Mitgliederbereich

Bitte geben Sie ihren Benutzernamen oder E-Mail-Adresse ein. Sie erhalten eine E-Mail zum Zurücksetzen des Passworts.

Bitte geben Sie ihre E-Mail-Adresse ein. Sie erhalten die E-Mail zum Abschließen der Registrierung erneut. Bitte prüfen Sie auch Ihren Spam-Ordner.

Am 07.10.2022 haben die USA die

Executive Order für den EU-US Data Privacy Framework (EU-US-DPF)

unterzeichnet. Damit soll das angemessene Datenschutzniveau gewährleistet werden, welches für den Datentransfer in ein Drittland aufgrund eines Angemessenheitsbeschlusses der EU-Kommission erforderlich ist.

Aus US-Sicht sind damit alle zum Vorgänger (EU-US – Privacy Shield) aufgeworfenen Fragen des Europäischen Gerichtshofs vollständig berücksichtigt worden.

Die EU-Kommission muss nun noch den Angemessenheitsbeschluss nach Art. 45 Abs. 1 DS-GVO erlassen. Der März 2023 gilt als realistisches Ziel.

Wir hatten zuletzt am 21.04.2022 über den Stillstand berichtet (https://www.vdw-sachsen.de/datentransfer-in-die-usa/).

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Update 10.10.2022

gute Nachrichten

 

Update 21.04.2022

2023?

Die Berichterstattung über die Pressekonferenz von Ursula von der Leyen und Joe Biden und die Pressekonferenz vom 25.03.2022 selbst waren und sind nicht valide. Tatsächlich gibt es noch keinen Abschluss eines Abkommens und er wird auch nicht zeitnah erfolgen (anders aber die Suggestion vom 25.03.2022).

Executive Orders (Verwaltungsvorschriften des US-Präsidenten Joe Biden) sollen die bisherige Rechtslage (unangemessenes Datenschutzniveau in den USA) ändern. Erst danach kann die EU-Kommission eine Angemessenheitsprüfung des Datenschutzniveaus in den USA durchführen. Es gibt derzeit noch keinen Entwurf für einen Angemessenheitsbeschluss. Die Erklärung zum Trans-Atlantic Privacy Framework ist derzeit “nur” als Absichtserklärung zu bewerten (siehe Factsheet der Europäischen Kommission aus dem März 2022 Trans-Atlantic_Data_Privacy_Framework.pdf).  Anfang 2023 erscheint aus optimistischer Sicht als wahrscheinlicher Zeitraum für einen Angemessenheitsbeschluss der EU – Kommission.

Die Rechtslage für den Datentransfer in die USA bleibt daher doch noch eine Weile angespannt.

Lösungen sind derzeit:

 

************************************************************************

Update 29.03.2022

Neues Datenschutzabkommen “Trans-Atlantic Data Privacy Framework“(TADPF) zwischen der EU und USA im Grundsatz “vereinbart”

Nachdem der EuGH im Juli 2020 den “Privacy Shield” mit der Begründung gekippt hatte, dass kein angemessenes Datenschutzniveau in den USA für Verbraucher aus der EU existiere, ist nun wieder alles anders.

Ursula von der Leyen (Präsidentin der EU-Kommission) und Joe Biden (Präsident der USA) haben am 25.03.2022 in einer Pressekonferenz in Brüssel bekanntgegeben, dass sie sich im Grundsatz auf einen

Nachfolger für den Transfer personenbezogener Daten von Europa in die USA

geeinigt haben.

Neue Regeln sollen den US-Geheimdienst beschränken. Dennoch betroffene Europäer sollen Rechtsschutz in den USA ersuchen können.

Es gibt noch keinen konkreten Entwurf für dieses Abkommen.

Am 28.03.2022 wurde bekannt, dass das

europäische Cloudprojekt Gaia-X keine weitere Förderung vom Bund

mehr erhalten wird (keine Mittel mehr im Bundeshaushalt vorgesehen).

********************************************************************

(31.08.2020)

Der Datentransfer in die USA ist schwierig und wird schwieriger.

Das

EuGH-Urteil “Schrems II”

ist in der Welt.

Die Bundesregierung trifft zudem

Maßnahmen zur Schaffung von Alternativen zu US-Cloudinfrastrukturen und Officeanwendungen

aus Angst vor einer zu großen Abhängigkeit von US-Tech-Unternehmen.

Als erste Datenschutzaufsichtsbehörde hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI-BW) mit einer

Orientierungshilfe zur Schrems II -Entscheidung

an die Unternehmen am 25.08.2020 mit einem konstruktiven Ansatz gewandt (LfDI-BW-Orientierungshilfe-zu-Schrems-II).

Auf zehn Seiten stellt er kurz die Kernaussagen des EuGH – Urteils dar:

Beispielhaft benennt der LfDI-BW dann noch Handelsbeziehungen, Cloudlösungen (Achtung auch Telefonanlagen beachten) und Videokonferenzsysteme als betroffene Anwendungsfälle.

