Das DATA 4.0 Team wünscht allen Frauen einen schönen Weltfrauentag!
Willkommen 2024!
Neue Gesetze, die maßgeblichen Einfluss auf Datenschutz, Informationssicherheit und Compliance haben, stellten bereits letztes Jahr Unternehmen vor neue Herausforderungen. Auch 2024 wartet mit einer Vielzahl an angekündigten neuen Regelungen auf. Hier seien insbesondere die NIS2-Richtlinie und deren nationales Umsetzungsgesetz, der Data Act sowie der EU AI Act zu nennen. Es tut sich also einiges.
Gefahren durch Cyberkriminalität und die massiv fortschreitende Entwicklung von Künstlicher Intelligenz tragen einen Großteil zu diesen Gesetzen bei.
Als kompetenter Partner verfolgen wir selbstverständlich aktuelle technische Entwicklungen und die damit verbundenen Compliance- und Sicherheitsrisiken. Dass es Risiken gibt, ist unbestritten. Dass man ihnen angemessen begegnen kann, dabei unterstützen wir täglich unsere Mandanten.
Das DATA 4.0 Team wünscht allen ein frohes und gesundes Jahr 2024!
Neues EU-U.S. Data Privacy Framework
Kann der Datenverkehr in die USA nun „ungehindert“ fließen?
Die EU-Kommission hat gestern den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework angenommen, wodurch der Datenübermittlung an zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau attestiert wird.
Mit dem neuen Data Privacy Framework können ab sofort wieder personenbezogene Daten aus der EU an die USA fließen. Laut EU-Kommission besteht für Betroffene und Datenexporteure damit erst einmal Rechtssicherheit.
Es sind keine 24 Stunden seit dem Inkrafttreten vergangen bis erste Kritik am neuen Angemessenheitsbeschluss geäußert wurde. Nach Auffassung der noyb.eu birgt auch der dritte Versuch eines EU-US-Abkommens zum rechtskonformen Datenverkehr Potential zum Scheitern. Es bleibt abzuwarten wie der EuGH das neue Datenschutzabkommen bewertet.
Harzer Firmenlauf 2023
Wir haben es getan!
Unser erster Einsatz beim Harzer Firmenlauf in Wernigerode, mit dem auch wir zeigen konnten wie bunt und vielseitig unsere regionale Wirtschaft ist.👍
Fanpage der Bundesregierung untersagt
Mit seinem Bescheid vom 17.02.2023 hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) den weiteren Betrieb der Facebook-Fanpage der Bundesregierung untersagt.
Das zuständige Presse- und Informationsamt der Bundesregierung wird aufgefordert innerhalb von 4 Wochen die Datenverarbeitung über die Fanpage einzustellen.
Bereits 2019 und 2021 hat der BfDI in seinen Rundschreiben öffentliche Stellen aufgefordert den Betrieb von Facebook-Fanpages einzustellen, da eine datenschutzkonforme Verarbeitung zum diesem Zeitpunkt nicht im Einklang mit der DSGVO stand. Erschwerend kommt seit Dezember 2021 hinzu, dass der Verantwortliche auch den Schutz der Privatsphäre bei Endeinrichtungen nach §25 TTDSG sicherzustellen hat. Aufgrund der vom EuGH festgestellten gemeinsamen Verantwortlichkeit des Anbieters „Meta Platforms“ und eines Fanpage-Betreibers treffen die rechtlichen Pflichten beide Parteien gleichermaßen. Dass der Fanpage-Betreiber unter der technischen Abhängigkeit des Anbieters nicht in der Lage ist eine datenschutzkonforme Verarbeitung zu gewährleisten, hat zuletzt die Datenschutzkonferenz (DSK) in seinem Beschluss vom 23.03.2022 konstatiert.
Es bleibt abzuwarten wie sich die Bundesregierung zu diesem Bescheid positioniert und welche Folgeforderungen auch an weitere öffentliche Stellen gerichtet werden.
