Reaktion auf Datenschutzverstöße in rechtlicher und tatsächlicher Hinsicht
|
|
- Liane Fromm
- vor 6 Jahren
- Abrufe
Transkript
1 54 BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher CB-BEITRAG Barbara Scheben, RAin, und Alexander Geschonneck Reaktion auf Datenschutzverstöße in rechtlicher Um dem von einem Datenschutzverstoß Betroffenen die effiziente Durchsetzung seiner damit einhergehenden Rechte zu ermöglichen, 1 wurde im August 2009 mit dem Gesetz zur Änderung datenschutzrechtlicher Vorschriften 2 die Regelung des 42a BDSG ( Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten ) neu in das Bundesdatenschutzgesetz eingefügt. In präventiver Hinsicht soll diese Vorschrift einen Anreiz für Unternehmen schaffen, Maßnahmen zur Verhinderung von Datenschutzverstößen zu implementieren. 3 Durch die ab dem unmittelbar geltende Datenschutz-Grundverordnung wird diese Regelung verschiedene Änderungen erfahren. Der vorliegende Beitrag befasst sich mit den Rechtsgrundlagen der Regelung sowie mit Überlegungen zur praktischen Umsetzung im Unternehmen. I. Die Regelung des 42a BDSG Bis zum gilt für Datenschutzverstöße die Regelung des 42a BDSG. Dieser lautet: Stellt eine nichtöffentliche Stelle i. S. d. 2 Abs. 4 oder eine öffentliche Stelle nach 27 Abs. 1 S. 1 Nr. 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten ( 3 Abs. 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in 52 Abs. 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden. Adressat der Vorschrift sind zum einen öffentliche Stellen des Bundes und der Länder, soweit sie als öffentliche Stellen am Wettbewerb teilnehmen. 4 In Betracht kommen insofern z. B. Unternehmen der Kredit- oder Versicherungswirtschaft, Verkehrs- oder Versorgungsunternehmen 5 oder auch Krankenhäuser. Zum anderen gilt die Regelung für nicht-öffentliche Stellen, also natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts. 6 Kommt es bei einer dieser Stellen zu einem in 42a S. 1 BDSG näher beschriebenen Datenschutzverstoß, werden verschiedene Mitteilungspflichten (Notifikationspflichten) ausgelöst. Ein Datenschutzverstoß liegt vor, wenn bestimmte Arten personenbezogener Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. 7 Eine unrechtmäßige Übermittlung setzt voraus, dass die Daten einem Dritten, also einer Person oder Stelle außerhalb der verantwortlichen Stelle, 8 bekannt gegeben werden. In 3 Abs. 4 Nr. 3 BDSG wird die Übermittlung definiert als das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen 1 Vgl. Spindler/ Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, BDSG, 42a, Rn BGBl Teil I, 2009, Nr. 54 vom Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a, Rn Öffentliche Stellen gem. 27 Abs. 1 S. 1 Nr. 2 BDSG. 5 Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 27, Rn Nicht-öffentliche Stellen gem. 2 Abs. 4 BDSG. 7 42a S. 1 BDSG. 8 3 Abs. 8 S. 2 BDSG.
2 Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION 55 Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Der Übermittlung (Bekanntgeben) ist also ein voluntatives Element immanent. Die Daten müssen in dieser Alternative zielgerichtet 9 an den Dritten weitergegeben werden. Die unrechtmäßige Kenntniserlangung auf sonstige Weise dient als Auffangtatbestand. Hierunter wird jegliche Art der Kenntniserlangung durch einen Dritten gefasst, die auch von der verantwortlichen Stelle unbeabsichtigt oder ihr unbewusst (z. B. Verlust eines Datenträgers oder Lücke im Berechtigungskonzept einer IT Anwendung) erfolgt ist oder die durch einen Dritten initiiert wurde (z. B. Hacking-Angriff). Unrechtmäßig ist die Kenntniserlangung in beiden Alternativen, wenn sie weder auf eine Einwilligung des Betroffenen noch auf einen sonstigen Erlaubnistatbestand gestützt werden kann. Die unrechtmäßige Übermittlung oder Kenntniserlangung muss sich zudem auf bestimmte Datenarten beziehen. 42a S. 1 BDSG zählt diese abschließend auf: besondere Arten personenbezogener Daten ( 3 Abs. 9), personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder personenbezogene Daten zu Bank- oder Kreditkartenkonten. Zu denken ist bspw. an Daten über den Gesundheitszustand von Mitarbeitern (z. B. Krankheitstage, Wiedereingliederungsmanagement) oder deren Religionsangehörigkeit, an Mandanten- oder Patientendaten, an Daten aus einer Compliance-Case-Datenbank, an die aufzubewahrenden Daten des Geldwäschebeauftragten im Zuge seiner Geldwäscheverdachtsmeldungen oder an Kontodaten von Kunden. Um eine Meldepflicht auszulösen, müssen durch den Datenschutzverstoß zudem schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Anderenfalls kann die Meldung unterbleiben. Die verantwortliche Stelle hat demnach eine Prognoseentscheidung 10 über das Ausmaß des möglichen Schadens durch die unrechtmäßige Kenntniserlangung der betreffenden Daten durch einen Dritten und dessen Eintrittswahrscheinlichkeit zu treffen. Es sind Beeinträchtigungen immaterieller wie auch materieller Art in Betracht zu ziehen. 