Als Handlungsempfehlung gibt er den Unternehmen an die Hand:

  1. eine Übermittlung auf der Grundlage von Standardvertragsklauseln wird nur in seltenen Fällen erfüllbar sein.
  2. es sind zusätzliche Garantien zu vereinbaren (Unternehmen EU – Unternehmen – USA) die einen Zugriff durch US-amerikanische Geheimdienste verhindern und die Rechte Betroffener schützen.
      • Verschlüsselung (Schlüssel nur bei Datenexporteur)
      • Anonymisierung
      • Pseudonymisierung
  3. Checkliste
      • Bestandsaufnahme Datenexport
      • Kontaktaufnahme mit Dienstleister und über EuGH-Entscheidung und Konsequenzen informieren
      • Rechtslage im Drittland eruieren (USA negativ)
      • Nutzung Standardvertragklauseln möglich (USA grds. negativ)
      • zusätzliche Garantien (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des
        Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird) plus Standardvertragsklauseln
      • Abänderung der Standardvertragsklauseln Anhang Klausel 4f, Klausel 5d i, Ergänzung der Klausel 5 d, Abänderung der Klausel 7 Abs. 1, nur Aufnahme von b), Aufnahme der in Anhang 2 genannten Entschädigungsklausel (LfDI-BW-Orientierungshilfe-zu-Schrems-II ,dort auf den Seiten 8 bis 9 nachlesbar)
      • wenn dann Datenübermittlung immer noch nicht zulässig Ausnahmevorschrift des Art. 49 DS-GVO prüfen (bspw. Einwilligung der betroffenen Person,…)
  4. zumutbare Alternativangebote ohne Transferproblematik prüfen.

Gleichzeitig erklärten die EU-Kommission und das US-Department of Commerce seit dem 10.08.2020 eine

Neuregelung für die Datenübermittlung in die USA zu diskutieren.

Diese soll das Urteil des EuGH berücksichtigen. Die USA signalisieren derzeit keine Verhandlungsbereitschaft, auf den staatlichen Zugriff auf Daten von EU-Bürgern zu verzichten. Konkrete Verhandlungen gibt es tatsächlich nicht.

US-Konzerne ändern Ihre Datenschutzerklärungen ab und berufen sich auf die Standardvertragsklauseln.

Max Schrems lässt durch die non profit Organisation

“non of your business” (noyb) 101 Beschwerden bei Aufsichtsbehörden in der EU für die Nutzung von “Facebook Connect” und “Google Analytics” aussprechen und fordert die Aussetzung der Datenübermittlung.

Er sieht in deren Berufung von US-Konzernen auf die Standardvertragsklauseln einen Widerspruch zum EuGH-Urteil, welches das Datenschutzniveau der USA als unangemessen im Verhältnis zur DS-GVO erklärt habe. Konkret spricht er Google und Facebook an.

In Deutschland bekannte “angemahnte” Unternehmen sind die Funke Digital GmbH, die Handelsblatt GmbH, TV Spielfilm Verlag GmbH, DuMont.next GmbH & Co. KG und die Chefkoch GmbH (vollständige Liste aller Unternehmen abrufbar unter https://noyb.eu/en/eu-us-transfers-complaint-overview).

Der zweite Hebel, welcher derzeit an Kraft gewinnt, ist die Auffassung, dass

Deutschland zu abhängig von IT-Dienstleistern aus den USA

sei. Es gibt Beispiele aus Venezuela für Adobes Creativcloud (Beinaheembargo) und für Huawei in China (Exportstopp für Intel-Chips und Google-Software).

Der vdw Sachsen hatte schon von

Dataport und dem deutschen Projekt Phoenix als Alternative zu Officeanwendungen

berichtet.

Hinzugesellt sich ein deutsch-französisches Projekt mit dem Namen

Gaia-X,

welches eine sicherer Cloudinfrastruktur in Europa schaffen soll.

Die Bundesregierung wünscht sich mehr digitale Souveränität. Sie hat zum 01.06.2020 eine neue Abteilung für “digitale Souveränität” geschaffen und 13 Stellen hierfür eingeplant. Von dieser Kampagne sind nicht nur staatliche Stellen betroffen, sondern auch Bürger und Unternehmen. Eine Marktanalyse von PwC aus dem Jahr 2019 hatte die

Abhängigkeit der Bundesverwaltung von Microsoft

ausdrücklich benannt.

Bspw. würden Telemetriedaten selbst bei lokaler Datenverarbeitung von Windows und Office an Microsoft übermittelt und könnten mit einem Durchsuchungsbeschluss von US-Behörden -auch auf einem von Microsoft in Deutschland betriebenen Server- abgegriffen werden. Weiterhin endet der Support von Microsoft für Office 2019 und Exchange Server 2019 im Oktober 2025.

Ergebnis:

Wenn Alternativen zu amerikanischen Produkten und Dienstleistungen bestehen, wird die Datenschutzaufsicht auf diese verweisen, zudem wenn datenschutzrechtliche Bedenken gegen den Umgang mit personenbezogenen Daten von EU-Bürgern in den USA bestehen (bspw. wegen US-Cloud-Act, Schrems II).

Der LfDI-BW benennt dies in seiner Checkliste für Unternehmen bereits als

“zumutbare Alternativangebote ohne Transferproblematik”.

Wenn sich ein Unternehmen von einem Alternativangebot aus Europa nicht angesprochen fühlt, müsste dies begründet werden können (Funktionalität, Dokumentation).

Es ist so, dass ohne zusätzliche Garantien oder Maßnahmen eine Übermittlung aufgrund der Standardvertragsklauseln von personenbezogenen Daten in die USA durch die Aufsichtsbehörden untersagt wird werden müssen.

Der

sicherste Weg ist die Einstellung der Übermittlung personenbezogener Daten in die USA.

Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat dies bereits von Verantwortlichen in ihrem Zuständigkeitsbereich am 17.07.2020 gefordert 20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit).

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten.
Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Maja Smoltczyk:
„Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen
Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei.
Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur
Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.“ 

Die Sächsische Datenschutzaufsicht verweist auf seiner Seite auf eine gemeinsame Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.07.2020 (PM_6_2020_EuGH_Urteil_SchremsII_mit_Link_dt_Fassung).

Darin wird auf die Positionierung des Europäischen Datenschutzausschuss (EDSA) Bezug genommen. Dieser erklärte am 23.07.2020 zunächst, dass zusätzliche Maßnahmen und Garantien zu treffen sind und sieht die Zuständigkeit für die Prüfung bei den Verantwortlichen (edpb_faqs_schrems_ii_202007_adopted_de).

“Falls Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, sind Sie verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden. Beabsichtigen Sie dagegen, die Daten trotz dieser Schlussfolgerung weiterhin zu übermitteln, müssen Sie dies Ihrer zuständigen Aufsichtsbehörde mitteilen.”

Es werden weitere Erklärungen zu den konkret erforderlichen Maßnahmen für die Verantwortlichen durch den EDSA in der Zukunft angekündigt.

Der EDSA prüft derzeit das Urteil des Gerichtshofs, mit dem ermittelt werden soll, welche rechtlichen, technischen oder organisatorischen Maßnahmen zusätzlich zu Standardvertragsklauseln oder BCR ergriffen werden könnten, um Daten in Drittländer zu übermitteln, in denen Standardvertragsklauseln oder BCR allein nicht das ausreichende Maß an Garantien bieten.
Der EDSA prüft gegenwärtig, worin diese zusätzlichen Maßnahmen bestehen könnten, und wird weitere Orientierungshilfen geben.”

Die Erklärung des EDSA ist sehr allgemein und nichtssagend.

Die Hoffnung darauf, dass die zuständige Aufsicht, bspw. der SächsDSB, nicht eingreift, und das Ignorieren der Ungültigkeit des “Privacy Shields” führt zu einer vorsätzlichen rechtswidrigen Rechtsverletzung.

Die Aufsicht kann die

Beendigung der Datenübermittlung anordnen

und

eine Geldbuße verhängen.

Der

Wechsel zu den Standardvertragsklauseln

ist sicherlich der erste richtige Schritt, um Zeit zu gewinnen und als geringeres Übel weiterhin Daten in die USA übermitteln zu können.

Wenn jedoch die Aufsichtsbehörde eingreift und die Übermittlung auch bei der Verwendung von Standardvertragsklauseln untersagt, ist es auch damit vorbei.

Der

konstruktivste Weg ist es,

die Standardvertragsklauseln zu vereinbaren und -wie es der LfDI-BW in seiner oben genannten Checkliste vorgeschlagen hat- mit gelebten Garantien (Verschlüsselung; Vereinbarung, dass die Daten innerhalb des
Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird) zu kombinieren.

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Die Bremer Wohnungsbaugesellschaft BREBAU GmbH hat am 03.03.2022 eine Geldbuße in Höhe von 1,9 Mio. EUR von der Landesbeauftragten für Datenschutz und Informationsfreiheit Bremens erhalten.

Begründet wird das Bußgeld mit der Verarbeitung von 9.500 Daten über Mietinteressenten ohne Rechtsgrundlage.

Es sollen bspw. Informationen, wie ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung, Gesundheitszustand, Haarfrisuren, Körpergeruch und das persönliche Auftreten beim Abschluss von Mietverträgen verarbeitet worden sein.

Aufgrund der Kooperation durch die BREBAU sei “nur” ein Bußgeld von 1,9 Mio. EUR ausgesprochen worden.

Das Bayerische Landesamt für Datenschutzaufsicht prüft seit dem 14.01.2022 anlasslos ebenfalls “Selbstauskünfte von Mietinteressenten” der Vermieter, Immobilien- und Hausverwaltungen.

Das Anschreiben, den Antwortfragebogen und ein Infoblatt des LDA Bayern können Sie hier einsehen.

Die Aufsichtsbehörden haben sich auf -nach ihrer Auffassung- zulässige Fragen des Vermieters in den drei verschiedenen Phasen der Anbahnung eines Mietverhältnisses verständigt und in einer Orientierungshilfe (hier abrufbar) herausgegeben.

Wir empfehlen den Prozess der Mietanbahnung anhand der Orientierungshilfe zu überprüfen und ihn nach Rücksprache mit ihrem Datenschutzbeauftragten gegebenenfalls anzupassen.

Wir haben dieses Thema auch in unserem Videopodcast vom 22.03.2022 (#4/22) besprochen.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Update 15.03.2022 zum TTDSG

Ab dem 01.12.2021 gilt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG).

Die

Anbieter von Telemedien

sind im neuen § 2 Abs. 2 Nr. 1 TTDSG definiert. Darunter fallen Onlineangebote mit unmittelbarer Bestellmöglichkeit (Shops, Dienstleistungsseiten), Webseitenbetreiber, App-Anbieter, Video-on-Demand (VoD), Suchmaschinen und Social-Media.

Bei den

Telekommunikationsanbietern

sind nun auch rein internetgestützte von Nummern unabhängige Dienste erfasst (§ 3 TTDSG). Dies sind auch Onlineservices wie bspw. Videokonferenzen (bspw. Zoom), Messengerdienste oder Webmailservices.

