Schlagwortarchiv für: DSGVO

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In unserem Podcast „Löschkonzepte – Mehr als nur Papierkram“ erfahren Sie, warum ein Löschkonzept weit über das einfache Drücken von „Strg-Alt-Entf“ hinausgeht. Die Datenschutzgrundverordnung (DSGVO) schreibt im Artikel 5 das Prinzip der Speicherbegrenzung vor: Daten dürfen nicht länger gespeichert werden, als es für den ursprünglichen Zweck erforderlich ist. Gleichzeitig haben betroffene Personen das Recht auf Löschung ihrer Daten (Artikel 17 DSGVO). Ein strukturiertes Löschkonzept ist daher unerlässlich – und zwar für digitale wie auch für Papierdaten.

Informationssicherheit und Datenschutz: Zwei Seiten einer Medaille

Auch aus Sicht der Informationssicherheit, etwa nach ISO 27001, ist das Löschen nicht mehr benötigter Informationen Pflicht. Sie müssen nachweisen können, wann und wie Sie Daten gelöscht haben – unabhängig davon, ob es sich um personenbezogene oder andere vertrauliche Informationen handelt.

Wie erstellen Sie wirksame Löschkonzepte?

Wir geben Ihnen im Podcast konkrete Tipps:

  • Beginnen Sie mit einer systematischen Inventur Ihrer Daten: Wo liegen welche Daten? In welchen Systemen, auf welchen Servern oder in welchen Papierarchiven?
  • Kategorisieren Sie Ihre Daten und ordnen Sie ihnen die jeweiligen gesetzlichen Aufbewahrungsfristen zu.
  • Legen Sie klare Verantwortlichkeiten fest: Wer löscht welche Daten, wann und wie?
  • Integrieren Sie Löschprozesse direkt in Ihre Arbeitsabläufe, statt sie als lästigen „Papiertiger“ zu behandeln.
  • Dokumentieren Sie alle Löschvorgänge nachvollziehbar, ohne sensible Details zu protokollieren.

Typische Fallstricke – und wie Sie sie vermeiden

Im Podcast sprechen wir offen über die häufigsten Herausforderungen:

  • Fehlende Verantwortlichkeiten und unklare Zuständigkeiten
  • Unübersichtliche Datenbestände, insbesondere bei Alt-Systemen und Cloud-Diensten
  • Widersprüchliche gesetzliche Vorgaben zu Aufbewahrungs- und Löschfristen
  • Schwierigkeiten bei der Löschung von Daten bei externen Dienstleistern

Unsere Experten zeigen Ihnen, wie Sie diese Stolpersteine umgehen und warum die Zusammenarbeit von Datenschutz und Informationssicherheit dabei entscheidend ist.

Unsere Praxistipps für Ihr Unternehmen

  • Führen Sie regelmäßige Dateninventuren durch und aktualisieren Sie Ihr Löschkonzept bei neuen Datenbeständen.
  • Erstellen Sie für unterschiedliche Datenkategorien individuelle Löschregeln.
  • Automatisieren Sie Löschprozesse, wo immer möglich – und testen Sie diese regelmäßig auf ihre Wirksamkeit.
  • Schulen Sie Ihre Mitarbeiter und machen Sie die Bedeutung des Themas im Unternehmen sichtbar.

Fazit: Löschkonzepte lohnen sich!

Ein gut durchdachtes Löschkonzept unterstützt nicht nur die Einhaltung gesetzlicher Vorgaben, sondern verbessert auch Ihre internen Prozesse im Datenschutz und der Informationssicherheit. Klare Verantwortlichkeiten, strukturierte Dokumentation und regelmäßige Überprüfung sind dabei der Schlüssel zum Erfolg.

Hier ein Paar Links die zum Thema „Löschkonzepte – Mehr als nur Papierkram“ nützlich sein können:

Hören Sie rein und profitieren Sie vom Fachwissen unserer Experten!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

 

Die Verfassung der Bundesrepublik Deutschland in Form unseres Grundgesetzes räumt Kirchen und anderen religiösen Vereinigungen oder Gemeinschaften weitgehende Freiheiten und Gestaltungsmöglichkeiten ein, um ausreichenden Raum für die Beachtung der religiösen Vorschriften zu schaffen.