11 So z. B. der Schaden, der durch die Kenntniserlangung der Kontozugangsdaten einer bestimmten Person droht. Zu beachten ist, dass die Kenntniserlangung durch den Dritten zwar dem Wortlaut des Tatbestands entspricht, es aber durchaus als ausreichend erachtet wird, wenn eine hohe Wahrscheinlichkeit der Kenntniserlangung besteht. 12 Liegen die vorgenannten Voraussetzungen vor, hat die verantwortliche Stelle 13 dies unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Unverzüglich bedeutet i. S. d. 121 Abs. 1 BGB: ohne schuldhaftes Zögern. Allerdings steht dem Benachrichtigungspflichtigen nach den Umständen des Einzelfalls eine Prüfungsfrist zu, die auch die Möglichkeit einschließen kann, zunächst informell die zuständige Aufsichtsbehörde hinzuzuziehen. 14 Zu berücksichtigen ist, dass nach 42a S. 2 BDSG die Benachrichtigung der Betroffenen (nicht: die Benachrichtigung der zuständigen Aufsichtsbehörde) u. U. zunächst zurückgestellt werden kann. Vor ihrer Benachrichtigung darf die verantwortliche Stelle nämlich Maßnahmen zur Sicherung der Daten ergreifen. Auch entgegenstehende Interessen der Strafverfolgung können im Einzelfall zunächst gegen die Benachrichtigung der Betroffenen sprechen. 15 Die Gründe für eine zunächst zurückgestellte Benachrichtigung sollten dokumentiert werden. Sind die Hinderungsgründe weggefallen, sind auch die Betroffenen zu informieren. Im Rahmen der Benachrichtigung des Betroffenen hat die verantwortliche Stelle die Art der unrechtmäßigen Kenntniserlangung darzulegen und Empfehlungen für Maßnahmen zur Minderung nachteiliger Folgen zu geben. Der Betroffene soll in die Lage versetzt werden, die zur Abwehr, Begrenzung oder zum Ersatz des (drohenden) Schadens erforderlichen Maßnahmen zu treffen. 16 Gegenüber der zuständigen Aufsichtsbehörde hat zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der verantwortlichen Stelle ergriffenen Maßnahmen zu erfolgen. Dies dient der Beurteilung durch die Aufsichtsbehörde, ob der datenschutzrechtliche Verstoß tatsächlich beseitigt wurde. 17 Die Benachrichtigung der Betroffenen hat i. d. R. individuell zu erfolgen und ist nicht an eine bestimmte Form gebunden. 18 Würde die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfordern, z. B. weil es sich um eine Vielzahl von Betroffenen handelt und deren Adressen erst ermittelt werden müssten, kann die verantwortliche Stelle ersatzweise eine öffentliche Benachrichtigung vornehmen. Die Vorschrift nennt als Beispiel Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Zu denken wäre also auch an eine Veröffentlichung im Internet oder, je nach Betroffenenkreis, in einem anderen Medium, das von den Betroffenen mit hoher Wahrscheinlichkeit aufgesucht wird. Verstößt die verantwortliche Selle gegen die Vorschriften des 42a BDSG, macht sie nämlich die vorgesehene Mitteilung (Benachrichtigung) nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, droht gem. 43 Abs. 2 Nr. 7, Abs. 3 BDSG ein Bußgeld von bis zu Euro. 9 Vgl. Simitis, Bundesdatenschutzgesetz, 8. Aufl. 2014, 42a, Rn Siehe zum Abwägungsprozess exemplarisch Landesbeaufragter für Datenschutz und Informationssicherheit Nordrhein-Westfalen, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach 42a Bundesdatenschutzgesetz (BDSG) Häufig gestellte Fragen (FAQs), S Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a Rn Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a Rn. 4 m. w. N.; s. a. z. B. Landesbeaufragter für Datenschutz und Informationssicherheit Nordrhein-Westfalen, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach 42a Bundesdatenschutzgesetz (BDSG) Häufig gestellte Fragen (FAQs), S. 8: Die Kenntniserlangung durch einen Dritten muss nicht positiv festgestellt werden. Es ist ausreichend, wenn es entweder offensichtlich ist, dass Dritte Kenntnis erlangt haben, oder wenn anhand von tatsächlichen Anhaltspunkten mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann. 13 Im Falle der unrechtmäßigen Kenntniserlangung von bei einem Auftragsdatenverarbeiter gespeicherten personenbezogenen Daten trifft die Benachrichtigungspflicht ebenfalls die verantwortliche Stelle und nicht etwa den Auftragsverarbeiter selbst. S. hierzu auch Landesbeaufragter für Datenschutz und Informationssicherheit Nordrhein-Westfalen, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach 42a Bundesdatenschutzgesetz (BDSG) Häufig gestellte Fragen (FAQs), S Vgl. Simitis, Bundesdatenschutzgesetz, 8. Aufl. 2014, 42a, Rn. 10; s. a. Landesbeaufragter für Datenschutz und Informationssicherheit Nordrhein- Westfalen, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach 42a Bundesdatenschutzgesetz (BDSG) Häufig gestellte Fragen (FAQs), S. 12, wonach die Frist zur Benachrichtigung i. d. R. zwei Wochen nicht übersteigen dürfen soll. 15 Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a, Rn Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a, Rn BT-Drs. 16/12011, Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a, Rn. 7; Simitis, Bundesdatenschutzgesetz, 8. Aufl. 2014, 42a, Rn. 15.
