Hinweisgeberschutzgesetz zur Umsetzung EU-Whistleblowing-Richtlinie

Worum geht es?

Mit dem Hinweisgeberschutzgesetz wird die EU-Whistleblower-Richtlinie in nationales Recht umgesetzt. Es soll sichergestellt werden, dass hinweisgebenden Personen im Rahmen der Vorgaben dieses Gesetzes keine Benachteiligungen drohen. Die Umsetzung des Gesetzes erfolgt wegen EU-Recht zwingend noch in diesem Jahr.

Wer wird vom Schutz des Gesetzes umfasst?
• Hinweisgebende Person (Mitarbeiter, Kunden, Lieferanten, Dienstleister etc.)
• Personen, welche die hinweisgebende Person unterstützen
• Personen, die Gegenstand einer Meldung bzw. die von einer Meldung betroffen werden

Warum ist das relevant?

Mit der Verabschiedung dieses Gesetzes wird eine behördliche Meldestelle eingerichtet, bei der Hinweise abgegeben werden können. Dazu kommt für größere Unternehmen eine gesetzliche Verpflichtung zur Einführung eines eigenen Hinweisgeberverfahrens (sogenannte „interne Meldestelle“):

  • für Unternehmen mit < 50 Mitarbeitenden ist derzeit keine Pflicht für eine interne Meldestelle vorgesehen. Dann werden die Meldungen jedoch bei der öffentlichen Behörde gemacht, und das Hinweisgeberverfahren kann nicht selbst gesteuert werden – insofern kann die Errichtung einer internen Meldestelle dennoch vorteilhaft sein.
  • für Unternehmen mit > 50 – 249 Mitarbeitenden gilt die Pflicht für eine interne Meldestelle ab dem 17.12.2023
  • für Unternehmen mit > 250 Mitarbeitenden gilt die Pflicht direkt mit Inkrafttreten des Gesetzes.

Was bedeutet das für Sie?

  • Haben Sie < 50 Mitarbeiter und keine eigene Meldestelle, verfolgt die behördliche Meldestelle die Hinweise. Um die Bearbeitung durch die behördliche Meldestelle zu vermeiden, kann eine interne Stelle eingerichtet werden. Diese Rolle kann auch ein Dienstleister übernehmen.
  • Haben Sie > 50 Mitarbeiter, ist verpflichtend eine interne Meldestelle durch das Unternehmen einzurichten, d.h. Installation einer Meldeplattform für eine anonymisierte Bearbeitung. Auch hier kann ein externer Dienstleister als interne Meldestelle genutzt werden.

Unsere wichtigsten Empfehlungen für Sie:

  1. Einrichtung einer internen Meldestelle mit zur Vertraulichkeit verpflichteten Personen
  2. Anonyme webbasierte Postfachfunktion für die Kommunikation mit Hinweisgebern
  3. Etablierung Prozess für die Überwachung und Verfolgung eingehender Hinweise
  4. Information der Mitarbeiter (Anschreiben)
  5. Laufende Betreuung der Meldestelle


Zögern Sie nicht und sprechen Sie uns gerne unverbindlich an: 07141 – 797 66 01

Nähere Informationen zu unserem Angebot finden Sie hier: Hinweisgeberschutzgesetz

Gerne stehen wir Ihnen für Ihre Fragen zur Verfügung!

Beste Grüße
Ihr Team für den Datenschutz


Zurück zur Übersicht

Sie haben Fragen zum Hinweisgeberschutzgesetz und Whistleblowing?

Wir rufen Sie gern zurück. Sagen Sie uns einfach Ihren Namen und Ihre Telefonnummer.

Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass meine Angaben und Daten zur Beantwortung meiner Anfrage elektronisch erhoben und gespeichert werden. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an info@dip-datenschutz.com widerrufen.

Förderung für Datenschutz verbessert

Worum geht es?

Zum Jahresende wurde über die zum 31.12.2022 auslaufende Förderung für Unternehmensberatung der BAFA entschieden. Die erfreuliche Nachricht: Die BAFA-Förderung wurde nicht nur verlängert, sondern auch noch verbessert. Dies betrifft auch die Beratung zum Datenschutz durch einen bei der BAFA registrierten externen Datenschutzbeauftragten.

