MeineBerater

Datenpannen-Meldung: Achtung,72-Stunden-Frist!

Posted 10. Februar 2021 by Birgit von Maurnböck

Dass das Melden einer Datenpanne – auch Data Breach Notification genannt – unter gewissen Voraussetzungen sehr wichtig ist, kann gar nicht oft genug erwähnt werden. Wieso es außerdem von so großer Bedeutung ist, die dafür vorgeschriebene Frist von 72 Stunden einzuhalten, und was passieren kann, wenn diese versäumt wird, erfahren Sie in diesem Beitrag.

Datenpanne in Polen

Bei einer pädiatrischen Prüfung an der Medizinischen Universität Katowice in Polen hat sich eine Datenpanne ereignet. Die Studierenden wurden während dem Schreiben gefilmt und die Videoaufzeichnungen wurden versehentlich über die Lernplattform der Hochschule öffentlich zugänglich gemacht. Somit konnten nicht nur die Studierenden selbst sowie die Dozenten darauf zugreifen, sondern all jene, die für die Lehrveranstaltung registriert waren. Einige der Betroffenen konnten durch ihre bei der Prüfung vorgelegten Studien-Ausweise identifiziert werden. Insgesamt nahmen an der Prüfung sechs Klassen mit jeweils 26 Personen teil. Die polnische Datenschutzbehörde verhängte eine DSGVO-Strafe von 5.498,- €. Das interessante an dieser Entscheidung ist, dass das Bußgeld nicht aufgrund des Vorfalles an sich verhängt wurde, sondern deshalb, weil die Datenpanne nicht ordnungsgemäß und laut DSGVO-Vorschrift an die Datenschutzbehörde sowie an die Betroffenen gemeldet worden war. Einige der Studierenden erfuhren erst durch ihre Studienkollegen von dem Vorfall.

Diese Entscheidung zeigt deutlich, dass es besonders wichtig ist, die vorgeschriebene Frist einzuhalten. Eine Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde gemeldet werden. Einige prominente Fragen, die sich dazu häufig stellen, beantworten wir nun in diesem Beitrag:

Muss jede Datenpanne gemeldet werden?

Nein, eine Datenpanne muss nur dann an die Datenschutzbehörde gemeldet werden, wenn ein Risiko für Gesundheit, Ruf oder Vermögen der betroffenen Person(en) besteht. Aber auch Datenschutzverletzungen, die nicht meldepflichtig sind, müssen unbedingt unternehmensintern dokumentiert werden.

Wer informiert wen? Wer kontaktiert bei einer Datenpanne die Behörde?

Die Person im Unternehmen, die die Datenpanne zuerst bemerkt, sollte sich schnellstmöglich an die für den Datenschutz zuständige Person sowie gegebenenfalls an die Geschäftsführung wenden. Hat das Unternehmen einen Datenschutzbeauftragten, so sollte dieser im ersten Schritt kontaktiert werden. Geschäftsführung und alle für den Datenschutz zuständigen Personen entscheiden gemeinsam über die weiteren Schritte und evaluieren, ob eine Behördenmeldung sowie eine Kontaktaufnahme mit den betroffenen Personen notwendig ist.

Wie ist die Behörde nach einer Datenpanne zu kontaktieren?

Auf der Website der österreichischen Datenschutzbehörde „www.dsb.gv.at“ wird ein Formular zur Verfügung gestellt, das speziell für die Meldung von Datenpannen vorgesehen ist. Dieses wird vom Datenschutzbeauftragten oder, wenn keiner vorhanden ist, vom unternehmensinternen Datenschutzkoordinator ausgefüllt und fristgerecht, also innerhalb von 72 Stunden, abgeschickt.

Welche Informationen beinhaltet eine Behördenmeldung bei einer Datenpanne?

All diese Punkte müssen bei der Behördenmeldung angeführt werden:

Art der Datenschutzverletzung,
Betroffene Datenkategorien,
Anzahl der betroffenen Personen mit den dazugehörigen Datensätzen,
Eventuelle Folgen der Panne,
Die Kontaktdaten eines Ansprechpartners, die des Datenschutzbeauftragten oder des Datenschutzkoordinators als auch die Kontaktdaten des Geschäftsführers,
Beschreibung der betrieblichen Maßnahmen zur Risikoeindämmung und zukünftigen Verhütung eines solchen Vorfalls.