3 56 BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher II. Die Regelung der Art. 33 und 34 DSGVO Die ab dem geltenden Regelungen der Datenschutz- Grundverordnung (DSGVO) ändern die Vorgaben zur Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten in verschiedener Hinsicht ab. Zudem unterscheidet die DSGVO deutlicher zwischen der Meldung an die Aufsichtsbehörde und der Benachrichtigung der Betroffenen und regelt dies in jeweils eigenen Artikeln. Art. 33 DSGVO behandelt die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Art. 34 DSGVO regelt die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person. 1. Die Regelung des Art. 33 DSGVO Nach dem Grundsatz des Art. 33 Abs. 1 S. 1 DSGVO hat der Verantwortliche, 19 soweit es zu einer Verletzung des Schutzes personenbezogener Daten kommt, dies unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde zu melden es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Adressat der Meldepflicht ist, wie bei 42a BDSG, der Verantwortliche, nicht der Auftragsverarbeiter. Letzterer hat allerdings, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, unverzüglich den Verantwortlichen zu informieren. 20 Nach Art. 4 Nr. 12 DSGVO, wird die Verletzung des Schutzes personenbezogener Daten definiert als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Hieraus ergibt sich, dass im Gegensatz zu 42a BDSG zunächst einmal jegliche Verletzung personenbezogener Daten grundsätzlich geeignet ist, eine Meldepflicht auszulösen. Es kommt nicht auf die unrechtmäßige Kenntniserlangung durch einen Dritten, sei dies bewusst und gewollt oder unbewusst und ungewollt geschehen, an. Denkbar wäre also auch eine (ggf. meldepflichtige) Verletzung dadurch, dass personenbezogene Daten, die hätten gelöscht werden müssen, nicht gelöscht wurden oder die hätten berichtigt werden müssen, nicht berichtigt wurden. Auch in Bezug auf die relevanten Datenarten nimmt die DS- GVO, anders als 42a BDSG, keine Beschränkung vor. Alle Arten personenbezogener Daten werden gleich behandelt. Die Meldepflicht knüpft zeitlich an das Bekanntwerden, also das Vorliegen von Tatsachen, nicht deren rechtliche Subsumtion, an. Getreu dem risikobasierten Ansatz der DSGVO hat der Verantwortliche eine Prognoseentscheidung darüber zu treffen, ob die Verletzung zu einem Risiko für die Betroffenen führt. Ist dies nicht der Fall, kann eine Meldung unterbleiben. Welche Umstände in die Prognose einzubeziehen sind, sagt die Verordnung nicht. Angesichts des risikobasierten Ansatzes wird der Verantwortliche, wie schon bei 42a BDSG, das mögliche Schadensausmaß und dessen Eintrittswahrscheinlichkeit zu beurteilen haben. Die Risikoprognose kann den Verantwortlichen aber vor komplexe Abwägungsfrage stellen. Stellt es z. B. ein Risiko dar, dass Daten über Krankheitstage eines inzwischen ausgeschiedenen Mitarbeiters noch nicht gelöscht oder jedenfalls in ihrem Zugriff beschränkt wurden und daher von anderen Mitarbeitern der Personalabteilung eingesehen werden? Wie ist der Fall zu beurteilen, wenn die Profildaten eines Versicherungskunden unbefugt verändert werden, ohne dass sich dies zunächst auf den aktuellen Versicherungsschutz auswirkt? Das Bayerische Landesamt für Datenschutzaufsicht geht davon aus, dass es zu einer Abstimmung der Aufsichtsbehörden kommen wird, in welchen Fällen von einem relevanten Risiko für die Rechte und Freiheiten der Betroffenen auszugehen ist. 21 In diesem Sinne sieht Art. 70 Abs. 1 g) DSGVO vor, dass der Europäische Datenschutzausschuss 22 zum Zwecke der einheitlichen Anwendung der Verordnung Leitlinien, Empfehlungen und bewährte Verfahren betreffend die Feststellung von Verletzungen des Schutzes personenbezogener Daten, die Festlegung der Unverzüglichkeit sowie den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung zu melden hat, bereitstellt. Während die Information der Aufsichtsbehörde nach 42a BDSG unverzüglich zu erfolgen hat, hat die Meldung nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden zu erfolgen. Die 72 Stunden werden künftig zum Maßstab für die Frage der Unverzüglichkeit. Überschreitungen dieser Frist sind zu begründen, Art. 33 Abs. 1 S. 2 DSGVO. Nach den Erwägungsgründen der DSGVO sind für die Feststellung, ob die Meldung unverzüglich erfolgt ist, Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person zu berücksichtigen. 23 Im Rahmen seiner Meldung an die Aufsichtsbehörde hat der Verantwortliche die folgenden Angaben zu machen: 24 a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Ist es ihm nicht möglich, all diese Angaben innerhalb der 72-Stunden- Frist, oder auch danach (unverzüglich) zu machen, kann er der Behörde die Informationen auch schrittweise zur Verfügung stellen, Art. 33 Abs. 4 DSGVO. Er hat allerdings darauf zu achten, dass keine von ihm 19 Verantwortlicher gem. Art. 4 Nr. 7 Hs. 1 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Person des Verantwortlichen ist das Pendant der Verantwortlichen Stelle nach 3 Abs. 7 BDSG: jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. 20 Art. 33 Abs. 2 DSGVO. In diesem Sinne ist der Auftragsverarbeiter gem. Art. 28 Abs. 3 S. 2 f) DSGVO vertraglich darauf zu verpflichten, den Verantwortlichen bei der Einhaltung seiner Datensicherheitspflichten zu unterstützen, indem er diesem die erforderlichen Informationen zur Verfügung stellt. 21 Bayerisches Landesamt für Datenschutzaufsicht, EU-Datenschutz-Grundverordnung (DS-GVO), Das BayLDA auf dem Weg zur Umsetzung der Verordnung, Teil VIII, Der Umgang mit Datenpannen Art. 33 und 34 DS-GVO, Stand: , S Der Europäische Datenschutzausschuss wird gem. Art. 68 DSGVO als Einrichtung der Union mit eigener Rechtspersönlichkeit gegründet und besteht aus Mitgliedern der nationalen Datenschutzaufsichtsbehörden sowie dem Europäischen Datenschutzbeauftragten. 23 Vgl. Erwägungsgrund 87 zur DSGVO. 24 Art. 33 Abs. 3 DSGVO.