Das Verhältnis von Staat und Kirchen ist im Grundgesetz durch Art. 140 GG in Verbindung mit Art. 137 der Weimarer Verfassung von 1919 geregelt. Darin wird die Freiheit der Vereinigung zu Religionsgemeinschaften gewährleistet und festgelegt, dass die Religionsgemeinschaften als Körperschaften des öffentlichen Rechts ihre Angelegenheiten selbst regeln, hierzu gehört z.B. auch das Recht Kirchensteuern zu erheben.

Das (Selbst-) Bestimmungsrecht der Kirchen schließt auch den Persönlichkeitsschutz der Kirchenmitglieder und der bei den Kirchen beschäftigten Personen ein. Die allgemeinen Verordnungen und Gesetze, wie z.B. die Europäische Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) gelten für die Kirche somit zunächst nicht (Art. 91 DSGVO) (siehe auch https://www.bfdi.bund.de/DE/Service/Anschriften/Kirchen/Kirchen-node.html).

Die beiden großen Kirchen in Deutschland haben deshalb eigene Datenschutzgesetze erlassen, die die Regelungen der allgemeinen Datenschutzgesetze in das Kirchenrecht übertragen. Das sind für die katholische Kirche das KDG (https://www.kdsa-nord.de/Download/Hamburg/201712_KDG.pdf )und für die evangelischen Kirche das DSG-EKD (https://www.kirchenrecht-ekd.de/document/41335#s47000055)

Mit vorrangiger Berücksichtigung der Interessen der Kirchen werden in diesen speziellen Datenschutzgesetzen z.B. die Rechte von Betroffenen und die Pflichten der Kirchen als verantwortliche Stelle im Sinne der DSGVO geregelt.

Die Synode der evangelischen Kirche hat nun eine Überarbeitung DSG-EKD beschlossen und im Amtsblatt der EKD am 13.11.2024 veröffentlicht. Das neue Gesetz wird ab 01.05.2025 wirksam. (https://datenschutz.ekd.de/2025/01/22/veroeffentlichung-dsg-ekd-amtsblatt/).

Im Wesentlichen wurden hier weitere Annäherungen an die DSGVO durchgeführt und Erleichterungen für die Umsetzung von Datenschutzaspekten geschaffen.

Dazu gehören z.B.

  • Anpassung der Rechtsgrundlagen (‚berechtigtes Interesse‘ der EKD)
  • Einwilligungen zur Datenverarbeitung von Minderjährigen
  • Stärkung der Informationspflichten von Betroffenen
  • Vereinfachung beim Einsatz von Dienstleistern (Fortfall ‚Unterwerfungsklausel‘)
  • Veränderung der Schwellwerte zur Einrichtung von Datenschutzbeauftragten in den kirchlichen Einrichtungen
  • Veränderungen in den Bußgeld-Regelungen

Insgesamt wurden die Regelungen des Gesetzes modernisiert und den aktuellen Erfordernissen angepasst. Die Schutzrechte von betroffenen Personen wurden stärker als bisher an den Regelungen der DSGVO ausgerichtet und damit weiter gestärkt.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

wir freuen uns, Ihnen unsere neueste Podcast-Folge vorzustellen! In dieser Episode widmen wir uns einem zentralen Thema des Datenschutzes: Dem Verzeichnis der Verarbeitungstätigkeiten (VVT).

Was ist das VVT?

Das VVT ist wie ein Tagebuch für Ihr Unternehmen. Es dokumentiert, welche personenbezogenen Daten verarbeitet werden, warum und wie damit umgegangen wird. Laut DSGVO ist die Führung eines VVTs für größere Unternehmen verpflichtend, aber auch kleinere Firmen müssen es führen, wenn sie regelmäßig personenbezogene Daten verarbeiten.

Warum ist das VVT wichtig?

Das VVT bietet mehr als nur die Erfüllung gesetzlicher Vorgaben. Es hilft Unternehmen:

  • Risiken zu identifizieren
  • Prozesse zu optimieren
  • Sich bei Kontrollen abzusichern

Wie erstellt man ein VVT?

