EU-U.S. Privacy Shield verabschiedet

Am 12. Juli 2016 verabschiedete die EU-Kommission das von allen Beteiligten sehnlichst erwartete EU-U.S. Privacy Shield. Es löst das durch Urteil des Europäischen Gerichtshofs für ungültig erklärte Safe-Harbor-Abkommen ab. Nachdem ein erster Entwurf für das Abkommen zur Ermöglichung von Datentransfers in die USA bereits Ende Februar 2016 auf dem Tisch lag, folgten noch weitere Abstimmungsrunden, bis das Regelwerk endlich von allen Seiten abgesegnet wurde. In einer Pressemitteilung verkündete die EU-Kommission nun ihren Beschluss zum EU-U.S. Privacy Shield.

Anforderungen an die IT-Sicherheit für Websitebetreiber

Bereits im Juli 2015 wurden Betreiber von Websites durch das IT-Sicherheitsgesetz verpflichtet, ihre technische Umgebung ausreichend zu schützen. Auch die EU-Datenschutz-Grundverordnung (DSGVO) fordert allgemein, dem Stand der Technik entsprechende Sicherheitsmaßnahmen. Die Anforderungen sind jedoch sehr offen formuliert. Dieser Beitrag erklärt, welche IT-Sicherheitsmaßnahmen Websitebetreiber zu treffen haben.

7 wichtige Grundlagen des Datenschutzes im Unternehmen

Die Kontrollen der Aufsichtsbehörden im Bereich des unternehmerischen Datenschutzes nehmen stark zu; häufig werden Versäumnisse aufgedeckt. Dabei ist die Erfüllung der wichtigsten Anforderungen oft schon mit geringen Aufwand möglich. Deshalb haben wir Ihnen regelmäßig auftretende Datenschutz-Versäumnisse und ihre schnelle Behebung zusammengetragen.

Datenschutz bei Retargeting & Social Sharing – Dürfen Werbetechnologien Dritter in Websites eingebunden werden?

Im Rahmen des Online-Marketings werden auf Unternehmenswebsites häufig Dienste von Dritten eingesetzt. Dabei handelt es sich zum Beispiel um Analysetools, Produktwerbungsdienste (insbesondere zum Retargeting) oder sogenannte Social Plugins. Zu Letzteren hat sich das Landgericht Düsseldorf in einem aktuellen Urteil positioniert und eine unzulässige Einbindung durch den beklagten Websitebetreiber (ein bekannter Onlineshop) festgestellt. Der Beitrag beleuchtet die datenschutzrechtlichen Fallstricke für Websitebetreiber bei der Einbindung von Werbetechnologien und zeigt auf, wie eine rechtskonforme Nutzung möglich ist.

Privacy by Design: Mit datenschutzkonformer IT gegenüber Mitbewerbern punkten und hohe Bußgelder vermeiden

Datenschutz, das war und ist für viele Unternehmen noch immer etwas, um das man sich kümmert, wenn alles steht: die Cloud, die teuer beauftragte Entwicklung einer App und das aufwendig programmierte Logistiksystem. Spätestens mit Inkrafttreten der EU-Datenschutz-Grundverordnung, voraussichtlich Anfang 2018, sollten Unternehmen bereits bei der Auswahl von IT-Lösungen berücksichtigen, in wie weit diese datenschutzrechtlichen Anforderungen genügen. Die Verordnung verpflichtet Unternehmen, beim Einsatz von IT und Software zu prüfen, ob diese nach Datenschutzmaßstäben entwickelt wurden („Privacy by Design“). Ein Verstoß dagegen kann mit einem hohen Bußgeld belegt werden. Welchen Nutzen Privacy by Design für Unternehmen und Betroffene haben kann und welche gesetzlichen Änderungen mit der Datenschutz-Grundverordnung auf die verantwortliche Stelle zukommen, lesen Sie in diesem Beitrag.