All diese Fragen sind im Formular auf der Webseite der österreichischen Datenschutzbehörde beinhaltet.

Unsere Praxistipps

Bei einer Datenpanne muss schnellstmöglich die Behörde informiert werden. Setzen Sie sich sofort mit der Behörde in Verbindung und machen Sie eine Meldung.
Kontaktieren Sie uns, wenn sich in Ihrem Unternehmen ein Datenschutzvorfall ereignet hat oder Sie dies auch nur vermuten. Wir unterstützen Sie bei allen notwendigen Schritten und leiten Sie fristgerecht und sicher durch Ihre Datenpanne.

Grindr: 10 Millionen Euro DSGVO-Strafe gegen Dating-App

Posted 10. Februar 2021 by Erich von Maurnböck

Sensible Daten und illegale Datenweitergabe sind zwei Begriffe, die sich wohl kaum miteinander vereinbaren lassen. Das muss nun auch die Dating-App Grindr in Norwegen lernen, die einer DSGVO-Strafe von rund 10 Millionen Euro entgegenzusehen hat. Wie genau es zu dieser enorm hohen Summe kommt, erfahren Sie in diesem Beitrag.

Fall Gringr

Die Dating-App Grindr, die sich auf Vermittlung von Dates für nicht-hetero Männer spezialisiert hat, muss in Norwegen einer DSGVO-Strafe von 100 Mio. norwegischen Kronen – umgerechnet rund 10 Mio. Euro – entgegensehen. Dem Unternehmen wird vorgeworfen, personenbezogene Nutzerdaten wie Standort- und Profildaten ohne jegliche rechtliche Grundlage zu Marketingzwecken an mehrere Drittparteien weitergegeben zu haben. Besonders heikel ist noch zu ergänzen, dass die bloße Tatsache, dass Personen auf Grindr registriert sind, Auskunft über sensible Daten gibt – nämlich über die sexuelle Orientierung der registrierten Männer. Informationen darüber sind besonders schützenswert, was den Verstoß gegen die DSGVO weiters verschärft.

Wie kommt es zu einer so hohen Strafe für Gringr?

Grundsätzlich gibt es zwei Arten, nach denen DSGVO-Bußgelder berechnet werden. Bei „kleineren“ Verstößen liegt der Betrag bei höchstens 10 Mio. Euro oder 2 % des Jahresumsatzes während die Höchststrafe bei den schweren Verstößen bei 20 Mio. Euro oder 4 % des Jahresumsatzes liegt – hierbei wird stets der höhere Betrag herangezogen.

In diesem Fall wurde das höhere Strafmaß gewählt, da es sich um eine ungesetzmäßige Weitergabe sensibler Daten handelte. Bei einem Jahresumsatz des Konzerns von rund 100 Mio. Euro würden die 4 % demnach 4 Mio. Euro betragen. Die Datenschutzbehörde hat sich hierbei auf den Höchstrahmen von bis zu 20 Mio. Euro berufen und die Strafe auf 10 Mio. Euro festgelegt.

Wie Sie also sehen können, erlaubt die DSGVO enorme Strafen aufgrund von Datenschutzverletzungen.

Unsere Praxistipps

Lassen Sie es nicht darauf ankommen, investieren Sie lieber ein bisschen mehr in Ihren Datenschutz, als umgekehrt ein Vielfaches davon in eine Strafzahlung zu stecken.
Wir unterstützen Sie gerne bei der Umsetzung und machen Sie datenschutzfit! Sie können uns direkt kontaktieren.

Videoüberwachung: 10,4 Millionen Euro DSGVO-Strafe

Posted 12. Januar 2021 by Erich von Maurnböck

Wissen Sie, wann und wo Sie videoüberwachen dürfen und wie Sie mit den Aufnahmen umzugehen haben? Die Antwort darauf sowie eine Warnung, was bei einem Verstoß passieren kann, erhalten Sie in diesem Beitrag.