Die Erstellung ist einfacher als gedacht. Oft reicht eine Excel-Tabelle mit folgenden Informationen:

  • Wer verarbeitet die Daten?
  • Welche Daten werden verarbeitet?
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Speicherdauer
  • Technische und organisatorische Maßnahmen (TOMs)

Wer ist verantwortlich?

Die Erstellung wird vom Datenschutzbeauftragten oder -koordinator initiiert, der eng mit den Fachabteilungen zusammenarbeitet.

Regelmäßige Aktualisierung

Wir empfehlen das VVT mindestens jährlich zu überprüfen und zu aktualisieren.

Fazit

Das Verzeichnis der Verarbeitungstätigkeiten ist nicht nur eine gesetzliche Pflicht, sondern ein wertvolles Werkzeug zur Optimierung Ihrer Prozesse und zum Schutz personenbezogener Daten.

Hier ein Paar Links zum Thema „Verzeichnis der Verarbeitungstätigkeiten“

Jetzt reinhören!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Mit der EU-Digitalstrategie zum Voranbringen des digitalen Fortschrittes innerhalb der europäischen Union kommen einige neue Verordnungen auf deutsche Unternehmen und Behörden zu. Ob nun Date Act, Digital Market Act oder Data Governance Act, alle beschäftigen sich mit der Vereinfachung und Verbesserung des Datenaustausches innerhalb der EU. Auch wenn es vorrangig um nicht-personenbezogene Daten geht, sind bei diesem Datenaustausch auch immer wieder personenbezogene Daten betroffen und damit ein Fall für eine datenschutzrechtliche Betrachtung.

In diesem Podcast wollen wir darauf eingehen, was es mit dem Data Act und dem Data Governance Act auf sich hat, welche Unternehmen betroffen sind und welche Rechte und Pflichten auf sie zukommen. Außerdem wollen wir uns beide Verordnungen im Hinblick auf die Verbindung zur DSGVO ansehen.

Dieser Podcast richtet sich vor allem an die Datenschutzbeauftragten und -koordinatoren im Unternehmen, an weitere Verantwortliche im Datenschutz sowie an die Geschäftsleitung.

Hier ein Paar Links zum Thema „Data Act, DSA, DMA, DGA – wer blickt da noch durch?“

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die Vorstellung der eigenen Mitarbeiter auf der Firmenwebseite, Bilder der letzten Unternehmensfeier im Intranet oder auf Social Media oder einfach nur der Betriebsausweis mit Lichtbild – im Unternehmensumfeld gibt es immer wieder Situationen in denen Bilder genutzt werden, um einen persönlichen Bezug herstellen zu können. Aber was sagt der Datenschutz zu dieser Praxis.

Piktogramm Photoapparat

Fotos im Unternehmen

In diesem Podcast wollen wir darauf eingehen, welche datenschutzrechtlichen Punkte bei der Aufnahme und vor allem bei der Veröffentlichung von Fotos von Mitarbeitern, Kunden oder Besuchern zu beachten sind. Wir gehen darauf ein, wann eine Einwilligung der Fotografierten nötig ist, was bei externen Fotografen zu beachten ist und welche Problematiken sich bei der Veröffentlichung von Fotos in Printmedien oder im Internet ergeben können.

Dieser Podcast richtet sich vor allem an Mitarbeiter in der Personalabteilung, im Marketing und in der Veranstaltungsabteilung von Unternehmen, aber natürlich auch an alle Mitarbeiter die ggf. betroffen sind.

 

Hier ein Paar Links zum Thema „Fotos im Unternehmen – was ist erlaubt und was nicht?“  

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Videoüberwachung am Arbeitsplatz – ein sehr sensibles Thema, bei dem sich Mitarbeiter oftmals unwohl fühlen, der Arbeitgeber hingegen gern darauf setzt, um aussagekräftiges Material im Schadens- oder Streitfall zu haben.

Dieser Podcast richtet sich an alle, die sich mit betrieblicher Videoüberwachung auseinandersetzen wollen oder müssen, also von der Geschäftsführung, über Datenschutzbeauftragte bis hin zu den Mitarbeitern im entsprechenden Bereich.

