5 Jahre DSGVO in Europa und kein bisschen besser?

5 Jahre DSGVO

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft und hat seitdem große Auswirkungen auf die Art und Weise, wie Unternehmen personenbezogene Daten verwalten und schützen. Fast fünf Jahre nach ihrer Einführung ist es an der Zeit, die Auswirkungen der DSGVO zu bewerten und einen Blick auf ihre Zukunft zu werfen.

Die DSGVO wurde entwickelt, um die Datenschutzgesetze der Europäischen Union (EU) zu vereinheitlichen und zu stärken. Sie gibt Einzelpersonen mehr Kontrolle über ihre persönlichen Daten und stellt sicher, dass Unternehmen verantwortungsbewusst mit diesen Daten umgehen. Die Verordnung gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten oder speichern, unabhängig davon, wo das Unternehmen seinen Sitz hat.

In den vergangenen fünf Jahren hat die DSGVO die Art und Weise verändert, wie Unternehmen personenbezogene Daten behandeln. Die Verordnung hat Unternehmen dazu veranlasst, ihre Datenschutzpraktiken zu überdenken und zu verbessern, um sicherzustellen, dass sie den neuen Vorschriften entsprechen. Unternehmen müssen nun beispielsweise eine klare und verständliche Datenschutzerklärung bereitstellen, die die Betroffenen über die Art, den Zweck und die Verarbeitung ihrer Daten informiert. Darüber hinaus müssen Unternehmen auch sicherstellen, dass sie die Einwilligung der betroffenen Personen einholen, bevor sie deren Daten verarbeiten.

Ein weiterer wichtiger Aspekt der DSGVO ist das Recht auf Vergessenwerden, das Einzelpersonen das Recht gibt, ihre Daten von Unternehmen löschen zu lassen. Unternehmen müssen sicherstellen, dass sie die personenbezogenen Daten ihrer Kunden sicher und geschützt aufbewahren, und sie müssen sicherstellen, dass sie die Daten gemäß den Richtlinien der DSGVO verwenden.

Obwohl die DSGVO in Europa weit verbreitet ist und von vielen Unternehmen umgesetzt wurde, gibt es auch Kritik an der Verordnung. Einige Unternehmen haben argumentiert, dass die Einhaltung der DSGVO zu kostspielig und zeitaufwendig ist und dass es schwierig ist, den Anforderungen der Verordnung gerecht zu werden. Einige haben auch argumentiert, dass die DSGVO den Wettbewerb in einigen Branchen behindert und die Innovation einschränkt.

Die Zukunft der DSGVO hängt davon ab, wie sie von den Unternehmen und Einzelpersonen akzeptiert wird. Die DSGVO hat bereits einen großen Einfluss auf den Datenschutz in Europa und darüber hinaus gehabt. Es bleibt abzuwarten, wie sich die DSGVO in den kommenden Jahren entwickeln wird und ob sie dazu beitragen wird, den Datenschutz und die Privatsphäre von Einzelpersonen weiter zu verbessern.

Aus meiner Sicht, des Datenschutzbeauftragten, hat die DSGVO trotz vieler Umsetzungshürden viel positives bewirkt. Neben den wirklich nötigen Betroffenenrechten haben Unternehmen begonnen sich intensiver mit Ihrer IT-Sicherheit und Infrastruktur zu beschäftigen. Dienstleister wurden vor der Beauftragung genauer unter die Lupe genommen und Schwachstellen schon vor möglichen Datenpannen behoben.

Einige Unternehmen haben sogar durch die Erstellung der Verarbeitungsverzeichnisses und die oftmals dadurch offengelegten Organisationsschwachpunkte die Digitalisierung vorangetrieben und verbesserte Organisationsstrukturen aufgebaut.

Wer erst einmal die erste Hürde der DSGVO Aufgaben gemeistert hat, erkennt schnell, dass die Pflege des geforderten Datenschutzmanagementsystems im laufenden Betrieb einen relativ geringen Aufwand erzeugt, wenn die nötigen Prozesse erst einmal etabliert sind.

Was ich noch festgestellt habe ist, dass fast alle beteiligten Personen der DSGVO Umsetzung innerhalb der Firmen ein erweitertes Bewusstsein über die Weitergabe Ihrer eigenen personenbezogenen Daten im Privatleben entwickelt haben und auch in der Arbeit deutlich vorsichtiger mit personenbezogenen Daten anderer umgehen.