Fall Videoüberwachung der Mitarbeitenden

Das Unternehmen „notebooksbilliger.de“ hat über einen Zeitraum von mindestens zwei Jahren Mitarbeitende sowie Kunden am Arbeitsplatz, im Verkaufsraum, im Lager sowie in anderen Aufenthaltsbereichen videoüberwacht. Der Grund dafür war die Verhinderung von Diebstählen und die Nachvollziehbarkeit von Warenflüssen. Eine entsprechende Rechtsgrundlage gemäß DSGVO für die Videoüberwachung war jedoch nicht vorhanden. Die Erklärung des Unternehmens ließ die Datenschutzbehörde nicht durchgehen, da ebenso mit anderen Mitteln wie stichprobenartigen Taschenkontrollen vorgegangen werden hätte können. Ein Generalverdacht ist ebenso unzulässig. Um die Videoüberwachung zu rechtfertigen, hätte es tatsächliche Verdachtsfälle von Fehlverhalten geben müssen.

Aus diesem Grund hat der Landesbeauftragte für Datenschutz in Niedersachsen ein Bußgeld von 10,4 Mio. Euro verhängt. Auf den Umsatz von „notebooksbilliger.de“ umgerechnet sind das ungefähr 1,04 % bis 1,18 %. Grundsätzlich kann das Strafausmaß gemäß DSGVO bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Unsere Praxistipps

Um solche Fehler zu vermeiden raten wir Ihnen:

Stellen Sie sicher, dass Ihre Videoüberwachung auf einer gültigen Rechtsgrundlage basiert.
Kennzeichnen Sie Videoüberwachungen richtig und an einer Stelle, an der Personen rechtzeitig – also bevor Sie bereits mitten im Bild sind – darüber informiert werden.
Reicht eine Überwachung in Echtzeit aus? Oder haben Sie einen berechtigten Grund, die Aufzeichnungen aufzubewahren? Achtung, hierbei sind strenge Fristen einzuhalten. Nach 72 Stunden müssen Sie die Videos in jedem Fall löschen.
Für weitere Informationen zu diesem Thema oder zur Unterstützung bei der Umsetzung in Ihrem Unternehmen können Sie uns sehr gerne kontaktieren – wir sehen uns an, wie, wo und ob eine Videoüberwachung zulässig ist.

Cyberschäden durch Angriffe: Deutlicher Anstieg

Posted 9. Dezember 2020 by Erich von Maurnböck

Wissen Sie, wie häufig es mittlerweile zu schweren Cyberattacken auf Unternehmen unterschiedlichster Größen weltweit kommt? Lesen Sie in diesem Beitrag, wieso ein geeigneter Schutz vor solchen besonders wichtig ist. Selbstverständlich haben wir einige Praxistipps für Sie auf Lager, die Sie in Ihrem Unternehmen umsetzen können.

Cyberschäden in Österreich

Virtuelle Angreifer und Betrüger stellen für Unternehmen weltweit ein großes und vor allem teures Problem dar. So zeigt der führende österreichische Industrieversicherer für Unternehmens- und Spezialrisiken AGCS in Österreich in seiner Auswertung, dass aus den Jahren 2015 bis 2020 insgesamt 1.736 Cyberschadenmeldungen vorliegen. Hierbei ist außerdem ein deutlicher Anstieg zu vermerken: Im Jahr 2016 wurden 77 Schäden registriert, drei Jahre später im Jahr 2019 bereits ganze 809 Fälle.

Die versicherten Schäden stellen jedoch nur einen Bruchteil der tatsächlichen Zahlen dar – einer Schätzung zufolge lag die Anzahl aller Schadensfälle bei rund 500.000. Nur in Österreich! Den Großteil mussten die betroffenen Unternehmen, Vereine oder sonstige Einrichtungen jedoch selbst begleichen – schätzungsweise weit über fünf Milliarden Euro.

Große Ereignisse wie landesweite Wahlen sowie auch die aktuelle Pandemie bieten demnach eine gute Möglichkeit für Cyberangriffe.

