Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe zur Videoüberwachung für nicht-öffentliche Stellen veröffentlicht (hier). Neben den allgemeinen Rechtmäßigkeitsvoraussetzungen werden einzelne Fallgruppen, wie z. B. auch die Überwachung von Beschäftigten durch den Arbeitgeber, beleuchtet. Inhaltlich finden sich viele Punkte wieder, die der Europäische Datenschutzausschuss in den Europäischen Leitlinien zur Videoüberwachung im Januar 2020 beschlossen hat (wir berichteten). […]
Datenschutz-Grundverordnung

Unerwünschter Besuch von der Aufsichtsbehörde
In der Praxis kommt es selten vor, dass Aufsichtsbehörden bei ihren Untersuchungen Zwangsmaßnahmen anwenden. Im Regelfall wendet sich die Behörde mit einem Auskunftsverlangen an ein Unternehmen, um den Sachverhalt zu einer Beschwerde zu ermitteln. Die betroffenen Unternehmen erteilen in der großen Mehrzahl der aufsichtsbehördlichen Verfahren mehr oder weniger bereitwillig die gewünschten Auskünfte. Doch was passiert, […]

Are portable body temperature cameras GDPR compliant?
According to the French Conseil d’Etat: No! In order to combat Covid-19, the French municipality of Lisses installed one fixed thermal camera in a municipal building that was able to report excessive body temperatures. Additionally, several portable thermal cameras were entrusted to municipal officials who at the entrance of schools could measure excessive temperatures of […]

Einbindung des Impressums auf Facebook-Fanpages – kleine Änderung, große Wirkung?!
Seit einigen Monaten bietet Facebook ein neues Design an. Nutzer können derzeit noch selbst auswählen, ob sie das „neue“ oder das „klassische“ Facebook nutzen möchten, indem sie die Auswahl im Drop-Down-Menü oben rechts treffen (gilt für die Desktop-Variante). Nachdem das neue Design gewählt wurde, ändert sich die gesamte Oberfläche, was zunächst einmal relativ unspektakulär ist. […]

¿Es un deber notificar la designación del Delegado de Protección de Datos ante las Autoridades de Control?
El Reglamento General de Protección de Datos (RGPD) en su artículo 37.2, menciona la posibilidad de nombrar un Delegado de Protección de Datos (DPD) para un grupo empresarial, siempre y cuando este sea accesible desde cada establecimiento. Bajo esta premisa, entendemos que nombrando un DPD para el grupo se encuentra surtida la obligación. Sin embargo, […]

Is it a duty to notify the Supervisory Authorities of the appointment of the Data Protection Officer under the GDPR?
The General Data Protection Regulation (GDPR) in article 37.2 mentions the possibility of appointing a Data Protection Officer (DPO) for a business group, provided that the DPO is accessible from each establishment. This article has led to the conclusion that by appointing a DPO for the group the obligation is met. However, it is relevant […]

Fehlende IT-Sicherheitsmaßnahmen: 1,24 Millionen Bußgeld für 500 Werbe-Emails
Die AOK Baden-Württemberg kassierte jüngst dieses beachtliche Bußgeld , da sie 500 Gewinnspiel-Teilnehmer zu Werbezwecken kontaktierte, ohne, dass hierfür eine Einwilligung der Teilnehmer vorlag. Die AOK plant offenbar nicht, gegen dieses Bußgeld vorzugehen. Als Grund für das Bußgeld führte die Aufsichtsbehörde an, dass es an wirksamen technischen und organisatorischen Maßnahmen gefehlt habe und deshalb ein […]

Evaluierungsbericht zur DSGVO: Eine erste positive Bilanz?
Die Datenschutzgrundverordnung (DSGVO) entfaltet seit dem 25. Mai 2018 ihre Wirkung und regelt seitdem primär das Datenschutzrecht innerhalb der Europäischen Union. Die Verordnung sieht in Art. 97 DSGVO vor, dass sie nach zwei Jahren (2020) und danach nur noch alle vier Jahre einer Evaluierung durch die EU-Kommission unterzogen wird. Zur Überprüfung und Bewertung kann die […]