Warum ist das relevant?

  • Die Förderung umfasst Unternehmensberatungsleistungen für kleine und mittlere Unternehmen.
  • Die Beratung zum Datenschutz ist im Rahmen des Förderprogramms voll förderfähig.
  • Wir sind als externe Datenschutzbeauftragte bei der BAFA registriert und können Ihnen im Rahmen unserer Datenschutz-Beratung den Zugriff zu Fördermitteln ermöglichen.
  • Sie können sich daher einen Großteil der Kosten, die beim Aufbau eines Datenschutz-Managementsystems entstehen, von der BAFA erstatten lassen.

Was bedeutet das für Sie?

  • Für die alten Bundesländer, Berlin und die Region Leipzig beträgt die Förderhöhe 50% der Kosten bei einem Beratungsumfang von bis zu 3.500 EUR.
  • Sie können daher Fördermittel von bis zu 1.750 EUR für den Datenschutz erhalten.
  • Wenn Ihr Unternehmen seinen Sitz in den neuen Bundesländern hat (Ausnahme: Berlin und Region Leipzig), bekommen Sie sogar 80% Ihrer Datenschutz-Beratung gefördert.
  • Sie können damit sogar bis zu 2.800 EUR Fördergelder erhalten.
  • Die Förderung muss nicht zurückbezahlt werden.
  • Wir sind als externe Datenschutz-Beauftragte bei der BAFA registriert und können Ihnen Zugang zu den Fördermitteln ermöglichen.
  • Daher können Sie sich einen Großteil der Kosten der Datenschutz-Beratung erstatten lassen, wenn die Beratung durch uns durchgeführt wird.
  • Wir haben einen erprobten Beratungsansatz, der Ihnen effektive Ergebnisse zum Datenschutz in Ihrem Unternehmen verspricht und schon vielfach im Rahmen von geförderten Beratungsprojekten angewandt wurde.

Unsere wichtigsten Empfehlungen für Sie:

  1. Nutzen Sie die bestehenden Fördermöglichkeiten und sparen Sie bis zu 2.800 EUR.
  2. Vertrauen Sie unserem bewährten Beratungsansatz, um effektive Ergebnisse zum Datenschutz unter Nutzung der BAFA-Förderung zu bekommen.


Zögern Sie nicht und sprechen Sie uns gerne unverbindlich an: 07141 – 797 66 01

Gerne stehen wir Ihnen für Ihre Fragen zur Verfügung!

Beste Grüße
Ihr Team für den Datenschutz


Zurück zur Übersicht

Sie haben Fragen zur Förderung?

Wir rufen Sie gern zurück. Sagen Sie uns einfach Ihren Namen und Ihre Telefonnummer.

Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass meine Angaben und Daten zur Beantwortung meiner Anfrage elektronisch erhoben und gespeichert werden. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an info@dip-datenschutz.com widerrufen.

Informationssicherheit in Unternehmen gefährdet

Worum geht es?

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat kürzlich seinen Lagebericht 2022 veröffentlicht. Cyber-Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privat­personen nehmen – hauptsächlich bedingt durch den Krieg in der Ukraine – signifikant zu. Die Situation ist derzeit so kritisch wie noch nie. Die Cyber-Angriffe führen nicht nur zu Einzelausfällen von Unternehmen, sondern auch zu Beeinträchtigungen ganzer IT-Lieferketten.

Warum ist das relevant?

  • Häufig bedienen sich Cyber-Kriminelle der Sicherheitslücken aufgrund menschlicher Schwachstellen. So erfolgen zahlreiche Angriffe durch Spam- oder Phishing-Mail Aktionen.
  • Ist der Angreifer erstmal im Netz, stiehlt er beispielsweise sensible Daten, verschlüsselt diese und hinterlässt in der Regel eine Erpressernachricht mit zum Teil enormen Forderungen. Zusätzlich veröffentlichen die Erpresser häufig auf sogenannten „Leak-Seiten“ die gestohlenen Daten des angegriffenen Unternehmens.
  • Die durchschnittlichen Lösegeldzahlungen steigen kontinuierlich an – waren es im Jahr 2019 noch rund Euro 140.000, so sind es mittlerweile über Euro 300.000.