Wie so häufig, bestätigen die wenigen Ausnahmen auch hier die Regel.

Webinar Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz Webinar

Viele unserer Mandanten fragten nach weiteren Informationen zum Hinweisgeberschutzgesetz. Deshalb haben wir für Anfang/Mitte März ein kostenloses Webinar zum Hinweisgeberschutzgesetz geplant.

Für die Planung, benötigen wir Ihre vorläufige Anmeldung. Ab dem 20.2.2023 verschicken wir dann die Terminvorschläge für das Webinar. es wird 3 Termine geben.

Webinar Hinweisgeberschutzgesetz

Hinweisgeberrichtlinie – Hinweisgeberschutzgesetz

Hinweisgebersystem

Vorgaben der EU-Hinweisgeber Richtlinie

Ab Dezember 2021 gelten verbindliche Compliance-Vorschrift für Unternehmen, Kommunen und öffentliche Einrichtungen. Dies erfordert die Einrichtung interne Meldestelle mit Schutz der Identität (Anonymität) von Hinweisgebern und Betroffenen.

Die Umsetzung in deutsches Recht ist fast vollzogen. Ab Anfang 2023 tritt das neue Gesetz dann auch in Deutschland in Kraft.

Die Umsetzung des Hinweisgebergesetzes ist erforderlich bei

  • Unternehmen mit mehr als 50 Beschäftigten
  • Öffentliche Einrichtungen, Behörden mit mehr als 50 Beschäftigten
  • Kommunen mit mehr als 10.000 Einwohnern

Die Anforderung für die Umsetzung sind

  • Sichere Dialogmöglichkeit über anonymisierten Kanal Eingangsbestätigung und Rückmeldung an Hinweisgeber
  • Nachvollziehbare Dokumentation
  • Anonymitätswahrung und Datenschutz
  • Revisionssichere Dokumentation

Deutsches Hinweisgebersystem

Deutsches Hinweisgebersystem

DSBOK bietet einen verschlüsselten Meldekanal mit Dialogfunktion. Das System ist zertifiziert, sicher und DSGVO-konform. Sie erhalten von uns

  • Ihr eigenes Hinweisgebersystem (mit eigenem Branding)
  • Schutzschild gegen Regelverletzungen und Gesetzesverstöße
  • Erfüllung der EU-Hinweisgeber-Richtlinie
  • Vertrauensvolle Korrespondenz und Abwicklung

Ihre Mitarbeiter und Geschäftspartner können intern auf Missstände wie Korruption, Amtsmissbrauch, oder Diskriminierung aufmerksam zu machen.

Fordern Sie einen Testzugang und eine kostenlose Erstberatung auf unserer Hinweisgeber-System Webseite an: Hinweisgebersystem-Online

EU-Hinweisgeber Richtlinie umsetzen bis zum 17.12.2021

EU-Hinweisgeber Richtlinie

Bis wann muss die EU-Hinweisgeber Richtlinie umgesetzt werden?

Die EU-Whistleblower-Richtlinie (EU-Hinweisgeber Richtlinie) wurde zum 16.12.2019 beschlossen und muss spätestens bis zum 17.12.2021 in deutsches Recht umgesetzt werden.

Das grundlegende Ziel der EU-Whistleblower-Richtlinie ist es, die Aufdeckung und Unterbindung von Rechtsverstößen zu forcieren. Gleichzeitig sollen aber die Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte / Vermittler, die bei der Meldung unterstützen, besser geschützt werden. Es soll vermieden werden, dass diese Personen negative zivil-, straf- oder verwaltungsrechtliche Konsequenzen im Nachgang zu einer Meldung befürchten müssen.

Was ist eine EU-Richtlinie?

EU-Verordnungen (wie die Datenschutz-Grundverordnung oder DSGVO) sind verbindliche Rechtsakte, die alle EU-Mitgliedsstaaten umsetzen müssen. Sie treten zu einem festgelegten Datum in allen Mitgliedsstaaten in Kraft. Eine Richtlinie hingegen gibt vor, was die einzelnen Mitgliedstaaten in der Gesetzgebung erreichen müssen, doch die Staaten können frei entscheiden, wie sie die Richtlinie innerhalb von zwei Jahren in nationales Recht umsetzen. Folglich wird es in der EU zweifellos gesetzliche Unterschiede geben.

Schon jetzt ist klar, dass die Regelungen der Richtlinie als Mindeststandard umgesetzt werden müssen, über das nationale Gesetz können noch mehr Pflichten kommen, keinesfalls aber weniger. Unternehmen und Behörden sollten daher unbedingt die verbleibende Zeit für die Einführung eines richtlinienkonformen Meldekanals nutzen. Sollte die Umsetzungsfrist ablaufen, ohne dass ein entsprechendes Gesetz in Deutschland vorliegt, werden sich die Hinweisgeber bezüglich ihrer Schutzrechte direkt auf die EU-Richtlinie berufen.

Pflichten für Unternehmen

Jedes Unternehmen ab 50 Beschäftigten muss künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Die Vertraulichkeit der Meldung muss dabei geschützt sein, bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderung der DSGVO beachtet werden.

Pflichten für Behörden, öffentliche Verwaltung und Non-Profit-Sektor

Die Pflicht zur Einrichtung von Meldekanälen trifft auch die öffentliche Hand. Alle juristischen Personen des öffentlichen Rechts sind betroffen (Körperschaften und Anstalten des öffentlichen Recht, öffentlich-rechtliche Stiftungen), einschließlich privatrechtlicher Gesellschaften im Eigentum der öffentlichen Hand (z.B. städtische Betriebsgesellschaften). Auch die Gemeinden sind verpflichtet. Die EU erlaubt, Gemeinden mit weniger als 10.000 Einwohnern herauszunehmen. Der Gesetzesentwurf sieht das für Deutschland so vor.

Für weitere Informationen rufen Sie uns an oder besuchen Sie unsere Webseite zu diesem Thema: Hinweisgebersystem

DSGVO konformes Videokonferenzsystem

DSGVO konforme Videokonferenzsoftware

Auf Wunsch unserer Kunden, haben wir auf einem Hochleistungsserver im Rhein-Neckar Gebiet ein System für Videokonferenzräume zur Verfügung gestellt.

BigBlueButton

Zum Einsatz kommt die Software BigBlueButton in einer OnPremise Installation. BigBlueButton ist einen open Source Software aus Canada mit vielen Funktionen für Video und Audio Konferenzen, die den bekannten Systemen in wenigem nachsteht.

DSGVO konformen Videokonferenzlösung

Für unsere Mandanten im DSB Bereich bieten wir eigene Konferenzräume zum Selbstkostenpreis an. Wir erleichtern uns selber die DSB Arbeit damit und helfen unseren Mandanten mit einer DSGVO konformen Videokonferenzlösung.

Erfahren Sie mehr über die Videokonferenzlösung auf der folgenden Seite oder melden Sie sich gleich für einen Testzugang an:

Informationen zum DSGVO konformen Videokonferenzsystem

Testzugang anfordern

Problem „Privacy Shield ungültig“ – Datenübermittlung in die USA

Ende Privacy Shield

Nahezu jedes Unternehmen übermittelt Daten in die USA. Seit Kurzem hört man viel vom „Ende des Privacy Shield“. Auf den ersten Blick scheint das ein Thema nur für Spezialisten. Es hat aber Auswirkungen auf den Alltag im Unternehmen.


Übermittlungen in die USA nur bei angemessenem Datenschutzniveau

Die USA sind kein Teil der Europäischen Union, sie sind vielmehr ein „Drittstaat“. Die Übermittlung von personenbezogenen Daten in die USA ist deshalb an besondere Voraussetzungen gebunden. Sie ist nur zulässig, soweit in den USA ein „angemessenes Datenschutzniveau“ herrscht.

Der Privacy Shield – bisher praktisch und bequem

An dieser Stelle kommt der „Privacy Shield“ ins Spiel. Es handelte sich dabei um eine Art Register. Jedes US-Unternehmen, das bestimmte Voraussetzungen des Datenschutzes erfüllte, konnte sich dort eintragen lassen. Die Europäische Kommission hatte förmlich festgelegt: Wenn ein US-Unternehmen registriert ist, herrscht in diesem Unternehmen ein angemessenes Datenschutzniveau. Über 5.500 US-Unternehmen haben diese Möglichkeit genutzt. Dazu gehören auch Internet-Giganten wie Google.
Der Vorgänger des Privacy-Shield war das Safe-Habour Abkommen, dass bereits gekippt wurde.

Europäische Unternehmen als Nutznießer

Nutznießer dieses Verfahrens waren vor allem die europäischen Geschäftspartner der registrierten US-Unternehmen. Diese Geschäftspartner konnten an ihre US-Partner personenbezogene Daten genauso leicht übermitteln wie an Geschäftspartner innerhalb der Europäischen Union. Das war praktisch und bequem.

Der Privacy Shield EuGH Urteil– aus und vorbei!

Mitte Juli 2020 stoppte der Europäische Gerichtshof (EuGH) diese Verfahrensweise. Er stellte fest, dass der „Privacy Shield“ gerade nicht für ein angemessenes Datenschutzniveau bei den registrierten US-Unternehmen sorgt. Die Folge: Vielen Datenübermittlungen in die USA fehlt jetzt eine tragfähige rechtliche Grundlage.

Schwierige Situation für alle Unternehmen

Das Urteil wirkte wie ein Keulenschlag. Es räumt keinerlei Übergangsfrist ein. Die Rechtsgrundlage „Privacy Shield“ fiel über Nacht weg. Das führt im Augenblick zu folgender Situation:

  • In manchen Fällen gibt es noch eine weitere Rechtsgrundlage für die bisher üblichen Datenübermittlungen in die USA. Das ist etwa der Fall, wenn eine Datenübermittlung erforderlich ist, um einen Vertrag mit einem Kunden ordnungsgemäß zu erfüllen. Dann ist die Übermittlung schon unmittelbar nach der Datenschutz-Grundverordnung zulässig. In diesem Fall kann alles einfach so weiterlaufen wie bisher. Dies betrifft aber nur direkten Verträge. Es trifft also nicht zu, wenn die Datenübermittlung indirekt stattfindet.
  • Ziemlich oft ist es jedoch so, dass der Privacy Shield die einzige rechtliche Basis für die Datenübermittlung in die USA war. Dann muss bildlich gesprochen schnell eine neue Rechtsgrundlage her. Das ist eine große rechtliche Herausforderung.

Enorme Bedeutung für Geschäfte mit den USA

Dies ist der Hintergrund dafür, warum die Datenübermittlungen in die USA in der nächsten Zeit vielleicht auch für Sie ein Thema sein werden. Das kommt im Augenblick sicher ungelegen. Schließlich machen die Corona-Folgen schon genügend Mühe. Das Thema ist aber wichtig, damit unentbehrliche Datenübermittlungen in die USA auch künftig rechtskonform ablaufen können.

Wenn Sie mehr über das Thema wissen wollen

Das Thema ist zu komplex um es in einem Blog Beitrag zu beschreiben und Ihnen die nötige Rechtssicherheit zu geben. Wenn Sie zu dem Thema weitere Informationen benötigen, sprechen Sie uns an und fordern Sie unser umfangreiches Dokument „Prüfung der Datenübermittlung in Drittstaaten“.

externer Datenschutz und IT-Sicherheit in Hamburg

dsgvo beratung hamburg

Unser Büro in Hamburg hat seit Anfang September nun auch eine eigene Webseite: www.dsgvo-beratung-hamburg.de

Frau Krause jun. hat im Juni 2020 Ihre TÜV Zertifizierung als Datenschutzbeauftragte erhalten und betreut die Kunden von DSBOK im Norden von Deutschland.

Ihr Spezialgebiet sind DSGVO und Sicherheitsanalysen von Webseiten und Shopsystemen. Mit verschiedenen Software Systemen können wir nun Webseiten und Shopsysteme auf DSGVO Konformität und Sicherheitsschwachstellen untersuchen.

Einen kostenlosen Beispiel-Test erhalten Sie hier:
Webseiten und IT-Sicherheitstest

 

Sicherheit bei Webseiten und Onlineshops prüfen

Webseiten Sicherheitscheck

Neuer Service: Sicherheit bei Webseiten und Onlineshops prüfen

Webseiten Sicherheistscheck

Webseiten sind heute dank kostenloser CMS Systeme schnell erstellt und sehen professionell aus. Selten wird sich um die Sicherheit des CMS Systems oder des Servers gekümmert, auf der die Webseiten gehostet werden. Häufig werden die CMS Systeme ohne erweiterte Sicherheisteinstellungen und in der einfachen Grundkonfiguration betrieben.

Dies bietet Hackern und Internetbetrügern ein großes Potenzial für die verschiedensten Angriffmöglichkeiten. Die verbreitesten sind Webseiten Highjacking und Datendiebstahl aus Formularen. Selten bekommen die Eigentümer der Webseiten etwas davon mit. Erst speziellen Sicherheitschecks decken die Lücken auf, die in der Regel mit wenigen Eingriffen geschlossen werden können.