In unserer Folge „Videoüberwachung am Arbeitsplatz – was ist datenschutzrechtlich zu beachten?“ gehen wir auf folgende Aspekte ein:

  • Datenschutzrechtliche Grundlagen für die Videoüberwachung
  • Planung und Dokumentation – das A und O des Projekts „Videoüberwachung“
  • Verantwortlichkeiten, Aufnahmeradius, Speicherdauer, Speicherorte
  • Kommunikation mit und an die Mitarbeiter

Hier ein Paar Links zum Thema Videoüberwachung am Arbeitsplatz – was ist datenschutzrechtlich zu beachten?

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das Jahr 2023 neigt sich dem Ende entgegen, Zeit, um einmal zurückzublicken, was uns das Jahr im Bereich des Datenschutzes gebracht hat.

In diesem Podcast werden wir vor allem den Datenschutz bei der Nutzung von Künstlicher Intelligenz, neue Regelungen und Bestrebungen zum Thema Datenschutz der Europäischen Union und auch was sich auf nationaler Ebene getan hat, beleuchten.

In unserer Folge „Jahresrückblick 2023 Datenschutz“ gehen wir auf folgende Aspekte ein:

  • Künstliche Intelligenz – Vorsicht bei der Eingabe von personenbezogenen Daten
  • Trans-Atlantic Data Privacy Framework – Neue Angemessenheitsbeschluss der EU-Kommission für Datenübermittlung in die USA
  • Digitalstrategie der EU
  • Das Hinweisgeberschutzgesetz – Herausforderungen bei der Umsetzung

Hier ein Paar Links zum Thema Jahresrückblick 2023 Datenschutz

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Seit 2021 ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Zu Anfang gab es wohl so etwas wie eine Umsetzungsfrist bei der die Aufsichtsbehörden ein Auge zu gedrückt haben. Doch jetzt beschäftigt vor allem das Thema Webseitentracking und nicht konforme Cookiebanner die Datenschutzbehörden in ganz Europa. Ob versteckte Ablehn-Bottons oder Nudging, eine Vielzahl an Cookiebannern entspricht nicht der geforderten Form und führt zu entsprechenden Bußgeldern.

In unserer Folge „TTDSG – aktueller Stand und Zukunftsmusik“ gehen wir auf folgende Aspekte ein:

  • Definition und Unterschiede TTDSG und DSGVO
  • Cookiebanner beschäftigen die Behörden
  • Was ist Nudging und Black Pattern?
  • Die Zukunft der Cookiebanner – PIMS, Googles Sandbox

Hier ein Paar Links zum Thema TTDSG – aktueller Stand und Zukunftsmusik:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heutzutage noch ohne eine eigenen Internetpräsenz aus. Aber, wie sollte es auch anders sein, darf man auch bei Webseiten den Datenschutz nicht aus den Augen verlieren.

In unserer Folge „Cookiebanner & Co. – was bei Webseiten aus Datenschutzsicht zu beachten ist“ gehen wir auf folgende Aspekte ein:

  • TTDSG und TMD
  • Impressum, Datenschutzerklärung
  • Stolperfalle Cookiebanner
  • Problematik Google Fonts

Hier ein Paar Links zum Thema Datenschutz auf Webseiten:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Ab dem 01. November 2021 entfällt die Entschädigungsleistung nach dem Infektionsschutzgesetz bei behördlich angeordneten Corona-Maßnahmen, wenn die rechtzeitige Inanspruchnahme von spezifischen Prophylaxe-Maßnahmen, wie einer Impfung, dies hätte verhindern können. Damit haben Unternehmen die Möglichkeit in einer solchen Situation den Impfstatus abzufragen.

Bisher konnten Arbeitgeber nach dem Infektionsschutzgesetz (IFSG § 56 Abs. 1) eine staatliche Entschädigungsleistung in Höhe der Lohnfortzahlung von den Gesundheitsämtern bekommen, wenn Mitarbeiter durch behördlich angeordnete Corona-Maßnahmen, wie eine Quarantäne, nicht am Arbeitsplatz erscheinen durften / konnten und gewissermaßen ‚krankgeschrieben‘ wurden. Der Arbeitgeber hat die Lohnfortzahlungsleistung gegenüber dem Mitarbeiter vorgestreckt und sich das Geld nach Vorlage der entsprechenden ‚Krankschreibung‘ vom Gesundheitsamt wiedergeholt.