Was bedeutet das für Sie?

  • Es besteht die Gefahr, dass Ihr Unternehmen infolge eines Angriffs aufgrund nicht verfügbarer Systeme zumindest vorübergehend handlungsunfähig ist.
  • Ihr Unternehmen kann erpresst werden, und durch die Veröffentlichung der gestohlenen Daten kann ein hohes Reputationsrisiko entstehen.
  • Bis zur vollständigen Wiederherstellung der Systeme durch Ihren IT-Dienstleister vergehen je nach Schwere des Angriffs oft mehrere Wochen – ein folgenreiches Zeit- und Kostenrisiko.
  • Eine Cyber-Versicherung allein ist kein ausreichender Schutz – zumal nicht immer alle Voraussetzungen für eine Versicherungsleistung im Schadenfall erfüllt sind!
  • Ihr Vorteil: Ihr externer Datenschutzbeauftragter kann Sie auch hier unterstützen. Durch eine Sensibilisierung Ihrer Mitarbeiter kann bereits eine bedeutende Schwachstelle schnell und unkompliziert geschlossen werden. Wir bieten entsprechende Datenschutz-Schulungen .

Unsere wichtigsten Empfehlungen für Sie:

  1. Um die Betriebsfähigkeit wieder herzustellen, ist eine lückenlose Backup-Strategie notwendig. Wichtig: verfügbare, funktionierende und aktuelle Backups, die für den Notfall getestet sind.
  2. Das Backup sollte (auch) offline gesichert sein, da die Angreifer ggf. über erlangte Administrations¬rechte gezielt nach allen Online-Backups suchen.
  3. Updates des Betriebssystems sowie der Server- und Anwendungssoftware sollten regelmäßig durchgeführt werden.
  4. Für Fernzugriffe ist ein sicheres Virtuelles Privates Netz (VPN) obligatorisch.
  5. Es sollten strenge Regeln bei der Passwortvergabe eingesetzt werden und die Administration von Berechtigungen nur wenigen Mitarbeitern vorbehalten sein.
  6. Es sollten regelmäßig alle Mitarbeiterinnen und Mitarbeiter zum Thema Datenschutz und Informationssicherheit geschult werden.
  7. Die Umsetzung der mit der Cyberversicherung vereinbarten technischen und organisatorischen Maßnahmen sollte unbedingt sichergestellt werden. Auch hier unterstützt Sie Ihr Datenschutzbeauftragter.

Gerne stehen wir Ihnen für Ihre Fragen zur Verfügung!

Beste Grüße
Ihr Team für den Datenschutz

Abzocke mit Datenschutz-Urteil zu Google Fonts

Worum geht es?

Wir beobachten derzeit vermehrt Abmahn-Versuche mit Verweis auf ein Urteil des Landgerichts München. Das hat in einem Einzelfall einen Anspruch auf immateriellen Schadenersatz in Höhe von 100 EUR festgestellt. Ein Unternehmen hatte Google-Fonts dynamisch eingebunden und dadurch die IP-Adresse des Nutzers in die USA übermittelt.

Warum ist das relevant?

  • Viele Webseiten binden Google Fonts dynamisch ein (d.h. es erfolgt ein „Echtzeit-Abruf“ aus den USA anstatt lokaler Installation auf dem Webserver).
  • Dadurch werden Daten automatisch in die USA weitergeleitet. Das LG München sah dafür keine datenschutzrechtliche Verarbeitungsgrundlage.
  • Nun werden zahlreiche Unternehmen angeschrieben mit der Aufforderung, 100 € ggf. auch zuzüglich von Anwaltskosten zu überweisen. Der Verweis auf das Urteil und der Nachweis des Sachverhalts ist in der Regel direkt beigefügt.

Was bedeutet das für Sie?