4 Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION 57 verschuldete Verzögerung 25 bei dieser schrittweisen Bereitstellung eintritt. Die engen Vorgaben, die der Verordnungsgeber dem Verantwortlichen in Bezug auf Zeitpunkt und Inhalt der Meldung sowie die erforderlichenfalls nachzuliefernden Informationen an die Aufsichtsbehörde macht, sind bei der internen Organisation des Krisen manage ments zu berücksichtigen. Zu der Meldung an die Aufsichtsbehörde treten korrespondierende Dokumentationsvorschriften. Auch diese sind in das Krisenmanagement einzubeziehen. Der Verantwortliche hat die konkrete Verletzung des Schutzes personenbezogener Daten einschließlich aller damit zusammenhängenden Fakten, Auswirkungen und ergriffenen Abwehrmaßnahmen zu dokumentieren. Damit wird das Ziel verfolgt, der Aufsichtsbehörde die Überprüfung des Vorgangs zu ermöglichen. Zu beachten ist, dass nach den Erwägungsgründen der Verordnung insbesondere erwartet wird, dass im Rahmen der Meldung hinreichend berücksichtigt wird, ob bspw. personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. 26 D. h. anhand des konkreten Vorfalls wird die Behörde auch eine Aussage zur generellen Qualität der Sicherheit der Verarbeitung nach Art. 32 DSGVO ableiten wollen und können. 2. Die Regelung des Art. 34 DSGVO Sofern die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für den Betroffenen birgt, hat der Verantwortliche diesen zusätzlich unverzüglich zu benachrichtigen, Art. 34 Abs. 1 DSGVO. Zu beachten ist, dass die Pflicht zur Benachrichtigung des Betroffenen eine andere Risikoqualität voraussetzt, als die Meldung an die Aufsichtsbehörde. Der Betroffene ist nur zu benachrichtigen, wenn ein hohes Risiko in Rede steht. Maßgeblich ist also wiederum die Prognose. Schadensausmaß und Eintrittswahrscheinlichkeit sind abermals zu analysieren. Je höher eines der beiden Kriterien zu bewerten ist, desto eher ist von einem hohen Risiko zu sprechen. Für das Krisenmanagement bedeutet dies, Abwägungskriterien zu erarbeiten, um die Meldeschwelle gegenüber der Aufsichtsbehörde sowie die Benachrichtigungsschwelle gegenüber dem Betroffenen zu definieren. Zu berücksichtigen ist zudem, dass die 72-Stunden-Frist des Art. 33 DSGVO im Rahmen der Benachrichtigungspflicht gegenüber dem Betroffenen keine Anwendung findet. Einziges zeitliches Kriterium ist hier die Unverzüglichkeit. Diese dürfte ebenso zu interpretieren sein, wie es im Rahmen des 42a BDSG der Fall ist. Eine besondere kürzere Frist, als die des Art. 33 DSGVO, dürfte jedenfalls nicht intendiert sein, da der Art. 34 DSGVO insgesamt höhere Anforderungen an das Erreichen der Benachrichtigungsschwelle stellt. 27 Inhaltich hat die Benachrichtigung des Betroffenen in einfacher und klarer Sprache die Art der Verletzung zu beschreiben und hat ansonsten die Informationen gem. Art. 33 Abs. 3 b) bis d) DSGVO (Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, Beschreibung der wahrscheinlichen Folgen der Verletzung, Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen) zu enthalten. 28 Der Verantwortliche kann unter bestimmten Umständen ganz von einer Benachrichtigung absehen. 29 Dies ist zum einen der Fall, wenn er bezogen auf die besagten Daten im Vorfeld besondere technische und organisatorische Maßnahmen angewendet hat, die insbesondere den unberechtigten Zugang zu diesen Daten verhindern. Der Verordnungsgeber nennt hier die Verschlüsselung als Beispiel. Zum anderen entfällt die Benachrichtigungspflicht, wenn der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht. Welche Maßnahmen dies sein können, beschreibt die DSGVO nicht. Es ist davon auszugehen, dass hier noch eine Klärung unter den Aufsichtsbehörden erfolgen wird. 30 Ist die individuelle Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden, kann stattdessen eine öffentliche Bekanntmachung oder ähnlich wirksame Informationsmaßnahme erfolgen. Die DSGVO nennt auch hier kein Beispiel. Eine Anlehnung an das Vorgehen nach 42a BDSG dürfte möglich sein. Gem. Art. 34 Abs. 4 DSGVO kann die Aufsichtsbehörde dem Verantwortlichen aufgeben, die Betroffenen im Falle eines wahrscheinlich hohen Risikos zu benachrichtigen, sofern er dies nicht bereits getan hat. Andererseits kann sie durch Beschluss feststellen, dass die Benachrichtigung unterbleiben kann oder eine sonstige Voraussetzung des Art. 34 Abs. 3 erfüllt ist. Überdies können die nationalen Gesetzgeber die Vorgaben der Benachrichtigung der Betroffenen zu bestimmten Zwecken beschränken, wobei allerdings der Wesensgehalt der durch die DSGVO geschützten Grundrechte und Grundfreiheiten zu achten ist und die nationale gesetzgeberische Maßnahme verhältnismäßig sein muss Folgen Kommt es zu einem Verstoß gegen die Pflichten aus Art. 33 oder 34 DSGVO, sind diese mit Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens mit bis zu 2 Prozent des gesamten weltweit erzielten Umsatzes des Vorjahres bewehrt. Außerdem kann ein solcher Verstoß zum Anknüpfungspunkt eines Schadensersatzanspruchs des Betroffenen gem. Art. 82 Abs. 1 DSGVO sowie für weitergehende Maßnahmen der Aufsichtsbehörde nach Art. 58 DSGVO werden. III. Umgang mit Datenverlusten in der Praxis Da der Verlust von Daten auch personenbezogenen und anderen sensiblen Daten in jeder Organisation vorkommen kann, ist es sinnvoll, entsprechende Erkennungs- und Reaktionsprozesse zu etablieren. Die Vergangenheit hat gezeigt, dass auch Organisationen betroffen sein können, die über signifikante Budgets und Fähigkeiten zur Abwehr von Datenverlusten verfügen. Die Herausforderung auch bei diesen Unternehmen und Behörden lag v. a. darin, den Datenverlust 25 Art. 33 Abs. 4 spricht konkret davon, dass keine unangemessene weitere Verzögerung eintreten darf. 26 Vgl. Erwägungsgrund 88 zur DSGVO. 27 Z. B. das Anknüpfen an ein hohes Risiko oder den Umstand, dass die Benachrichtigung des Betroffenen unter den Voraussetzungen des Art. 34 Abs. 4 DSGVO auch entbehrlich sein kann. 28 Art. 34 Abs. 2 DSGVO. 29 Art. 34 Abs. 3 DSGVO. 30 Bayerisches Landesamt für Datenschutzaufsicht, EU-Datenschutz-Grundverordnung (DS-GVO), Das BayLDA auf dem Weg zur Umsetzung der Verordnung, Teil VIII, Der Umgang mit Datenpannen Art. 33 und 34 DS-GVO, Stand: , S Art. 23 Abs. 1 DSGVO. Dies kann z. B. der Fall sein zur Wahrung der nationalen Sicherheit, der öffentlichen Sicherheit oder des Schutzes wichtiger Ziele des allgemeinen öffentlichen Interesses.