Geräteübergreifendes Tracking aus Sicht des Datenschutzes

Wenn ein Internetnutzer sich ein Produkt nicht nur auf dem Laptop, sondern auch auf dem Tablet oder dem Smartphone ansieht, ist das ein Problem für Analyse- und Werbedienste: Sie erhalten kein einheitliches Bild mehr vom Verhalten des Nutzers. Die Lösung ist das „Cross-Device-Tracking“, also Technologien, die eine geräteübergreifende Profilbildung des Nutzers ermöglichen. Was technisch mittlerweile möglich ist, muss deswegen aber noch lange nicht datenschutzkonform sein. Deshalb analysiert dieser Artikel zunächst die wesentlichen rechtlichen Gesichtspunkte von Nachverfolgungstechnik, um anschließend die datenschutzrechtliche Zulässigkeit unterschiedlicher Cross-Device-Tracking-Technologien zu diskutieren.

ISO 27001 Zertifizierung von E-Mail-Marketing- und Lead Management-Anbieter SC-Networks (Best Practice)

E-Mail-Marketing und die (teil-)automatisierte Vertiefung von Kundenbeziehungen mit Inhalten (Lead-Management) erfordern aufgrund ihrer Komplexität ausgereifte technische Lösungen. Außerdem sollte bei solchen Angeboten als Software as a Service (SaaS) in besonderem Maße auf IT-Sicherheit und Datenschutz geachtet werden.

Schadensersatz & Datenschutz: Deutsches Recht vs. EU-Datenschutz-Grundverordnung

Fügt ein Unternehmen einer Person durch eine rechtswidrige Datenverarbeitung einen Schaden zu, hat diese Person in bestimmten Fällen Anspruch auf Schadensersatz. Doch welche Bedingungen müssen erfüllt sein, damit das datenschutzrechtliche Schadensersatzrecht greift? Und welches Unternehmen ist unter welchen Umständen für eine rechtswidrige Datenverarbeitung verantwortlich? Antworten auf diese Fragen finden Sie im folgenden Artikel. Dabei gehen wir auf das geltende Datenschutzrecht in Deutschland ebenso ein, wie auf die voraussichtlich 2018 in Kraft tretende europäische Datenschutz-Grundverordnung.

Die Datenschutzprüfung anhand des Standard-Datenschutzmodells

Das von den deutschen Aufsichtsbehörden entwickelte Standard-Datenschutzmodell (SDM) soll in vier Schritten zur selbsttätigen Prüfung und Verbesserung des Datenschutzes im Unternehmen befähigen: Auf die Kontextanalyse der Datenverarbeitung sowie eine rechtliche Bewertung der einzelnen Datenverarbeitungen folgt die Spezifizierung der Gewährleistungsziele, um anschließend einen Soll-Ist- bzw. Soll-Plan-Vergleich durchführen zu können. Im dritten Beitrag der activeMind Artikelserie erläutern wir Ihnen die erfolgreiche Anwendung des Standard-Datenschutzmodells inklusive aller notwendigen Prüfschritte.

Unternehmen im datenschutzrechtlichen Würgegriff der US-Behörden

Wie stark nutzen US-amerikanische Behörden eigentlich ihr Recht, personenbezogene Daten von Unternehmen zu kontrollieren? Angesichts der spektakulären Entscheidung des Europäischen Gerichtshofs (EuGH), den Datentransfer in die USA auf Grundlage des Safe-Harbor-Abkommens für unwirksam zu erklären, gewinnt diese Frage neue Brisanz. Immerhin führte das Gericht die massenhaften und unkontrollierten Überprüfungsaktivitäten US-amerikanischer Behörden als wichtiges Argument an. Denn dies sei nicht mit den datenschutzrechtlichen Regelungen der EU vereinbar, so der EuGH. Wie aktuelle Veröffentlichungen zeigen, lag der Gerichtshof mit seiner Urteils-Begründung noch näher an der Realität, als zu befürchten war.