In einer Konferenz am 22. September 2021 haben die Gesundheitsminister der Länder nun den Beschluss gefasst, dass ab 1. November 2021 diese Entschädigungsleistungen nach dem Infektionsschutzgesetz nicht mehr gezahlt werden, wenn die Betroffenen den quarantänebedingten Arbeitsausfall durch die rechtzeitige Inanspruchnahme einer Impfung oder anderer Maßnahmen zur spezifischen Prophylaxe hätten verhindern können. (https://www.vbw-bayern.de/Redaktion/Frei-zugaengliche-Medien/Abteilungen-GS/Recht/2021/Downloads/TOP-3-GMK-Beschluss-%C2%A756-IfSG-Beschlussentwurf-Endfassung.pdf)

Bisher sind noch nicht alle Verfahrensfragen von den zuständigen Stellen entschieden. Im Grunde läuft es aber darauf hinaus, dass die betroffenen Mitarbeiter nur dann eine staatlich unterstützte Lohnfortzahlung erhalten, wenn ein Impfnachweis vorgelegt wird oder wenn medizinische Gründe die Impfung ausgeschlossen haben. Die/ der Beschäftigte muss also schon dem Arbeitgeber gegenüber nachweisen, dass sie/er geimpft ist oder das andere Gründe vorlagen, die eine Impfung verhindert haben.

Diese Situation führt nun dazu, dass der Arbeitgeber ein Interesse daran hat, über den Impfstatus seiner Beschäftigten informiert zu werden und entsprechende Einträge in der Personalakte vorzunehmen. Eine generelle Berechtigung zur Abfrage des Impfstatus ist im Infektionsschutzgesetz aber nicht vorgesehen. Nur für spezielle Berufsgruppen, wie Pflegekräfte oder Lehrer/innen gelten besondere Regelungen.

Rechtsgrundlage für die Abfrage des Impfstatus ist daher das überwiegende Interesse des Arbeitgebers nach Art. 88 Abs. 1 DS-GVO bzw. §26 Abs. 3 BDSG.
Doch so einfach wird das in den Diskussionsrunden und Kommentierungen nicht gesehen, denn immerhin handelt es sich bei den Impfdaten um eine ‚Verarbeitung besonderer Kategorien personenbezogener Daten‘ (Art.9 DS-GVO). Hier ist eine sorgfältige Abwägung der Interessen aller Beteiligten vorzunehmen.

Falls ein Mitarbeiter / Mitarbeiterin die Lohnfortzahlung mit Hinweis auf eine behördlich angeordnete Corona-Maßnahme konkret beansprucht, wird aus Datenschutzaspekten nichts dagegensprechen, seitens des Arbeitsgebers nach dem Impfstatus zu fragen und diesen auch zu dokumentieren. Der Impfstatus muss dann ja im Weiteren vom Arbeitgeber auch gegenüber dem Gesundheitsamt offengelegt werden.

Eine generelle und damit anlasslose Abfrage des Impfstatus bei allen Beschäftigten eines Unternehmens ist sicherlich nicht verhältnismäßig und damit nicht zu empfehlen.
Auch die ‚freiwillige‘ Bekanntgabe des Impfstatus durch die Beschäftigten im Sinne einer Einwilligung in die Verarbeitung ist im arbeitsrechtlichen Umfeld nicht hilfreich, da eben genau diese Freiwilligkeit im Arbeitsverhältnis von den Gerichten nicht gesehen wird.

Man kann nur hoffen, dass es den zuständigen Stellen bis zum November gelingt, zu einer einfachen und für alle hilfreichen Verfahrensweise zu kommen.
Wir werden Sie über die weiteren Erkenntnisse zu dem Thema informieren.

Bei Fragen kontaktieren Sie uns gern.

© ANMATHO AG