5 58 BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher zu erkennen und dann angemessen reagieren zu können. Das Tückische bei Datenverlusten ist, dass sich im Gegensatz zu klassischen wirtschaftskriminellen Handlungen, der Schaden nicht bereits während oder kurz nach dem Verlust bemerkbar macht. Häufig erfolgt dies erst dann, wenn die Daten missbraucht werden oder eine Aufsichtsbehörde eine Untersuchung einleitet. Hinzu kommt, dass der verursachte Reputationsschaden oft erst mit dem Bekanntwerden des Missbrauchs oder der aufsichtsbehördlichen Sanktionierung einhergeht. So wurden in den letzten Monaten zwei Angriffe auf einen Internetdienstleister bekannt und in der Öffentlichkeit diskutiert, da das entsprechendes Datendiebesgut erst jetzt aufgetaucht war. Der eigentliche Diebstahl fand aber in den Jahren 2013 und 2014 statt. 32 Idealerweise lässt sich eine angemessene Reaktion auf Datenverluste aus einem Incident Management Prozess herleiten, der auch eine Schnittstelle zu einer Meldeorganisation beinhaltet. Es sei an dieser Stelle angemerkt, dass sich auch aus anderen nationalen und internationalen bzw. branchenspezifischen Rechtsnormen Notifikationspflichten bei Datenverlusten oder dafür möglicherweise ursächlichen IT-Sicherheitsvorfällen ergeben, auf die die Autoren an dieser Stelle nicht weiter eingehen. Allerdings zeigen sich immer wieder deckungsgleiche Elemente, die es sinnvoll erscheinen lassen, die Meldeorganisation entsprechend so aufzubauen, dass den Notifikationspflichten aus unterschiedlichen Anforderungen heraus Genüge getan werden kann. Es gibt zahlreiche Standards und Stellen, die sich mit den wesentlichen Schritten eines Incident Management Prozesses beschäftigen, z. B. ISO, NIST, SANS, das deutsche BSI. Allen gemein sind wesentliche Schlüsselelemente, um mit Sicherheitsvorfällen (wie z. B. Datenschutzverletzungen) effizient umzugehen. Der aus Sicht der Autoren wesentliche Aspekt ist die Vorbereitung auf einen Datenverlust. Dies beinhaltet auch, sich darüber bewusst zu werden, dass man einen solchen Verlust erleiden kann. Die Praxis zeigt, dass es jeden treffen kann und mit hoher Wahrscheinlichkeit auch treffen wird. Mit dieser Gewissheit lässt sich blindes Vertrauen allein in Abwehrmaßnahmen schnell überwinden und die geeigneten Rollen, Prozesse und Dokumentationen können eingerichtet werden. Dazu gehört u. a. eine Regelung für eine Klassifikation von Sicherheitsvorfällen und Datenverlusten eine im Kontext dieses Artikels wichtige Frage lautet: muss ich einen Verlust dieser Daten grundsätzlich melden? Hier stoßen die Unternehmen an ihre erste Hürde, nämlich die Datenklassifikation. Eine weitere wichtige Frage stellt sich im Zusammenhang mit der Verantwortlichkeit innerhalb einer Organisation. Entscheidend ist, dass eine Synchronisation der verschiedenen Stakeholder vorgenommen wird: Compliance-Abteilung, Informationssicherheit, IT-Abteilung, Rechtsabteilung, Innenrevision. Eine dieser Abteilungen muss die Verantwortung für den Prozess innehaben und aufgeklärt über die Notifikation entscheiden. Bei der Zuteilung von Rollen und Verantwortlichkeiten spielen Alarmierung und Eskalation ebenfalls eine wesentliche Rolle. Das Schreckensszenario ist: die IT-Abteilung versucht seit Tagen, ein Problem zu erkennen und zu lösen und erkennt nicht, dass gerade personenbezogene Daten kompromittiert werden, während die Datenschutzorganisation davon erst später durch Kundenbeschwerden oder Pressemeldungen erfährt. Last but not least gehört ein angemessenes Übungskonzept zu einer jeden guten Prävention. Denn nur mit Übung und Trainings kann man im Ernstfall angemessen reagieren und auch Schwachstellen in Prozessen und Verfahren aufdecken. Die Natur der Datenverarbeitung bringt es mit sich, dass ein Datenschutzverstoß lautlos geschieht und nicht sofort erkennbar ist im schlimmsten Fall erst, wenn diese Daten missbraucht werden. Aus diesem Grund ist die Erkennung und Aufdeckung von Datenschutzverstößen eine ständige Herausforderung in einem Incident Management Prozess. Sind Datenschutzverstoß oder Sicherheitsvorfall erkannt, fallen viele Aufgaben parallel an: Eindämmung der Ausweitung des Vorfalls, Feststellung des Schadens, Sammeln der Spuren für die Aufklärung, Kommunikation an Mitarbeiter und Geschäftspartner sowie Information der Behörden und Betroffenen. Über all diese Schritte muss entschieden werden sie bauen aber zugleich aufeinander auf. Wenn Ursache und Betroffenheit strukturiert aufbereitet gemeldet werden sollen, muss dies auch strukturiert ermittelt und dokumentiert werden. Wichtig ist darüber hinaus, dass man später nachweisen kann, dass es im Rahmen des Incident Managements keine Hinweise auf meldepflichtige Datenschutzverstöße gab. Zu beachten ist dabei, dass es durch die Aufdeckungs- und Aufklärungsmaßnahmen nicht zu weiteren Datenschutzverstößen kommt, die eventuell schwerwiegender sind als der ursprüngliche Vorfall. Vieles lässt sich sicherlich im Lichte der Gefahrenabwehr und Schadenseindämmung diskutieren ohne eine abgewogene Entscheidung und Dokumentation ist dieser Nachweis aber im Nachhinein oft nicht möglich. Nachdem die betroffenen Systeme, Prozesse und Verfahren wieder angelaufen sind, ist es wichtig, mit Hilfe der Dokumentation baldige Follow Up-Maßnahmen zu ergreifen und aus den Erfahrungen zu lernen. Allein aus diesem Grund ist eine strukturierte Ermittlung in den meisten Fällen sinnvoll. Diese liefert häufig auch Antworten auf die Frage, ob man seinen Meldepflichten überhaupt nachkommen kann. AUTOREN Barbara Scheben ist Rechtsanwältin und leitet als Partner der KPMG AG Wirtschaftsprüfungsgesellschaft das Frankfurter Forensic Office. Ihre Tätigkeitsschwerpunkte liegen in der Durchführung forensischer Sonderuntersuchungen sowie der Beratung zu Prävention, Aufdeckung und Aufklärung von Wirtschaftskriminalität sowie datenschutzrechtlichen Themen. Alexander Geschonneck leitet als Partner der KPMG AG Wirtschaftsprüfungsgesellschaft das deutsche Forensic Team. Zu seinen Aufgaben gehört neben der Durchführung von forensischen Sonderuntersuchungen die Aufdeckung und Aufklärung von Cybercrime-Vorfällen. 32 Abrufbar unter (Abruf: ).