Cyberschaden in England

Manchester United, der berühmteste Fußballclub Englands, wurde von Hackern angegriffen und lahmgelegt. Die Erpresser fordern nun Millionen, um die Systemlahmlegung aufzuheben. Obwohl bereits das nationale Sicherheits-Center im Einsatz ist, ist bislang kein Ende in Sicht. Dem Club droht zudem noch weiterer Ärger: Sollten im Zuge des Hackerangriffs Datenschutzrechte gegenüber Fans verletzt werden, ist zusätzlich zu den Schäden durch den Cyberangriff mit einer Geldstrafe von bis zu 18 Millionen Pfund, umgerechnet über 20 Millionen Euro, zu rechnen.

Wie kommen Cyberschäden zustande?

Interne Vorfälle, wie unbeabsichtigte Fehler (beispielsweise fehlende oder zu wenige Updates, falsche Bedienung/Konfiguration) – das sind mehr als die Hälfte aller Fälle!
Externe Vorfälle wie Phishing oder DDoS-Angriffe (Distributed Denial of Service, also auf Deutsch die Blockierung des Internetdienstes).
Absichtlich und böswillige unternehmensinterne Aktionen.

Unsere Praxistipps

Achten Sie stets darauf, dass die Betriebssoftware sämtlicher Server, Computer, Drucker und Netzwerkkomponenten (Firewalls etc.), die Sie in Verwendung haben, auf dem neuesten Stand ist.
Verwenden Sie sichere Passwörter und Codes und behandeln Sie diese diskret und vertraulich.
Achten Sie darauf, welche Mitarbeitenden welche Benutzerrechte haben. Beschränken Sie diese auf ein sinnvoll benötigtes Minimum.
Handeln Sie sofort, wenn Sicherheitslücken jeglicher Art bekannt werden. Je früher Sie dagegen steuern, umso geringer ist der Schaden meist zu halten.
Schulen Sie regelmäßig Ihre Mitarbeitenden hinsichtlich IT-Sicherheit in Ihrem Unternehmen.
Für weitere Tipps oder bei Fragen steht Ihnen Erich von Maurnböck gerne zur Seite. Wir freuen uns auf Ihre Anfragen!

DSGVO-Strafe über 12 Millionen Euro in Italien

Posted 9. Dezember 2020 by Erich von Maurnböck

Wissen Sie, wen Sie auf welche Art und Weise zu Marketingzwecken kontaktieren dürfen? Durch die DSGVO sind die Rechte und Pflichten von Unternehmen diesbezüglich genau definiert. Lesen Sie in diesem Beitrag, wie Sie eine Millionen-DSGVO-Strafe wie diese gegen Vodafone in Italien verhindern können.

DSGVO-Strafe für Vodafone

Gegen den Telekommunikationsanbieter Vodafone wurde von der italienischen Datenschutzbehörde eine Strafe in der Höhe von 12,25 Mio. Euro verhängt. Grund dafür waren zahlreiche Beschwerden von Konsumenten, die wiederholt aggressive Marketinganrufe des Anbieters erhalten hatten. Diese wurden von externen Call Centern durchgeführt. Die Untersuchung zeigte, dass dabei sogar Fake-Telefonnummern verwendet wurden. Des Weiteren wurde auf Kontaktlisten von Geschäftspartnern und anderen Unternehmen zurückgegriffen, ohne dass dafür eine Einwilligung der Betroffenen vorlag.
Zusätzlich zur Geldstrafe wurde Vodafone von der Datenschutzbehörde dazu angewiesen, Systeme zu implementieren, die sicherstellen, dass Telemarketing nur mit vorliegender Rechtsgrundlage betrieben wird.

Unsere Praxistipps

Legen Sie klar fest, dass jeder Marketing-Kontaktschritt, den Sie unternehmen, datenschutzrechtlich zulässig ist. Kein Newsletter, kein Brief, kein Anruf oder sonstiges darf versendet beziehungsweise getätigt werden, ohne Rechtsgrundlage.
Implementieren Sie Systeme, in denen klar vermerkt ist, welchem Kunden oder Interessierten Sie welche Informationen zusenden dürfen.
Beachten Sie auch im Marketing den Grundsatz der DSGVO: So viele Daten wie nötig dürfen erhoben werden, jedoch gleichzeitig so wenige wie möglich!
Bei weiteren Fragen zum Thema Datenschutz im Marketing können Sie uns jederzeit gerne kontaktieren.

