Wie sich aus Art. 26 der Datenschutz-Grundverordnung (DSGVO) ergibt, ist die gemeinsame Verantwortlichkeit immer dann einschlägig, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Auch wenn die Rechtsvorschrift wohl jedem Datenschützer bekannt sein wird, ist davon auszugehen, dass der Umgang damit weitaus weniger vertraut ist, als bspw. mit […]
Verantwortliche Stelle
Verwendung privater E-Mail-Adressen und Endgeräte in der Kommunalvertretung
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) hat in seinem Tätigkeitsbericht 2023 die Verwendung von privaten E-Mail-Adressen durch Mitglieder von Gemeinderäten und die damit einhergehenden datenschutzrechtlichen Probleme thematisiert. Insbesondere läge die Herausforderung darin, die Rechtmäßigkeit der Datenverarbeitung durch die Gemeinde – welche hierbei verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO ist […]
Folgen der Ignoranz: Vogel-Strauß-Politik bei Bescheiden kann kräftezehrend werden
Das Verwaltungsgericht (VG) Bremen hatte im vergangenen November über die Klage einer Inhaberin eines Buchhaltungsbüros zu entscheiden (VG Bremen, Urteil vom 27.11.2023 – Az.: 4 K 1160/22). Sie wehrte sich gegen eine datenschutzrechtliche Anweisung und eine Zwangsmittelandrohung der Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) in Bremen. Das VG Bremen entschied jedoch, dass die Anweisung und […]
Erfolgreicher Hackerangriff auf Microsoft Cloud – Microsoft reagiert (endlich)
Es war eine Nachricht mit Gänsehaut-Faktor: Die Microsoft Cloud wurde im Zeitraum Mitte Mai bis Mitte Juni erfolgreich von Hackern angegriffen. Die chinesische Hacker-Gruppe „Storm-0558“ habe durch gefälschte Authentifizierungstoken per Outlook Web Access (OWA) Zugriff erlangt auf E-Mail-Konten von 25 Organisationen und einige Consumer-Accounts, die wahrscheinlich mit den betroffenen Organisationen zusammenarbeiten (siehe Pressemitteilung von Microsoft). […]
Hauptsache Checkbox!
Ob bei der Newsletteranmeldung, in Registrierungsbereichen oder unter Eingabemasken – die Checkbox ist ein gern genutztes Instrument von Websitebetreibern, um die Zustimmung zu einer Datenverarbeitung einzuholen. Leider kommt es jedoch nach wie vor häufig dazu, dass dieses Instrument auch dann eingesetzt wird, wenn es nicht erforderlich ist. Frei nach dem Motto: „Machen wir an dieser […]
Der Beauftragte für den Datenschutz der EKD: Datenschutzkontrollen bei der Mitarbeitervertretung
Mit § 79a Betriebsverfassungsgesetz (BetrVG) ist klargestellt, dass für Datenverarbeitungen des Betriebsrats der Arbeitgeber datenschutzrechtlich verantwortlich ist. Folglich ist der Datenschutzbeauftragte des Arbeitgebers ebenfalls für den Betriebsrat zuständig. Eine der Aufgaben des Datenschutzbeauftragten ist die Überwachung der Einhaltung des Datenschutzes (Art. 39 Abs. 1 lit. b DSGVO). Der Datenschutzbeauftragte hat somit auch die Einhaltung des […]
Digitale Systeme im Schulunterricht in NRW
Aufgrund der Corona-Pandemie wurde die Digitalisierung vielerorts vorangetrieben, so auch in den Schulen. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat nun Informationen zur datenschutzkonformen Nutzung digitaler Systeme in nordrhein-westfälischen Schulen veröffentlicht. Hintergrund dieser veröffentlichten Hilfestellung für Schulen ist die neuste Gesetzesänderung des Schulgesetzes NRW (SchulG NRW). Änderung des SchulG NRW Am 9. […]
Der Betriebsrat, dem Datenschutz verpflichtet…irgendwie
Der Betriebsrat hat in Sachen Datenschutz bisher eine Sonderrolle eingenommen. Bevor die DSGVO in Kraft trat, hatte das Bundesarbeitsgericht entschieden, dass der Betriebsrat aufgrund seiner fehlenden Rechtsfähigkeit keine verantwortliche Stelle sei. Gleichwohl sei der Betriebsrat aber zur Einhaltung des Datenschutzrechts verpflichtet und müsse eigenständig Schutzmaßnahmen ergreifen (wir berichteten). Dazu, ob diese Bewertung auch unter der […]
Wer ist verantwortlich für eine Datenverarbeitung und wer ist Auftragsverarbeiter? – Ein Abgrenzungsversuch des Europäischen Datenschutzausschusses
Der Europäische Datenschutzausschuss (EDSA) hat am 02.09.2020 eine erste Version einer Leitlinie zu den Konzepten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters in der DSGVO verabschiedet, die wir hier kurz vorstellen wollen. Die Leitlinie ist derzeit nur in englischer Sprache verfügbar. Die veröffentlichte, erste Version der Leitlinie ist Gegenstand einer öffentlichen Konsultation. Bis zum […]
Der Betriebsrat als Verantwortlicher
Nachdem die DSGVO im Mai letzten Jahres ihre Gültigkeit erlangt hat, ist das Verhältnis zwischen Arbeits- und Datenschutzrecht wieder in den Fokus geraten. Neben der Frage, ob Einwilligungen im Beschäftigtenverhältnis möglich sind, wird wieder diskutiert, ob der Betriebsrat ein eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist. Arbeitgeber und Betriebsräte stellen sich ganz praktische […]