Zur Informationspflicht nach 42a Bundesdatenschutzgesetz (BDSG)
DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Zur Informationspflicht nach 42a Bundesdatenschutzgesetz (BDSG) (einschließlich einer Checkliste für die Mitteilung an die Aufsichtsbehörde) - Stand: 12. Dezember
MehrDatenschutz ist Persönlichkeitsschutz
Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was
MehrDatenschutz-Vereinbarung
Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die
MehrDatenschutz im Spendenwesen
Datenschutz im Spendenwesen Corinna Holländer, Referentin beim Berliner Beauftragten für f r Datenschutz und Informationsfreiheit (Bereiche: Wirtschaft, Sanktionsstelle) Berlin, den 16. Mai 2011 1 Gliederung
MehrDavid Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!
David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus
MehrVerpflichtung auf das Datengeheimnis
BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:
MehrVerpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)
Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Mustermann GmbH Musterstr. 123 12345 Musterstadt Sehr geehrte(r) Frau/Herr, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen gilt
MehrDas neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz
Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz Eine Veranstaltung der IHK Regensburg am 27.10.2009 Referentin: Sabine Sobola, Rechtsanwältin, Lehrbeauftragte für IT-Recht
MehrMan kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.
Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der
MehrDatenschutzerklärung der Perfekt Finanzservice GmbH
Datenschutzerklärung der Perfekt Finanzservice GmbH Anschrift Perfekt Finanzservice GmbH Augustinusstraße 9B 50226 Frechen Kontakt Telefon: 02234/91133-0 Telefax: 02234/91133-22 E-Mail: kontakt@perfekt-finanzservice.de
MehrVerordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim
Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Kirchlicher Anzeiger für das Bistum Hildesheim vom 31.10.2003, Nr. 10, Seite 233 ff. I. Zu
MehrErhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security
Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Aktuelle Änderungen des Bundesdatenschutzgesetzes vom 3.7.2009. July 2009 WP-DE-20-07-2009 Einführung Die am 3. Juli 2009
MehrGründe für ein Verfahrensverzeichnis
1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in
MehrVorabkontrolle gemäß 4d Abs. 5 BDSG
- Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene
MehrX. Datenvermeidung und Datensparsamkeit nach 3a BDSG
X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten
MehrVerordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)
Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) I. Zu 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung) (1) Sofern Verfahren
MehrVereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)
Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) zwischen der CSL-Beratung UG haftungsbeschränkt und - nachstehend Auftragnehmer genannt - dem Benutzer des Beratungsassistenten
MehrDatenschutz. Follow Up: Hohes Bußgeld für unberechtigte Kundendatenübernahme beim Asset Deal Der Wortlaut des Bußgeldbescheids.
Follow Up: Hohes Bußgeld für unberechtigte Kundendatenübernahme beim Asset Deal Der Wortlaut des Bußgeldbescheids liegt vor! Im Fall des wegen unzulässiger Kundendatenweitergabe beim Asset Deal verhängten
MehrAmerican Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni 2012. Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter
Rechtsvorschriften im Bereich Datenschutz und Privatsphäre Auswirkungen auf Unternehmen und Verbraucher Podiumsdiskussion 1 Wie sich der Ansatz in Bezug auf die Privatsphäre entwickelt: die Visionen der
MehrDienstvereinbarung über die Nutzung von elektronischen Schließanlagen und Zugangskontrollsystemen
Dienstvereinbarung über die Nutzung von elektronischen Schließanlagen und Zugangskontrollsystemen zwischen der Behörde für Bildung und Sport Hamburg und dem Gesamtpersonalrat für das Personal an staatlichen
MehrAnlage zur Auftragsdatenverarbeitung
Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung
MehrMerkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz
Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis
MehrDatenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?
Was ist Datenschutz, und weshalb betrifft er unser Unternehmen? 1 Herzlich willkommen! Die Themen heute: Datenschutz ein aktuelles Thema Gründe für einen guten Datenschutz Welche Grundregeln sind zu beachten?
MehrÄnderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen
über eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) KOM(2012)
MehrDatenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -
INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -
MehrVereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)
Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit
MehrVereinbarung Auftrag gemäß 11 BDSG
Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern
MehrSozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche
Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten
MehrDatenschutz und Datensicherheit in mittelständischen Betrieben
Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit
MehrCheckliste zum Datenschutz
Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf
MehrAufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland
Aufbewahrung von erweiterten Führungszeugnissen Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland Nach 72a Abs. 1 SGB VIII dürfen Träger der öffentlichen Jugendhilfe keine Personen hauptamtlich beschäftigen
MehrChristoph Ohrmann. Meldepflichten bei Datenpannen (Data Breach) - Leseprobe -
Christoph Ohrmann Meldepflichten bei Datenpannen (Data Breach) Übersicht über die Arbeitshilfen vertragszusatz.doc Musterformulierung Zusatz zum Vertrag zur Auftragsdatenverarbeitung maßnahmen.doc ersterfassung.doc
MehrHinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung:
Briefbogen des verwenden Unternehmens Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Die Verpflichtung hat in der Regel vor oder bei erstmaliger Aufnahme der Arbeit bei der verantwortlichen
MehrBaden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -
Baden-Württemberg INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z. B. Google Analytics 1 -
Mehr2.4.7 Zugriffsprotokoll und Kontrollen
2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.
MehrDatenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten
Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene
MehrAuftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)
Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) zwischen dem Teilnehmer am Abschlepp Manager - Auftraggeber - und Eucon GmbH Martin-Luther-King-Weg 2, 48155 Münster -Auftragnehmer-
MehrDatenschutzvereinbarung
Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und
MehrEntwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes
Bundesrat Drucksache 599/05 (Beschluss) 23.09.05 Gesetzentwurf des Bundesrates Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes A. Problem und Ziel Das Bundesdatenschutzgesetz legt für
MehrIncident Response und Forensik
Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten
MehrCheckliste zur Erfüllung der Informationspflichten bei Datenerhebung
Checkliste 2006 Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung Nach 4 Abs. 3 BDSG Bitte lesen Sie vorab die Ausführungen zu dem Thema Datenschutz/Datenerhebung. So kommen Sie durch
MehrFacebook und Datenschutz Geht das überhaupt?
Folie 1 Facebook und Datenschutz Geht das überhaupt? Dipl.-Ing. Michael Foth CISA, CGEIT CFE, CRISC Datenschutzbeauftragter des Landessportverbandes Schleswig-Holstein e. V. Folie 2 Themen Webseite Facebook
Mehr12a HmbDSG - Unterrichtung bei der Erhebung
Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
MehrDie Pflicht zur Wahrung des Datengeheimnisses bleibt auch im Falle einer Versetzung oder nach Beendigung des Arbeits-/Dienstverhältnisses bestehen.
Verpflichtung auf das Datengeheimnis gemäß 5 Bundesdatenschutzgesetz (BDSG), auf das Fernmeldegeheimnis gemäß 88 Telekommunikationsgesetz (TKG) und auf Wahrung von Geschäftsgeheimnissen (Name der verantwortlichen
MehrAGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan
IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)
MehrEinwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung*
Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften
MehrSie haben etwas Einmaliges zu vergeben: Ihr Vertrauen
Sie haben etwas Einmaliges zu vergeben: Ihr Vertrauen es spricht Rechtsanwalt Frank A. Semerad H/W/S Dr. Pipping Rechtsanwaltsgesellschaft mbh, Stuttgart 23. Juli 2014 Rechtliche Anforderungen im Bereich
MehrBerliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)
Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz
MehrMerkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG
Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen
MehrVerordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern
Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes
MehrKundeninformation Januar 2013 Sehr geehrte Damen und Herren, wir wünschen Ihnen ein frohes neues Jahr und hoffen Sie hatten einen guten und erfolgrei- chen Start. Wie gewohnt werden wir Sie auch in diesem
MehrDatenschutz und Kinderschutz - Einheit oder Gegensatz?
Datenschutz und Kinderschutz - Einheit oder Gegensatz? Dr. Claudia Federrath Berlin, den 11. März 2009 Aufgaben Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kontrolliert die Einhaltung
Mehr17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland
Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
MehrScopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3
Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt
Mehrlassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.
Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter
MehrEinführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)
Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen
MehrQuelle: Kirchliches Amtsblatt 2005 / Stück 10
Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Nr.147. Gesetz zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen im Erzbistum Paderborn - PatDSG Zum Schutz von personenbezogenen
MehrDie Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein.
Nutzungsbedingungen Die Website Eislaufbörse ECZ-KLS (nachfolgend die "Website") gehört der Kunstlaufsektion ECZ (nachfolgend "KLS-ECZ.CH" oder "wir", "uns", etc.), welche sämtliche Rechte an der Website
MehrDatenschutz in der betrieblichen Praxis
Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung von Alfred W. Jäger, Datenschutzbeauftragter Überblick zur
MehrDatenschutznovelle II (Datenhandel)
Datenschutznovelle II (Datenhandel) Konsequenzen für das Dialogmarketing Bedeutung des Werbemarktes für Briefdienstleister Bonn, 25. November 2009 Dirk Wolf Vizepräsident Mitglieder und Innovation Deutscher
MehrSchutz der Sozialdaten
Andreas Pirack Schutz der Sozialdaten Andreas Pirack 1 Interessenkollision Individuum Allgemeinheit Recht auf Privatsphäre Recht auf Privatsphäre Öffentliches Interesse 2 Informationelles Selbstbestimmungsrecht
MehrRundschreiben Nr. 41/96 Sicherung der notariellen Verschwiegenheitspflicht bei EDV-Installation
30.10.1996 R 46/E 22 er An alle Notarkammern nachrichtlich: An das Präsidium der Bundesnotarkammer An den Badischen Notarverein An den Württembergischen Notarverein An die Notarkasse An die Ländernotarkasse
MehrMitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)
Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten
MehrAnlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag
Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen
MehrVerordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)
Verordnung zum Schutz von Patientendaten DSVO-KH 858-1 Archiv Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH) vom 10. Oktober
MehrDatenschutzunterweisung kompakt
Datenschutzunterweisung kompakt Mitarbeiter gekonnt und dauerhaft sensibilisieren Bearbeitet von Oliver Schonschek, Jochen Brandt, Harald Eul 1. Auflage 2015. CD. ISBN 978 3 8245 8092 7 Format (B x L):
MehrAufgaben und Inanspruchnahme einer insofern erfahrenen Fachkraft Art der Meldung Schutzplan Datenschutz
Informationen zum Verfahren bei Kindeswohlgefährdung in Einrichtungen Vereinbarung gem. 8a Sozialgesetzbuch VIII zur Wahrnehmung des Schutzauftrages bei Kindeswohlgefährdung Aufgaben und Inanspruchnahme
MehrMindestumsetzung im Datenschutz
Erstellt von Dr. Marion Herrmann Datenschutz Symbiose GmbH 2014/02 V 1.0 Rev. 0 1 1 Mindestumsetzung im Datenschutz Vortrag im Rahmen der Veranstaltung Datenschutz und IT-Sicherheit Veranstalter: ebusiness-lotse