Diese sogenannten Over-The-Top-Dienste fallen nun auch unter das Fernmelde- und Kommunikationsgeheimnis aus § 3 TTDSG.

Private Arbeitnehmerkommunikation

fällt auch weiterhin bei der Gestattung oder Duldung der privaten Nutzung durch den

Arbeitgeber

unter das Fernmelde- und Kommunikationsgeheimnis. Aus unserer Sicht gibt es für den Arbeitgeber nur die Alternativen “Verbot der Privatnutzung” oder “Einwilligung der Arbeitnehmer” für den Zugriff auf die private Kommunikation, bspw. zum  Zwecke der Gewährung eines sicheren IT-Betriebs durch Kontrollen der Kommunikation (Abwehr von Cyberangriffen), um das für ihn bestehende Spannungsverhältnis zwischen der IT-Sicherheit und dem Fernmeldegeheimnis zu lösen.

Unter

das Fernmeldegeheimnis

fallen die Kommunikationsdaten, wie der Inhalt, aber auch die Metadaten (wer, wann, welches Gerät, Standort, wie “Textnachricht”). Es ist vom Schutzumfang weiter als der Datenschutz, schützt auch Geschäftsgeheimnisse.

Bei einem Verstoß gegen das Fernmeldegeheimnis kommt eine

Strafbarkeit

nach § 206 StGB (Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe) in Betracht. Rechtswidrig erlangte Kommunikationsdaten können bei einer Weiterverarbeitung zu einem weiteren Bußgeld nach der DS-GVO führen, soweit (in Regel) Personenbezug vorliegt.

Neu eingefügt wurde, dass einem

Anspruch der Erben (bspw. auf Auskunft)

nicht das Fernmelde- und Kommunikationsgeheimnis entgegensteht.

Cookies und ähnliche Informationen speichernde Tools

(technologieneutral, bspw. Browserfingerprints, IoT-Produkte) bedürfen unabhängig vom Personenbezug einer Einwilligung (§ 25 TTDSG). Ausnahmen gibt es für die Kommunikation erforderliche Speicherungen oder wenn der Zugriff auf die gespeicherte Information für den gewünschten Telemediendienst unbedingt erforderlich ist (Sessioncookies, Warenkorbfunktion, Cookiewallfunktion von Verlagen, Identifier bspw. für Sprach- und Bildschirmeinstellungen). Damit ist das TTDSG entgegen des Referentenentwurfs enger gefasst worden (siehe unten). Einwilligungsbedürftig sind damit Webanalyse-, Reichweiten- und Trackingcookies.

Bei Verstößen gegen das TTDSG sind Bußgelder bis 300.000 EUR möglich.

_________________________________________________

Während die ePrivacy Verordnung auf der EU-Ebene weiterhin noch in der Diskussionsphase ist, hat das Bundeskabinett einen

Referentenentwurf des Wirtschaftsministeriums zum Thema

“Bestandsdatenauskunft und Cookies”

auf dem Tisch.

Der geleakte Entwurf soll die Onlinekommunikation einheitlich regulieren und in einem “Telekommunikations-Telemedien-Datenschutz-Gesetz” (TTDSG) die verstreuten Regelungen im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) DS-GVO-konform und cookierichtlinienkonform zusammenführen.

Dies ist tatsächlich überfällig, da zuletzt der Bundesgerichtshof (BGH) geurteilt hatte, dass die Verarbeitung personenbezogener Daten nur bei technisch erforderlichen Cookies ohne Einwilligung erfolgen könne und damit die anderslautende Vorschrift des § 15 Abs. 3 TMG (opt-out für Werbung) entgegen dem Wortlaut auszulegen sei (opt-in für Werbung, BGH, Urteil vom 28.05.2020, Az. I ZR 7/16). Zuvor hatte der Europäische Gerichtshof (EuGH) auf Vorlage des BGH festgestellt, dass es nicht ausreiche, wenn die Einwilligung durch ein voreingestellten Haken im Kästchen (opt-out) abgewählt werden könne (EuGH Planet49, Urteil vom 01.10.2019, Az. C-673/17). Das Bundesverfassungsgericht hatte die Bestandsdatenauskunftspflichten aus dem § 113 TKG für Anschlussinhaberauskünfte oder zugewiesene dynamische IP-Adressen für Vertragskunden der Provider für verfassungswidrig erklärt (Beschluss vom 27.05.2020, Az. 1 BvR 1873/13 sowie 1 BvR 2618/13).

Ҥ 9 Abs. 1 TTDSG-RefE

Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.“

Der Grundsatz der informierten Einwilligung wird sodann im Referentenentwurf wieder “ausgefranst” und mit Ausnahmen für “technisch erforderliche gewünschte Cookies”, eine “ausdrückliche vertragliche Vereinbarung” oder “gesetzliche Auflagen”.

Ҥ 9 Abs. 2 TTDSG-RefE

Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,

1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,

2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder

3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“

Browsereinstellungen sollen die Einwilligung ermöglichen.

Ҥ 9 Abs. 4 TTDSG-RefE

Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.“

Der EuGH und der BGH haben jedenfalls die Kreativität des Bundeswirtschaftsministeriums zur “Vermeidung von Cookie-Klickarien” beflügelt und die Diskussion um Cookies und die Rechtsgrundlage Einwilligung wird nach 20 Jahren Gesetzgebung und Rechtsprechung weitergeführt.