Onlineshop Sicherheitscheck

Auch Onlineshops lassen sich schnell und unkompliziert mit Onlineshopsystemen erstellen. Hier sind die Gefahren für den Betreiber deutlich höher als bei einer Webseite, denn neben dem Hightjacking des Onlineshops steht hier der Datendiebstahl ganz oben auf der Liste. Dieser reicht vom einfachen Diebstahl der Kundendaten bis zum Diebstahl sensibler Daten, wie zum Beispiel Bankverbindungen oder Kreditkartendaten.
Umfangreiche Onlineshop Sicherheitchecks decken Schwachstellen auf und verhindern das schlimmste.

Webseiten und Onlineshop Sicherheitschecks als Pflicht aus der DSGVO und dem Bundesdatenschutzgesetz

Neben dem Schutz der Geschäftstätigkeit und dem Firmengeheimnis, hat jeder Unternehmen nach Artikel 24, 25 und 32 der DSGVO die Verantwortung und Verpflichtung für die Sicherheit der Verarbeitung zu sorgen. Dies gilt auch für Systeme, die nicht selbständig gepflegt und gehostet werden.

Sicherheitschecks als Service im Datenschutz

Im Rahmen unser Aufgaben aus Datenschutzauditoren, bieten wir unseren Kunden und Interessenten umfangreiche Sicherheitschecks für Webseiten, Onlineshops, Webserver, Server und Applikationen an. Unsere neues Team mit zwei  IT-Sicherheitsexperten erstellt aussagekräfte Berichte mit Handlungsempfehlungen und steht Ihnen Lösungen zur Verfügung.

Für ein unverbindliches Angebot eines Webseiten Sicheheitschecks oder sonstigen IT-Analysen rufen Sie uns einfach an oder nutzen Sie unser Angebotsformular für Sicherheitschecks.

Angebot für Webseiten Sichehrheitscheck, Onlineshop Sicherheitscheck oder sonstige IT-Netzwerk-Analyse anfordern.

 

 

 

 

Gültigkeitsdauer von Einwilligungen nach DSGVO

artikel 6 DSGVO 1a Einwilligung

Dem Widerruf der Einwilligung wird in der DSGVO eine wichtige Stellung eingeräumt. Artikel 7 Absatz 3 der DSGVO schreibt vor,
dass der Verantwortliche sicherstellen muss, dass die betroffene Person
die Einwilligung jederzeit widerrufen kann und dass der Widerruf der
Einwilligung so einfach sein muss wie die Erteilung der Einwilligung.
Möglicherweise kann sich eine einmal wirksam abgegebene Einwilligung
aber auch „überholt“ haben. Erfolgt nach Abgabe einer Einwilligung
keine Verarbeitung der personenbezogenen Daten der
betroffenen Person, die sich auf genau diese Einwilligung stützt, ist
die Vermutung nicht abwägig, dass die Einwilligung des Betroffenen
nicht mehr aktuell sein könnte.
Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen
Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. Das LG
München hat in seinem Urteil vom 8. April 2010, Az. 17 HK O 138/10
entschieden, dass eine vor 17 Monaten erteilte und bisher nicht
genutzte Einwilligung zur E-Mail-Werbung keine gültige Rechtsgrundlage
mehr sein kann, da sie „ihre Aktualität verloren“ habe.
Tatsächlich enthält die DSGVO keine festgelegte Frist, wie lange eine
Einwilligung gilt. Wie lange die Einwilligung gültig ist, hängt vom Kontext,
dem Umfang der ursprünglichen Einwilligung und den Erwartungen
der betroffenen Person ab. Wenn sich die Verarbeitungsvorgänge
beträchtlich ändern oder weiterentwickeln, ist die ursprüngliche Einwilligung
nicht länger gültig. Dann muss eine neue Einwilligung eingeholt
werden.
Die WP29 empfiehlt im WP259 rev.01, die Einwilligung in angemessenen
Zeitabständen zu erneuern. Wenn alle Informationen erneut
erteilt werden, hilft das sicherzustellen, dass die betroffene Person
gut darüber informiert bleibt, wie ihre Daten verwendet werden und
wie sie ihre Rechte ausüben kann.

Quelle: Europäische Kommission