann gesetzt werden, wenn der Warenkorb genutzt wird. Für ein bloßes Browsen ist dieser nicht erforderlich. Gleiches gilt für Cookies für Zusatzfunktionen wie Chats oder Karten-Widgets. […] zum Beispiel [ist] nicht als erforderlich zu betrachten, dass ein Einwilligungsmanagement, welches die Entscheidung über die Auswahl an gewünschten Verarbeitungen speichern soll, einen individualisierten Cookie setzt (und schon gar nicht beim initialen Aufruf einer Website, bevor eine Entscheidung getroffen wurde) […] Für die Speicherung der Entscheidung reicht es, diese nichtindividualisiert zu speichern […].“

Es folgen noch weitere – zumindest lesenswerte – Ausführungen zum Einsatz von US-Dienstleistern. Diese sowie die obenstehenden Punkte machen deutlich, dass die sächsische Aufsichtsbehörde dem Grunde nach einen sehr strengen Prüfungsmaßstab, insbesondere an die Erforderlichkeit der Ausnahmen vom Einwilligungserfordernis im Rahmen des § 25 TTDSG, anleget. Mithin dürfte auch klar sein, dass datenschutzrechtlich Verantwortliche – unabhängig davon, ob man der strengen Ansicht der Aufsichtsbehörde vollumfänglich folgt – ihre Webseiten prüfen und gegebenenfalls überarbeiten und anpassen sollten, um sich zum einen der auf den Internetpräsenzen stattfinden Datenverarbeitungen bewusst zu werden und zum anderen der bestehenden Rechenschaftspflicht insbesondere in Bezug auf die Abwägungskriterien der unbedingten Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG erfüllen zu können.


WIE HABEN SICH DIE DATENSCHUTZVERLETZUNGEN ENTWICKELT?

Dem Tätigkeitsbericht ist ferner zu entnehmen, dass die Meldung von Datenschutzverletzungen gemäß Art. 33 DS-GVO stetig ansteigt. Im Berichtszeitraum sind 923 solcher Meldungen eingegangen. Im Vergleich zum vorjährigen Berichtszeitraum (635 Meldungen) entspricht dies laut Tätigkeitsbericht einer Steigerung um rund 45 Prozent. Wie bereits im vorjährigen Berichtszeitraum ist der Fehlversand eine der häufigsten Fallgruppen der gemeldeten Datenschutzverletzungen. Ursachen für diese Vorfälle sind falsche Zuordnung von Unterlagen, fehlerhafte Kuvertierung oder schlicht Flüchtigkeitsfehler. Nach wie vor ist häufig der Versand von E-Mails (zum Beispiel Newsletter) über erkennbare E-Mail-Adressen im Kopie-Modus (Cc), anstatt im Blindkopie-Modus (Bcc) eine gemeldete Datenschutzverletzung, die in der Regel auf schlichte Unachtsamkeit des Absenders zurückzuführen ist. Neben dem Fehlversand aufgrund des Verschuldens des Absenders gingen auch wieder zahlreiche Meldungen wegen des Verlustes von Postsendungen ein. Ebenso kam es im Berichtszeitraum wieder zu Diebstählen oder dem Verlust von Datenträgern mit zum Teil sensiblen Daten. Rund ein Drittel der Meldungen von Datenschutzverletzungen, die im Jahr 2021 eingingen, sind auf die Fallgruppe der Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen im Bereich Cyberkriminalität zählten die Sicherheitslücken in Microsoft Exchange-Servern.


KANN EIN DATENSCHUTZBEAUFTRAGTER ZUGLEICH BEAUFTRAGTER FÜR INFORMATIONSSICHERHEIT EINER ORGANISATION SEIN?

Auch der Blick auf die Fragen der Informationssicherheit – in Sachsen für staatliche und nicht-staatliche Stellen speziell durch das Sächsische Informationssicherheitsgesetz (SächsISichG) geregelt – lohnt: „Die Bestellung verschiedener anderer Beauftragter in Personalunion zum Datenschutzbeauftragten ist grundsätzlich problematisch. Der Beauftragte für Informationssicherheit ist dabei jedoch weniger kritisch zu betrachten, da Informationssicherheit und Datenschutz meist parallel laufen. Dies gilt auch vor dem Hintergrund, dass für die Informationssicherheit umfassende Sammlungen personenbezogener Daten verarbeiten werden, um Missbrauch zu entdecken. Auch Art. 32 DSGVO adressiert die Sicherheit der Verarbeitung und zudem in Absatz 1 Buchst. c) ausdrücklich die Verfügbarkeit.“