RAINBOWS: Spenden und Gutes tun

Posted 17. November 2020 by Birgit von Maurnböck

Kennen Sie bereits den Verein RAINBOWS, der sich um Kinder in Krisensituationen kümmert? Da besonders die Weihnachtszeit in einer solchen Situation sehr schwierig ist, hat RAINBOWS sich eine ganz spezielle Spendenaktion ausgedacht. Lesen Sie in diesem Beitrag, wie diese aussieht.

RAINBOWS unterstützen

Da die meisten betrieblichen Weihnachtsfeiern in diesem Jahr aufgrund der COVID-19-Situation nicht stattfinden können, hat RAINBOWS folgende Alternative im Sinne des guten Zwecks entwickelt:

Einige Unternehmen geben anstatt einer Weihnachtsfeier Gastro-Gutscheine an ihre Mitarbeitenden aus. Um RAINBOWS zu unterstützen, könnten Sie Ihren Mitarbeitenden freistellen, ob Sie anstelle dessen den Betrag oder einen Teil davon spenden möchten.

Ebenso besteht die Möglichkeit, eine fiktive Partnerschaft für die Teilnahme eines Kindes an einer RAINBOWS-Gruppe oder Trauerbegleitung in besonders schweren Zeiten.

Selbstverständlich ist auch wie immer eine klassische Spende an RAINBOWS möglich.

Auf der RAINBOWS-Website können Sie nachlesen, was der Verein alles zu bieten hat und wieso Ihre Spende so wichtig ist.

Info: Spenden an RAINBOWS sind steuerlich absetzbar!
RAINBOWS-Spendenkonto:
Verein RAINBOWS, BAWAG/PSK, AT806000000092186444

Unser Tipp

Unterstützen Sie und Ihre Mitarbeitenden zu Weihnachten diesen guten Zweck und helfen Sie Kindern in schwierigen Situation. Schließlich ist auch für die Kleinsten unter uns dieses Jahr besonders herausfordernd.

COVID-19-Schutzmaßnahmen im Büro

Posted 10. November 2020 by Birgit von Maurnböck

Wissen Sie, welche Maßnahmen Sie im Büro wie umsetzen müssen, um sich und Ihre Mitarbeitenden vor einer COVID-19-Infektion zu schützen? Wir geben Ihnen in diesem Beitrag einen Überblick über die wichtigsten Regeln und Maßnahmen.

Unsere Tipps zu den Schutzmaßnahmen im Büro

Bei der Arbeitsplatzgestaltung muss berücksichtigt werden, dass ein Abstand von mindestens einem Meter gegeben ist. Kann ein solcher nicht eingehalten werden, muss auf eine Abtrennung, beispielsweise durch Plexiglas, zurückgegriffen werden. WICHTIG: Diese muss von beiden Seiten täglich gereinigt werden!
In Gemeinschaftsräumen wie Sanitäranlagen, Küchen, Besprechungsräumen oder Pausenräumen müssen ebenso Abstandsregeln geltend gemacht werden, beispielsweise durch die Anordnung der Bestuhlung oder durch Markierungen. Sanitärräume sollten an jedem Arbeitstag gereinigt werden.
Zum Thema Lüften gilt: Öfter, länger, intensiver! Büroräume sollten jedenfalls einmal pro Stunde gelüftet werden, Besprechungsräume häufiger – optimalerweise alle 20-30 Minuten.
Homeoffice: Grundsätzlich wird jenen Betrieben, in denen die Arbeit auch problemlos von zuhause aus verrichtet werden kann, empfohlen, im Homeoffice zu arbeiten. Schließlich kann somit eine Ansteckung am besten verhindert werden.
Gegenstände und Oberflächen sollten, sofern sie von mehreren Personen genutzt werden, nach jeder Benutzung gereinigt und desinfiziert werden, um eine Schmierinfektion zu verhindern.
In Aufzügen sollte ein Mund-Nasen-Schutz verpflichtend getragen werden.
Versetzte Pausenzeiten von Mitarbeitenden ermöglichen eine geringere Belegungsdichte von Gemeinschaftsräumen und reduzieren Kontakte.
Der Kontakt mit betriebsfremden Personen sollte momentan grundsätzlich elektronisch stattfinden. In Fällen, in denen dies nicht möglich ist, sind strenge Abstandsregeln sowie das Tragen eines Mund-Nasen-Schutzes einzuhalten.
Die Corona-Krise stellt für uns alle eine psychische Belastung dar. Ängste von Mitarbeitenden sollten demnach in jedem Fall ernstgenommen werden. Besonders in jenen Branchen, in denen die Arbeitsintensität durch COVID-19 gestiegen ist und in denen Kunden-Konflikte sich häufen – beispielsweise Krankenhäuser oder Gesundheitsdienstleister.
Eine frühzeitige und aktive Kommunikation ist besonders wichtig zur Vermeidung von Ängsten. Betriebe sollten zudem stets Rückfragen und Verständnisprüfung ermöglichen.