MehrInformationen zum Datenschutz im Maler- und Lackiererhandwerk
Institut für Betriebsberatung des deutschen Maler- und Lackiererhandwerks Frankfurter Straße 14, 63500 Seligenstadt Telefon (06182) 2 52 08 * Fax 2 47 01 Maler-Lackierer-Institut@t-online.de www.malerinstitut.de
MehrDatenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)
Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte
MehrDASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER
DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER Bei ihrer Geschäftstätigkeit erheben Dassault Systèmes und seine Tochtergesellschaften (in ihrer Gesamtheit als 3DS bezeichnet) personenbezogene
MehrThementag Cloud Computing Datenschutzaspekte
Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden
MehrRisikobasiertes Denken in 9001:2015
Risikobasiertes Denken in 9001:2015 Firmenprofil ecoprotec GmbH gegründet im Jahr 2000 mittelständisches Ingenieurbüro Umweltschutz Qualitätsmanagement Sicherheit (Arbeits-, Betriebs-, Anlagen- und Baustellensicherheit)
MehrGrundlagen Datenschutz
Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de
MehrBayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken
in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten
MehrIT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks
IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten
MehrDatenschutz- und Vertraulichkeitsvereinbarung
Datenschutz- und Vertraulichkeitsvereinbarung zwischen der Verein - nachstehend Verein genannt - und der Netxp GmbH Mühlstraße 4 84332 Hebertsfelden - nachstehend Vertragspartner genannt - wird vereinbart:
MehrAltes BDSG BDSG Kabinettsentwurf 10.12.2008
4f (3) 1 Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen nicht-öffentlichen Stelle unmittelbar zu unterstellen. 2 Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes
MehrMustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 -
DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße 10a
MehrEinwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung
Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Der Text der Einwilligungs-/Schweigepflichtentbindungserklärung wurde 2011 mit den Datenschutzaufsichtsbehörden
MehrAllgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren
Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Stand: 20.12.2007 Inhaltsverzeichnis Vorbemerkung Ziff. 1 Ziff. 2 Ziff.
MehrWIE MAN DEN INTERESSENKONFLIKT ZWISCHEN UNTERNEHMEN UND KONSUMENTEN REDUZIERT
Steigerung von Vertrauen in personalisiertes Marketing WIE MAN DEN INTERESSENKONFLIKT ZWISCHEN UNTERNEHMEN UND KONSUMENTEN REDUZIERT Nicole Baumann Consultant Cocomore AG E-Mail: presseservice@cocomore.com
MehrVereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports
Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich
MehrOberlandstr. 26 Kreissparkasse Starnberg 82335 Aufhausen Kontonr.: 22315188 BLZ: 70250150 Telefon: 0 81 51/ 97 37 37
Nutzungsvereinbarung- / Einweisung für die Außenfüllanlage für Atemluft von der Tauchperle zwischen PFLICHTANGABEN: Name:... Vorname:... Straße:... PLZ- Ort:... Telefon:... Mobil:... Email:... Geburtsdatum:...
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG
und der IT-Sicherheit Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG 1.1 Legaldefinitionen Aufgabe: Stellen Sie gegenüber, in welchen Fällen von einer "Übermittlung"
MehrDer betriebliche Datenschutzbeauftragte
Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr
MehrAnlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel
Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag
MehrInternet- und E-Mail-Überwachung in Unternehmen und Organisationen
Publiziert in SWITCHjournal 1/2004 Internet- und E-Mail-Überwachung in Unternehmen und Organisationen Dr. Ursula Widmer, Rechtsanwältin, Bern ursula.widmer@widmerpartners-lawyers.ch Die Nutzung von Internet
MehrDaten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen)
Datenschutzerklärung der Etacs GmbH Die Etacs GmbH wird den Anforderungen des Bundesdatenschutzgesetzes (BDSG) gerecht.personenbezogene Daten, d.h Angaben, mittels derer eine natürliche Person unmittelbar
MehrDie Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht
Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute
Mehr10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.
M erkblatt Vorabkontrolle 1 Einleitung Öffentliche Organe des Kantons Zürich müssen Projekte und Vorhaben dem Datenschutzbeauftragten zur Prüfung unterbreiten, wenn diese Datenbearbeitungen beinhalten,
MehrHinweise zum Erstellen eines Verfahrensverzeichnisses
Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...
MehrHEUKING KÜHN LÜER WOJTEK. Datenpanne Was passiert, wenn es passiert ist, und wem passiert etwas?
HEUKING KÜHN LÜER WOJTEK Datenpanne Was passiert, wenn es passiert ist, und wem passiert etwas? Frankfurt, 12. Februar 2014 Dr. Herbert Palmberger, M.C.J. I Szenarien von Datenpannen (Auswahl) Hackerangriff
MehrMit einem Fuß im Knast?!
Ihre Referenten Stefan Sander, LL.M. (Informationsrecht), B.Sc. Rechtsanwalt, Fachanwalt für IT-Recht Software-Systemingenieur Heiko Schöning, LL.M. (Informationsrecht) Rechtsanwalt Agenda Datenschutz
MehrPrüfungsbericht. IDEAL Lebensversicherung a.g. Berlin
Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen
MehrHandlungsanleitung zur Vornahme von Beanstandungen nach 29 Bremisches Datenschutzgesetz
Handlungsanleitung zur Vornahme von Beanstandungen nach 29 Bremisches Datenschutzgesetz 1. Ziel und Zweck der Beanstandung Die formelle Beanstandung nach 29 des Bremischen Datenschutzgesetzes ist für die
MehrÜbermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis?
Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? AnleiterInnentag 13.11.2014 Prof. Patjens www.dhbw-stuttgart.de Datenschutz Darf ich Sozialdaten weitergeben? Schweigepflicht
MehrVerordnung über den Datenschutz bei der geschäftsmäßigen Erbringung von Postdiensten (Postdienste-Datenschutzverordnung PDSV) Vom 2.
Verordnung über den Datenschutz bei der geschäftsmäßigen Erbringung von Postdiensten (Postdienste-Datenschutzverordnung PDSV) Vom 2. Juli 2002 Auf Grund des 41 des Postgesetzes vom 22. Dezember 1997 (BGBl.
MehrDigitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder
Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus
Mehr