Den Bescheid des BfDI können Sie unter folgendem Link abrufen: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Dokumente-allg/2023/Bescheid-Facebook-Fanpage.pdf?__blob=publicationFile&v=1
Microsofts neues Data Protection Addendum
Nach der Kritik europäischer Aufsichtsbehörden Ende letzten Jahres hat Microsoft eine neue Version des Data Protection Addendum (kurz: DPA) veröffentlicht – abrufbar unter https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
Das DPA fungiert als Auftragsverarbeitungsvertrag und regelt die datenschutzrechtlichen Rechte und Pflichten zwischen Microsoft und dessen Kunden.
Die wichtigsten Änderungen im Überblick:
- Für die rechtskonforme Verarbeitung der Telekommunikationsdaten, insbesondere der Einhaltung des Fernmeldegeheimnisses nach §3 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), zeichnet Microsoft verantwortlich.
- Microsoft verpflichtet sich Kundendaten, die durch Nutzung der Onlinedienste Azure, Dynamics 365, Power Platform und Microsoft 365 unter das sog. „EU Data Boundary“ fallen, innerhalb der EU zu speichern.
- Microsoft stellt klar, dass die technischen und organisatorischen Maßnahmen des DPA gleichsam zwischen Microsoft Irland und Microsoft USA umgesetzt werden, damit Microsoft Kunden ihren sekundären Prüfpflichten (Prüfung, dass Unterauftragnehmer nur unter Voraussetzung geeigneter Garantien eingesetzt werden) nachkommen können.
- Microsoft sichert seinen Kunden mehr Unterstützung zur Erfüllung ihrer Rechenschaftspflicht, also dem Nachweis der datenschutzkonformen Verarbeitung, zu.
Alles in allem wird durch das neue DPA das Datenschutzniveau beim Einsatz von Microsofts Onlinediensten erhöht. Es bleibt abzuwarten wie dieses von den Aufsichtsbehörden bewertet wird. Eines muss gewiss sein, nämlich dass die Bewertungen der Aufsichtsbehörden vordergründig auf die Vertragsinhalte abzielen. Dabei können und sollten Unternehmen – schlussendlich bleiben sie für die Verarbeitung datenschutzrechtlich verantwortlich – auch eigene Maßnahmen treffen und unter den Nutzern ein Bewusstsein für Complianceanforderungen in der Datenverarbeitung schaffen.
Wirtschaftsforum Harz
Heute sind wir ab 15 Uhr als Premium Partner auf dem 7. Wirtschaftsforum Harz an der Kaiserpfalz in Goslar am Start. Kommen Sie zu unserem Messestand und sprechen Sie uns an. Wir sind Ihr Ansprechpartner in Sachen Datenschutz, Informationssicherheit und Hinweisgeberschutz.
Google Fonts Abmahnwelle
Im Laufe der letzten Wochen erhielten mehrere unserer Mandanten ein Forderungsschreiben, in dem den Unternehmen eine unrechtmäßige Einbindung externer Dienste auf ihren Websites vorgeworfen und ein Schadensersatz in Höhe von 100 Euro gefordert wird. Wie sich herausstellte, sind sie dabei nur wenige von vielen Unternehmen, die derzeit mit diesen Schreiben konfrontiert werden.
Auch wenn derartige Schreiben i. d. R. darauf abzielen, den Unternehmen das Geld aus der Tasche zu ziehen, sollten sie als Signal verstanden werden die rechtskonforme Einbindung externer Dienste auf der eigenen Website zu überprüfen.
Grundsätzlich empfehlen wir Google Fonts lokal auf den Webserver einzubinden, um externe Aufrufe zu unterbinden.
Dafür können unsere Mandanten den dafür bereitgestellten Website-Scan in unserer App.DATA nutzen.
Interessenten können sich gern direkt an uns wenden, um einen kostenfreien Website-Scan zu erhalten.
Hello World!
Unsere neue Website ist online!
Für uns bedeutet es nach 5 Jahren Consultingtätigkeit einen längst überfälligen Schritt getan zu haben. Für unsere Mandanten und Interessenten bedeutet es einen schnellen Überblick über unsere Leistungen sowie einen Direktzugang zu unserer Datenschutzmanagementsoftware zu erhalten.
Wir freuen uns auf weitere Jahre der vertrauensvollen Zusammenarbeit.