Erwartungen an den Datenschutz bei Rechtsanwälten

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LDSBBW) hat seinen Tätigkeitsbericht 2018 vorgelegt. Ein Abschnitt darin ist besonders für die Kollegen der Anwaltschaft von Interesse – im Bereich „Datenschutz bei Rechtsanwälten“ ab Seite 99 finden sich Ausführungen dazu, was der Landesdatenschutzbeauftragte von Rechtsanwälten im Bereich Datenschutz erwartet. Besonders eine Auffassung ist überraschend und bedarf der Kritik.

Weiterlesen →

Zulässigkeit von Tracking-Tools auf Websites – Cookie-Banner nötig

Das Bayerische Landesamt für Datenschutzaufsicht hat sich zur Zulässigkeit von Tracking-Tools auf Websites in einer Analyse geäußert, die ich im Rahmen der Cybersecurity-Voraussetzungen von Webseiten vorgestellt hatte.

Dabei konnte sich das BayLDA zur Einwilligung äussern und klarstellen, dass man eine Einwilligung nur ernst nimmt, wenn erst nach Zustimmung die entsprechenden Skripte laufen; Skripte laufen lassen und pro Forma nach einem „ja“ fragen reicht nicht:

Eine Einwilligung ist nur wirksam, wenn sie vorab erteilt wird,
d. h. wenn alle Tracking-Skripte blockiert sind, solange bis der Nutzer aktiv zugestimmt hat. Außerdem muss die Einwilligung freiwillig sein und der Nutzer vorab über die Datenverarbeitung informiert werden. Ist auch nur eine dieser Voraussetzungen nicht berücksichtigt, so ist die Einwilligung rechtswidrig.

Papier des BayLDA, Seite 25

Dabei ist zu lesen (Seite 26), dass die Einstellung „do not track“ zu akzeptierten und die Ausführung von Tracking-Skripten zu blockieren ist.

Insgesamt verstehe ich es derzeit so, dass – so unsinnig ich dies finden mag – seitens der Behörden das Risiko zu sehen ist, dass man auf einer sauberen Umsetzung des Cookie-Banners besteht. Dazu gehört eine echte Zustimmung, was heisst: einmal wird nichts ausgeführt bevor zugestimmt wurde – andererseits wird die „do not track“ Einstellung im Browser respektiert. Ansonsten ist es nicht DSGVO-Konform.

Datenschutzbehörde: Anforderungen an digitale Dienste bei der Cybersicherheit

Das Bayerische Landesamt für Datenschutzaufsicht („BayLDA“) hat im Rahmen des „Safer Internet Day 2019“ bei ausgewählten Internet-Angeboten eine Testreihe mit zwei Prüfblöcken „Cybersicherheit“ und „Tracking“ im Schnellverfahren durchgeführt. Die Ergebnisse wurden als PDF veröffentlicht und mögen für sich sprechen.

Weiterlesen →

Technische Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand

Die Landesbeauftrage für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat eine Stellungnahme zur Frage „Wie ist die Datenschutz-Grundverordnung (DS-GVO) in Bezug auf den unverschlüsselten Versand von E-Mails zu interpretieren?“ veröffentlicht. Dem ist zu entnehmen, dass in jedem Fall beim Transport der Mails (Empfang und Versand) auf eine Verschlüsselung zu achten ist, während es auf der Inhaltsebene noch nicht als zwingend angesehen wird.

Weiterlesen →

Google ändert Verantwortlichen bei den Diensten – Aktualisierung von Datenschutzerklärung notwendig

Das Unternehmen Google hat den Verantwortlichen bei seinen Diensten geändert, aus Google LLC in den USA wurde Google Limited in Irland, womit sich die Anschrift ändert:

Google Ireland Limited, Gordon House, Barrow Street, Dublin, D04 E5W5, Dublin, Irland

Wer Google Dienste auf der Webseite nutzt, etwa durch eine Einbindung der Inhalte oder Funktionen – etwa Youtube-Videos, Google Analytics, Google Fonts, Google Maps – sollte prüfen, ob die eigene Datenschutzerklärung aktuell ist und ggfs. Anpassungen vornehmen. Vor Anpassungen sollte erst noch einmal geprüft werden, was der jeweilige Google Dienst selber empfiehlt als Datenschutzerklärung.

Datenschutz im Gesundheitswesen: Ärzte und Apotheken benötigen nicht zwingend einen Datenschutzbeauftragten

Anders als manche Werbung es vielleicht suggeriert ist nicht zwingend in jeder Apotheke oder jeder noch so kleinen Arztpraxis immer ein Datenschutzbeauftragter zu bestellen – auch nicht wegen der Verarbeitung von Gesundheitsdaten! Die Landesbeauftragte für den Datenschutz in NRW fasst es treffend so zusammen:

Auffassung der Datenschutzaufsichtsbehörden in Deutschland ist, dass die Benennung von Datenschutzbeauftragten bei Arztpraxen und sonstigen Angehörigen von Gesundheitsberufen in der Regel erst ab mindestens zehn mit der automatisierten Verarbeitung beschäftigten Personen erforderlich ist oder bei umfangreicher Verarbeitung besonderer Datenkategorien.

Statement LfDI NRW
Weiterlesen →

Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen

Die Landesbeauftragte für den Datenschutz in Niedersachsen hat ein „Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen“ veröffentlicht, mit dem klargestellt wird, dass aus dortiger Sicht der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt.

Mir selber sind Anfragen zu dieser Thematik bekannt, insbesondere bin ich derzeit in einer laufenden Anhörung einer datenschutzrechtlichen Aufsichtsbehörde tätig, wo es darum geht, dass ein Betrieb an seine Mitarbeiter vor Ort Kundendaten per WhatsApp zur Auftragsabwicklung übersendet hat. Die Thematik ist Ernst zu nehmen, aktuell kann ich nur davon abraten, den Dienst WhatsApp betrieblich einzusetzen. Auch andere Messenger sollten vor einem Einsatz erst geprüft werden, regelmäßig gibt es hier erhebliche Ansatzpunkte für Kritik.

Weiterlesen →