Für die Auftragsdatenverarbeiter, die unter der Geltung der EU-Datenschutzgrundverordnung (DS-GVO) nunmehr „Auftragsverarbeiter“ heißen, werden diverse Neuregelungen relevant. In Artikel 28 GS-DVO sind verschiedene Anforderungen festgelegt. Datenschutzkonzept und Audit Die Bayerische Landesdatenschutzaufsicht hat ein Muster veröffentlicht, das Anforderungen für Auftragsdatenverarbeiter definiert. Unter anderem wird aus Sicht der Aufsichtsbehörden erwartet, dass mit Vertragsschluss zur Auftragsverarbeitung der Auftragnehmer ein Datenschutzkonzept vorlegt. Nähe-e Anforderungen werden allerdings für das Datenschutzkonzept nicht beschrieben. Weiterhin soll der Auftragsverarbeiter mindestens einmal jährlich ein Audit durchführen. Der Auditbericht soll dem Auftraggeber vollständig zur Verfügung gestellt werden. Mit dieser Anforderung wird deutlich, dass die Aufsichtsbehörden die Anforderung einer regelmäßigen …

Mehr lesen

Die Landesregierung hat im März 2018 den Entwurf eines Gesetzes zur Neuordnung des Datenschutzrechts beschlossen. Damit soll der Datenschutz für niedersächsische Behörden neu geregelt werden. Aufgrund der am 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) ist eine entsprechende landesgesetzliche Neuregelung notwendig. Vor dem Beschluss über den Entwurf eines neuen niedersächsischen Datenschutzgesetzes gab es eine Verbandsbeteiligung, in dem zu dem Gesetzentwurf Stellung genommen werden konnte. Die Landesbeauftragte für den Datenschutz Frau Barbara Thiel kritisiert in einer aktuellen Pressemitteilung den Gesetzentwurf als unzureichend. Nach Auffassung der niedersächsischen Landesbeauftragten für den Datenschutz weist der Gesetzentwurf an vielen Stellen noch erhebliche Mängel auf. Beispielsweise …

Mehr lesen

Am 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DS-GVO) in Kraft. Mit diesen neuen gesetzlichen Regelungen ergeben sich vielfältige neue Anforderungen für Unternehmen und die öffentliche Verwaltung. Auch für Notarinnen und Notare ergeben sich Neuerungen im Hinblick auf den Datenschutz. Gem. Art. 37 Abs. 1 müssen Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten benennen. Eine neue gesetzliche Pflicht für die Benennung eines Datenschutzbeauftragten gibt es für jede Behörde und öffentliche Stellen gem. Art. 37 Abs. 1a DS-GVO. Dabei ist es unabhängig, ob die Behörde oder öffentliche Stelle groß oder klein ist und in welchem Umfang im Detail personenbezogene Daten verarbeitet werden. Es genügt eine “Verarbeitung”. Ausgenommen sind Gerichte, …

Mehr lesen

Besonders große Unternehmen benötigen heutzutage oftmals die Unterstützung von externen Dienstleistern, um verschiedene Aufgaben innerhalb des Unternehmens zu übernehmen. Dabei stellt sich die Frage, inwieweit auch die externen Mitarbeiter an die Vorgaben des Datenschutzes gebunden sind. Die Datenschutzgrundverordnung legt ein wesentliches Merkmal auf die Haftung bei der Auftragsverarbeitung. Eine wesentliche Änderung, die durch die Datenschutzgrundverordung eingeführt wird, liegt in der doppelten Haftung. Dies bedeutet, dass nicht nur der Auftragnehmer, sondern auch der Auftraggeber haften muss. Wann liegt eine Auftragsverarbeitung vor? Voraussetzung für eine Haftung ist zunächst das Vorliegen einer Auftragsverarbeitung. Diese liegt in der Regel vor, wenn der Auftragnehmer …

Mehr lesen

Viele Unternehmen und Behörden möchten sich den neuen Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO) stellen. Allerdings kommen viele nebenberufliche betriebliche oder behördliche Datenschutzbeauftragte an Kapazitätsgrenzen. Nicht immer ist es möglich, die bisherigen Datenschutzbeauftragten im Rahmen einer Vollzeitstelle für den Datenschutz einzusetzen, wie dies beispielsweise zur Umsetzung der umfangreichen Dokumentationspflichten nach der DSGVO notwendig wäre. Allerdings entwickelt sich der zunehmend wahrnehmbare Mangel an Fachkräften für den Datenschutz zu einem echten Engpass bei der Umsetzung der DSGVO. Dies betrifft sowohl interne Mitarbeiterinnen und Mitarbeiter, die gesucht werden, als auch externe Berater. Hier ist auch zu beobachten, dass bei zunehmenden personellen Engpässen auch …