Standortdaten für Werbung

zu nutzen, soll ohne Einwilligung nicht mehr möglich sein (§ 14 TTDSG-RefE). Geodaten sind zu anonymisieren. App-Entwickler würden dies sicherlich bedauern, da die Push-Mitteilungen dann nicht mehr personalisiert ohne Einwilligung erfolgen dürften.

Der Ball liegt nun beim Bundeskabinett.

 

Wenn Sie Interesse an einer Fortbildung zu diesem Thema und der

Erfüllung der Weiterbildungspflicht nach § 15b MaBV

haben, nutzen Sie sich doch unser

Seminar- und Webinarangebot für die Wohnungswirtschaft .

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Sie bieten aktiv telefonisch eine Wohnung gegenüber einem Mietinteressenten an?

Dann werben Sie mittels Telefon gegenüber einem Verbraucher und müssen die neuen Anforderungen des § 7a UWG erfüllen.

Der Bundesrat hat am 25.06.2021 das Gesetz für faire Verbraucherverträge gebilligt und zur Unterschrift an den Bundespräsidenten weitergeleitet. Es wurde am 17.08.2021 verkündet und tritt am 01.10.2021 in Kraft.

Das Gesetz gegen den unlauteren Wettbewerb erhält demnach einen neuen § 7a UWG, welcher

die Dokumentation und Aufbewahrung der Einwilligung für die Telefonwerbung für 5 Jahre vorsieht (Aufbewahrungsfrist). Die Frist beginnt mit der erstmaligen Einholung und beginnt immer wieder mit jeder Verwendung (jeder Anruf)!

Double-Opt-In – Verfahren bspw. per E-Mail sind nicht ausreichend,

da die Rechtsprechung hierzu den Standpunkt vertritt, dass der Inhaber der E-Mail-Adresse nicht unbedingt der Inhaber des Telefonanschlusses für die so mitgeteilte Telefonnummer ist.

Wie nun die Einwilligung dokumentiert werden soll, ist nicht aus der Gesetzesbegründung (hier abrufbar 0018-21) ersichtlich.

Verstöße gegen die Dokumentation und die Aufbewahrung werden mit einem Bußgeld bis 50.000 EUR geahndet. Es gibt kein Umsetzungsfrist! 01.10.2021 ist der Stichtag.

1. Nach § 7 wird folgender § 7a eingefügt:

㤠7a
Einwilligung in Telefonwerbung
(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.
(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

2. § 20 wird wie folgt gefasst:

㤠20
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. entgegen § 7 Absatz 1 Satz 1 in Verbindung mit Absatz 2 Nummer 2 oder 3 mit einem Telefonanruf oder unter Verwendung einer automatischen Anrufmaschine gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung wirbt,
2. entgegen § 7a Absatz 1 eine dort genannte Einwilligung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig dokumentiert oder nicht oder nicht mindestens fünf Jahre aufbewahrt,
3. entgegen § 8b Absatz 3 in Verbindung mit § 4b Absatz 1 des Unterlassungsklagengesetzes, auch in Verbindung mit einer Rechtsverordnung nach § 4d Nummer 2 des Unterlassungsklagengesetzes, einen dort genannten Bericht nicht, nicht
richtig, nicht vollständig oder nicht rechtzeitig erstattet oder
4. einer Rechtsverordnung nach § 8b Absatz 3 in Verbindung mit § 4d Nummer 1 des
Unterlassungsklagengesetzes oder einer vollziehbaren Anordnung auf Grund einer solchen Rechtsverordnung zuwiderhandelt, soweit die Rechtsverordnung für
einen bestimmten Tatbestand auf diese Bußgeldvorschrift verweist.
(2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 1 mit einer Geldbuße bis zu dreihunderttausend Euro, in den Fällen des Absatzes 1 Nummer 2 mit einer Geldbuße bis zu fünfzigtausend Euro und in den übrigen Fällen mit einer Geldbuße bis zu hunderttausend Euro geahndet werden.
(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist in den Fällen des Absatzes 1 Nummer 1 und 2 die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, in den
übrigen Fällen das Bundesamt für Justiz.“

In dem Webinar

  “Datenschutz Aktuell” am 29.11.2021

werde ich zum Marketing aus wettbewerbsrechtlicher und datenschutzrechtlicher Sicht auf das Thema Telefonwerbung aufgrund der Gesetzesänderung ausführlicher eingehen.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Seit dem Schrems II – Urteil des EuGH vom 16.07.2020 haben Nutzer von Officeanwendungen in der der Cloud aus den USA, bspw. Microsoft 365, das Problem des nicht angemessenen Schutzniveaus (bspw. Forderungen von US-Behörden auf Herausgabe von Anwenderdaten, kein Rechtsschutz für Nichtamerikaner). Zumutbare Alternativangebote zur US-Cloudinfrastrukturen und Anwendungen sind in Europa noch nicht in Sicht.

Nun gibt es ein Angebot von T-Systems technisch den Zugriff von US-Behörden auf Microsoft 365 zu unterbinden. Der “Cloud Privacy Service” nutze hierfür einen verschlüsselten Gateway und kostet 3,99 EUR mehr je Nutzer und Monat (unter 250 Mitarbeiter) gegenüber dem üblichen Preis für Microsoft 365 und einmalige Einrichtungskosten von 4.999 EUR sind fällig. Die Webanwendungen von Office, Exchange, OneDrive werden dann in Rechenzentren von T-Systems betrieben. Microsoft erhält keine Klarnamen, da die Anmeldung über T-Systems pseudonymisiert erfolgt.

Der Gateway verschlüssele (AES 256) Daten, welche die T-Systems-Rechenzentren in Richtung Microsoft Server verlassen und entschlüsselt in umgekehrter Richtung, wenn bspw. ein anderer berechtigter Nutzer auf die Daten zugreifen möchte. Auf den T-Systems-Servern liegen weiterhin die unverschlüsselten Daten in der EU. US-Behörden haben “nur” Zugriff auf verschlüsselte bzw. chiffrierte Inhalte auf den Microsoftservern. Sie haben gegen T-Systems keinen Durchgriff.

Statt des Workarounds wären europäische Lösungen auf der ersten Ebene der Cloudinfrastruktur zielführender, aber das Angebot von T-Systems ist aus datenschutzrechtlicher Sicht besser, als Microsoft 365 direkt zu nutzen und sich Bußgeld- und Haftungsrisiken auszusetzen.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Die Europäische Kommission hat am 04.06.2021 die neuen Standardvertragsklauseln angenommen. Sie können bei EU-weiten oder internationalem Datentransfers durch Unternehmen genutzt werden und berücksichtigen die Anforderungen aus der DS-GVO sowie die Anforderungen des Schrems II -Urteils des EuGH.

https://ec.europa.eu/info/law/law-topic/data-protection/publications/standard-contractual-clauses-controllers-and-processors

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Die

datenschutzrechtliche Verantwortlichkeit für Betriebsräte ist umstritten

(eigene Verantwortlichkeit vs. Verantwortlichkeit des Unternehmens auch für den Betriebsrat). Der Bundesrat hat nun das

Betriebsrätemodernisierungsgesetz

gebilligt (28.05.2021). Damit muss es nur noch vom Bundespräsidenten unterzeichnet und im Bundesgesetzblatt veröffentlicht werden, um in Kraft zu treten.

Der Gesetzesentwurf zu § 79a BetrVG sieht neben der

Vereinfachung von Betriebsratswahlen,

der Möglichkeit virtueller Betriebsratssitzungen,

der Mitbestimmung bei mobiler Arbeit,

mehr Rechten bei der Qualifizierung des Betriebsrats,

mehr Rechten bei der Einführung von künstlicher Intelligenz,

der Verbesserung der Rechte von Auszubildenden,

aus datenschutzrechtlicher Sicht die endgültige Beilegung des Streits durch die Klarstellung in § 79a BetrVG vor,

wonach der

Betriebsrat kein Verantwortlicher im Sinne des Datenschutzes

ist.

Er ist als unselbstständiger Teil des Verantwortlichen (Unternehmens) anzusehen!

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Das

Bundesamt für Sicherheit in der Informationstechnik (BSI)

hat für

Windows 10 eine Konfigurationsempfehlung zur Protokollierung

erstellt, um bspw. Hackerangriffe und unerwünschte Aktionen frühzeitig detektieren zu können (https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/AP10/SiSyPHuS_AP10_node.html).

Die Umsetzung der Konfigurationsempfehlung stellt eine Schutzmaßnahme im Sinne der IT-Sicherheit und des Datenschutzes dar, da sie der Vertraulichkeit, Verfügbarkeit und Integrität dient.

Die

Konfigurationsempfehlung

beruht auf Security Best Practices aus dem Projekt SiSyPHuS Win 10 und richtet sich an

fortgeschrittene Anwender und Administratoren zur direkten Umsetzung.

Die Gruppenrichtliniendateien werden durch eine Anleitung des BSI flankiert. In der Anleitung wird nicht nur die Umsetzung selbst beschrieben, sondern auch der Import der Dateien selbst.

Windows 10 ist aufgrund seiner Verbreitung bei Angreifern sehr beliebt. Das BSI gibt konkrete Hinweise zur Konfiguration für die

Einsatzszenarien Büroarbeit,

administrative Tätigkeiten

und

Verarbeitung schutzbedürftiger Informationen

u.a. mithilfe von windowseigenen Hilfsmitteln.

Das BSI stellt weiter auf seiner Webseite

BSI für Bürger” niedrigschwellige Hinweise zu Risiken und Sicherheitsempfehlungen zur Verfügung.

Diese Informationen gehen von “Basistipps zur IT-Sicherheit” bis zur “Sicheren Onlinekommunikation” und sind leicht umsetzbar. Sie können sehr einfach für eine

Sensibilisierung der Mitarbeiter im Bereich der Informationssicherheit

genutzt werden (bspw. 3 Punkte Sicherheitsscheck für mehr E-Mail Sicherheit mit einem 2 Minutenvideo).

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Die EU-Kommission hat Ihren Vorschlag zur Regulierung der künstlichen Intelligenz am 21.04.2021 veröffentlicht.

Der Gesetzesvorschlag soll die Bürgerrechte und die Innovationskraft dieser Technologie in ein Gleichgewicht bringen. Grundsätzlich soll es -wie im Datenschutz- so sein, dass ein Verbot mit Erlaubnisvorbehalt gelten soll.

