Deutsche Datenschutzbehörden prüfen internationale Datentransfers

Gestern wurde bekannt, dass insgesamt 10 deutsche Landesdatenschutzbehörden in der nächsten Zeit ca. 500 deutsche Unternehmen und durch diese vorgenommene Datenübermittlungen in Drittstaaten außerhalb des EWR prüfen.

Beteiligt sind die Behörden folgender Bundesländer: Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt.
Die Landesbeauftragte aus Nordrhein-Westfalen informiert zum Hintergrund der Aktion:

Nach den bisherigen Erfahrungen der Aufsichtsbehörden ist mit bestimmten Produkten und Leistungen regelmäßig eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden. Relevant sind beispielswiese Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird im Rahmen der Prüfaktion gezielt nach dessen Einsatz gefragt. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu benennen.

Den Fragebogen der Behörden können Sie hier abrufen (pdf).

Unter anderem wird darin auch nach Datentransfers gefragt, die auf dem neuen EU-US Datenschutzschild (Privacy Shield) basieren. Zudem wird bei den möglichen Auswahlkriterien auch noch „Safe Harbor“ erwähnt. Der Beschluss der EU-Kommission zu Safe Harbor wurde jedoch bereits am 6. Oktober 2015 durch den Europäischen Gerichtshof für ungültig erklärt. Datenübermittlungen in die USA können seitdem nicht mehr zulässig auf dieser Grundlage erfolgen.

OVG Hamburg bestätigt: Facebook darf zunächst weiter Klarnamen fordern

Am 29 Juni 2016 hat das Oberverwaltungsgericht entschieden (Beschluss, pdf), dass Facebook weiterhin die Angabe des Klarnamens seiner Nutzer fordern darf. Damit bestätigte das Gericht die zuvor ergangene Entscheidung des Verwaltungsgerichts.

In der Sache selbst ließ das Gericht die Frage offen, ob die Datenschutzbehörde aus Hamburg zuständig sei und entsprechend auch behördliche Maßnahmen gegenüber der irischen Gesellschaft durchsetzen kann. Zudem beantwortete das Gericht nicht die Frage, ob auf Facebook deutsches Datenschutzrecht anwendbar sei. Die Rechtslage sei hier, so das Gericht, zumindest unklar. Zumal liege derzeit ein Vorabentscheidungsersuchen des Bundesverwaltungsgrichts beim Europäischen Gerichtshof (Rs. C-210/16), in dem es unter anderem um die Zuständigkeit einer deutschen Datenschutzbehörde (konkret aus Schleswig-Holstein) gegenüber dem Betreiber des sozialen Netzwerkes geht.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für Einwilligungserklärungen

Der sogenannte Düsseldorfer Kreis, die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat eine neue „Orientierungshilfe zu datenschutzrechtlichen Einwilligungserklärung in Formularen“ (pdf) veröffentlicht. In dem Dokument (Stand: März 2016) liegen die deutschen Aufsichtsbehörden ihre Ansichten zu den Voraussetzungen für die Abgabe einer zulässigen, datenschutzrechtlichen Einwilligungserklärung in Formularen dar. Dabei beziehen sich die Ausführungen sowohl auf schriftliche Einwilligungserklärung (§ 4a BDSG) als auch auf elektronische Erklärungen (§  13 Abs. 2 und 3 TMG). Weitere Informationen hierzu finden Sie im Blog von Carlo Piltz.

Berliner Datenschutzbeauftragte legt Tätigkeitsbericht 2015 vor

Heute hat die Berliner Landesbeauftragte für Datenschutz und Informationsfreiheit ihren Jahresbericht für 2015 vorgelegt (PDF).

Themenschwerpunkte des Berichts sind unter anderem der Durchbruch zu einem neuen Rechtsrahmen für Europa, vernetzte Fahrzeuge und moderne Verkehrstelematik und die Bestimmung und Begrenzung der Risiken von Datenverarbeitungen.

Landesdatenschutzbeauftragter für Sachsen-Anhalt veröffentlicht Tätigkeitsbericht

Heute hat der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Dr. Harald von Bose, seinen Tätigkeitsbericht (pdf) für den Berichtszeitraum 01.04.2013 bis 31.03.2015 vorgestellt.

Wie jeder Tätigkeitsbericht der Landesdatenschutzbehörden enthält auch dieser einige für die Praxis interessante Ausführungen zu verschiedensten Themen des Datenschutzes und der Datensicherheit. In seinem aktuellen Tätigkeitsbericht geht der Landesdatenschutzbeauftragte etwa auf die Thematik internationaler Datentransfers nach dem Safe Harbor-Urteil des EuGH ebenso ein, wie auf die Frage der datenschutzkonformen Organisationen von Arztpraxen. Mit Blick auf den Bereich der Telemedien (Internet, Apps) befasst sich der Tätigkeitsbericht unter anderem mit Fragen der datenschutzrechtlichen Zulässigkeit des Tracking durch Cookies oder mittels Device-Fingerprinting.

Bayerische Aufsichtsbehörde versendet Fragebogen zur Datenschutzorganisation

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat auf seiner Webseite den Beginn einer Prüfaktion von über 50 Unternehmen in Bayern bekanntgegeben. Für diese Prüfung zur Datenschutzorganisation im ersten Halbjahr 2016 wurden nach Angaben des BayLDA über 50 Unternehmen ausgewählt und in einem ersten Schritt mit einem Fragebogen angeschrieben. Den Fragebegogen finden Sie hier.

Abgefragt wird unter anderem, ob ein Datenschutzbeauftragter bestellt wurde, welche technischen und organisatorischen Maßnahmen im Unternehmen umgesetzt sind und es wird um die Übersendung des Verfahrensverzeichnisses gebeten.

Aufsichtsbehörden veröffentlichen Leitfaden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat eine aus Sicht der datenschutzrechtlichen Praxis sehr relevante „Orientierungshilfe der Datenschutzaufsichtsbehörden zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ (pdf) veröffentlicht (Stand: Januar 2016).

Darin gehen die Aufsichtsbehörden auf die verschiedenen Situationen ein, in denen das Internet und der betriebliche E-Mail-Account in Unternehmen genutzt wird:

  • Ausschließlich betriebliche Nutzung
  • Erlaubte private Nutzung

Für jede diese Situationen kann sich die Rechtslage anders darstellen und bedarf daher in Unternehmen einer Analyse. Im besten Fall durch den betrieblichen Datenschutzbeauftragten.

Die Aufsichtsbehörden berichten zudem, dass

Arbeitgebern oftmals aus Unkenntnis gravierende datenschutzrechtliche Fehler unterlaufen, die im schlimmsten Falle sogar strafrechtlich relevant sind.

Der Orientierungshilfe sind zudem zwei Muster von Betriebsvereinbarungen angehängt, die als Grundlage bei der Erstellung einer solchen Betriebsvereinbarung, die eine private Nutzung des Internets im Unternehmen regeln kann, in der Praxis wertvolle Leitlinien darstellen können.