  • Die gute Botschaft: Meistens handelt es sich bei diesen Schreiben weder um eine „echte“ Abmahnung noch um die Geltendmachung von Betroffenenrechten.
  • Es besteht kein tatsächlicher Anspruch gegen Sie bzw. Ihr Unternehmen.
  • Aber: Es besteht tatsächlich ein reales Abmahnungs-Risiko wegen eines möglichen Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO).
  • Der Schadenersatz kann theoretisch von jeder Person geltend gemacht werden und sich bei einer Verurteilung dadurch bis zur Existenzbedrohung vervielfachen.
  • Daher sollte die Webseite zur Vermeidung künftiger Risiken datenschutzkonform umgestellt werden.
  • Achtung: Der Sachverhalt hat bezogen auf den Datenschutz auch Relevanz für alle ähnlich gelagerten Konstellationen, nicht nur für Google Fonts

Unsere wichtigsten Empfehlungen für Sie:

  1. Bezahlen Sie nicht, und antworten Sie nicht unabgestimmt auf das Schreiben.
  2. Kontaktieren Sie uns direkt. Wir besprechen das weitere Vorgehen und stellen Ihnen auf Wunsch gerne auch ein Antwortschreiben bereit.
  3. Sollten Sie Google-Fonts dynamisch in ihrer Webseite eingebunden haben, veranlassen Sie über Ihren Dienstleister eine lokale Installation. Damit vermeiden Sie künftige (reale) Risiken.

Gerne stehen wir Ihnen für Ihre Fragen zur Verfügung!

Beste Grüße
Ihr Team für den Datenschutz

TTDSG: Neues Telekommunikation-Telemedien-Datenschutz-Gesetz

Worum geht es?

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wurde zum 1. Dezember 2021 eingeführt, um den Schutz der Privatsphäre zu regeln und zugleich der Umsetzung der ePrivacy-Richtlinie zu dienen.

Das TTDSG geht das große Thema des Einwilligungsmanagements an und definiert künftige Anforderungen an „Anerkannte Dienste zur Einwilligungsverwaltung, Endnutzereinstellungen“ und beschreibt Personal Information Management Services, kurz: PIMS. (Mittels PIMS haben Nutzer die Möglichkeit, ihre personenbezogenen Daten in sicheren, lokalen oder Online-Speichersystemen zu verwalten und sie zu teilen, wann und mit wem sie es wünschen)

Das Einwilligungsmanagement soll Nutzenden mehr Kontrolle darüber geben, welche personenbezogenen Daten erhoben werden bzw. wie der Zugriff auf die Informationen erfolgt.

Warum ist das relevant?

  • Zum Thema Einwilligungsmanagement zählt auch die Cookie-Einwilligung.
  • Hier gibt das TTDSG keine Neuerungen vor, sondern konkretisiert, dass Verbraucherinnen und Verbraucher eine klare und eindeutige Einwilligung sowohl zu Cookies als auch zu anderen Tracking-Technologien geben müssen.
  • Einer klaren Einwilligung bedarf auch das Speichern von Cookies sowie das Auswerten entsprechender Daten.
  • Etwaige Ablehnungen von Cookies und Tracking werden also transparenter und in der Abbildung deutlicher.
  • Das wirkt nicht nur datenschutzrechtlich, sondern auch in Sachen Verbraucherschutz.

Was bedeutet das für Sie?

  • Weiterhin muss ein Cookie-Banner vorgehalten werden, denn nur wenige Anwender nutzen bisher ein PIMS (Personal Information Management System) bzw. die lokale oder Online-Speicherung von eigenen personenbezogenen Daten.
  • Seitenbetreiber sind verpflichtet, die Einstellungen von PIMS zu berücksichtigen, d.h. beim Aufsetzen von Skripten und Cookies müssen die Einstellungen der Endbenutzer berücksichtigt werden (unterschiedliche PIMS machen ggf. den Einsatz eines systemseitigen “Managers” notwendig).
  • Es sollten nur Zugriffe/Cookies installiert werden, die auch unbedingt erforderlich sind, um unnötige Datenzugriffe zu vermeiden.

Unsere wichtigsten Empfehlungen für Sie:

  1. Sie als Betreiber der Webseite müssen weiterhin dafür sorgen, dass ohne explizite Zustimmung keine Daten im Browser der Besucher gesetzt werden.
  2. Zustimmung bei Mehrzweckcookies ist erforderlich; achten Sie darauf, dass kein Abgleich mit anderen Verarbeitungen vorgenommen und die Gültigkeitsdauer begrenzt wird.

Gerne stehen wir Ihnen für Ihre Fragen zur Verfügung!

Beste Grüße
Ihr Team für den Datenschutz