Datenschutz und IT-Sicherheit

Am 04.06.2021 hat die EU-Kommission neue Standardvertragsklauseln veröffentlicht. Sie sind besonders wichtig für den Datentransfer mit Drittländern. Die dazugehörige Übergangsfrist ist Großteils am 27.09.2021 ausgelaufen. Was müssen Datenschutzverantwortliche jetzt durch die neuen Klauseln beachten und welche Vorgaben der DSGVO sind wichtig?

Im Zuge von EU DSGVO und BDSG-neu wurde der Einsatz von Tracking Cookies auf Websites stark diskutiert. Mehr Transparenz verspricht das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), das am 01. Dezember 2021 in Kraft treten wird. In diesem Beitrag erfahren Verantwortliche in den Bereichen Datenschutz, Marketing, Vertrieb und Werbung sowie IT und Geschäftsführung, welche Bedeutung das TTDSG für sie hat und wie sie sich vorbereiten.

Die Datenschutz-Grundverordnung (DSGVO) und deren Art. 13 im Speziellen legen die Informationspflichten fest, die bei einer Direkterhebung von personenbezogenen Daten zu erfüllen sind. Diese Informationen sind der betroffenen Person unverzüglich mitzuteilen. Doch was sind personenbezogene Daten nach DSGVO und welche Pflichtinformationen sind gemäß Art. 13 DSGVO bei der Erhebung zu machen?

Technischer Fortschritt und branchenspezifische Anforderungen machen IT- und Informationssicherheit in Unternehmen dringender denn je. Zentrales Instrument zur Erfüllung aller relevanter Standards ist das Informationssicherheitsmanagementsystem (ISMS). Dieser Beitrag gibt eine Definition, wichtige Abgrenzungen sowie Hinweise rund um die Schutzziele der Informationssicherheit und ihre praktische Erfüllung.

Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ist am 28.05.2021 in Kraft getreten. Es enthält neue Anforderungen an Unternehmen (Kritis) und räumt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich mehr Befugnisse ein, mit dem Ziel, die IT-Sicherheit in Deutschland zu stärken. Die Mehrzahl der Anforderungen des IT-Sicherheitsgesetzes 2.0 basiert dabei auf dem geänderten BSI-Gesetz (BSIG).

Seit Einführung der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 müssen Unternehmen ein sog. „Verzeichnis von Verarbeitungstätigkeiten“ (Verarbeitungsverzeichnis) führen. Für den Datenschutz ist entscheidend, dass die darin aufgeführten Daten aktuell sind. Doch wie aktualisieren Unternehmen ihr Verzeichnis gemäß den gesetzlichen Vorgaben?

Jedes Unternehmen hat sensible Daten, die der Arbeitgeber vor Datenmissbrauch und anderen Angriffen schützen muss. Mitarbeiter können ein Sicherheitsrisiko für den Schutz dieser Daten sein, wenn sie nicht ausreichend über Datenschutz und Informationssicherheit aufgeklärt sind. Die „Security Awareness“ eines Unternehmens zeigt, wie weit die Beschäftigten in diesen Bereichen sensibilisiert sind. Hierauf müssen Arbeitgeber bei Security Awareness achten.

Unternehmen müssen seit Juli 2020 besondere Vorsicht bei der Übermittlung personenbezogener Daten in Drittländer, insbesondere in die USA, walten lassen. Denn der Europäische Gerichtshof (EuGH) hat im sog. Schrems II-Urteil das Privacy Shield für unwirksam erklärt und neue Anforderungen an den Datentransfer definiert. Damit gewinnen Standardvertragsklauseln sowie vertragliche Vereinbarungen zwischen Datenexporteuren und Datenimporteuren deutlich an Bedeutung. Ein Kraftakt für Unternehmen, aber auch für die Aufsichtsbehörden.

Das Auskunftsrecht nach Art. 15 DSGVO wird noch nicht von allen Unternehmen und Organisationen datenschutzkonform umgesetzt. Erst kürzlich wurde ein Telekommunikationsanbieter mit einem Bußgeld in Millionenhöhe abgestraft, weil die Anforderungen unzureichend umgesetzt waren. Hier die wichtigsten Rechte und Pflichten des Art. 15 DSGVO sowie Tipps zur Identitätsprüfung.

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet öffentliche Stellen in jedem Fall, einen (externen) behördlichen Datenschutzbeauftragten (DSB) zu benennen. Die mit dem Datenschutz beauftragte Person trägt in erster Linie dazu bei, Datenschutzverstößen innerhalb der öffentlichen Stelle vorzubeugen. Die Behörde als datenschutzverantwortliche Stelle ist für die Benennung und die (optionale) Aufgabenverteilung des Datenschutzbeauftragten zuständig.