Auch diese Auffassung muss näher beleuchtet werden. Ein Beauftragter für Informationssicherheit muss vergleichbar zum Datenschutzbeauftragten gemäß § 7 Abs. 2 Satz 3 SächsISichG bei der Aufgabenerfüllung frei von Interessenkonflikten sein. Mit Blick auf den BSI IT-Grundschutz wird auch dort vermerkt, dass beiden Rollen (DSB und ISB/BfIS) sich nicht grundsätzlich ausschließen, es sind allerdings einige Aspekte im Vorfeld zu klären: „Die Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden. Außerdem sollten auf beiden Seiten direkte Berichtswege zur Leitungsebene existieren. Weiterhin sollte überlegt werden, ob konfliktträchtige Themen zusätzlich noch nachrichtlich an die Revision weitergeleitet werden sollten. Außerdem muss sichergestellt sein, dass der Informationssicherheitsbeauftragte über ausreichend freie Ressourcen für die Wahrnehmung beider Rollen verfügt. Gegebenenfalls muss er durch entsprechendes Personal unterstützt werden.“ Auf diese Grundsätze sollte auch bei der Personalunion zwischen Datenschutzbeauftragten und Beauftragten für Informationssicherheit zurückgegriffen werden.


FAZIT

Dem Tätigkeitsbericht ist sehr gut zu entnehmen, welchen Kurs die sächsische Datenschutzaufsichtsbehörde zum Teil bei der Rechtsauslegung und -anwendung einschlägt. Zum anderen geht deutlich hervor, dass sich datenschutzrechtlich Verantwortliche ihrer Pflichten bewusst sein und für deren effektive Umsetzung sorgen müssen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.


TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 13. September 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Datenschutzbeauftragter
  • Datenschutzverletzung
  • Internetseite
  • Sächsische Datenschutzbeauftragte
  • Tätigkeitsbericht
Lesen

BESCHÄFTIGTE ALS EIGENSTÄNDIGE VERANTWORTLICHE

Im Rahmen ihres aktuellen Tätigkeitsbericht geht die Landesbeauftragten für Datenschutz und Akteneinsicht Brandenburg (LDA Brandenburg) auf zwei Konstellationen ein, in denen Beschäftigte seitens der Datenschutzaufsichtsbehörde mit einem Bußgeld sanktioniert wurden, nachdem sie personenbezogene Daten, welche sie zur Ausübung ihrer dienstlichen bzw. betrieblichen Tätigkeit erlangt, zu eigenen (privaten) Zwecken und somit außerhalb ihrer vorgesehenen Tätigkeit und Weisung seitens des Arbeitgebers bzw. Dienstherren verarbeitet haben. Beide Fälle wurden mit einer Geldbuße in dreistelliger Höhe geahndet. Diese Konstellationen klingt vertraut, hatte doch der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) laut Pressemitteilung vor rund drei Jahren einen Bußgeldbescheid in Höhe von 1.400 EUR  gegen einen Polizeibeamten verhängt, der dienstlich erlangte personenbezogene Daten zu privaten Zwecken verarbeitet hatte. Mit der Betrachtung und rechtlichen Einordnungen dieser und vergleichbarer Fälle beschäftigt sich der nachfolgende Beitrag.


WAS WAR PASSIERT?

Der erste Fall ereignete sich laut LDA Brandenburg wie folgt: „Eine ehemalige Mitarbeiterin eines Unternehmens hatte – als sie noch dort angestellt war – von ihrem dienstlichen Rechner eine Excel-Tabelle mit Beschäftigtendaten von 56 Mitarbeiterinnen und Mitarbeitern an ihre private E-Mail-Adresse zugesandt. Die Tabelle umfasste neben den vollständigen Namen u. a. auch einen Überblick über bereits genommene und verbleibende Urlaubstage, angefallene Krankentage, Lohndaten, geleistete Überstunden und Sozialversicherungsbeiträge. Die betreffende Mitarbeiterin war in der Firma als Sachbearbeiterin für die Aufgabengebiete Lohn und Gehalt beschäftigt. Die Übersendung an die private E-Mail-Adresse erfolgte nach ihrer Aussage zum Eigenschutz und zum Schutz der Kolleginnen und Kollegen, da im ohnehin bereits angespannten Arbeitsverhältnis Streitigkeiten über die ordnungsgemäße Aufgabenerfüllung der Betroffenen bestanden.Die Handlung der ehemaligen Beschäftigten war dem Unternehmen nicht zuzurechnen. Ihre dienstliche Tätigkeit bestand u. a. in der Erfassung und Aufbereitung der Arbeitszeitkonten inklusive der Urlaubs- und Krankentage sowie der Erstellung von Salden für erbrachte Arbeitsleistungen. Mit der Übersendung der personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter an die private E-Mail-Adresse überschritt sie ihre Kompetenzen und handelte im datenschutzrechtlichen Sinne als Verantwortliche. Zur Erfüllung ihrer betrieblichen Aufgaben war die Übermittlung der Beschäftigtendaten an ihre private E-Mail-Adresse nicht erforderlich und damit rechtswidrig.“