Unser Fazit

Die Coronakrise ist für uns alle Neuland und stellt eine Herausforderung dar. Gerne sind wir auch in solchen Situationen für Sie da und unterstützen wo wir können. Geschäftsführerin, Birgit von Maurnböck steht Ihnen als COVID-19-Beauftragte gerne für Ratschläge und Umsetzungstipps zur Seite. Kontaktieren Sie uns dazu.

75.000-Euro-DSGVO-Strafe in Spanien

Posted 10. November 2020 by Erich von Maurnböck

Wissen Sie, dass eine Datenverarbeitung immer auf einer Rechtsgrundlage basieren muss, die diese rechtfertigt. Werden Daten ohne eine solche verarbeitet, ist der Vorgang unrechtmäßig und – wie man anhand dieses Beitrags erkennen kann – häufig sehr teuer.

DSGVO-Strafe gegen Telekommunikationsunternehmen

In diesem aktuellen Fall in Spanien wurden bereits seit Mai vergangenen Jahres vom spanischen Telekommunikationsunternehmen Telefónica Móviles España Rechnungsbeträge vom Bankkonto eines Betroffenen eingezogen. Dieser stand jedoch nie in einer vertraglichen Beziehung mit dem verantwortlichen Unternehmen. Mehrere Beschwerden beim Telekommunikationsanbieter bleiben jedoch erfolglos.

Aus diesem Grund wandte sich der Betroffene mit einer Beschwerde an die spanische Datenschutzbehörde. Diese sah in dem Vorgehen von Telefónica Móviles España einen Verstoß gegen die DSGVO, da der Beschwerdeführer kein Kunde des Unternehmens war und die Verarbeitung seiner personenbezogenen Daten daher unrechtmäßig war. Das Bußgeld belief sich auf 75.000,- Euro.

DSGVO-Strafe vermeiden und Rechtsgrundlagen einhalten

Was sind denn nun die Rechtsgrundlagen, die die Verarbeitung personenbezogener Daten gemäß DSGVO rechtfertigen?

Sie haben eine Einwilligung der betroffenen Person in die Verarbeitung.
Die Verarbeitung ist notwendig zur Erfüllung eines Vertrags.
Die Verarbeitung ist notwendig, um ein Gesetz zu erfüllen.
Die Verarbeitung ist notwendig, um lebenswichtige Interessen von Personen zu schützen.
Die Verarbeitung ist notwendig, um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt.
Die Verarbeitung ist notwendig, um berechtigte Interessen der verantwortlichen Person oder Dritter wahrzunehmen. Dabei dürfen jedoch keine Grundrechte und Grundfreiheiten verletzt werden.

Unsere Praxistipps

Gehen Sie bei JEDER Datenverarbeitung sicher, dass diese auch zulässig ist. Sollte dies nicht der Fall sein, kann Ihr Unternehmen ein solcher Fehltritt teuer zu stehen kommen.
Bei Fragen zu der Rechtmäßigkeit Ihrer Datenverarbeitungen können Sie uns jederzeit kontaktieren. Wir beraten Sie sehr gerne!

Wichtige ToDo’s nach Kippen des Privacy Shields

Posted 12. Oktober 2020 by Erich von Maurnböck

Wissen Sie, was nun beim Datenaustausch mit den USA zu beachten ist? In diesem Beitrag wollen wir Ihnen einige Praxistipps geben: Daher haben wir für Sie folglich einige wichtige ToDo’s zusammengestellt, die Sie sofort umsetzen sollten. Selbstverständlich stehen wir Ihnen bei Fragen stets gerne zur Seite – kontaktieren Sie uns.