Vom Foto für den Enkel zur Speichelprobe
Für einen Rentner in Bayern endete eine Fahrradtour gänzlich anders, als sich dieser vermutlich vorgestellt hatte. Der 78-Jährige fuhr mit seinem Fahrrad an einem Spielplatz vorbei, auf dem eine Hüpfburg aufgebaut war. Instinktiv musste der Rentner beim Anblick der Hüpfburg an seinen kleinen Enkel denken und wollte ihm mit einem kleinen Video und ein paar […]

2 Jahre DSGVO – und die Aufsichtsbehörden zeigen sich praxisnah
Vor 2 Jahren wurde die Datenschutz-Grundverordnung (DSGVO) zum 25.05.2018 wirksam. Bereits zu diesem Zeitpunkt wurde die europäische Verordnung stark kritisiert und von einige Experten als „wirkungslos“ betitelt. Große Boulevard-Blätter schrieben in der Zwischenzeit über den „Datenschutz-Wahnsinn“ im Hinblick auf geschwärzte Fotoalben in Kitas und Schulen oder die Namen auf Klingelschildern. Doch vor allem den Aufsichtsbehörden […]

Ein Nachruf auf die Postdienste-Datenschutzverordnung
Fast 22 Jahre lang war die Postdienste-Datenschutzverordnung (PD-DSVO) die gesetzliche Regelung, welche die Verarbeitung personenbezogene Daten im Rahmen der Erbringung von Postdiensten zu beachten galt. Eher im Verborgenen regelte Sie sehr detailliert, wann und in welchem Umfang Postdienstleister die Daten von Versender und Empfänger von Postsendungen verarbeiten durften. Die PD-DSVO hatte überdies noch zwei wesentliche […]

Verlust von Unterlagen auf dem Postweg
Die Meldepflicht beim Vorliegen einer Datenpanne nach Art. 33 Datenschutzgrundverordnung (DSGVO) wirft in der Praxis zahlreiche Fragen auf. Besonders häufig treten Datenpannen aus unserer Erfahrung in der Form auf, dass Unterlagen mit personenbezogenen Daten auf dem externen Postweg verloren gehen. Beispielsweise beim Versand von einem Standort eines Unternehmens an einen anderen Standort. Fraglich ist, ob […]

Der neue § 2 BORA – Erlaubnis unverschlüsselter E-Mails des Anwalts als Berufsgeheimnisträger an seine Mandanten?
Viele Rechtsanwältinnen bzw. Rechtsanwälte stolperten bereits in 2019 über den Entwurf des § 2 BORA[1], welcher die Verschwiegenheitspflicht der Rechtsanwälte zum 01.01.2020 neu regelt. Hiernach soll eine unverschlüsselte E-Mail-Kommunikation mit Mandanten zulässig sein, wenn die Mandanten zugestimmt haben. Das klingt auf den ersten Blick eindeutig. Aber liegt hierin nicht ein Verstoß gegen die Regelungen der […]

#36C3 „The search for anonymous data“ – Zur “Anonymität” von großen Datensätzen
Die Datenschutz-Grundverordnung oder auch der California Consumer Privacy Act sehen vor, dass ein Personenbezug bei Daten nicht mehr vorliegt, wenn diese Daten tatsächlich anonym sind. Dies unterscheidet sich (auch unter Berücksichtigung von Erwägungsgrund 26 der Datenschutz-Grundverordnung) von der früheren Rechtslage des alten BDSG, nach der eine Anonymisierung per definitionem auch dann vorlag, wenn eine De-Anonymisierung […]

Swiss Hotel Booking Platform must comply with the GDPR
The Austrian Data Protection Authority has ordered a Swiss online hotel booking platform to comply with the requirements set forth in the EU General Data Protection Regulation (GDPR), in particular to provide the information according to Art. 13 GDPR to the data subject. The ordinance was based on the following facts: An Austrian citizen living […]