Den zweiten Fall schildert die LDA Brandenburg folgendermaßen: „Ein Angestellter hatte sich von seiner dienstlichen E-Mail-Adresse Bewerbungsunterlagen, die bei seinem Arbeitgeber eingegangen waren an seine private E-Mail-Adresse weitergeleitet, um sich Anregungen zur visuellen Gestaltung eigener Bewerbungen zu holen. Die Lebensläufe hatte er zuvor nicht anonymisiert, sodass sie weiterhin alle persönlichen und beruflichen Daten der Bewerberinnen und Bewerber umfassten. Die Angestellte handelte in diesem Fall unbefugt. Die Übersendung der personenbezogenen Daten der Bewerberinnen und Bewerber an die private E-Mail-Adresse gehörte nicht zu seinen Arbeitsaufgaben. Er war damit im datenschutzrechtlichen Sinn als Verantwortlicher anzusehen. Der Beschäftigte konnte sich hier auf keine Rechtsgrundlage für die Übersendung der Unterlagen und mithin für die Verarbeitung der gegenständlichen personenbezogenen Daten berufen. Die sich bewerbenden Personen hatten nicht darin eingewilligt, dass er deren Lebensläufe an seine private E-Mail-Adresse weiterleitete. Auch die Abwägung nach Artikel 6 Abs. 1 Satz 1 lit. f) Datenschutz-Grundverordnung (DS-GVO) geht zu ihren Gunsten aus. Selbst wenn das Interesse des Angestellten an den Bewerbungsunterlagen ausschließlich der visuellen Gestaltung gegolten und er es nicht auf die personenbezogenen Bewerberdaten abgesehen hatte, überwogen jedenfalls die Interessen, Grundrechte und Grundfreiheiten der Bewerberinnen und Bewerber. Sie hatten ihre Bewerbungsunterlagen im Vertrauen auf den datenschutzrechtlich ordnungsgemäßen Umgang mit ihren personenbezogenen Daten an den Arbeitgeber des Angestellten übersandt. Sie mussten nicht davon ausgehen, dass diese Daten unsachgemäß verwendet werden. Die Verwendung ihrer personenbezogenen Daten durch den Angestellten zum Zweck der Anregung bei der Gestaltung eigener Bewerbungen stellte keinen rechtfertigenden Grund dar, in das Grundrecht auf Informationelle Selbstbestimmung einzugreifen. Die Übersendung der Bewerbungsunterlagen stellt somit eine unbefugte Verarbeitung personenbezogener Daten dar.“


WIE WIRD EIN EINZELNER BESCHÄFTIGTER EIN DATENSCHUTZRECHTLICH VERANTWORTLICHER?

Nach Art. 4 Nr. 7 der DS-GVO ist „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. Allein aus dem Wortlaut (natürliche oder juristische Person) wird klar, dass es sich bei dem datenschutzrechtlichen Verantwortlichen um eine Organisation, aber auch um eine Einzelperson handeln kann. In der Praxis ist es jedoch in der Regel die Organisation als solche und nicht eine natürliche Person innerhalb der Organisation (wie der Geschäftsführer oder ein einzelner Beschäftigter), die als Verantwortlicher im Sinne der DS-GVO fungiert.