Schon heute ist künstliche Intelligenz permanent im Einsatz. Google und Facebook nutzen Algorithmen, Kameras optimieren Aufnahmen während des Erstellens des Lichtbildes. Anbieter durchforsten öffentlich zugängliche Internetseiten, speichern die dort vorhanden Gesichter in Ihren Datenbanken und bieten Nutzern (Ermittlungsbehörden, Handelsketten) die Recherche bei vorhandenem Vergleichsmaterial (bspw. Clearview AI) gegen Entgelt an. Dieses Geschäftsmodell wird von diversen Datenschutzaufsichtsbehörden stark kritisiert (Hamburg, keine Rechtsgrundlage, Aufforderung zur Löschung; Kanada, illegale Massenüberwachung). Die Software kommt in Europa bereits zum Einsatz.

Die EU-Kommission beabsichtigt, den Anwendungsbereich der Verordnung und damit die Regulierung auf besonders sensible Bereiche zu beschränken. Die Kreditwürdigkeit, die Justiz, die Robotik im medizinischen Bereich, die Strafverfolgung und die Bewerbung werden benannt.

Die Gesichtserkennung auf große Entfernung soll nur in Ausnahmefällen zulässig sein. Als Beispiele werden die Suche nach einem vermissten Kind, die Vereitelung eines terroristischen Anschlag oder das Aufspüren einer schweren Straftat verdächtigen Person benannt. Gewährleistet werden soll die dann unter Auflagen zulässige Überwachung durch einen “Richtervorbehalt”. Die Zustimmung durch die Justiz soll räumlich, zeitlich und sachlich für den Zugriff auf die Datenbank erfolgen.

Nichtsensible Bereiche, wie bspw. Chatbots oder Nachrichtendienste, müssen nach dem Entwurf lediglich den Hinweis an den Nutzer erteilen, dass er sich mit einem Computer unterhält.

Wie schon aus dem Datenschutz bekannt, wird ein KI-Management und eine Überwachung durch einen Menschen (KI-B) vom Unternehmen erwartet und bei einem Verstoß gegen die Verordnung sollen die Aufsichtsbehörden Geldbußen von bis zu 6% des weltweiten Umsatzes verhängen können.

Bevor die Verordnung endgültig verabschiedet wird, werden sich noch das Parlament und der EU-Rat mit der Vorlage auseinandersetzen. Es ist denkbar, dass in einigen Monaten die Verordnung verabschiedet wird und dann nach einem Zeitraum von zwei Jahren unmittelbar Geltung erlangt.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Die Datenschutzfachtagung (DAFTA) ist die bedeutendste Expertentagung zum Thema Datenschutz in Köln. Der vdw Sachsen nahm an dieser Tagung teil. Es gab sehr interessante Einblicke bspw. zu Tendenzen in der Gesetzgebung aber auch Informationen der Aufsichtsbehörden.

Die

größte Überraschung

war, dass Herr Dr. Bornemann von der

Microsoft Deutschland GmbH

im Forum “Datenschutzkonforme Videokonferenzsysteme” am 20.11.2020 ankündigte, dass Microsoft mit seinen Vertragspartnern neben den Standardvertragsklauseln

neue Klauseln (anbei der verlinkte Entwurf AdditionalSafeguards)

vereinbaren werde, wonach

  1. eine rechtliche Gegenwehr gegen die Herausgabe von Daten bspw. an amerikanische Behörden auf dem Gerichtsweg erfolgen werde und
  2. ein zusätzliche drittbegünstigende Haftung vereinbart werde.
  3. Weiter soll die betroffene Person, deren Daten an US-Sicherheitsbehörden weitergegeben wurden, informiert werden.
  4. Kundendaten sollen während der Übertragung, aber auch im passiven “gehaltenem” Zustand mit einem hohen Verschlüsselungsstandard verschlüsselt werden.

Damit reagiert Microsoft unserer Ansicht nach als erstes Unternehmen auf das Schrems II – Urteil, in welchem der Privacy-Shield gekippt wurde. Die Aufsichtsbehörden erwarten neben den EU-Standardvertragsklauseln weitere Maßnahmen und Garantien (siehe unser Artikel vom 31.08.2020) und es scheint so, dass im Zusammenwirken mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg Fortschritte zu einer konstruktiven Lösung der transatlantischen Datentransferproblematik zu erwarten sind. Die Klauseln sollen im Dezember 2020 kommen.

Die Datenschutzkonferenz als Gremium der deutschen Datenschutzaufsichtsbehörden wird sich mit den Entwürfen von Microsoft auseinandersetzen und es ist eine Äußerung im Dezember 2020 angedacht.

Ansonsten war das Bundesministerium des Inneren, für Bau und Heimat vertreten (Prof. Krings), welches sich zur

Digitalisierungsagenda der Bundesregierung und dem Entwurf eines Telekommunikations-Telemedien-Datenschutzgesetz

äußerte (siehe auch unser Beitrag vom 04.08.2020). Das Bundesministerium für Wirtschaft und Energie ist bei diesem Gesetzesentwurf federführend und äußerte sich durch seinen Vertreter (Herrn Bender) zum europarechtlichen Pendant, der

ePrivacy-VO,

welche nach dem Bekunden wohl im Jahr 2024 erwartet wird.

Die

Entwicklung bei Auskunfts- und Schadensersatzansprüchen,

war ein weiteres Thema, welches wir immer aktuell an Urteilen auch in unserem

Webinar “Datenschutz aktuell” bspw. am 06.01.2020

besprechen. Hier gibt es eine erhebliche Unsicherheit und gerade im Schadensersatzrecht noch keine obergerichtliche Rechtsprechung.