Mehr lesen

Die ePrivacy-Verordnung ist im europäischen Gesetzgebungsverfahren schon länger ein Thema. Seit 2016 wird sowohl vom Europäischen Rat als auch vom Europäischen Parlament an den Spezialvorschriften für elektronische Kommunikation gearbeitet. Während die Datenschutz-Grundverordnung die allgemeinen europaweiten Anforderungen an den Datenschutz regelt, soll die geplante ePrivacy-Verordnung die rechtlichen Anforderungen an die elektronische Kommunikation im Detail festlegen. Allerdings ist noch unklar, welche Anforderungen im Einzelnen zu erwarten sind. Am 10. Januar 2017 veröffentlichte die Europäische Kommission einen Vorschlag für eine entsprechende Verordnung. Das Europäische Parlament hat diesen Vorschlag für eine ePrivacy-Verordnung mit zahlreichen Änderungsanträgen am 26. Oktober 2017 angenommen. Nun muss der Europäische Rat reagieren. Hier …

Mehr lesen

Die Datenschutz-Grundverordnung stellt viele neue Anforderungen für Unternehmen und Behörden. U. a. in Art. 32 wird mit Blick auf die Anforderungen an die Sicherheit der Verarbeitung auf die Berücksichtigung des Stands der Technik verwiesen. Allerdings ist unklar, was genau mit dem Begriff “Stand der Technik” gemeint ist. Stand der Technik bei KRITIS Der Verweis auf den “Stand der Technik” findet sich auch in anderen rechtlichen Regelungen. Beispielsweise in § 8a BSI-Gesetz wird auf den Stand der Technik verwiesen. Diese Anforderungen richten sich an kritische Infrastrukturen (KRITIS). Die Regelung wurde mit dem IT-Sicherheitsgesetz in 2015 in Kraft gesetzt. Kein abschließender Begriff Die Formulierung …

Mehr lesen

In einer aktuellen Pressemitteilung teilt die niedersächsische Staatskanzlei mit, dass der Entwurf für ein Gesetz zur Neuordnung des niedersächsischen Datenschutzrechts nunmehr in die Verbandsbeteiligung geht. Dies hat das niedersächsische Kabinett am 12.12.2017 beschlossen. Die Änderungen des niedersächsischen Datenschutzrechts sind dringend notwendig, da im Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO)  in Deutschland in Kraft tritt. Die DSGVO gilt ab dem 25.05.2018 auch für  die niedersächsische Verwaltung unmittelbar und muss nicht durch das Land Niedersachsen umgesetzt werden. Allerdings sieht die DSGVO verschiedene Öffnungsklauseln vor, die auch den Ländern Gestaltungsmöglichkeiten bei der Umsetzung der DSGVO für die öffentliche Verwaltung gibt. davon wird …

Mehr lesen

Manchmal ist es nur das Bedürfnis nach Aufklärung, welches Sachverhalte produziert, die auch gut einen Sonntag-Abend-Krimi hätten darstellen können. Allerdings ohne Tote, dafür jedoch gespickt mit rechtlichen Problemen. Allen voran die Frage: Dürfen Kameras zur Videoüberwachung in Kunden- und Lagerräumen von Apotheken verwendet werden, wenn der Verdacht besteht, dass dort Straftaten begangen werden? Interessant ist dabei auch die Einbettung des Falles: Meistens geht es darum, dass der Inhaber mit Hilfe der Kameras das Verbrechen aufklärt und gegen den „Übeltäter“ vorgeht. Entweder gegen den Kunden oder durch Entlassung des diebischen Arbeitnehmers. Im sich oft anschließenden Prozess geht es dann um …

Mehr lesen

Stellen Sie sich vor, dass Sie insolvent wären. Das an sich ist schon kein schöner Gedanke, hieße es doch nichts anderes, als das Sie sich übernommen hätten und Ihre eingegangenen Verbindlichkeiten nicht haben bezahlen können. Damit verbunden ist auch immer die eigene Sicht des Scheiterns, welches nun in einer Insolvenz verbrieft wird. Insgesamt also ein Umstand, den man sich selbst nur schwer eingestehen kann. Gerade auch bei Privatinsolvenzen können auch krankhafte Umstände wie bspw. eine Kaufsucht von Bedeutung sein. Und nun stellen Sie sich bitte vor, dass von diesem „Scheitern“ jeder Kenntnis nehmen kann, der davon Kenntnis nehmen möchte. …

Mehr lesen