News

Gestern hatte ich ja mal damit angefangen, typische Fragestellungen im Zusammenhang mit dem Hinweisgeberschutzgesetz (HinSchG) darzustellen. Jetzt ist mir eingefallen, dass diese Auflistung ohne die folgenden Punkte aus meiner Sicht nicht vollständig ist. Und die sind schon irgendwie heikel. Dieser Beitrag ist insofern nicht als Handlungsempfehlung sondern als Meinungsäußerung zu verstehen.   Ist eine Datenschutzfolgenabschätzung…

Am 17.12.2023 ist nach dem Hinweisgeberschutzgesetz (HinSchG) die Umsetzungsfrist auch für die Unternehmen abgelaufen, die in der Range zwischen 250 und 50 Mitarbeiterinnen und Mitarbeitern liegen. Im Klartext heißt dies, dass Unternehmen ab 50 Beschäftigte eine interne Meldestellen einrichten müssen. Diese kann auch durch eine externe Stelle, z.B. durch einen Anwalt, so wie ich es…

Das Arbeitsgerichts Duisburg hat einem Betroffenen 750 Euro Schadensersatz zugesprochen, weil der Verantwortliche sein Auskunftsersuchen erst nach 19 Tagen beantwortet hatte. Mit der „verzögerten“ Beantwortung habe der Verantwortliche gegen das Gebot der Unverzüglichkeit verstoßen. Grundsätzlich wäre nach einer Zeitspanne von mehr als einer Woche keine Unverzüglichkeit mehr gegeben, solange keine besonderen Umstände vorlägen (Urteil vom…

Das Arbeitsgericht Suhl hat in einer Entscheidung von Dezember 2023 entschieden, dass die von der Datenschutz-Grundverordnung (DSGVO) geforderte angemessene Sicherheit personenbezogener Daten bei einer unverschlüsselten E-Mail nicht gewährleistet ist. Es gab einem Arbeitnehmer zwar Recht, der von seinem Arbeitgeber schriftlich Auskunft über alle über ihn gespeicherten Daten verlangt und diese unverschlüsselt per E-Mail erhalten hatte.…

Cyberkriminalität: Er­beu­ten Kri­mi­nel­le per­sön­li­che Daten kann nach dem aktuell vorliegenden EuGH Urteil al­lein die Angst vor einem Miss­brauch die­ser In­for­ma­tio­nen einen im­ma­te­ri­el­len Scha­den dar­stel­len. Aus einem un­be­fug­ten Zu­griff könne nicht au­to­ma­tisch auf un­zu­rei­chen­den Schutz ge­schlos­sen wer­den, aber die Be­weis­last liege beim Ver­ant­wort­li­chen. Ein immaterieller Schaden kann dem EuGH zufolge auch durch die Befürchtung, die Daten…

Ein Patient hat nach Art. 12 Abs. 5, 15 Abs. 1 und 3 DSGVO das Recht, unentgeltlich eine erste Kopie seiner Patientenakte zu erhalten. EuGH, Urteil vom 26.10.2023, C‑307/22

Microsoft hat am 15. November 2023 eine neue Version seines Product and Services Data Protection Addendum (kurz: DPA) veröffentlicht. Die neue Fassung enthält gegenüber der Version vom 1. Januar 2023 einige sprachliche Anpassungen und vor allem eine relevante Änderung: Es stellt klar, dass Microsoft nach dem EU-US Privacy Framework zertifiziert ist. Werden bei der Nutzung…

In dem zu der Frage ergangenen Urteil ging es um einen Fall, wo der Vorsitzende des Betriebsrats gleichzeitig zum Datenschutzbeauftragten bestellt wurde. Die Arbeitgeberin und ihre Tochtergesellschaften widerriefen jedoch die Bestellung aufgrund einer Inkompatibilität der Ämter. Dies erfolgte auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit. Der Betroffene BR klagte dagegen. Die Vorinstanzen gaben…

Die Europäische Kommission hat am 10. Juli 2023 den lang angekündigten Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ (EU-US Data Privacy Framework, DPF) veröffentlicht. Der Angemessenheitsbeschluss wurde nicht generell getroffen. Er gilt für Unternehmen, die ein Selbstzertifizierungsverfahren durchlaufen haben. Das DPF-Programm, das von der International Trade Administration…

Im Rahmen der EU-Regulierung der Informationssicherheit kommt auch die sogenannte NIS-2-Richtlinie welche mittlerweile verabschiedet ist und veröffentlicht wurde. Gegenstand der Richtlinien ist es Maßnahmen festzulegen, mit denen in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um so das Funktionieren des Binnenmarkts zu verbessern (Art. 1). Für Unternehmen relevant ist hier insbesondere, dass…

Ab Juli stellt Google seinen Dienst Google Analytics dauerhaft auf die neue Version „Google Analytics 4“ um. Sollten Sie bisher noch keine eigenen Schritte zur Umstellung unternommen haben, so hat Google schon im März 2023 automatisch Google Analytics 4 für Sie eingerichtet (basierend auf Ihren bisherigen Einstellungen und Zielen für Universal Analytics).   Welche technische…

Eine Frage, die ich häufiger erhalte ist, ob und unter welchen Voraussetzungen das Unternehmen seine Beschäftigten über ihr privates Postfach kontaktieren darf? Der häufigste Fall ist sicher der Versand von Lohnabrechungen. hier ist das größte Problem aber sicher nicht die Rechtsgrundlage für die Nutzung dieser E-Mail Adresse, sondern z.B. die Frage, wie man die Vertraulichkeit…