Haben Sie bereits unseren Blog-Beitrag zu den neuesten Informationen zum Kippen des EU-US-Privacy-Shields gelesen? Was ist nun für Sie zu tun? Hier geht es zum Artikel.

Unsere Empfehlungen nach dem Kippen des Privacy Shields

Überprüfen Sie, ob Sie Datenempfänger in den USA haben. Prominente Beispiele dafür, sind Google Maps, Google Analytics, MailChimp, Zoom, Facebook, YouTube sowie Instagram, SalesForce und sehr viele weitere Unternehmen.
Haben Sie Standarddatenschutzklauseln mit den jeweiligen amerikanischen Unternehmen abgeschlossen? In diesen werden die Datenschutzbestimmungen genau geregelt. Die US-Unternehmen verpflichten sich damit vertraglich, ein angemessenes Datenschutzniveau einzuhalten und zu gewährleisten.
Allerdings sind diese nicht ausreichend um ein DSGVO-ähnliches Niveau sicherzustellen. Auch wenn viele Unternehmen gegenteiliges behaupten, die Standarddatenschutzklauseln (auch SCC genannt) sind nicht genug. Von Behördenseite wurde bereits klargestellt, dass dem nicht so ist!
Bedeutet das nun, dass Daten grundsätzlich gar nicht mehr in die USA übermittelt werden dürfen? Nein! Eine Datenübermittlung ist weiterhin möglich – jedoch, wie bei anderen Drittländern auch, nur mit einer expliziten Einwilligung der Betroffenen. Und nur dann, wenn keine regelmäßige Übermittlung der Daten stattfindet.
Durch den Cookie-Banner muss also ab sofort klar darüber informiert werden, dass Daten in ein Drittland – die USA – übermittelt werden.

Unsere Praxistipps

Sollten Sie US-Dienste wie beispielsweise Google (Google Maps, Google Analytics, etc.) im Einsatz haben, müssen Sie zudem in Ihrer Datenschutzerklärung darauf hinweisen, dass Daten in die USA gelangen und dort möglicherweise nicht angemessen geschützt werden.
Bei CRM oder ERP System- Anbietern und auch Newsletter Versendern muss man den Einzelfall prüfen!
Verwenden Sie nur dann US-amerikanische Dienste und Anwendungen, wenn es wirklich notwendig ist. Ansonsten sollten Sie idealerweise auf Alternativen mit Sitz im Europäischen Wirtschaftraum (EWR) umsteigen.
Bei Fragen oder Unklarheiten zu den Änderungen in Ihrem Cookie-Banner, in Ihrer Datenschutzerklärung oder in Bezug auf andere Privacy-Shield-Belangen können Sie uns sehr gerne jederzeit kontaktieren.

Posts Tagged ‘MeineBerater’

Datenpanne in Polen

Muss jede Datenpanne gemeldet werden?

Wer informiert wen? Wer kontaktiert bei einer Datenpanne die Behörde?

Wie ist die Behörde nach einer Datenpanne zu kontaktieren?

Welche Informationen beinhaltet eine Behördenmeldung bei einer Datenpanne?

Unsere Praxistipps

Fall Gringr

Wie kommt es zu einer so hohen Strafe für Gringr?

Unsere Praxistipps

Fall Videoüberwachung der Mitarbeitenden

Unsere Praxistipps

Cyberschäden in Österreich

Cyberschaden in England

Wie kommen Cyberschäden zustande?

Unsere Praxistipps

DSGVO-Strafe für Vodafone

Unsere Praxistipps

RAINBOWS unterstützen

Unser Tipp

Unsere Tipps zu den Schutzmaßnahmen im Büro

Unser Fazit

DSGVO-Strafe gegen Telekommunikationsunternehmen

DSGVO-Strafe vermeiden und Rechtsgrundlagen einhalten

Unsere Praxistipps

Unsere Empfehlungen nach dem Kippen des Privacy Shields

Unsere Praxistipps