Bei der konkreten Bewertung ist im Ausgang in den Fällen der Verarbeitung personenbezogener Daten durch Organisationen auch darauf abzustellen, dass die Verarbeitung nicht durch die jeweilige Organisation selbst, sondern durch die dort beschäftigten natürlichen Personen verarbeitet werden. Dieses Handeln der Beschäftigten ist in aller Regel der jeweiligen Organisation zuzurechnen. Dies gilt jedenfalls dann, wenn die Verarbeitung personenbezogener Daten für die durch die jeweilige Organisation festgelegten Zwecke und in Ausübung der innerorganisatorischen Tätigkeit der Beschäftigten, mithin nach Weisung und unter Kontrolle der Organisation, erfolgt. Verarbeitet ein Mitarbeiter personenbezogene Daten hingegen für eigene (private) Zwecke, ist er regelmäßig als datenschutzrechtlich Verantwortlicher anzusehen.

Diese Auffassung wird ebenfalls in den Leitlinien des Europäischen Datenschutzausschusses zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO Version 2.0 getragen: „Grundsätzlich kann davon ausgegangen werden, dass jede Verarbeitung personenbezogener Daten durch Mitarbeiter im Tätigkeitsbereich einer Organisation unter der Kontrolle dieser Organisation erfolgt. Unter außergewöhnlichen Umständen kann es jedoch vorkommen, dass ein Beschäftigter beschließt, personenbezogene Daten für seine eigenen Zwecke zu verwenden, wodurch die ihm erteilte Befugnis unrechtmäßig überschritten wird.“ Der EDSA führt jedoch weiter aus: „Daher hat die Organisation als Verantwortlicher dafür zu sorgen, dass angemessene technische und organisatorische Maßnahmen, wie z. B. Schulungen und Informationen für Mitarbeiter, ergriffen werden, um die Einhaltung der DSGVO sicherzustellen.“


WELCHE SANKTIONEN DROHEN?

In Konsequenz des oben Gesagten trifft in erster Linie die jeweilige Stelle die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden für etwaige Verstöße durch dessen Organe oder Beschäftigte. Verarbeiten nun die Beschäftigten die personenbezogenen Daten Betroffener eigenverantwortlich, sind diese ihrerseits nunmehr Adressaten von Haftungsansprüchen und aufsichtsbehördlichen Maßnahmen und Sanktionen. Zunächst sei hier der offensichtliche Anknüpfungspunkt herangezogen: die Bußgeldsanktionierung gemäß Art. 83 DS-GVO. Diese richtet sich sehr wohl auch gegen natürliche Personen als datenschutzrechtlich Verantwortliche. Dies gilt selbst für Beschäftigte öffentlicher Stellen. Wie der LfDI in der eingangs genannten Pressemitteilung hervorhebt, haben die Landesgesetzgeber zwar öffentliche Stellen – anders als Privatunternehmen – mitunter bei Datenschutzverstößen von der Sanktionierung ausgenommen (vgl. z.B. § 19 Abs. 3 Sächsisches Datenschutzdurchführungsgesetz). Wenn Beschäftigte öffentlicher Stellen allerdings dienstlich erlangte Daten zu privaten Zwecken nutzen, dann kann in gravierenden Einzelfällen gegen sie persönlich durchaus ein Bußgeld verhängt werden. Darüber hinaus kommen durch auch Ansprüche betroffener Personen wie bspw. die Geltendmachung eines Anspruchs auf Schadenersatz nach Art. 82 DS-GVO in Betracht.


FAZIT

Bei der Verarbeitung personenbezogener Daten durch Organisation – gleich welcher Rechtsnatur – wird zuvorderst darauf abzustellen sein, dass sich die jeweiligen Organisationen für die in ihrem Zuständigkeitsbereich erfolgenden Verarbeitungen personenbezogener Daten verantwortlich zeichnen. Dies wird zumindest deshalb anzunehmen sein, weil die Festlegung der Zwecke und Mittel der Verarbeitung durch die Organisationen erfolgt. Die innerhalb der Organisation tätigen Beschäftigten führen die Verarbeitungsprozesse entsprechend nach Weisung und Befugnissen der verantwortlichen Organisationen aus. Überschreiten Beschäftigte aber diese Befugnisse liegt eine eigenständige Verantwortlichkeit nahe. Es ist jedoch allerdings Aufgabe der Organisationen für die Einhaltung der Befugnisse und Weisungen durch angemessene technische und organisatorische Maßnahmen zu sorgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 14. Juni 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Beschäftigte
  • Bußgeld
  • Sanktionen
  • Tätigkeitsbericht
  • Verantwortlichkeit
Lesen