Das Thema

Löschung gemäß der DS-GVO

führte zu lebhaften Diskussionen, insbesondere zum Bereich

unstrukturierte Datenverarbeitung.

Neue Denkanstöße durch die Erläuterung eines

Vorgehensmodells

werden wir hier zum Anlass nehmen, den vorhandenen Leitfaden des vdw Sachsen zum Erstellen eines Löschkonzepts weiterzuentwickeln.

Die

Aufsichtsbehörden

vermittelten einen

selbstbewussten und entschlossenen Eindruck.

Herr Brink aus Baden-Württemberg verwies darauf, dass er 72 Kontrollen durchgeführt habe und aktuell das Pilotprojekt “Microsoft 365 DS-GVO-konformer Einsatz an Schulen” begleite.

Herr Zerdick von der Europäischen Datenschutzaufsicht (EDSA) erklärte: “Wir sind in der Wirklichkeit angekommen. Es sind schmerzhafte Schritte erforderlich.”. Er verwies auf die Anforderungen seiner Behörde (Anmerkungen des European Data Protection Board), welche am 10.11.2020 aufgrund des Schrems II-Urteils erlassen wurden. Es seien zusätzliche Maßnahmen zu treffen und europäische Garantien zu vereinbaren. Als

Beispiel

nannte er die

Datensicherung im Drittstaat,

welche zu verschlüsseln und der Schlüssel nur beim Verantwortlichen innerhalb der EU vorzuhalten sei.

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Der Teil 3 der Datenschutzreihe beim vdw Sachsen “Durchführung des Mietverhältnisses” betrifft die

A). Weitergabe der Telefonnummer an den Handwerker als Beispiel für die Weitergabe von Kontaktdaten und

B) die Beendigung des Mietverhältnisses.

Nach dem Teil 1 zur Betriebskostenabrechnung und dem Teil 2 zur Mieterhöhung aus datenschutzrechtlicher Sicht beleuchten wir im letzten Teil die Weitergabe von der Telefonnummer, dem Namen und der Adresse des Mieters an den Handwerker und die Beendigung des Mietverhältnisses.

A) Weitergabe von Mieterdaten an den Handwerker

Auch für einen so profanen Akte benötigen Sie einen Zweck und eine Rechtsgrundlage.

Der Zweck

ist die Durchführung der Reparatur und die hierfür erforderliche Terminvergabe.

Bei der

Rechtsgrundlage

scheiden sich derzeit noch die Geister.

  1. Teilweise wird vertreten, dass die Übermittlung dieser Daten aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO erfolgen müsste (BayLDA).
  2. Die Sächsische Aufsicht (SächsDSB) hat für den Fall der Kontrolle (turnusgemäß?) sich dahingehend geäußert, dass eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DS-GVO erforderlich sei.
  3. Bei Instandhaltungsmaßnahmen wird es meiner Ansicht nach aufgrund des Mietvertrags und somit nach Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO zulässig sein, die Kontaktdaten den Mieters an den Handwerker weiterzugeben, da die Gebrauchserhaltung der Mietsache gemäß § 535 Abs. 1 Satz 2 BGB objektiv durch einen Handwerker erfolgen muss und damit eine Kontaktaufnahme auch durch den Handwerker direkt möglich sein muss. Allerdings muss der Handwerker dahingehend belehrt und angewiesen werden, dass er die Kontaktdaten nach der Durchführung der Instandhaltungsmaßnahme zu löschen hat und nicht -erst recht nicht zu anderen Zwecken-  weiterverarbeiten darf.

Die

B) Beendigung des Mietverhältnisses

stellt eine Zäsur auch für die Datenverarbeitung dar und die bei Vertragsschluss erhobenen personenbezogenen Daten sind auf Ihren

Zweck der Verarbeitung

hin zu prüfen. Aufgrund der Rollenberechtigung muss der Zugriff der Mitarbeiter zunächst verengt werden.

1. Die neue Adresse des Mieters darf zur Mahnung noch offener Ansprüche, der Abrechnung der Kaution und der Betriebskosten verarbeitet werden.

Der Zweck

ist hier weiterhin die Durchführung des Mietverhältnisses in der Auslaufphase und die

Rechtsgrundlage

ist Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO.

2. Daneben bleibt das Archiv in elektronischer Form zum

Zweck

der Wahrung der Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) und die Buchhaltung auch in analoger Form zum Zweck der Erfüllung der Anforderungen zur Aufbewahrung von Unterlagen nach § 147 Abgabenordnung (AO) sowie § 257 Handelsgesetzbuch (HGB). Der Zweck ist die rechtstreue Führung eines eingerichteten und ausgeübten Gewerbetriebs und

die Rechtsgrundlage

Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO.

3. Organisatorisch und technisch dürfen nur noch die für diese Bereiche zuständigen Mitarbeiter aus dem Unternehmen Mieterdaten auch nach der Beendigung des Mieteverhältnisses verarbeiten bis auch diese Prozesse enden (Erfüllung, Verjährung, Ende der Aufbewahrungsfrist).

Wenn Sie Interesse an einer Fortbildung zu diesem Thema und der

Erfüllung der Weiterbildungspflicht nach § 15b MaBV

haben, nutzen Sie sich doch unser

Seminar- und Webinarangebot für die Wohnungswirtschaft .

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)