Intrix DSGVO-Service.at

18/03/2024

"Uns überprüfen sie eh nicht"...
Stimmt, KMUs wurden bisher kaum auf die Einhaltung der DSGVO überprüft und selbst größere Unternehmen meist nur bei einem Vorfall.
Das kann sich nun aber ändern. Datenschutzbehörden setzen immer mehr automatisierte Methoden ein, um die Einhaltung der DSGVO und anderer Gesetze zu überprüfen. Das BayLDA hat ein Tool zur automatischen Banner-Überprüfung in Anwendung und auf EU Ebene gibt es ein Tool das die Konformität einer Webseite überprüft und laufend verbessert wird. Mann kann es hier selbst testen:
https://code.europa.eu/edpb/website-auditing-tool/-/releases

Zukünftig wird man wohl damit rechnen dürfen, dass KI Tools zum Einsatz kommen, also wer noch nicht hat, sollte spätestens jetzt seine Hausaufgaben bzgl. DSGVO machen!

15/12/2023

Profiling
"...jede Art der automatisierten Verarbeitung personenbezogener Daten, um auf dessen Grundlage bestimmte persönliche Aspekte zu bewerten. Schließlich werden diese persönlichen Aspekte herangezogen, um zum Beispiel die Arbeitsleistung einer Person, ihre wirtschaftliche Lage, ihre persönlichen Vorlieben und dergleichen zu analysieren und entsprechende Vorhersagen zu treffen. Hierzu werden regelmäßig – vor allem im Rahmen von webbasierten Systemen – umfassende (Nutzer-)Profile erstellt."

Die Einschränkung von Profiling war und ist wohl einer der Hauptanliegen der DSGVO und der Behörden bei Überprüfungen. Auch wenn so manch amerikanischer Social-Media Betreiber immer noch Profile von Kunden und Nicht-Kunden erstellt, ist bei Profiling ein sehr enger Maßstab anzulegen und der Erlaubnistatbestand sehr genau zu überprüfen.
Wenn man sich auf Art.6 Abs.1f, berechtige Interessen beruft, muss Interessensabwägung und Risikoeinschätzung lückenlos und die Notwendigkeit bewiesen sein.
Meist ist die Einwilligung des Kunden die einzige Möglichkeit um Profile zu erstellen und entsprechend zu verwenden. Die Einwilligung muss dabei transparent und nachvollziehbar sein und alle Zwecke beinhalten.
Eine nachträgliche Änderung der Erlaubnistatbestandes von Einwilligung zu berechtigtem Interesse wird wohl bei einer Prüfung nicht standhalten, wie auch auch die Datenschutzbehörde kürzlich in einem Verfahren gegen den Ö-Bonusclub festgestellt hat.

24/05/2022

Förderung zur Verbesserung der IT-Security im Rahmen von KMU Digital steht wieder zur Verfügung!
Ich stehe auch wieder als zertifizierter Berater zur Verfügung:
Analysieren der eigenen IT-Security und DSGVO-Check und Vorbereitung der Dokumentationspflichten 👍

29/04/2021

KMU-Digital Förderungen wieder verfügbar!
Es kann zur Zeit wieder um Förderung für IT-Security inkl. DSGVO-Maßnahmen angesucht werden und Intrix ist wieder berechtigt diese Maßnahmen zu begleiten.
3 Möglichkeiten:
- Status- und Potentialanalyse: ca. 1/2 Tag gefördert mit € 400,-
- Strategieberatung inkl. DSGVO-Check: ca. 2 Tage gefördert 50% bis € 1000,-
- Umsetzung: 30% bis € 6.000,-
Also, jetzt wäre der richtige Zeitpunkt um die eigene IT-Sicherheit zu überprüfen, die DSGVO-Konformität zu gewährleisten und um Abwehrmaßnahmen für Cybersecurity zu stärken.

15/01/2021

Zum Thema "es kommt darauf an", gibt es nun ein interessantes Urteil zu Direktwerbung:

Kundenakquise per Post und DSGVO - Wie oft darf jemand angeschrieben werden?
Wann ist es genug, und die Verarbeitung der personenenbzogenen Daten beeinträchtigt die Interessen der betroffenen Person?

Kundenakquise per Post und DSGVO - Wie oft darf jemand angeschrieben werden? Wann ist es genug, und die Verarbeitung der personenenbzogenen Daten beeinträchtigt die Interessen der betroffenen Person?

21/10/2020

Auskunftsanspruch Art. 15 DSGVO einschränken.
Es kann vorkommen, dass ehemalige Mitarbeiter, vor allem nach einer nicht einvernehmlichen Trennung, Auskunftsanspruch begehren. Die Aufbereitung der Daten kann aber je nach Position des Mitarbeiters sehr aufwendig und unverhältnismäßig sein. Daher kristallisiert sich immer mehr heraus, dass es legitim ist eine Einschränkung zu verlangen, welche Daten übergeben werden sollen.

Hier auch ein guter Artikel:

Der Auskunftsanspruch nach Art. 15 DSGVO umfasst nicht die eigenen E-Mails, da diese dem Betroffenen bereits bekannt sind (LAG Hannover, Urt. v. 09.06.2020 - Az.: 9 Sa 608/19).

18/08/2020

Privacy-Shield ist Geschichte!

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 das EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt .

Was ist mit den Standarddatenschutzklauseln?
Zu den Standarddatenschutzklauseln entschied der EuGH hingegen, dass diese grundsätzlich gültig bleiben. Die Gültigkeit der Klauseln hängt davon ab, ob diese wirksame Mechanismen für die Einhaltung des Schutzniveaus gewährleisten, z.B. ob die Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen die Klauseln verstoßen wird, welche auch grundsätzlich enthalten sind. Kann das erforderliche Schutzniveau im betreffenden Drittland nicht eingehalten werden, muss dies das Unternehmen im Drittland dem Vertragspartner mitteilen und dieser muss die Datenübermittlung aussetzen oder vom Vertrag mit dem Empfänger zurücktreten. Eine derartige Klausel ist in den jetzigen Standardvertragsklauseln der Europäischen Kommission enthalten. Die Kommission arbeitet derzeit an einer umfassenden Modernisierung der Standardklauseln, um sie angesichts der neuen Anforderungen der DSGVO zu aktualisieren, wobei das EuGH Urteil zu Schrems II abgewartet werden wollte.

Was tun?
Nun vor allem nach außen sichtbare und nicht notwendige Tools, die Daten in die USA senden pausieren oder durch europäische Alternativen ersetzten, z.B. Tracking-Tools, Newsletter-Tools, etc. Natürlich wird man Microsoft-Teams, Google Docs oder andere Produktivitätstools nicht so leicht ersetzen können. Hier werden hoffentlich bald die Hersteller gültige Verträge anbieten oder neue Rechtslagen geschaffen.

Wichtig ist aber vor allem zu wissen, welche Programme welche Daten verarbeiten um im Bedarfsfall reagieren zu können.

24/02/2020

INTRIX steht weiterhin für eine geförderte Beratung zum Thema IT-Security & DSGVO zur Verfügung!

28/01/2020

Europäischer Datenschutztag 2020

Heute ist der Europäische Datenschutztag....
Nun wozu könnte man sich fragen - Datenschutz ist nichts, an das manchmal gedacht werden soll, sondern ein laufender Prozess der hoffentlich im gesamten Unternehmen DSGVO-konform etabliert ist.

Apropos DSGVO: nach einer Deloitte-Umfrage hat erst 1/3 der Unternehmen die DSGVO komplett umgesetzt, was angeblich auch am fehlenden Personal liegt.
Also wir stehen bereit inkl. möglicher Förderung der WKO - also daran liegt es nicht.

Und dann haben wir wieder die Ankündigung der Datenschutzbehörden, dass ab jetzt mehr geprüft und gestraft wird - aber das hatten wir schon öfter.

Aber bei einigen Entscheidungen oder Klarstellungen zur DSGVO sollte man wirklich ein Auge darauf haben: z.B. Tracking mit Google und Co, gemeinsame Verantwortung in der Datenverarbeitung, Widerspruch im Marketing beachten, Authenifizierung von Benutzern bei Auskunft zu leichtfertig oder Löschbegehren zu kompliziert, etc.

11/12/2019

"Bei uns gibt es nichts zu holen" ist nicht die richtige IT-Security Strategie. Breit angelegte und intelligente Schadsoftware kann jeden treffen. Vorsorgen ist günstiger als reparieren .... vor allem wenn es noch Fördreungen im Rahmen von KMU-Digital gibt!

Die Fälle von Cybercrime-Attacken steigen, zunehmend stehen auch Klein- und Mittelunternehmen (KMU) im Visier von Cyberkriminellen. Bei einer gemeinsamen Pressekonferenz diskutierten Experten über unterschätzte Risiken und Präventionsmöglichkeiten.

05/12/2019

Auch wenn ich die Intension verstehe, weil oft die eingesetzte Standardsoftware die Umsetzung der DSGVO erschwert oder unmöglich macht, halte ich es doch für gefährlich Softwareentwickler für mögliche DSGVO-Verstöße verantwortlich zu machen.
Der rechtliche Aufwand, ohne Rechtssicherheit garantieren zu können, würde kleine Anbieter vor große Probleme stellen und wenn es zu einem Data-Breach kommt, wer will entscheiden, ob der Fehler fahrlässig war? Das würde wieder nur große und meist internationale Unternehmen bevorzugen, die den bürokratischen Aufwand leichter bewerkstelligen können.
Ich denke schon, dass jeder Verantwortliche selbst für die Auswahl der Betriebsmittel und Werkzeuge verantwortlich ist und entsprechende Prüfkriterien beim Kauf festsetzen kann.


https://www.handelsblatt.com/politik/deutschland/dsgvo-datenschuetzer-nehmen-softwarehersteller-ins-visier/25299152.html

Allmählich treten bei der EU-Datenschutz-Grundverordnung Schwachstellen zutage. Was nachgebessert werden sollte, skizzieren deutsche Datenschützer.

14/11/2019

Google Analytics und ähnliche Dienste nur mit Einwilligung!
Über die Zulässigkeit von Google Analytics wurde und wird seit Inkrafttreten der DSGVO diskutiert. Es scheint sich aber bei den Behörden durchgesetzt zu haben, dass Tracking-Tools, wie Google Analytics nicht ohne aktive Zustimmung eingesetzt werden dürfen.
Also im Moment empfehle ich auf eine aktive Einwilligung zu hoffen oder nur Tools zu verwenden, die lokal am Server eingesetzt werden. Die Auswertung von Server-Logs sollte mittels Art.6f - berechtigtem Interesse - zu rechtfertigen sein.

Hier eine Pressemitteilung der Berliner Datenschutzbeauftraten: