Video Sitemap (XML)

Name: ITTR Datenschutz GmbH
Address: Marienplatz 2, München, 80331
Telephone: +49 (0)89 1891 7360
111 Videos
<?xml version="1.0" encoding="UTF-8"?>
<urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"
        xmlns:video="http://www.google.com/schemas/sitemap-video/1.1">
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=9</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/9</video:thumbnail_loc>
      <video:title>10 Datenschutz-To-Do&apos;s für Händler</video:title>
      <video:description>Die Datenschutz-Grundverordnung (DSGVO) betrifft alle Unternehmen – auch kleine Händler und Selbständige. Dieses Video zeigt die 10 wichtigsten Datenschutz-To-Dos auf Basis der offiziellen BayLDA-Checkliste. Schritt für Schritt werden die zentralen Pflichten erläutert: vom Verzeichnis der Verarbeitungstätigkeiten über den Umgang mit Videoüberwachung, Website-Sicherheit und Cloud-Diensten bis hin zu Betroffenenrechten, Meldepflichten, Tracking-Einwilligungen, Informationspflichten, technischen und organisatorischen Maßnahmen sowie Vorsicht bei KI-Tools und Messengern. Ideal für kleine Handelsunternehmen, Ladenbesitzer und Soloselbständige, die Datenschutz verständlich, praxisnah und rechtssicher umsetzen möchten.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=9</video:player_loc>
      <video:publication_date>2025-10-27T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=6</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/6</video:thumbnail_loc>
      <video:title>Ab wann brauche ich einen Datenschutzbeauftragten?</video:title>
      <video:description>In diesem Video wird anschaulich erklärt, unter welchen Voraussetzungen die Pflicht zur Bestellung eines Datenschutzbeauftragten nach der Datenschutz-Grundverordnung (DSGVO) besteht. Im Mittelpunkt steht Artikel 37 DSGVO, der regelt, in welchen Fällen eine Benennung erforderlich ist – etwa bei Behörden, Unternehmen oder Organisationen, die regelmäßig und umfangreich personenbezogene Daten verarbeiten oder systematisch Personen überwachen. Ergänzend wird auf die nationalen Vorgaben des Bundesdatenschutzgesetzes (BDSG) eingegangen, das in Deutschland zusätzliche Schwellenwerte und Kriterien vorsieht. Darüber hinaus wird erläutert, welche Anforderungen an Fachkunde und Unabhängigkeit eines Datenschutzbeauftragten gestellt werden und welche Aufgaben er im Unternehmen wahrnimmt. Dazu gehören insbesondere die Beratung der Verantwortlichen, die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften und die Funktion als Ansprechpartner für Aufsichtsbehörden. Abschließend wird auf die möglichen Konsequenzen eingegangen, wenn trotz bestehender Pflicht kein Datenschutzbeauftragter bestellt wird. Das Video bietet somit einen kompakten und praxisnahen Überblick für Verantwortliche und Führungskräfte, die prüfen möchten, ob in ihrer Organisation eine Benennungspflicht besteht und welche rechtlichen Folgen sich daraus ergeben.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=6</video:player_loc>
      <video:publication_date>2025-10-21T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=3</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/3</video:thumbnail_loc>
      <video:title>Anfertigung und Nutzung von Mitarbeiterfotos</video:title>
      <video:description>Fotos und Videos von Mitarbeitern sind für Unternehmen eine beliebte Möglichkeit, ihre Marke zu präsentieren. Doch der Einsatz solcher Aufnahmen birgt rechtliche Risiken und führt immer häufiger zu Schadensersatzklagen. Was müssen Arbeitgeber beachten, um datenschutzrechtlich auf der sicheren Seite zu stehen? In diesem Video beleuchten wir: Mögliche Rechtsgrundlagen wie Einwilligung, berechtigtes Interesse oder Arbeitsvertrag. Warum ein Model-Release-Vertrag die sicherste Option ist. Welche Punkte unbedingt in einem solchen Vertrag geregelt sein sollten, von der Nutzung bis hin zur Vergütung. Erfahren Sie, wie Sie als Arbeitgeber die Rechte Ihrer Mitarbeiter wahren und gleichzeitig Rechtssicherheit schaffen. Zusammengefasst: Arbeitgeber müssen sorgfältig prüfen, welche rechtlichen Grundlagen für die Verarbeitung von Mitarbeiteraufnahmen bestehen. Der sicherste Weg ist der Abschluss eines Model-Release-Vertrages mit den Mitarbeitern. Dies schafft eine vertragliche Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO und minimiert das Risiko eines einseitigen Widerrufs. In einem solchen Vertrag sollten die Nutzung und Veröffentlichung der Aufnahmen, die Bearbeitungsrechte und eventuelle Vergütungen klar geregelt werden. Dies schafft Transparenz und Rechtssicherheit für beide Seiten.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=3</video:player_loc>
      <video:publication_date>2025-01-19T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=10</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/10</video:thumbnail_loc>
      <video:title>Arzttermine online: Datenschutz richtig umsetzen</video:title>
      <video:description>Online-Terminbuchungen sind praktisch, stellen Arztpraxen aber vor datenschutzrechtliche Herausforderungen. Dieses Video erläutert die zentralen Anforderungen des aktuellen Beschlusses der Datenschutzkonferenz vom 16. Juni 2025. Behandelt werden Themen wie analoge Alternativen zur Online-Buchung, Verträge mit externen Dienstleistern nach Art. 28 DSGVO, transparente Informationen für Patienten, Datensparsamkeit, Löschpflichten sowie der Umgang mit Anbietern außerhalb der EU. Der Beitrag zeigt, wie medizinische Einrichtungen digitale Terminverwaltung sicher und rechtskonform gestalten – und worauf auch Patienten achten sollten, wenn sie ihre Daten online weitergeben.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=10</video:player_loc>
      <video:publication_date>2025-10-27T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=5</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/5</video:thumbnail_loc>
      <video:title>Aufdeckung von Straftaten im Beschäftigungsverhältnis</video:title>
      <video:description>Im Video behandeln wir: Die gesetzliche Grundlage nach BDSG §26 Abs. 1 S. 2 Wann ein konkreter Tatverdacht vorliegt und was nicht ausreicht Die Dokumentationspflicht von Verdachtsmomenten Warum nur Straftaten, nicht aber Pflichtverletzungen oder Ordnungswidrigkeiten relevant sind Wie eine Abwägung zwischen Aufklärungsinteresse und Persönlichkeitsrecht erfolgt Zum Schluss fassen wir zusammen, wann die Verarbeitung und Offenlegung von Beschäftigtendaten zur Aufdeckung von Straftaten im Beschäftigungsverhältnis zulässig ist.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=5</video:player_loc>
      <video:publication_date>2024-10-20T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=56</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/56</video:thumbnail_loc>
      <video:title>Aufsichtsbehörden: 2024 Prüfung der Unternehmensprozesse Betroffenenrechte</video:title>
      <video:description>Der Beitrag beleuchtet die europaweite Prüfaktion der Datenschutzaufsichtsbehörden im Jahr 2024, die sich auf die Prozesse zur Beantwortung von Betroffenen-Anfragen konzentriert. Der Europäische Datenschutzausschuss (EDSA) hat beschlossen, die Umsetzung dieser zentralen DSGVO-Vorgabe in Unternehmen gezielt zu überprüfen. Dr. Sebastian Kraska erklärt, welche Anforderungen Unternehmen dabei erfüllen müssen. Dazu gehören ein klar definierter Prozess zur Bearbeitung von Betroffenen-Anfragen, eindeutige interne Zuständigkeiten und ein Überblick, wo personenbezogene Daten gespeichert sind. Mitarbeitende sollten zudem geschult werden, um Anfragen über alle Kommunikationskanäle korrekt zu erkennen und weiterzuleiten. Besonderes Augenmerk gilt den Fristen: Die Beantwortung muss innerhalb eines Monats erfolgen, in komplexen Fällen ist eine Verlängerung um weitere zwei Monate möglich. Unternehmen sollten außerdem eine Vorlage nach Art. 15 DSGVO bereithalten, um Anfragen vollständig und einheitlich zu beantworten. Das Fazit: Wer rechtzeitig klare Strukturen schafft, schützt nicht nur die Rechte der Betroffenen, sondern beugt auch Beanstandungen durch die Aufsichtsbehörden vor.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=56</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=37</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/37</video:thumbnail_loc>
      <video:title>Auftragsverarbeiter richtig prüfen</video:title>
      <video:description>In dieser Folge von Café Datenschutz geht es um eine zentrale Frage für Unternehmen, die externe Dienstleister einsetzen: Wie lässt sich sicherstellen, dass Auftragsverarbeiter DSGVO-konform arbeiten? Das Video erklärt zunächst, was ein Auftragsverarbeiter ist und warum die Prüfung gesetzlich vorgeschrieben ist. Anschließend wird gezeigt, wie Unternehmen die Überprüfung strukturiert durchführen können – von der Anforderung von Zertifikaten über Fragebögen und technische Nachweise bis hin zu Audits. Ebenso wichtig ist eine rechtssichere Dokumentation, die belegt, dass der Verantwortliche seiner Kontrollpflicht nachgekommen ist. Mit praxisnahen Beispielen und Empfehlungen zeigt Dr. Sebastian Kraska, wie Unternehmen Risiken reduzieren und Datenschutzanforderungen effizient erfüllen können. Aktuell weist das Video zudem auf ein Datenschutzthema hin: Das Verwaltungsgericht Köln hat den Betrieb von Facebook-Seiten erlaubt, während der Bundesdatenschutzbeauftragte weitere rechtliche Schritte prüft – ein Hinweis darauf, wie dynamisch sich das Datenschutzrecht weiterentwickelt.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=37</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=32</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/32</video:thumbnail_loc>
      <video:title>BayLDA: Fokus auf Ransomware</video:title>
      <video:description>Der Beitrag zeigt, warum Ransomware-Angriffe weiterhin zu den größten Bedrohungen für Unternehmen gehören und welche Maßnahmen nach Artikel 32 DSGVO erforderlich sind, um Daten und Systeme zu schützen. Ransomware verschlüsselt Daten oder sperrt Systeme, um Lösegeld zu erpressen – ein Risiko, das auch 2024 im Fokus der bayerischen Datenschutzaufsicht steht. Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt Unternehmen, sich anhand zentraler Prüffragen selbst zu bewerten. Dazu gehören ein vollständiger Überblick über die Systemlandschaft, ein wirksames Patch-Management zur Schließung von Sicherheitslücken, ein belastbares Backup-Konzept zur Wiederherstellung von Daten sowie die Sensibilisierung der Mitarbeitenden, um Angriffe frühzeitig zu erkennen. Das Fazit lautet: Es ist nicht die Frage, ob, sondern wann ein Angriff erfolgt. Unternehmen müssen sich konsequent am Stand der Technik orientieren und Informationssicherheit als kontinuierlichen Prozess verstehen. Hilfreich sind dabei neben Fachvideos auch aktuelle Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI).</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=32</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=11</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/11</video:thumbnail_loc>
      <video:title>Berechtigungskonzept: Anforderungen an die Praxis</video:title>
      <video:description>Unternehmen müssen gemäß DSGVO geeignete technische und organisatorische Maßnahmen umsetzen, um personenbezogene Daten zu schützen. Dieses Video zeigt, wie ein wirksames Berechtigungskonzept nach Art. 32 DSGVO gestaltet wird. Es erläutert zentrale Prinzipien wie Zero Trust, Need-to-know und rollenbasierte Zugriffskontrolle (Role Based Access Control) sowie die Bedeutung regelmäßiger Überprüfungen und Dokumentation. Der Beitrag bietet praxisnahe Hinweise, wie Verantwortliche den Datenzugriff risikobasiert steuern und dadurch Datenschutz und Datensicherheit nachhaltig verbessern können.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=11</video:player_loc>
      <video:publication_date>2025-10-27T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=12</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/12</video:thumbnail_loc>
      <video:title>Bewerbungsverfahren und Datenschutz</video:title>
      <video:description>Das Video behandelt die datenschutzrechtlichen Rahmenbedingungen, die bei Bewerbungsverfahren zu beachten sind, um Konflikte mit Aufsichtsbehörden zu vermeiden. Kernpunkte zum Datenschutz im Bewerbungsverfahren: Datenschutzinformationen: Da Lebensläufe und Zeugnisse sensible personenbezogene Daten enthalten, müssen Unternehmen, die Bewerbungen über ihre Homepage oder ein Portal entgegennehmen, transparent über die Datenverarbeitung informieren. Eine entsprechende Datenschutzinformation sollte gut sichtbar veröffentlicht sein. Initiativbewerbungen: Die Datenschutzinformation muss auch festlegen, wie mit Daten aus Initiativbewerbungen umgegangen wird, also Bewerbungen, die nicht auf eine konkret ausgeschriebene Stelle gerichtet sind. Rechtsgrundlage: Für die Durchführung des eigentlichen Bewerbungsverfahrens ist in der Regel keine Einwilligung der Bewerber erforderlich. Die Verarbeitung der Daten ist zulässig, da sie für die Durchführung eines vorvertraglichen Verhältnisses notwendig ist. Bewerberpool: Eine Einwilligung ist nur dann nötig, wenn die Bewerberdaten über die Dauer des konkreten Verfahrens hinaus in einem Bewerberpool für zukünftige Stellen gespeichert werden sollen. Datensparsamkeit: Die Bewerberdaten dürfen betriebsintern nur im unbedingt erforderlichen Umfang geteilt werden. Das heißt, nur jene Personen, die an der Einstellungsentscheidung beteiligt sind, dürfen Zugriff erhalten (Erforderlichkeitsprinzip). Technische Maßnahmen und Löschung: Es müssen technische und organisatorische Maßnahmen (TOMs) ergriffen werden, um die Daten vor unbefugtem Zugriff zu schützen. Wichtig ist ein Verfahren (z.B. eine datenbankgestützte Plattform), das eine gezielte Löschung ermöglicht. Bewerbungsgespräch: Im Gespräch dürfen nur Fragen gestellt werden, die direkt das Arbeitsverhältnis betreffen. Das unbefugte Durchsuchen von sozialen Netzwerken des Bewerbers ist datenschutzrechtlich unzulässig. Löschfristen: Die Daten erfolgloser Bewerber müssen nach Abschluss des Bewer…</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=12</video:player_loc>
      <video:publication_date>2024-07-14T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=13</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/13</video:thumbnail_loc>
      <video:title>Bonitätsprüfung und Datenschutz</video:title>
      <video:description>Das Video erläutert die datenschutzrechtlichen Vorgaben (DSGVO) bei der Durchführung von Bonitätsprüfungen durch Unternehmen. Wann ist eine Bonitätsprüfung zulässig? Voraussetzung: Eine Bonitätsprüfung ist grundsätzlich nur dann zulässig, wenn das Unternehmen mit der eigenen Leistung in Vorleistung gehen soll und somit das Risiko eines Zahlungsausfalls besteht. Dies betrifft Verträge wie Kreditverträge, Telekommunikationsverträge, Kaufverträge mit Ratenzahlung oder Mietverträge. Rechtsgrundlage: Nach Ansicht der Aufsichtsbehörden greift hierfür das berechtigte Interesse des Unternehmers (Art. 6 Abs. 1 lit. f DSGVO). Das bedeutet, es ist keine explizite Einwilligung des Kunden erforderlich, solange ein Vertrag geschlossen wurde, der eine Vorleistungspflicht beinhaltet. Anforderungen an die Durchführung: Scoring-Modell: Zur Beurteilung der Kreditwürdigkeit übermittelt das Unternehmen bestimmte Stammdaten an einen Scoring-Anbieter, der diese mit vorhandenen Daten über das Kreditverhalten abgleicht und eine Information über das Risiko eines Zahlungsausfalls zurückliefert. Datensparsamkeit: Es dürfen nur jene Daten an den Anbieter übermittelt werden, die für die Bonitätsabfrage erforderlich sind. Transparenzpflichten: Die Betroffenen müssen vor der Durchführung der Bonitätsabfrage transparent über die geplante Datenübermittlung informiert werden, einschließlich des Zwecks der Datenweitergabe.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=13</video:player_loc>
      <video:publication_date>2024-06-16T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=57</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/57</video:thumbnail_loc>
      <video:title>Café Datenschutz Interview: Sichere IT-Systeme durch Pentests</video:title>
      <video:description>Im Café Datenschutz spricht Dr. Sebastian Kraska mit Alex Rosniewski, Team Lead Presales und Security bei mod IT Services GmbH, über die Bedeutung von Penetrationstests für Unternehmen. Mit zunehmender technischer Komplexität steigen auch die Risiken durch Cyberangriffe. Hacker nutzen gezielt Schwachstellen in Systemen aus – oft liegen diese innerhalb der eigenen Organisation. Pentests (Penetrationstests) simulieren solche Angriffe kontrolliert und ermöglichen es, Sicherheitslücken frühzeitig zu erkennen und zu schließen. Im Gespräch wird erläutert, wie Unternehmen von regelmäßigen Sicherheitsprüfungen profitieren, welche Methoden eingesetzt werden und wie Penetrationstests in ein umfassendes Informationssicherheitskonzept eingebettet werden können. Das Fazit: Wer seine IT-Infrastruktur schützen will, muss Schwachstellen aktiv suchen – nicht abwarten, bis sie ausgenutzt werden. Penetrationstests sind daher ein unverzichtbarer Bestandteil moderner Cybersicherheit.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=57</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=14</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/14</video:thumbnail_loc>
      <video:title>Datenpanne? Ihr Notfallplan!</video:title>
      <video:description>Das Video befasst sich mit der Notwendigkeit und den Pflichten eines Notfallplans für das Datenpannen-Management gemäß der Datenschutz-Grundverordnung (DSGVO). Eine Datenpanne ist definiert als eine Sicherheitsverletzung, die – ob beabsichtigt oder unbeabsichtigt – zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Beispiele sind Hackerangriffe, verlorene Geräte, fehlgeleitete E-Mails oder unbefugter Zugriff durch Mitarbeiter. Kernpflichten bei einer Datenpanne: Risikobewertung: Das Unternehmen muss dokumentieren und unter Einbeziehung des Datenschutzbeauftragten prüfen, ob ein niedriges, mittleres oder hohes Risiko für die Betroffenen vorliegt. Meldung an Aufsichtsbehörde: Bei einem mittleren Risiko muss die zuständige Datenschutzaufsichtsbehörde binnen 72 Stunden ab Kenntnis informiert werden. Benachrichtigung der Betroffenen: Bei einem hohen Risiko sind zusätzlich die betroffenen Personen zu informieren. Dokumentation: Eine lückenlose Dokumentationspflicht besteht für alle Vorfälle. Bausteine des Notfallplans: Ein vorbereiteter Notfallplan ist nicht nur Kür, sondern Pflicht und dient dem Reputationsschutz. Er sollte umfassen: Sofortmaßnahmen: Maßnahmen zur schnellen Schließung von Sicherheitslücken, zur Schadensabwendung (z.B. Passwörter ändern) und gegebenenfalls zur Hinzuziehung externer Forensik-Experten. Internes Meldewesen: Klare Kanäle und Ansprechpartner festlegen, über die Beschäftigte einen Verdacht auf Datenverlust melden müssen. Verantwortlichkeiten: Bestimmung des internen Koordinators für den Ernstfall (inklusive Stellvertretung). Risikobewertungsprozess: Ein festgelegtes Vorgehen zur koordinierten Risikoeinschätzung. Vorlagen und Kontakte: Vorbereitung von Vorlagen für die Meldung an die Behörden und die Information der Betroffenen. Kommunikationsstrategie: Planung der internen und externen Kommunikation (Presseabteilung einbinden). Cyberversicherung: Bei vorhan…</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=14</video:player_loc>
      <video:publication_date>2025-05-11T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=15</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/15</video:thumbnail_loc>
      <video:title>Datenschutz bei der Due Diligence im KMU-Bereich</video:title>
      <video:description>Das Video behandelt die datenschutzrechtlichen Aspekte, die bei einer Due Diligence (Vorprüfung der rechtlichen und finanziellen Verhältnisse eines Unternehmens vor einer Transaktion) im Bereich kleiner und mittlerer Unternehmen (KMU) relevant sind. Wesentliche Prüfpunkte für die Datenschutz-Compliance im Rahmen der Due Diligence: Um das Unternehmen im Vorfeld einer möglichen Investition oder eines Aufkaufs datenschutzkonform aufzustellen, sollten insbesondere folgende Aspekte geprüft werden: Verzeichnis der Verarbeitungstätigkeiten (VVT): Die Kerndokumentation der internen Datenströme muss aktuell und vollständig sein. Mitarbeiterschulung: Es muss nachgewiesen werden, in welcher Form die Beschäftigten in Bezug auf Datenschutz sensibilisiert und geschult wurden. Website-Compliance: Es muss geprüft werden, welche Tracking-Tools eingesetzt werden und ob die rechtskonforme Einholung der Einwilligung der Webseitenbesucher (z.B. über ein Cookie-Banner) sichergestellt ist. Umgang mit Betroffenenanfragen: Es muss ein klar definierter Prozess für den Umgang mit Anfragen von Betroffenen (z.B. auf Auskunft, Löschung) vorhanden sein. Datenschutzbeauftragter (DSB): Es ist zu prüfen, ob die Benennung eines DSB erforderlich ist, ob diese erfolgt ist und ordnungsgemäß bei der Aufsichtsbehörde angezeigt wurde. Datenschutz-Folgenabschätzung (DSFA): Es muss ein Prozess für die Durchführung von DSFAs existieren, welche bei der Einführung von besonders verarbeitungsintensiven Vorgängen notwendig sind. Datenpannen-Management: Es muss ein Prozess zum Umgang mit Datenschutzverletzungsmeldungen etabliert sein, um im Ernstfall schnell Gegenmaßnahmen ergreifen und Meldungen bei der Aufsichtsbehörde fristgerecht durchführen zu können. Informationssicherheit: Die Mindeststandards im Bereich der technischen und organisatorischen Maßnahmen (TOMs) zur Informationssicherheit müssen erfüllt werden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=15</video:player_loc>
      <video:publication_date>2023-10-15T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=16</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/16</video:thumbnail_loc>
      <video:title>Datenschutz bei Pur-Abo-Modellen - Stellungnahme der Datenschutzkonferenz DSK</video:title>
      <video:description>Das Video behandelt die Stellungnahme der deutschen Datenschutzkonferenz (DSK) zu sogenannten Pur-Abo-Modellen. Die Ausgangsfrage und die Entscheidung der DSK: Die Frage war, ob die Einwilligung in das Tracking als freiwillig im Sinne der DSGVO gilt, wenn Webseitenbesucher nur zwischen der Einwilligung in das Tracking oder dem Abschluss eines kostenpflichtigen Abonnements (&quot;Pur-Abo&quot;) wählen können, um Inhalte anzusehen. Die Aufsichtsbehörden stellen in ihrem Positionspapier klar: Grundsätzliche Zulässigkeit: Es ist grundsätzlich zulässig, den Webseitenbesuchern diese Wahl zu stellen. Die DSK erkennt damit an, dass Verlage und andere Anbieter die Möglichkeit haben müssen, sich entweder über Werbung/Tracking oder über Abonnements zu finanzieren. Marktüblicher Preis: Der Preis für das Pur-Abo muss sich in irgendeiner Weise an der Marktüblichkeit orientieren. Er darf nicht so überhöht sein, dass er praktisch jeden vernünftigen Nutzer dazu zwingt, in das Tracking einzuwilligen. Kopplungsverbot: Die erteilte Einwilligung in das Tracking darf nicht mit völlig fremden Zwecken verknüpft werden (z.B. mit der Einwilligung zum Erhalt von Newslettern). Basisdaten im Abo-Modell: Das Papier lässt die Interpretation zu, dass im Rahmen des Abo-Modells die Basisdaten des Nutzungsverhaltens möglicherweise auch ohne explizite Einwilligung erfasst werden können. Einhaltung weiterer Regeln: Unabhängig von der Entscheidung zur Wahlmöglichkeit müssen im Übrigen weiterhin die Vorgaben der DSGVO und des TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) zum Tracking beachtet werden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=16</video:player_loc>
      <video:publication_date>2023-06-04T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=17</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/17</video:thumbnail_loc>
      <video:title>Datenschutz bei Vereins-Veranstaltungen - Vereins-Event Datenschutz Guide</video:title>
      <video:description>Das Video gibt einen Überblick über die datenschutzrechtlichen Pflichten, die Vereine und ihre Vorstände bei der Organisation von Veranstaltungen beachten müssen, da die DSGVO auch für die Verarbeitung personenbezogener Daten von Mitgliedern, Gästen und Teilnehmern gilt. Datenschutz bei der Anmeldung und Organisation: Datensparsamkeit: Es dürfen gemäß Art. 5 DSGVO nur jene Daten erhoben werden, die für die Organisation der Veranstaltung unbedingt erforderlich sind (z.B. Name, Kontakt, ggf. spezielle Bedürfnisse wie Essenswünsche oder Barrierefreiheit). Rechtsgrundlage: Die Verarbeitung der Anmeldedaten erfolgt meist auf Basis der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), da die Anmeldung der Durchführung der Veranstaltung dient. Für zusätzliche Vorgänge, wie eine Newsletter-Anmeldung, ist eine separate, freiwillige und informierte Einwilligung erforderlich. Informationspflichten (Art. 13/14 DSGVO): Die Betroffenen müssen transparent darüber informiert werden, wer die Daten zu welchem Zweck verarbeitet, wie lange sie gespeichert werden und welche Rechte sie haben. Dies kann bei Online-Anmeldungen durch einen Link auf die erweiterte Datenschutzerklärung oder bei analogen Events durch einen Aushang erfolgen. Datenschutz bei Fotos und Videos: Die Anfertigung und Veröffentlichung von Fotos und Videos, auf denen Personen identifizierbar sind, wirft datenschutzrechtliche Fragen auf: Einwilligung als sicherster Weg: Der sicherste Weg ist die Einwilligung des Betroffenen. Diese muss freiwillig, spezifisch und nachweisbar sein. Sie empfiehlt sich insbesondere bei gezielten Einzel- oder Portraitaufnahmen und bei Veröffentlichungen auf Social-Media-Kanälen oder der Vereinszeitung. Praxistipp: Die Einwilligung kann beim Check-in abgefragt werden, wobei farbige Bändchen für Fotografen die Entscheidung des Teilnehmers signalisieren können. Bei Minderjährigen ist die Einwilligung der Sorgeberechtigten einzuholen. Berechtigtes Interesse: Das berechtigte Interesse kann vereinz…</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=17</video:player_loc>
      <video:publication_date>2025-06-29T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=18</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/18</video:thumbnail_loc>
      <video:title>Datenschutz beim Hausarzt - auf was Sie als Arzt und Praxisinhaber achten müssen</video:title>
      <video:description>Der Beitrag beleuchtet die datenschutzrechtlichen Anforderungen beim Hausarzt und erklärt, wie mit Gesundheitsdaten verantwortungsvoll umzugehen ist. Gesundheitsdaten zählen zu den besonders sensiblen personenbezogenen Daten, deren Verarbeitung nur unter strengen Voraussetzungen erlaubt ist. Sie dürfen grundsätzlich verarbeitet werden, wenn dies zur Erfüllung des Behandlungsvertrags notwendig ist – jedoch stets nur im erforderlichen Umfang. Neben der Rechtmäßigkeit spielt Transparenz gegenüber den Patienten eine zentrale Rolle. Eine Einwilligung ist nur erforderlich, wenn Daten über den Behandlungszweck hinaus genutzt werden sollen, etwa zur Terminerinnerung per SMS. Sowohl analoge als auch digitale Patientenakten müssen vor unbefugtem Zugriff geschützt werden. Neben der DSGVO sind auch die Regelungen des SGB V relevant, insbesondere im Hinblick auf die Weitergabe von Daten an andere Leistungserbringer. Das Fazit: Im medizinischen Alltag ist besondere Sorgfalt geboten. Ärzte sollten stets abwägen, welche Informationen wirklich notwendig sind, und sicherstellen, dass Patientendaten ordnungsgemäß und geschützt verarbeitet werden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=18</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=42</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/42</video:thumbnail_loc>
      <video:title>Datenschutz für Shop-Betreiber</video:title>
      <video:description>Der Beitrag zeigt, welche Datenschutzanforderungen für Betreiber von Online-Shops gelten und wie sich die DSGVO im E-Commerce praktisch umsetzen lässt. Dr. Sebastian Kraska erklärt, welche Bereiche besonders relevant sind und wie Online-Händler ihre Prozesse datenschutzkonform gestalten können. Im Mittelpunkt stehen Informationssicherheit und Datenschutzthemen mit Außenbezug – also alles, was Kundendaten, Webtracking und Kommunikationsprozesse betrifft. Betreiber sollten sicherstellen, dass Auskunftsanfragen und Datenschutzverletzungen strukturiert bearbeitet, alle Verarbeitungstätigkeiten dokumentiert und Webseiten-Tracking-Systeme datenschutzkonform eingesetzt werden. Das Bayerische Landesamt für Datenschutzaufsicht bietet hierfür eine Checkliste mit den wichtigsten Prüfpunkten für Online-Shops. Diese hilft, Risiken zu erkennen und rechtliche Anforderungen effizient umzusetzen. Das Fazit: Wer im Online-Handel tätig ist, muss Datenschutz von Anfang an mitdenken – durch klare Prozesse, sichere IT-Systeme und transparente Kommunikation gegenüber den Kundinnen und Kunden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=42</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=19</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/19</video:thumbnail_loc>
      <video:title>Datenschutz für Vermieter und Mieter - Was ist zu beachten?</video:title>
      <video:description>Der Beitrag zeigt, welche datenschutzrechtlichen Grundsätze im Mietverhältnis gelten und wie die DSGVO den Umgang mit Mieterdaten regelt. Immer dann, wenn keine speziellen Datenschutzvorschriften bestehen, kommt die Datenschutzgrundverordnung zur Anwendung – auch im Immobilienbereich. Mieterdaten dürfen grundsätzlich verarbeitet werden, soweit dies für die Erfüllung des Mietvertrags erforderlich ist. Dabei gilt das Prinzip der Datenminimierung: Es sollen nur die Daten erhoben und genutzt werden, die tatsächlich notwendig sind. In bestimmten Fällen – etwa bei der Weitergabe der Telefonnummer an Handwerker, beim Anbringen von Namensschildern oder bei der Anforderung eines Gehaltsnachweises vor Vertragsabschluss – kann die Verarbeitung auch über den eigentlichen Vertragszweck hinaus rechtmäßig sein, sofern eine Interessenabwägung dies erlaubt. Wichtig ist zudem die Transparenz: Betroffene müssen stets klar darüber informiert werden, welche Daten erhoben und zu welchem Zweck sie verarbeitet werden. So wird Datenschutz im Mietverhältnis praktisch und rechtssicher umgesetzt.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=19</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=20</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/20</video:thumbnail_loc>
      <video:title>Datenschutz im Franchisenetzwerk</video:title>
      <video:description>Der Beitrag behandelt die datenschutzrechtlichen Besonderheiten im Franchise-System und beleuchtet die Rollenverteilung zwischen Franchise-Geber und Franchise-Nehmer. Grundlage ist der Franchise-Vertrag, der meist die Lizenzrechte regelt, während viele unternehmerische Entscheidungen dem Franchise-Nehmer überlassen bleiben. Datenschutzrechtlich stellt sich die Frage, ob zwischen den Parteien eine Auftragsverarbeitung, eine eigene Verantwortlichkeit oder eine gemeinsame Verantwortlichkeit besteht. Nur wenn der Franchise-Nehmer weisungsgebunden handelt – etwa bei der Nutzung zentraler IT-Systeme – liegt eine Auftragsverarbeitung vor, die einen entsprechenden Vertrag erfordert. Da das operative Geschäft in der Regel frei gestaltet wird, sind Franchise-Geber und -Nehmer meist als eigenständige Verantwortliche anzusehen. In bestimmten Konstellationen, etwa bei gemeinsamer Werbung oder zentralem Marketing, kann jedoch auch eine gemeinsame Verantwortlichkeit vorliegen, die im Einzelfall sorgfältig geprüft werden muss.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=20</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=21</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/21</video:thumbnail_loc>
      <video:title>Datenschutz im Verein: die 10 wichtigsten DSGVO-Themen für Vereine</video:title>
      <video:description>Vereinfacht zusammengefasst: Vereine sollten sich um Datenschutz kümmern, es gelten die Grundsätze der DSGVO. Nutzen Sie das kostenfreie Informationsmaterial der Aufsichtsbehörden. Eine praxisorientierte Zusammenfassung finden Sie auf Webseite des Bayerischen Landesamts für Datenschutzaufsicht (Link unten). Zu den dort aufgeführten Punkten erhalten Sie in nachfolgenden Videolinks vertiefende Informationen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=21</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=22</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/22</video:thumbnail_loc>
      <video:title>Datenschutz in der Pflegeeinrichtung</video:title>
      <video:description>Auch für Pflegeeinrichtungen gilt zunächst, dass die Grundthemen der Datenschutzgrundverordnung adressiert sein müssen: - Verarbeitungsverzeichnis (welche Kernverarbeitungen habe ich?) - Dienstleisterübersicht und Auftragsverarbeitung (setze ich bspw. externe Dienstleister ein, die Zugriff auf personenbezogene Daten haben? - IT-Sicherheit - Sensibilisierung in Form von Schulung (sind sich meine Mitarbeiter der Datenschutzthematiken bewusst?) - Informationspflichten gegenüber den Betroffenen (haben meine Patienten die Möglichkeit, transparent nachvollziehen zu können, was mit ihren Daten geschieht?) Darüber hinaus sollten soziale Einrichtungen insbesondere in ihren unternehmensspezifischen Aspekten aufmerksam sein: - Immer wenn mit Gesundheitsdaten agiert wird, sollte man besonders achtsam agieren: Es muss nicht jeder Zugriff auf all diese Daten haben, vor Patienten und Angehörigen sollten keine diesem fremden Daten offenbart werden etc. - Die Weitergabe von Gesundheitsdaten an Dritte bedarf in der Regel zudem der vorherigen Zustimmung des Betroffenen Zusammengefasst - Auch für soziale Einrichtungen gelten zunächst die datenschutzrechtlichen Basisthemen, die adressiert werden sollten - Neben dem Erforderlichkeitsprinzip beim Datenzugriff ist zudem darauf zu achten, dass die Einwilligung des Betroffenen vor der Datenweitergabe von Gesundheitsdaten eingeholt wird.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=22</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=23</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/23</video:thumbnail_loc>
      <video:title>Datenschutz in Handwerksbetrieben</video:title>
      <video:description>Der Beitrag erklärt, welche datenschutzrechtlichen Anforderungen Handwerksbetriebe beachten müssen. Auch für Handwerker gilt die Datenschutzgrundverordnung (DSGVO) mit ihren zentralen Pflichten: Dazu gehören ein aktuelles Verarbeitungsverzeichnis, eine Übersicht der eingesetzten Dienstleister und Auftragsverarbeiter, angemessene IT-Sicherheitsmaßnahmen, regelmäßige Schulungen der Mitarbeitenden sowie transparente Informationspflichten gegenüber Kunden. Neben diesen allgemeinen Grundlagen ist besondere Aufmerksamkeit auf die Praxis im Handwerksalltag zu richten. Überall dort, wo mit Kundendaten gearbeitet wird, muss der Zugriff beschränkt und ein sorgsamer Umgang gewährleistet sein. Kundendaten dürfen nicht offenliegen oder unbefugt weitergegeben werden. Zudem sind auch die externen Kommunikationskanäle – etwa die eigene Website oder Social-Media-Auftritte – sorgfältig zu prüfen und datenschutzkonform zu gestalten. So stellen Handwerksbetriebe sicher, dass Datenschutz nicht nur rechtlich erfüllt, sondern auch praktisch umgesetzt wird.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=23</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=43</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/43</video:thumbnail_loc>
      <video:title>Datenschutz in Steuerkanzleien</video:title>
      <video:description>Der Beitrag erläutert die besonderen Datenschutzanforderungen für Steuerkanzleien und zeigt, worauf Steuerberater in der Praxis achten müssen. Als Verantwortlicher hat der Inhaber der Kanzlei sicherzustellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden – von der Datensicherheit bis zur Schulung der Mitarbeitenden. Wie für andere Unternehmen gilt auch hier: Zunächst sollten die Grundpflichten der DSGVO erfüllt sein, etwa die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Umsetzung technischer und organisatorischer Maßnahmen sowie die Information der Mandanten über die Datenverarbeitung. Zwischen Steuerberater und Mandant besteht aufgrund der besonderen beruflichen Stellung keine Auftragsverarbeitungsbeziehung, sodass kein entsprechender Vertrag erforderlich ist. Dennoch empfiehlt sich in vielen Fällen die Bestellung eines externen Datenschutzbeauftragten – ab 20 Beschäftigten ist sie sogar verpflichtend. Das Fazit: Eine datenschutzkonforme Steuerkanzlei erfordert klare Strukturen, sichere IT-Systeme und kontinuierliche Sensibilisierung. Wer diese Punkte beachtet, schützt nicht nur Mandantendaten, sondern auch die eigene berufliche Integrität.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=43</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=58</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/58</video:thumbnail_loc>
      <video:title>Datenschutz Sanktionspraxis der Aufsichtsbehörden</video:title>
      <video:description>Der Beitrag beleuchtet ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH), das die rechtlichen Rahmenbedingungen für Bußgelder durch deutsche Datenschutz-Aufsichtsbehörden präzisiert. Ausgangspunkt war ein Verfahren gegen das Unternehmen Deutsche Wohnen, bei dem strittig war, unter welchen Voraussetzungen ein Bußgeld verhängt werden durfte. Der EuGH stellte klar: Eine Sanktion ist nur zulässig, wenn die Aufsichtsbehörde nachweisen kann, dass Beschäftigte im Unternehmen vorsätzlich oder fahrlässig einen Datenschutzverstoß begangen haben. Damit schafft das Urteil Rechtsklarheit für die künftige Sanktionspraxis und stärkt zugleich die Anforderungen an die interne Organisation von Unternehmen. Dr. Sebastian Kraska empfiehlt als Konsequenz: – Schulung der Beschäftigten, um Datenschutzverstöße zu vermeiden. – Aufbau eines Datenschutz-Management-Systems, das Prozesse dokumentiert und regelmäßig intern auditiert wird. – Überprüfung von Auftragsverarbeitern, um externe Risiken zu minimieren. Das Fazit: Mit dem Urteil des EuGH wird die Bedeutung interner Datenschutzstrukturen weiter gestärkt – Prävention, Schulung und klare Verantwortlichkeiten sind der beste Schutz vor Sanktionen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=58</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=59</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/59</video:thumbnail_loc>
      <video:title>Datenschutz Überprüfung von Webseiten und Apps durch BayLDA</video:title>
      <video:description>Der Beitrag behandelt die aktuelle Prüfaktion des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), das über 350 Webseiten und 15 Apps bayerischer Unternehmen überprüft hat – teils mit automatisierten Prüftools. Ziel war die Kontrolle, ob individualisierende Tracking-Tools ohne Einwilligung eingesetzt werden und ob Nutzer die Möglichkeit haben, Tracking auf gleicher Ebene abzulehnen oder zuzustimmen. Das BayLDA stellte klar: Wenn auf der ersten Ebene eines Consent-Banners nur die Optionen „Akzeptieren“ und „Einstellungen“ angeboten werden, gilt eine Zustimmung per Klick auf „Akzeptieren“ nicht als rechtswirksame Einwilligung. Dr. Sebastian Kraska empfiehlt, die eigene Website oder App anhand von vier zentralen Punkten zu überprüfen: – Brauche ich wirklich ein zustimmungspflichtiges Tracking oder reicht ein cookiefreies, aggregiertes Tracking? – Sind im Consent-Tool nur notwendige Cookies als „erforderlich“ markiert? – Werden keine zustimmungspflichtigen Tools vor der Einwilligung geladen? – Gibt es Zustimmen und Ablehnen auf gleicher Ebene? Das Fazit: Die Datenschutzaufsicht setzt zunehmend auf automatisierte Prüfverfahren. Unternehmen sollten ihre Tracking- und Consent-Systeme jetzt kritisch prüfen, um rechtskonform zu handeln und Bußgelder zu vermeiden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=59</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=24</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/24</video:thumbnail_loc>
      <video:title>Datenschutz und Ausweiskopien</video:title>
      <video:description>Der Beitrag behandelt die datenschutzrechtlichen Anforderungen im Umgang mit Ausweiskopien. In vielen Situationen wird in Deutschland ein amtliches Ausweisdokument verlangt – etwa zur Identitätsprüfung. Doch eine Kopie des Ausweises ist nur unter engen Voraussetzungen erlaubt. Nach § 20 Abs. 2 Personalausweisgesetz darf eine Ablichtung nur mit Zustimmung des Ausweisinhabers erfolgen; außerdem gelten die allgemeinen Datenschutzbestimmungen der DSGVO. Zur Wahrung des Datenschutzes sollte eine Ausweiskopie stets die Ausnahme bleiben. Wenn eine Identifizierung auch auf anderem Wege möglich ist – etwa über Zusatzinformationen oder Einmalpasswörter – sollte auf eine Kopie verzichtet werden. Meist genügt die einmalige Vorlage des Originals mit einem Vermerk wie „Ausweis wurde vorgelegt“. Nicht benötigte Daten sollten auf der Kopie geschwärzt werden, und Kopien sind umgehend zu löschen, sobald die Identität festgestellt ist. Besondere Sorgfalt gilt bei digitalen Verifikationsverfahren, etwa im Finanzsektor: Hier müssen Unternehmen technische und organisatorische Maßnahmen zum Schutz vor unbefugtem Zugriff und Datenmissbrauch treffen. Das Fazit lautet: Nur kopieren, wenn unbedingt erforderlich – und so sparsam wie möglich mit Ausweisdaten umgehen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=24</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=7</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/7</video:thumbnail_loc>
      <video:title>Datenschutz und Clean-Desk-Richtline</video:title>
      <video:description>In diesem Video wird vorgestellt, warum eine Clean-Desk-Richtlinie für Unternehmen und Organisationen ein zentraler Bestandteil eines funktionierenden Datenschutzmanagements darstellt. Gezeigt wird, wie durch das ordnungsgemäße Aufräumen von Arbeitsplätzen und das sichere Verstauen sensibler Unterlagen und elektronischer Geräte das Risiko unerlaubter Einsicht oder Datenverlust deutlich reduziert werden kann. Es wird erklärt, in welchen Fällen eine solche Richtlinie nach der Datenschutz‑Grundverordnung (DSGVO) oder internen Compliance-Vorgaben sinnvoll ist und wie sie zur Stärkung der Informationssicherheit beiträgt. Zudem erhalten Verantwortliche praktische Hinweise zur Umsetzung: von der Gestaltung eines klaren Regelwerks über Schulung der Mitarbeitenden bis hin zur Kontrolle der Einhaltung. Das Video richtet sich an Führungskräfte, Datenschutzbeauftragte und alle Mitarbeitenden, die in ihrem Arbeitsumfeld sensible Daten verarbeiten oder betreuen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=7</video:player_loc>
      <video:publication_date>2025-10-21T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=38</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/38</video:thumbnail_loc>
      <video:title>Datenschutz-Aufsichtsbehörden 2026: Prüfung der Informationspflichten</video:title>
      <video:description>Der Beitrag beleuchtet das neue Schwerpunktthema der europäischen Datenschutzaufsichtsbehörden für das Jahr 2026: Transparenz. Im Rahmen des Coordinated Enforcement Framework (CEF) wird EU-weit überprüft, wie Unternehmen ihre Informationspflichten nach den Artikeln 12 bis 14 DSGVO umsetzen. Im Fokus stehen insbesondere Verständlichkeit, Vollständigkeit und Transparenz bei der Verarbeitung personenbezogener Daten – auch, wenn diese von Dritten stammen. Unternehmen müssen klar und nachvollziehbar informieren, welche Daten sie erheben, zu welchem Zweck sie diese verarbeiten und welche Rechte Betroffene haben. Dr. Sebastian Kraska erläutert, welche Risiken bei unzureichender Transparenz bestehen, wie Prüfungen ablaufen und wie sich Unternehmen gezielt darauf vorbereiten können. Der Beitrag bietet praxisnahe Hinweise, um Informationspflichten rechtssicher und benutzerfreundlich zu erfüllen. Transparenz wird damit zum zentralen Erfolgsfaktor für Vertrauen und Compliance im Datenschutzjahr 2026.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=38</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=47</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/47</video:thumbnail_loc>
      <video:title>Datenschutz-Beauftragter, -Koordinator, -Verantwortlicher etc. Wer macht eigentlich was?</video:title>
      <video:description>Der Beitrag erläutert die Unterschiede zwischen dem Datenschutzbeauftragten und dem Datenschutzverantwortlichen – zwei Rollen, die in der DSGVO klar definiert sind, in der Praxis jedoch häufig verwechselt werden. Dr. Sebastian Kraska erklärt, dass der Datenschutzverantwortliche (meist das Unternehmen oder die Geschäftsleitung) für die Einhaltung der Datenschutzvorgaben zuständig ist, während der Datenschutzbeauftragte eine beratende und überwachende Funktion übernimmt. Darüber hinaus existieren in größeren Organisationen oft weitere Datenschutzrollen, die die Umsetzung der DSGVO-Anforderungen unterstützen, etwa Datenschutzkoordinatoren oder Fachverantwortliche. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat hierzu ein praxisnahes Modell entwickelt, das Vorschläge für eine sinnvolle Rollenverteilung und klare Verantwortlichkeiten liefert. So können Unternehmen ihre Datenschutzstrukturen effizient gestalten und Compliance langfristig sichern. Das Fazit: Eine klare Abgrenzung und gelebte Zusammenarbeit zwischen Datenschutzbeauftragten, Verantwortlichen und unterstützenden Rollen ist entscheidend für einen wirksamen Datenschutz im Unternehmen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=47</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=29</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/29</video:thumbnail_loc>
      <video:title>Datenschutz-Folgenabschätzung wann erforderlich?</video:title>
      <video:description>Der Beitrag erklärt, wann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist und welche Kriterien die DSGVO dafür festlegt. Selbst rechtmäßige Datenverarbeitungen können Risiken für Betroffene bergen – insbesondere, wenn neue Technologien eingesetzt oder umfangreiche personenbezogene Daten verarbeitet werden. Nach Art. 35 DSGVO ist eine DSFA immer dann durchzuführen, wenn die Art, der Umfang oder die Umstände der Verarbeitung ein hohes Risiko erwarten lassen. Die Risikoabwägung richtet sich nach zwei Faktoren: der möglichen Schadenshöhe und der Eintrittswahrscheinlichkeit. Typische Fälle sind die Verarbeitung sensibler Daten, Datenverarbeitung in großem Umfang, systematische Überwachung oder automatisierte Entscheidungen mit rechtlichen Auswirkungen. Die Datenschutz-Folgenabschätzung dient nicht nur der Risikominimierung, sondern auch der Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Sie hilft Unternehmen, Datenschutzrisiken frühzeitig zu erkennen und geeignete Schutzmaßnahmen zu treffen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=29</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=46</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/46</video:thumbnail_loc>
      <video:title>Datenschutz-Richtlinien für Unternehmen</video:title>
      <video:description>Der Beitrag zeigt, warum Datenschutzrichtlinien ein zentrales Element der DSGVO-Compliance sind. Mit der Datenschutz-Grundverordnung wurde nicht nur die Pflicht zur Einhaltung des Datenschutzes eingeführt, sondern auch die Rechenschaftspflicht: Unternehmen müssen jederzeit nachweisen können, dass sie datenschutzkonform handeln. Datenschutzrichtlinien dokumentieren, dass organisatorische Abläufe und Rahmenbedingungen bestehen, die Datenschutz gewährleisten. Sie helfen, Risiken gezielt und risikobasiert zu adressieren – etwa durch Löschkonzepte, Passwortrichtlinien, Homeoffice-Regelungen oder KI-Richtlinien. Dr. Sebastian Kraska empfiehlt, Richtlinien klar, prägnant und leicht verständlich zu formulieren, damit Mitarbeitende sie im Alltag umsetzen können. Eine Unterschrift jedes Mitarbeiters ist nicht erforderlich; entscheidend ist, dass die Richtlinien allgemein zugänglich sind. Das Fazit: Datenschutzrichtlinien schaffen Transparenz, stärken die Rechenschaftspflicht und fördern eine datenschutzbewusste Unternehmenskultur. Je einfacher und praxisnäher sie gestaltet sind, desto wirksamer tragen sie zur Compliance bei.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=46</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=25</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/25</video:thumbnail_loc>
      <video:title>Datenschutz: Anonymisierung vs. Pseudonymisierung: Was ist der Unterschied?</video:title>
      <video:description>Der Beitrag erklärt anschaulich den Unterschied zwischen Anonymisierung und Pseudonymisierung und zeigt, wie Daten datenschutzkonform genutzt werden können. Beide Verfahren dienen dem Schutz personenbezogener Daten, unterscheiden sich jedoch in Wirkung und rechtlicher Bedeutung. Bei der Pseudonymisierung bleiben die Daten grundsätzlich personenbezogen, da eine Re-Identifizierung über Zusatzinformationen möglich ist. Daher gilt hier weiterhin die Datenschutz-Grundverordnung (DSGVO). Die Anonymisierung hingegen entfernt alle Bezüge zu einer Person vollständig – die Daten gelten somit nicht mehr als personenbezogen und fallen nicht mehr unter die DSGVO. Das Video zeigt, welche Methode sich in der Praxis für verschiedene Zwecke – etwa Statistik, Testverfahren oder Forschung – eignet und welche rechtlichen Anforderungen jeweils zu beachten sind. So wird klar, wann Daten wirklich anonym sind und wann sie trotz Schutzmaßnahmen weiterhin datenschutzrechtlich relevant bleiben.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=25</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=26</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/26</video:thumbnail_loc>
      <video:title>Datenschutz: Mobile Device Management</video:title>
      <video:description>Der Beitrag zeigt, welche Datenschutzanforderungen beim Einsatz mobiler Endgeräte im Unternehmen zu beachten sind. Unternehmen gelten nach Art. 4 und 32 DSGVO als Verantwortliche und müssen daher geeignete technische und organisatorische Maßnahmen treffen, um personenbezogene Daten zu schützen. Dazu gehören regelmäßige Updates, sichere Zugänge durch Passwörter oder Zwei-Faktor-Authentifizierung sowie Backups – unabhängig davon, ob es sich um private oder betriebliche Geräte handelt. Empfohlen wird der Einsatz eines Mobile-Device-Management-Systems (MDM). Damit lassen sich Systemzustände zentral überwachen, Geräte im Verlustfall aus der Ferne löschen und einheitliche Sicherheitsstandards durchsetzen. Wichtig ist zudem, betroffene Mitarbeitende transparent über die Funktionen des Systems zu informieren und – sofern externe Anbieter eingebunden sind – einen Auftragsverarbeitungsvertrag abzuschließen. Fazit: Unternehmen bleiben auch bei mobilen Geräten für Datenschutz verantwortlich. Der Einsatz von MDM sorgt für Sicherheit, Einheitlichkeit und Kontrolle über alle eingesetzten Geräte.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=26</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=27</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/27</video:thumbnail_loc>
      <video:title>Datenschutz: Namen und Fotos auf Power-Point-Folien</video:title>
      <video:description>Der Beitrag behandelt die datenschutzrechtlichen Anforderungen bei der Verwendung von Namen und Fotos in Präsentationen – ein Thema, das besonders im beruflichen Kontext oft Fragen aufwirft. Anhand der DSGVO und der KI-Verordnung (KI-VO) erklärt Dr. Sebastian Kraska praxisnah, wann eine Einwilligung erforderlich ist, wie sie rechtssicher gestaltet wird und welche Rechte betroffene Personen besitzen. Zentral ist, dass Unternehmen und Vortragende für einen transparenten Umgang mit personenbezogenen Daten sorgen. Dazu gehört ein klarer Prozess für Widerspruch und Löschung, um Betroffenenrechte effektiv umzusetzen. Das Video zeigt außerdem, wie sich Datenschutz und moderne Präsentationspraxis vereinbaren lassen und worauf bei der Verwendung von Bildern, Namen und anderen personenbezogenen Angaben in PowerPoint-Folien zu achten ist.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=27</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=30</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/30</video:thumbnail_loc>
      <video:title>Datenschutz: Unternehmenstransaktionen vorbereiten - M&amp;A und die DSGVO</video:title>
      <video:description>Der Beitrag erläutert die datenschutzrechtlichen Anforderungen beim Einsatz digitaler Datenräume im Rahmen von Unternehmenstransaktionen. Solche Plattformen dienen dazu, dem Käufer relevante Unternehmensinformationen bereitzustellen – doch auch hier gilt die DSGVO. Aus Sicht des Verkäufers sollten personenbezogene Daten, etwa von Beschäftigten oder Kunden, soweit möglich anonymisiert werden. Nur in Ausnahmefällen – etwa bei Angaben zu Geschäftsführern oder Führungskräften – dürfen Klardaten verwendet werden. Im Zweifel sollte eine Einwilligung der Betroffenen eingeholt werden. Käufer wiederum sind verpflichtet, die Datenschutz-Compliance des Zielunternehmens sorgfältig zu prüfen. Wenn ein externer Anbieter den Datenraum betreibt, muss mit diesem eine Datenschutzvereinbarung geschlossen werden. Besondere Aufmerksamkeit gilt dabei der Zugangssicherung (zwei Faktor-Authentifizierung) und einem klaren Rechtekonzept, das regelt, wer welche Dokumente einsehen darf. Das Fazit: Datenschutz ist auch im Transaktionsprozess ein wesentlicher Bestandteil der Sorgfaltspflicht – für Verkäufer, Käufer und technische Dienstleister gleichermaßen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=30</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=39</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/39</video:thumbnail_loc>
      <video:title>Datenschutzbeauftragter: Was sind seine Aufgaben? Wann muss er bestellt werden?</video:title>
      <video:description>Der Beitrag erklärt umfassend, wann ein Unternehmen einen Datenschutzbeauftragten bestellen muss und welche Aufgaben mit dieser Rolle verbunden sind. Datenschutzbeauftragte sind zentrale Ansprechpartner für die Einhaltung der DSGVO und tragen dazu bei, den Schutz personenbezogener Daten im Unternehmen zu sichern. Das Video behandelt unter anderem, ab wann die gesetzliche Pflicht zur Benennung besteht und worin sich interne und externe Datenschutzbeauftragte unterscheiden. Es zeigt, wie sie Mitarbeitende schulen, Datenschutzverstöße verhindern und die Einhaltung der DSGVO kontinuierlich überwachen. Weitere Themen sind die Zusammenarbeit mit Aufsichtsbehörden, die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) sowie die Pflege des Verzeichnisses von Verarbeitungstätigkeiten. Dr. Sebastian Kraska erläutert praxisnah, wie Datenschutzbeauftragte durch Beratung, Kontrolle und Dokumentation zur Rechtssicherheit beitragen und warum ihre Rolle für jedes moderne Unternehmen unverzichtbar ist.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=39</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=31</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/31</video:thumbnail_loc>
      <video:title>Datenschutzkonforme Personalaktenführung</video:title>
      <video:description>Der Beitrag erklärt die datenschutzrechtlichen Anforderungen beim Umgang mit Personalakten – unabhängig davon, ob sie in Papierform oder elektronisch geführt werden. Da Personalakten zahlreiche personenbezogene Daten enthalten, ist besondere Sorgfalt geboten. Arbeitgeber müssen sicherstellen, dass die enthaltenen Informationen vollständig, korrekt und sachlich richtig sind. Einmal gespeicherte Daten dürfen nicht ohne triftigen Grund entfernt werden. Externe Dienstleister, die Software für Personalmanagement bereitstellen, müssen sorgfältig ausgewählt und vertraglich abgesichert werden. Mitarbeitende haben jederzeit das Recht auf Einsicht in ihre Personalakte und können fehlerhafte oder unzulässige Angaben berichtigen oder löschen lassen. Der Zugriff auf die Akten ist streng zu regeln – nur ein kleiner, berechtigter Personenkreis darf Einsicht erhalten. Krankmeldungen sollten getrennt aufbewahrt und nur neutral als „außer Haus“ vermerkt werden. Ein zentrales Element ist zudem ein systematisches Löschkonzept, das sicherstellt, dass personenbezogene Daten nach Ablauf gesetzlicher Fristen gelöscht werden. Durch klare Zuständigkeiten, zuverlässige Dienstleister und begrenzte Zugriffsrechte lässt sich Datenschutz im Personalwesen wirksam umsetzen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=31</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=40</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/40</video:thumbnail_loc>
      <video:title>Die Datenschutzkonferenz (DSK) – Aufgaben, Mitglieder und Bedeutung</video:title>
      <video:description>Der Beitrag beleuchtet die Rolle der Datenschutzkonferenz (DSK) – das zentrale Gremium der unabhängigen Datenschutzaufsichtsbehörden in Deutschland. Die DSK sorgt für eine einheitliche Anwendung und Auslegung der DSGVO und spielt eine entscheidende Rolle bei der Weiterentwicklung des Datenschutzrechts. Das Video zeigt, wie die DSK organisiert ist, welche Aufgaben sie wahrnimmt und warum ihre Beschlüsse und Orientierungshilfen für Unternehmen und öffentliche Stellen von hoher praktischer Relevanz sind. Durch ihre Abstimmungen schafft sie Rechtssicherheit und einheitliche Maßstäbe im Datenschutzvollzug. Unternehmen profitieren davon, wenn sie sich an den Empfehlungen und Leitlinien der DSK orientieren: So können sie ihre Datenschutzstrategie stärken, Risiken minimieren und auf aktuelle Entwicklungen im Datenschutzrecht reagieren. Dr. Sebastian Kraska erklärt praxisnah, warum die DSK ein wichtiger Wegweiser für die Umsetzung der DSGVO in Deutschland ist.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=40</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=33</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/33</video:thumbnail_loc>
      <video:title>Digital Services Act</video:title>
      <video:description>In dieser Folge von Café Datenschutz geht es um den Digital Services Act (DSA) – eine zentrale EU-Verordnung im Rahmen der European Strategy for Data. Ziel des DSA ist es, mehr Rechtssicherheit im digitalen Raum zu schaffen und das bisherige Netzwerkdurchsetzungsgesetz zu ersetzen. Der DSA gilt für alle Anbieter digitaler Dienste – vom kleinen Internetanbieter bis zu internationalen Onlineplattformen. Besonders strenge Anforderungen treffen große Plattformen und Suchmaschinen (VLOPs und VLOSEs) mit mehr als 45 Millionen monatlich aktiven Nutzern in der EU. Kerninhalte des DSA sind klare Regeln für den Umgang mit nutzergenerierten Inhalten, verpflichtende Melde- und Beschwerdeverfahren, Transparenzpflichten sowie erweiterter Verbraucherschutz – insbesondere für Minderjährige. Er verbietet manipulative Designtricks („Dark Patterns“) und schränkt personalisierte Werbung auf Basis von Tracking-Daten ein. Bei Verstößen drohen empfindliche Strafen von bis zu sechs Prozent des weltweiten Jahresumsatzes. Die Durchsetzung übernimmt in Deutschland die Bundesnetzagentur, während die EU-Kommission für besonders große Anbieter zuständig ist. Das Fazit: Der DSA stärkt Transparenz, Verbraucherschutz und Verantwortlichkeit im digitalen Raum – ein wichtiger Schritt für ein sichereres und faireres Internet.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=33</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=35</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/35</video:thumbnail_loc>
      <video:title>DSGVO &amp; Direktwerbung bei Verbrauchern: Was Unternehmen beachten müssen.</video:title>
      <video:description>Der Beitrag behandelt die datenschutzrechtlichen Grundlagen der Direktwerbung nach DSGVO und UWG. Unternehmen dürfen potenzielle oder bestehende Kunden gezielt ansprechen – allerdings nur unter bestimmten Voraussetzungen. Für postalische Werbung ist in der Regel keine Einwilligung erforderlich, insbesondere bei Bestandskunden. E-Mail-Werbung kann nach § 7 Abs. 3 UWG zulässig sein, wenn der Kunde bereits ähnliche Produkte erworben hat und der Nutzung seiner Daten nicht widersprochen wurde. Telefon- und SMS-Werbung hingegen sind ausschließlich mit vorheriger ausdrücklicher Einwilligung erlaubt. Das Video erklärt anschaulich, welche Anforderungen Unternehmen erfüllen müssen, um rechtssicher zu werben, und wie sie Einwilligungen korrekt einholen und dokumentieren. Zudem verweist es auf aktuelle Entwicklungen: 2025 planen die europäischen Datenschutzaufsichtsbehörden eine koordinierte Prüfung zur Löschung personenbezogener Daten. Fazit: Wer Direktwerbung betreibt, sollte die rechtlichen Vorgaben genau kennen – denn Datenschutz und Kundenvertrauen sind die Grundlage erfolgreicher Kommunikation.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=35</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=71</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/71</video:thumbnail_loc>
      <video:title>DSGVO Datenschutz-Ausblick auf 2023: Was Unternehmen beachten sollten.</video:title>
      <video:description>Der Beitrag zeigt, welche Datenschutz-Schwerpunkte die Aufsichtsbehörden im Jahr 2023 setzen. Da personelle Ressourcen begrenzt sind, konzentrieren sich die Behörden auf besonders praxisrelevante Kernbereiche, die häufig Gegenstand von Beschwerden und Prüfungen sind. Im Mittelpunkt stehen fünf Themen: – Verzeichnis der Verarbeitungstätigkeiten – vollständige und aktuelle Dokumentation der zentralen Datenverarbeitungen. – Informationssicherheit – Einhaltung technischer und organisatorischer Mindeststandards. – Auftragsverarbeitung – rechtssichere Verträge und regelmäßige Prüfung externer Dienstleister. – Mitarbeiterschulung – Sensibilisierung zu Betroffenenanfragen und Datenschutzverletzungen. – Datenschutzkonforme Webseite – korrekte Einbindung von Cookies, Consent-Bannern und Tracking-Tools. Dr. Sebastian Kraska empfiehlt Unternehmen, diese Bereiche regelmäßig zu prüfen und nachweisbar zu dokumentieren – insbesondere, da sie immer wieder im Zentrum von Aufsichtsverfahren stehen. Das Fazit: Eine gute Datenschutzpraxis beginnt mit klaren Prozessen, nachvollziehbarer Dokumentation und der kontinuierlichen Schulung aller Beteiligten.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=71</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=73</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/73</video:thumbnail_loc>
      <video:title>DSGVO Grundsätze einfach erklärt: Was bedeutet das für mein Unternehmen im Datenschutz?</video:title>
      <video:description>Der Beitrag vermittelt die Grundsätze der Datenschutz-Grundverordnung (DSGVO) nach Artikel 5 und zeigt, warum sie das Fundament jeder datenschutzkonformen Datenverarbeitung bilden. Dr. Sebastian Kraska erklärt, dass Unternehmen besonders vier Prinzipien beachten müssen: Transparenz, Zweckbindung, Datenminimierung und Vertraulichkeit. Diese Grundsätze bestimmen, wie personenbezogene Daten erhoben, genutzt und geschützt werden dürfen. Unternehmen tragen die volle Verantwortung für deren Einhaltung und müssen jederzeit nachweisen können, dass sie DSGVO-konform handeln – Stichwort Rechenschaftspflicht. Das Fazit: Die DSGVO-Grundsätze sind keine Theorie, sondern zentrale Leitlinien für die tägliche Praxis. Wer sie konsequent umsetzt, schafft Vertrauen, Rechtssicherheit und ein solides Fundament für den Datenschutz im Unternehmen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=73</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=8</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/8</video:thumbnail_loc>
      <video:title>DSGVO Rechte der Betroffenen: Auskunftsrecht der betroffenen Person im Datenschutz</video:title>
      <video:description>In dem Video wird ausführlich erläutert, welches Recht betroffene Personen im Rahmen der DSGVO haben, Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten ein Unternehmen über sie verarbeitet. Es wird dargestellt, wie das Auskunftsrecht ausgestaltet ist, welche Fristen und Bedingungen gelten und welche Pflichten sich daraus für Verantwortliche ergeben. Zudem wird aufgezeigt, welche praktischen Schritte Unternehmen unternehmen sollten – etwa die Prüfung interner Prozesse, die Dokumentation von Auskunftsanfragen und die Schulung von Mitarbeitenden. Damit richtet sich das Video an Verantwortliche in Unternehmen, Datenschutzbeauftragte sowie Führungskräfte, die ihre Prozesse im Umgang mit Betroffenenanfragen rechtskonform gestalten möchten.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=8</video:player_loc>
      <video:publication_date>2025-10-21T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=45</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/45</video:thumbnail_loc>
      <video:title>DSGVO und Backups Anforderungen an die Praxis</video:title>
      <video:description>Der Beitrag zeigt, was die DSGVO unter Verfügbarkeit personenbezogener Daten versteht und welche Maßnahmen Unternehmen ergreifen müssen, um diese sicherzustellen. Nach Art. 4 und 32 DSGVO ist jedes Unternehmen als Verantwortlicher verpflichtet, technische und organisatorische Maßnahmen zu treffen, die den dauerhaften Zugriff auf personenbezogene Daten gewährleisten – auch im Falle technischer Ausfälle oder Sicherheitsvorfälle. Dr. Sebastian Kraska empfiehlt hierzu ein strukturiertes Backup-Konzept, das schriftlich festgehalten und regelmäßig überprüft wird. Dazu gehören die Einbindung von Cloud-Systemen, die Festlegung klarer Backup-Zyklen (üblich sind 6 bis 12 Monate) und die Anwendung der 3-2-1-Regel: drei Kopien der Daten, auf zwei verschiedenen Medien – davon eine Kopie extern oder offline gelagert. Ebenso wichtig sind regelmäßige Tests, ob Backups korrekt erstellt und wiederhergestellt werden können. Das Fazit: Datensicherung ist ein zentraler Bestandteil der DSGVO-Compliance. Nur wer die Verfügbarkeit seiner Daten systematisch plant und dokumentiert, erfüllt die rechtlichen Anforderungen und minimiert Ausfallrisiken.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=45</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=36</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/36</video:thumbnail_loc>
      <video:title>DSGVO und Multifaktor Authentifizierung: Sicher ist sicher.</video:title>
      <video:description>Der Beitrag erläutert, warum sichere Passwörter allein nicht ausreichen, um datenhaltende Systeme zuverlässig zu schützen. Nach Art. 4 und 32 DSGVO tragen Unternehmen als Verantwortliche die Pflicht, geeignete technische und organisatorische Maßnahmen zu ergreifen, um den Zugriff auf personenbezogene Daten so schwer wie möglich zu machen. Empfohlen wird der Einsatz einer Multi-Faktor-Authentifizierung (MFA). Dabei erfolgt der Zugang in mindestens zwei Schritten – meist mit einem Passwort und einem zusätzlichen Sicherheitscode, etwa einer TAN aus einer App oder einer SMS. Selbst wenn ein Passwort kompromittiert wird, bleibt der zweite Faktor ein entscheidendes Sicherheitsmerkmal. Unternehmen sollten alle Systeme mit sensiblen Daten – auch Cloud-Dienste – mit einer Zwei-Faktor-Authentifizierung absichern. Das Prinzip lautet: Je sensibler die Daten, desto höher müssen die Anforderungen an den Zugriff sein. Multi-Faktor-Authentifizierung ist damit ein zentraler Baustein moderner Datensicherheit.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=36</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=61</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/61</video:thumbnail_loc>
      <video:title>DSGVO: Eine kurze Geschichte des Datenschutzes und dessen Wurzeln</video:title>
      <video:description>Der Beitrag zeichnet die Entwicklung des Datenschutzrechts von seinen historischen Ursprüngen bis heute nach. Dr. Sebastian Kraska erläutert, wie sich das Verständnis von Privatsphäre und Datensouveränität über mehr als ein Jahrhundert hinweg entwickelt hat. Den Ausgangspunkt bildet der 1890 in der Harvard Law Review veröffentlichte Artikel von Samuel D. Warren und Louis Brandeis, der das berühmte Prinzip des „right to be let alone“ prägte. 1967 legte Alain F. Westin mit seinem Werk Privacy and Freedom die theoretischen Grundlagen für das moderne Datenschutzrecht. In Deutschland nahm die Entwicklung 1970 mit dem hessischen Datenschutzgesetz ihren Anfang – dem weltweit ersten seiner Art. Es folgten das Steinmüller-Gutachten (1972), das erste Bundesdatenschutzgesetz (1976) und schließlich das Volkszählungsurteil des Bundesverfassungsgerichts (1983), das das Grundrecht auf informationelle Selbstbestimmung festschrieb. Diese Meilensteine ebneten den Weg zur heutigen Datenschutz-Grundverordnung (DSGVO), die Datenschutz europaweit vereinheitlicht. Das Fazit: Datenschutz ist kein modernes Phänomen, sondern das Ergebnis einer langen gesellschaftlichen und rechtlichen Entwicklung hin zu mehr Freiheit und Selbstbestimmung im digitalen Zeitalter.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=61</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=66</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/66</video:thumbnail_loc>
      <video:title>EDSA Bericht zur Überprüfung der Datenschutzbeauftragten</video:title>
      <video:description>Der Europäische Datenschutzausschuss (EDSA) hat die koordinierte Aktion zum Einsatz von Datenschutzbeauftragten abgeschlossen und einen umfassenden Bericht veröffentlicht. Ziel war es, ein besseres Verständnis dafür zu gewinnen, wie Datenschutzbeauftragte in Unternehmen eingebunden sind und welche Herausforderungen bestehen. Die Ergebnisse zeigen ein differenziertes Bild: Rund 70 % der Datenschutzbeauftragten sind interne Mitarbeitende, ein Drittel davon in den Bereichen Legal oder Compliance tätig. Etwa zwei Drittel verfügen über juristische Kenntnisse, und die Hälfte bringt mehr als fünf Jahre Berufserfahrung im Datenschutz mit. Gleichzeitig offenbaren sich deutliche Problemfelder: Drei Viertel der Befragten gaben an, zu wenig Zeit für Fortbildungen zu haben, um in dem sich ständig wandelnden Datenschutzumfeld auf dem neuesten Stand zu bleiben. Zudem ist die Einbindung in Unternehmensstrukturen oft unzureichend – Berichterstattung an die Geschäftsleitung und die Vermeidung von Interessenskonflikten sind nicht überall sichergestellt. Das Fazit: Nach fünf Jahren DSGVO besteht weiterhin Handlungsbedarf bei der organisatorischen Verankerung, Qualifikation und Unabhängigkeit der Datenschutzbeauftragten. Der EDSA empfiehlt Unternehmen ausdrücklich, ihre internen Strukturen kritisch zu überprüfen und anzupassen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=66</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=53</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/53</video:thumbnail_loc>
      <video:title>Einsatz von KI im Unternehmen</video:title>
      <video:description>Der Beitrag behandelt die datenschutzrechtlichen Anforderungen beim Einsatz von Künstlicher Intelligenz (KI) in Unternehmen. Dr. Sebastian Kraska zeigt, welche Voraussetzungen für die rechtssichere Nutzung von KI-Tools erfüllt sein müssen und wo mögliche Risiken liegen. Unbedenklich ist die Nutzung, wenn ausschließlich nicht-personenbezogene Daten verarbeitet werden und keine Geschäftsgeheimnisse betroffen sind. Sobald jedoch personenbezogene Daten in KI-Systeme einfließen, gelten die grundlegenden DSGVO-Pflichten: Abschluss eines Auftragsverarbeitungsvertrags (AVV), interne Dokumentation der Datenverarbeitung und transparente Information der Betroffenen. Darüber hinaus müssen Unternehmen die Rahmenbedingungen für automatisierte Einzelentscheidungen nach Art. 22 DSGVO beachten und sich frühzeitig mit den kommenden Vorgaben der KI-Regulierung vertraut machen. Das Fazit: KI kann datenschutzkonform eingesetzt werden – entscheidend sind klare Grenzen, saubere Prozesse und ein bewusstes Risikomanagement im Umgang mit personenbezogenen Daten.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=53</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=60</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/60</video:thumbnail_loc>
      <video:title>EU Data Act - Was kommt auf Unternehmen zu?</video:title>
      <video:description>Das Video informiert über den EU Data Act, der voraussichtlich Mitte 2025 in Kraft tritt und einen neuen Regelungsbereich für den Datenaustausch schafft. Ziele und Umfang des Data Act: Datenaustausch: Der Data Act soll den Datenaustausch zwischen drei Parteien regeln: Unternehmen, Regierungen (öffentliche Hand) und Betroffenen. Erfasste Daten: Er umfasst im Gegensatz zur DSGVO nicht nur personenbezogene Daten, sondern auch nicht-personenbezogene Daten, die unter Mitwirkung der Betroffenen bei digital vernetzten Geräten entstehen. Zugriffsrechte: Das Hauptziel ist, dass die Benutzer von vernetzten Endgeräten (z.B. IoT-Geräte) Zugriff auf die mit dem Gerät erstellten und erhobenen Daten erhalten. Herausgaberegelung: Für nicht-personenbezogene Daten wird ein neues Herausgabe-Regime geschaffen. Hersteller sind verpflichtet, entsprechende Möglichkeiten zur Herausgabe der Daten zu schaffen. Auswirkungen auf Unternehmen: Unternehmen, die entsprechende Geräte herstellen oder zur Verfügung stellen, sollten sich bereits jetzt auf den Data Act vorbereiten. Eine Checkliste empfiehlt folgende Schritte: Geltungsbereich prüfen: Feststellen, ob und in welcher Form das Unternehmen unter den Data Act fällt. Technische Machbarkeit: Prüfen, ob die technische Fähigkeit besteht, die betroffenen (auch nicht-personenbezogenen) Daten, ggf. in Echtzeit, zur Verfügung zu stellen. Geschäftsgeheimnisse: Prozesse zur Prüfung vorbereiten, ob der Herausgabe der Daten schutzwürdige Geschäftsgeheimnisse entgegenstehen. DSGVO-Überlappung: Prüfen, ob personenbezogene Daten eine Rolle spielen und die ergänzenden Vorgaben der DSGVO zu berücksichtigen sind. Vertragsanpassungen: Überprüfen, inwieweit vertragliche Regelungen angepasst werden müssen. Der Data Act wird als ein zentraler Baustein des neuen Datenrechts der Europäischen Union gesehen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=60</video:player_loc>
      <video:publication_date>2023-09-10T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=62</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/62</video:thumbnail_loc>
      <video:title>EU-Datenschutz-Aufsichtsbehörden: Prüfpflichten von Auftragsverarbeitern und deren Subunternehmern</video:title>
      <video:description>Das Video behandelt die aus Art. 28 DSGVO resultierenden Pflichten des Verantwortlichen bei der Zusammenarbeit mit Auftragsverarbeitern (AV) und deren Subunternehmern, basierend auf einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA). Der Verantwortliche bleibt für die gesamte Kette der Datenverarbeitung verantwortlich. Zentrale Pflichten und Anforderungen des EDSA: Prüfung der Technischen und Organisatorischen Maßnahmen (TOMs): Der Verantwortliche muss die TOMs nicht nur beim direkten Auftragsverarbeiter, sondern auch bei dessen gesamten Subunternehmerkette prüfen und sicherstellen, dass ein Mindestmaß an Schutzmaßnahmen eingehalten wird. Drittlandtransfers: Auch bei Datenübermittlungen in Drittländer durch Subunternehmer muss die Einhaltung der vertraglich zugesicherten und DSGVO-konformen technischen und organisatorischen Standards gewährleistet sein. Audit- und Prüfrechte: Der Verantwortliche hat das Recht, den Auftragsverarbeiter und seine Subunternehmer auf die Einhaltung der vertraglichen Standards zu überprüfen. Der Prüfumfang kann sich nach dem Risiko orientieren (z.B. Vor-Ort-Audit bei hohem Risiko). Sicherstellung des Datenschutzniveaus: Das Datenschutzniveau muss in der gesamten Verarbeitungskette über alle Sub- und Sub-Subunternehmer hinweg sichergestellt werden. In der Praxis wird hier oft auf ISMS-Zertifizierungen (Informationssicherheits-Managementsystem) zurückgegriffen. Transparenz der Kette: Der Verantwortliche benötigt volle Transparenz darüber, welche Subunternehmer vom Dienstleister eingesetzt werden. Die gesamte Verarbeitungskette muss bekannt sein. Einsatz von Subunternehmern: Subunternehmer müssen entweder einzeln und individuell vom Verantwortlichen freigegeben werden, oder der Verantwortliche muss bei einer generellen Freigabe jederzeit die Information erhalten können, welche Dienstleister zum Einsatz kommen. Zusammenfassend betonen die Aufsichtsbehörden, dass Verantwortliche umfangreiche Pflichten tragen und transparente P…</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=62</video:player_loc>
      <video:publication_date>2025-02-02T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=64</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/64</video:thumbnail_loc>
      <video:title>EU-Japan: Grenzüberschreitende Datentransfers</video:title>
      <video:description>Der Beitrag behandelt die Datenübermittlung in Drittländer nach der DSGVO und stellt ein neues Abkommen zwischen der EU und Japan vor, das den grenzüberschreitenden Datenaustausch erleichtern soll. Nach den Artikeln 44 ff. DSGVO sind für Datenübertragungen außerhalb des Europäischen Wirtschaftsraums besondere Garantien erforderlich. Dazu zählen Angemessenheitsbeschlüsse, Standardvertragsklauseln oder in Ausnahmefällen eine Einwilligung der betroffenen Person. Diese Mechanismen sollen sicherstellen, dass auch außerhalb der EU ein angemessenes Datenschutzniveau besteht. Mit Japan wird nun ein neuer Weg beschritten: Die bestehende Wirtschaftspartnerschaft wurde um Regelungen zum elektronischen Datenverkehr erweitert. Ziel ist es, Informationsaustausch zu ermöglichen, ohne ihn pauschal zu beschränken – zugleich werden Datenschutz, Privatsphäre und Transparenzrechte ausdrücklich anerkannt. Unternehmen müssen Leitlinien einhalten und Betroffenenrechte klar kommunizieren. Das Fazit: Das Abkommen zwischen EU und Japan erleichtert internationale Datentransfers, ohne den Datenschutz aus den Augen zu verlieren. Im Mittelpunkt steht das Transparenzprinzip, das Vertrauen in die digitale Wirtschaft schaffen soll.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=64</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=54</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/54</video:thumbnail_loc>
      <video:title>EuGH: Datenminimierung im Fokus</video:title>
      <video:description>Der Beitrag behandelt das Prinzip der Datenminimierung gemäß DSGVO und zeigt, warum Unternehmen nur Daten erheben dürfen, die für einen konkreten Zweck wirklich notwendig sind. Ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) verdeutlicht, dass unnötige Pflichtangaben – etwa Anrede oder Geschlecht beim Fahrkartenkauf – gegen die Datenschutzgrundverordnung verstoßen können. Dr. Sebastian Kraska erklärt, dass Unternehmen ihre Datenerhebungsprozesse regelmäßig überprüfen sollten. Dazu gehört, Formulare kritisch zu analysieren, überflüssige Pflichtfelder zu entfernen und zusätzliche Angaben als freiwillig zu kennzeichnen. Ziel ist eine sparsame, zweckgebundene Datenerhebung, die den Grundsatz der Erforderlichkeit respektiert. Das Fazit: Das EuGH-Urteil ist ein wichtiger Anlass, um bestehende Verfahren zu prüfen. Unternehmen sollten sicherstellen, dass ihre Formulare und digitalen Systeme mit dem Grundprinzip der Datenminimierung im Einklang stehen – ein zentraler Schritt zu DSGVO-Compliance und Vertrauen der Kunden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=54</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=55</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/55</video:thumbnail_loc>
      <video:title>Google Fonts datenschutzkonform nutzen und Abmahnungen vermeiden? DSGVO praktisch umgesetzt.</video:title>
      <video:description>Der Beitrag zeigt, wie Google Fonts DSGVO-konform eingesetzt werden können und welche Risiken bei der standardmäßigen Nutzung bestehen. Dr. Sebastian Kraska erklärt, dass bei der Einbindung von Google Fonts über externe Server personenbezogene Daten – insbesondere IP-Adressen – an Google übermittelt werden können. Dies ist datenschutzrechtlich problematisch, da die Übertragung ohne Einwilligung erfolgt. Die Lösung besteht darin, die benötigten Schriftarten lokal über den eigenen Server einzubinden. Dadurch erfolgt keine Datenübertragung an externe Anbieter, und die Nutzung bleibt vollständig innerhalb der Kontrolle des Unternehmens. Diese Methode erfüllt die Anforderungen der DSGVO und schützt die Privatsphäre der Website-Besucher. Das Fazit: Google Fonts sind weiterhin nutzbar – entscheidend ist die Art der Einbindung. Wer sie lokal hostet, vermeidet Datenschutzverstöße und sorgt für eine rechtssichere Webseitengestaltung.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=55</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=65</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/65</video:thumbnail_loc>
      <video:title>Grenzüberschreitende Durchsetzung der DSGVO</video:title>
      <video:description>Das Video behandelt einen Gesetzesvorschlag der Europäischen Kommission, der darauf abzielt, die oft langwierige Durchsetzung der DSGVO, insbesondere in grenzüberschreitenden Fällen, zu beschleunigen und zu harmonisieren. Kernpunkte des Vorschlags: Standardisierung und Beschleunigung: Die Kommission reagiert auf die Kritik des Europäischen Datenschutzausschusses (EDSA) bezüglich der langen Verfahrensdauer und schlägt vor, die Verfahren stärker zu standardisieren und zu beschleunigen. Feste Fristen: Es sollen feste Fristen für die Bearbeitung von Beschwerden und Verfahren eingeführt werden. Standardbeschwerdeweg: Ein standardisierter Beschwerdeweg soll geschaffen werden, bei dem Beschwerden nach drei Kategorien beurteilt werden: Schwere des Verstoßes. Rechtzeitigkeit der Abhilfe. Systematischer Charakter der Datenschutzverletzung. Zusammenarbeit der Behörden: Die in grenzüberschreitenden Fällen federführende Behörde soll verpflichtet werden, die anderen beteiligten Behörden regelmäßig über den Sachstand zu informieren. Zentrale Entscheidungsgewalt: Bei Meinungsverschiedenheiten zwischen den beteiligten nationalen Behörden soll der Europäische Datenschutzausschuss (EDSA) die Befugnis erhalten, verbindlich festzulegen, wie die federführende Behörde den Fall zu bearbeiten hat. Zielsetzung: Der Vorschlag zielt darauf ab, die Durchsetzung der DSGVO innerhalb der EU stärker zu harmonisieren. Dies würde eine Zentralisierung der Macht bedeuten, weg von der einzelnen nationalen Aufsichtsbehörde hin zum EDSA.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=65</video:player_loc>
      <video:publication_date>2023-08-06T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=67</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/67</video:thumbnail_loc>
      <video:title>Homeoffice &amp; Datenschutz: IT-Standards und Sicherheitsmaßnahmen</video:title>
      <video:description>Das Video beleuchtet die datenschutzrechtlichen Anforderungen und IT-Sicherheitsstandards, die Unternehmen beim Einsatz von mobilen Geräten und im Homeoffice beachten müssen, um die vergrößerte Angriffsfläche für Cyberattacken zu minimieren. Rechtliche Verantwortung: Verantwortlichkeit des Arbeitgebers: Gemäß Art. 32 DSGVO ist der Arbeitgeber (der Verantwortliche) für die Gewährleistung sicherer Technischer und Organisatorischer Maßnahmen (TOMs) verantwortlich, auch wenn die Datenverarbeitung im Homeoffice stattfindet und schwerer zu kontrollieren ist. Organisatorische Maßnahmen (Richtlinien): Um das Risiko zu adressieren, sollten Regelungen in einer Richtlinie oder Betriebsvereinbarung festgelegt werden: Verhaltensregeln: Vorgaben für den Umgang mit Datenverlust (z.B. Verlust des Geräts). Umgang mit Unterlagen: Regelungen zum Ausdrucken von Unterlagen und zur rechtskonformen Entsorgung von papiergebundenen Dokumenten. Schulung: Schulung der Beschäftigten im sicheren Umgang mit den Geräten im Homeoffice. Gerätetrennung: Gewährleistung einer sauberen Trennung zwischen privaten und dienstlichen Geräten. Technische Schutzmaßnahmen: Es empfiehlt sich eine Reihe von technischen Maßnahmen, um die Datensicherheit im Homeoffice zu gewährleisten: Patch Management: Sicherstellen, dass kritische Patches über zentrale Infrastrukturen eingespielt und der Gerätezustand erfasst werden kann. Verschlüsselung: Verschlüsselung der mobilen Datenträger (z.B. mittels kostenloser Bordmittel der Betriebssysteme), um im Falle eines Verlusts keine Datenschutzverletzung melden zu müssen. Bildschirmschutzfolien: Einsatz von Bildschirmschutzfolien, insbesondere wenn unterwegs (Bus und Bahn) gearbeitet wird, um Blicke Dritter zu verhindern. Firewall und Antiviren-Lösungen: Einsatz dieser Lösungen zur Systemüberwachung. Zweifaktor-Authentifizierung (2FA): Absicherung aller datenhaltenden Systeme mit 2FA. VPN: Remote-Zugriff sollte nur über ein Virtual Private Network (VPN) möglich sein. Datensic…</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=67</video:player_loc>
      <video:publication_date>2024-09-01T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=68</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/68</video:thumbnail_loc>
      <video:title>Homeoffice und Datenschutz</video:title>
      <video:description>Das Video beleuchtet die datenschutzrechtlichen Rahmenbedingungen, die Unternehmen beim Einsatz von Mitarbeitern im Homeoffice beachten müssen. Verantwortung und Geräte-Nutzung: Verantwortlichkeit des Unternehmens: Das Unternehmen bleibt als datenschutzrechtlich Verantwortlicher für die korrekte und datenschutzkonforme Verarbeitung aller personenbezogenen Daten verantwortlich, auch wenn die Verarbeitung im Homeoffice stattfindet. Das Prinzip &quot;Aus den Augen, aus dem Sinn&quot; gilt hier nicht. Kontrollierte Geräte: Um dieser Verantwortung gerecht zu werden, dürfen im Homeoffice idealerweise nur vom Arbeitgeber technisch kontrollierte und verwaltete Geräte eingesetzt werden (z.B. um System-Updates zentral zu überwachen). Trennung von Geräten: Es ist unzulässig, geschäftliche und private Geräte zu koppeln. Es sollte nur vom Arbeitgeber gestellte Hardware verwendet werden. Vereinbarungen und organisatorische Maßnahmen: Der Arbeitgeber sollte mit den Beschäftigten klare Regelungen treffen: Das zur Verfügung gestellte Dienstgerät darf nicht von Dritten (auch nicht von anderen Haushaltsmitgliedern) verwendet werden. Es muss eine Regelung zur sicheren Verwahrung der Geräte bei Nichtnutzung getroffen werden. Beschäftigte sind im Umgang mit dem technischen Equipment zu schulen. Technische Rahmenbedingungen und Schutzmaßnahmen: Der Arbeitgeber sollte systemseitig technische Rahmenbedingungen vorgeben, um die Sicherheit zu gewährleisten: Verschlüsselung der Geräte (Festplatten). Richtlinien zur Passwortsicherheit und Einsatz von Zweifaktor-Authentifizierung (2FA). Überwachung des Systemzustands für Updates und Anti-Viren-Software. Beschränkung der Zugriffsrechte (Trennung von Nutzer- und Admin-Zugang). Vorgaben für regelmäßige Datensicherungen und Systemupdates. Sicherer Zugang zur Unternehmensumgebung über VPN (Virtual Private Network). Sicherstellung einer abgesicherten Internetverbindung. Zusammenfassend muss der Arbeitgeber technische Standards und Regelungen mit den Beschäftig…</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=68</video:player_loc>
      <video:publication_date>2024-06-23T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=63</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/63</video:thumbnail_loc>
      <video:title>Implementierung von Karten-Diensten und Videos</video:title>
      <video:description>Der Beitrag zeigt, wie Unternehmen Karten-Dienste und Videos DSGVO-konform in ihre Webseiten integrieren können, ohne gegen Datenschutzvorgaben zu verstoßen. Dienste wie YouTube oder Google Maps setzen häufig Cookies oder übertragen personenbezogene Daten schon beim Seitenaufruf – ein Risiko, das durch passende technische Maßnahmen vermieden werden kann. Dr. Sebastian Kraska erläutert mehrere datenschutzfreundliche Implementierungsmöglichkeiten: – Verlinkung statt Einbettung: Inhalte werden nicht direkt geladen, sondern nur über externe Links aufgerufen. – Zwei-Klick-Lösung: Erst nach einem aktiven Klick werden Inhalte und externe Datenübertragungen aktiviert. – Datenschutzfreundliche Alternativen wie OpenStreetMap, Vimeo mit Do-Not-Track oder YouTube im erweiterten Datenschutzmodus. Wichtig ist zudem, die Datenschutzerklärung zu aktualisieren und Nutzer transparent über die eingebundenen Dienste zu informieren. Das Fazit: Eine attraktive Website und Datenschutz schließen sich nicht aus – wer auf kontrollierte Datenübertragung achtet, kann Videos und Karten rechtssicher und nutzerfreundlich einbinden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=63</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=69</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/69</video:thumbnail_loc>
      <video:title>Informationssicherheit einfach erklärt | Grundlagen, Schutzziele und Maßnahmen</video:title>
      <video:description>Das Video erklärt die Grundlagen der Informationssicherheit, ihre Schutzziele und notwendige Maßnahmen für Unternehmen. Grundlagen und Abgrenzung zum Datenschutz: Informationssicherheit umfasst alle Maßnahmen, die Unternehmensinformationen vor Bedrohungen wie Datenverlust oder Missbrauch schützen. Dazu gehören technische, organisatorische und personelle Aspekte (Strategien, Prozesse, geschulte Mitarbeiter). Unterschied zum Datenschutz: Während der Datenschutz ausschließlich personenbezogene Daten schützt, geht die Informationssicherheit weiter und schützt alle Unternehmensinformationen, unabhängig davon, ob sie personenbezogen sind oder nicht. Die Schutzziele der Informationssicherheit: Die Informationssicherheit basiert auf drei primären Schutzzielen, zu denen oft zwei weitere hinzukommen: Vertraulichkeit: Stellt sicher, dass Informationen nur von berechtigten Personen gelesen werden können (z.B. durch Verschlüsselung). Integrität: Stellt sicher, dass Informationen echt und genau sind und nicht unbemerkt verändert werden können (z.B. durch Signieren von Nachrichten). Verfügbarkeit: Stellt sicher, dass Systeme und Dienste zugänglich und nutzbar sind, wenn sie benötigt werden. Für Unternehmen sind zudem wichtig: Authentizität: Der Absender ist tatsächlich der, der er vorgibt zu sein. Verbindlichkeit (Nichtabstreitbarkeit): Der Absender kann nicht bestreiten, eine Nachricht geschickt zu haben. Maßnahmen zur Sicherung der Verfügbarkeit: Um die Verfügbarkeit zu gewährleisten und Ausfälle durch Defekte oder Angriffe zu verhindern, sind Maßnahmen wie Backups, redundante Systeme (z.B. Ausweichserver), Notstromversorgung, Notfallpläne (Disaster Recovery) sowie der Schutz vor Cyberangriffen (Firewalls, DDoS-Schutz) und die regelmäßige Systemwartung erforderlich. Umsetzung im Unternehmen: Die Implementierung und Einhaltung dieser Schutzziele erfolgt durch ein Informationssicherheits-Managementsystem (ISMS). Ein ISMS hilft, Risiken zu erkennen, Sicherheitsmaßnahmen laufend zu…</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=69</video:player_loc>
      <video:publication_date>2025-10-06T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=74</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/74</video:thumbnail_loc>
      <video:title>ISMS für den Mittelstand (KMU) 1/2 Informationssicherheits-Managementsystem</video:title>
      <video:description>Der Beitrag erläutert, was ein Informationssicherheits-Managementsystem (ISMS) ist und welche Bedeutung es für Unternehmen – insbesondere im Mittelstand – hat. Ziel eines ISMS ist die Gewährleistung der drei zentralen Sicherheitsziele: Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Im Gespräch zwischen Dr. Sebastian Kraska (IITR Datenschutz GmbH) und Ralf Zlamal (Geschäftsführer der IITR Cert GmbH) wird gezeigt, wie ein ISMS Risiken identifiziert, Sicherheitsmaßnahmen kontinuierlich verbessert und das Bewusstsein für Informationssicherheit in der gesamten Organisation stärkt. Ein wirksames ISMS umfasst nicht nur Richtlinien, sondern auch klare Prozesse, Verantwortlichkeiten sowie technische und organisatorische Schutzmaßnahmen. Das Video gibt zudem Einblick, welcher Aufwand und welche Kosten für mittelständische Unternehmen typischerweise anfallen und wie sich der Nutzen in der Praxis zeigt. Das Fazit: Ein ISMS ist kein bürokratisches Konstrukt, sondern ein strategisches Werkzeug für nachhaltige IT-Sicherheit – praxisnah, wirksam und unverzichtbar in der digitalen Wirtschaft.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=74</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=75</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/75</video:thumbnail_loc>
      <video:title>ISMS für den Mittelstand 2/2 Informationssicherheits-Managementsystem</video:title>
      <video:description>Im zweiten Teil der ISMS-Reihe stellt Ralf Zlamal das ISMS Kit vor – ein praxisorientiertes Komplettpaket zur Einführung eines Informationssicherheitsmanagementsystems (ISMS) in Unternehmen. Das Kit bietet alle notwendigen Werkzeuge für eine strukturierte und eigenständige Umsetzung, darunter Handbuch, Vorlagen, e-Learning-Inhalte und Videoanleitungen. Das Angebot richtet sich vor allem an kleine und mittelständische Unternehmen (KMUs), die ihre Informationssicherheit effizient und standardkonform aufbauen möchten, ohne auf externe Beratungsprojekte angewiesen zu sein. Die Kosten liegen bei rund 1.700 Euro pro Jahr, abhängig vom Umfang der vorhandenen Dokumentation und den internen Ressourcen. Das Fazit: Mit dem ISMS Kit erhalten Unternehmen eine kompakte, verständliche und wirtschaftliche Lösung, um ihre Informationssicherheitsziele systematisch umzusetzen und dauerhaft zu erfüllen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=75</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=76</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/76</video:thumbnail_loc>
      <video:title>ISMS und physische Sicherheit: Schutzkonzepte und Sicherheitszonen</video:title>
      <video:description>Im siebten Teil der ISMS-Videoreihe erläutert Ralf Zlamal, Geschäftsführer der IITR Cert GmbH, gemeinsam mit Dr. Sebastian Kraska, wie physische Sicherheit als zentraler Bestandteil eines Informationssicherheitsmanagementsystems (ISMS) umgesetzt werden kann. Der Schutz sensibler Informationen beginnt an der Grundstücksgrenze und reicht bis in die Büroräume. Ein Sicherheitszonenkonzept hilft, Unternehmensbereiche nach ihrem Schutzbedarf zu klassifizieren und entsprechende Sicherheitsmaßnahmen festzulegen. Zentrale Aspekte sind dabei Zutrittskontrollen, klare Besucherregelungen und der Schutz vor unbefugtem Zugang. Das ISMS-Kit bietet dafür praxistaugliche Vorlagen und Muster, um Sicherheitszonen und Besuchermanagement strukturiert und nachvollziehbar umzusetzen. Das Fazit: Physische Sicherheit ist mehr als Türschlösser und Kameras – sie ist ein strategischer Bestandteil eines wirksamen ISMS und stärkt das gesamte Sicherheitsniveau eines Unternehmens.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=76</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=80</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/80</video:thumbnail_loc>
      <video:title>ISMS und Risikomanagement: Identifikation, Bewertung und Steuerung von Risiken</video:title>
      <video:description>Im Interview erläutert Ralf Zlamal, wie Risikomanagement im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) umgesetzt wird. Ziel ist es, potenzielle Risiken frühzeitig zu identifizieren, ihre Eintrittswahrscheinlichkeit und Schadenshöhe zu bewerten und daraus geeignete Gegenmaßnahmen abzuleiten. Unternehmen sollten hierzu klare Richtlinien und Prozesse etablieren, die eine regelmäßige Neubewertung der Risiken sicherstellen. Eine bewährte Orientierung bietet dabei der BSI-Grundschutz, der 47 elementare Risiken beschreibt, die systematisch überprüft werden können. Ein zentraler Erfolgsfaktor ist die Einbindung der Geschäftsleitung: Sie sollte aktiv an den Entscheidungen beteiligt sein, ob Risiken akzeptiert, gemindert oder vermieden werden. Nur so entsteht ein strategisch wirksames und nachhaltig verankertes Risikomanagement. Das Fazit: Effektives Risikomanagement im ISMS bedeutet nicht nur, Gefahren zu erkennen, sondern sie bewusst zu steuern – für mehr Sicherheit, Stabilität und Verantwortung im Unternehmen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=80</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=85</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/85</video:thumbnail_loc>
      <video:title>ISMS-Themenreihe: Cyberversicherung</video:title>
      <video:description>Im Rahmen der Themenreihe Informationssicherheits-Managementsystem (ISMS) spricht Dr. Sebastian Kraska im Café Datenschutz mit Ralf Zlamal über ein zunehmend wichtiges Thema für Unternehmen: Cyberversicherungen. Das Interview erklärt, welche Schäden und Leistungen marktübliche Cyberrisk-Versicherungen abdecken – von der forensischen Analyse nach Angriffen bis zur Unterstützung im Schadensfall – und welche Voraussetzungen Unternehmen erfüllen müssen, um Versicherungsschutz zu erhalten. Besonders entscheidend sind dabei die Mindeststandards der IT- und Informationssicherheit, die Versicherer als Grundlage für die Risikobewertung heranziehen. Ein weiterer Schwerpunkt liegt auf dem Prüfstandard CPS 041 von privASSIST, der Unternehmen hilft, ihre Sicherheitslage nachvollziehbar zu dokumentieren und Versicherern gegenüber transparent darzustellen. Das Fazit: Eine Cyberversicherung ersetzt kein ISMS – sie ergänzt es. Wer seine Informationssicherheit strukturiert aufstellt und regelmäßig überprüft, schafft nicht nur Sicherheit, sondern auch Vertrauen bei Versicherern.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=85</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=86</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/86</video:thumbnail_loc>
      <video:title>ISMS-Themenreihe: IT-Betriebsdokumentation</video:title>
      <video:description>Im Rahmen der Themenreihe Informationssicherheits-Managementsystem (ISMS) spricht Dr. Sebastian Kraska mit Ralf Zlamal über die zentrale Rolle der IT-Betriebsdokumentation. Sie ist ein grundlegendes Element jedes funktionierenden ISMS und bildet die Basis für Transparenz, Nachvollziehbarkeit und Sicherheit in IT-Prozessen. Das Interview erläutert praxisnah, welche Inhalte eine Betriebsdokumentation umfassen sollte, an welche Zielgruppen sie sich richtet und wie Unternehmen den Einstieg finden, selbst wenn bislang kaum Dokumentation vorhanden ist. Darüber hinaus wird gezeigt, wie das ISMS Kit Unternehmen bei der strukturierten Erstellung und Pflege dieser Unterlagen unterstützt. Das Fazit: Eine vollständige IT-Betriebsdokumentation stärkt nicht nur die Informationssicherheit, sondern auch die Effizienz und Revisionssicherheit der gesamten IT-Organisation.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=86</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=87</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/87</video:thumbnail_loc>
      <video:title>ISMS-Themenreihe: Richtlinie Sicherstellung des Geschäftsbetriebs (Business Continuity Management)</video:title>
      <video:description>Im Rahmen der Themenreihe Informationssicherheits-Managementsystem (ISMS) sprechen Dr. Sebastian Kraska und Ralf Zlamal im Café Datenschutz über ein zentrales Element der Informationssicherheit – die Richtlinie zur Sicherstellung des Geschäftsbetriebs, auch bekannt als Business Continuity Management (BCM). Das Interview erklärt, wie Unternehmen sich auf Notfälle und Betriebsstörungen vorbereiten können, welche Rolle die Fachbereiche bei der Planung und Umsetzung spielen und wie eine BCM-Richtlinie strukturiert aufgebaut ist. Zudem wird erläutert, wie sich das ISMS Kit als Werkzeug zur strukturierten Implementierung von BCM-Maßnahmen nutzen lässt. Ein weiterer Schwerpunkt liegt auf der Verbindung von BCM mit Normen wie ISO 27001 und dem BSI-Grundschutz sowie auf der Identifikation kritischer Geschäftsprozesse und der Einbindung von Notfallmanagement und Krisenteams. Das Fazit: Effektives Business Continuity Management sorgt dafür, dass Unternehmen auch in Krisensituationen handlungsfähig bleiben – durch klare Prozesse, Verantwortlichkeiten und ein starkes ISMS.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=87</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=88</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/88</video:thumbnail_loc>
      <video:title>ISMS-Themenreihe: Sicherheitsereignismanagement</video:title>
      <video:description>In der Themenreihe Informationssicherheits-Managementsystem (ISMS) sprechen Dr. Sebastian Kraska und Ralf Zlamal im Café Datenschutz über das Sicherheitsereignismanagement – einen zentralen Bestandteil eines wirksamen ISMS. Das Interview erklärt den Unterschied zwischen einem Sicherheitsereignis und einem Sicherheitsvorfall und zeigt, welche organisatorischen und technischen Anforderungen die ISO 27001 in diesem Zusammenhang stellt. Unternehmen erfahren, wie sie sich optimal vorbereiten können – von klar definierten Richtlinien und Prozessen über Schulungen der Mitarbeitenden bis hin zu technischem Monitoring und der Erkennung potenzieller Angriffe. Ein weiterer Schwerpunkt liegt auf der Rollenverteilung im Vorfallmanagement, der Bewertung und Eskalation von Meldungen sowie der Dokumentation und kontinuierlichen Verbesserung. Das ISMS Kit bietet hierzu praxisnahe Unterstützung mit Vorlagen, Schulungen und Formularen. Das Fazit: Effektives Sicherheitsereignismanagement ist ein Schlüssel zur Informationssicherheit – es verbindet Prävention, klare Zuständigkeiten und schnelle Reaktion im Ernstfall.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=88</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=89</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/89</video:thumbnail_loc>
      <video:title>ISMS-Themenreihe: Werteverzeichnis im ISMS</video:title>
      <video:description>In der Themenreihe Informationssicherheits-Managementsystem (ISMS) sprechen Dr. Sebastian Kraska und Ralf Zlamal im Café Datenschutz über das Werteverzeichnis – auch bekannt als Asset Management. Es bildet die Grundlage für die Planung, Bewertung und den Schutz von Informationswerten im Rahmen eines ISMS. Das Interview zeigt, was Unternehmenswerte im Kontext der Informationssicherheit bedeuten, wie sie systematisch erfasst, klassifiziert und bewertet werden und warum neben IT-Systemen auch Wissen, Informationen und Geschäftsprozesse berücksichtigt werden müssen. Darüber hinaus wird erläutert, welche Anforderungen aus ISO 27001 und 27002 relevant sind, welche Rollen und Zuständigkeiten zwischen IT und Fachbereichen bestehen und warum die kontinuierliche Pflege des Werteverzeichnisses entscheidend ist. Das ISMS Kit unterstützt hierbei mit praxisnahen Richtlinien und Vorlagen. Das Fazit: Ein gepflegtes Werteverzeichnis ist das Herzstück eines funktionierenden ISMS – es schafft Transparenz, Verantwortlichkeit und die Basis für wirksame Sicherheitsmaßnahmen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=89</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=81</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/81</video:thumbnail_loc>
      <video:title>ISMS: Informationsklassifizierung im ISMS-Kontext</video:title>
      <video:description>Im fünften Teil der ISMS-Videoreihe aus dem Café Datenschutz spricht Ralf Zlamal, Regionalpartner Baden-Württemberg und Experte für Datenschutz und Informationssicherheit, mit Dr. Sebastian Kraska über die Informationsklassifizierung im Rahmen eines Informationssicherheitsmanagementsystems (ISMS). Das Video erläutert, wie Informationen in verschiedene Schutzklassen eingeteilt werden, um deren Vertraulichkeit, Integrität und Verfügbarkeit gezielt zu schützen. Herr Zlamal zeigt auf, warum diese Einteilung entscheidend für den sicheren Umgang mit sensiblen Daten ist und wie sie hilft, Risiken zu minimieren. Darüber hinaus wird erklärt, welche Überschneidungen zwischen Informationssicherheit und Datenschutz bestehen und welche Richtlinien bei der Umsetzung der Klassifizierung zu beachten sind. Das Fazit: Informationsklassifizierung ist ein zentrales Element des ISMS – sie sorgt für Struktur, Klarheit und ein angemessenes Sicherheitsniveau im gesamten Unternehmen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=81</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=82</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/82</video:thumbnail_loc>
      <video:title>ISMS: Informationssicherheit und Lieferantenmanagement. </video:title>
      <video:description>Im vierten Teil der ISMS-Interviewreihe spricht Ralf Zlamal über die Herausforderungen und Risiken im Lieferantenmanagement. Externe Dienstleister sind oft ein wesentlicher Bestandteil moderner Unternehmensprozesse – zugleich stellen sie ein erhebliches Sicherheitsrisiko dar, wenn sie nicht richtig in die Informationssicherheitsstrategie (ISMS) eingebunden werden. Das Video erklärt, wie Unternehmen die Verantwortlichkeiten klar definieren, Sicherheitsanforderungen an Lieferanten festlegen und Risikobewertungen für externe Partner durchführen. Außerdem wird gezeigt, wie eine laufende Überwachung und regelmäßige Auditierung der Dienstleister hilft, Sicherheitsstandards einzuhalten und Schwachstellen frühzeitig zu erkennen. Das Fazit: Effektives Lieferantenmanagement ist ein zentraler Bestandteil jedes ISMS. Nur wer seine externen Partner aktiv steuert und überprüft, kann die Informationssicherheit im gesamten Unternehmensverbund gewährleisten.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=82</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=83</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/83</video:thumbnail_loc>
      <video:title>ISMS: Personalmanagement im ISMS-Kontext - Wie baue ich ein #ISMS auf?</video:title>
      <video:description>Im sechsten Teil der ISMS-Interviewreihe widmet sich Ralf Zlamal gemeinsam mit Dr. Sebastian Kraska dem Thema Personalmanagement im Informationssicherheitsmanagementsystem (ISMS). Das Gespräch zeigt, wie Informationssicherheit in allen Phasen des Mitarbeiterlebenszyklus berücksichtigt werden sollte – von der Personalauswahl über Onboarding und Crossboarding bis hin zum Offboarding. Besonderes Augenmerk liegt auf klaren Richtlinien und Prozessen, die sicherstellen, dass Informationssicherheitsanforderungen bereits bei der Einstellung greifen. Dazu gehören Backgroundchecks, Identitätsprüfungen und regelmäßige Schulungen der Mitarbeitenden zu unternehmensinternen Sicherheitsrichtlinien. Auch die Dokumentation der Abläufe, etwa in Personalakten oder Bewerber-Management-Systemen, spielt eine zentrale Rolle. Während des Onboardings erfolgt außerdem der strukturierte Übergang zur IT-Abteilung, etwa zur Zuweisung und Verwaltung von Zugriffsrechten. Das Fazit: Informationssicherheit beginnt beim Menschen. Ein gut organisiertes Personalmanagement im ISMS stärkt nicht nur die Compliance, sondern schafft auch ein nachhaltiges Sicherheitsbewusstsein im gesamten Unternehmen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=83</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=84</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/84</video:thumbnail_loc>
      <video:title>ISMS: Richtlinien und Schulungen für Beschäftigte im ISMS-Kontext</video:title>
      <video:description>Im dritten Teil der ISMS-Interviewreihe spricht Ralf Zlamal über die zentrale Rolle der Beschäftigten in der Informationssicherheit. Informationsschutz kann nur funktionieren, wenn Mitarbeitende verstehen, wie sie mit sensiblen Daten umgehen und welche Risiken im Arbeitsalltag entstehen – ob im Büro, im Homeoffice oder bei Videokonferenzen. Das Video zeigt, wie klare Informationssicherheitsrichtlinien den sicheren Umgang mit Daten vorgeben und wie regelmäßige Schulungen das Sicherheitsbewusstsein nachhaltig fördern. Besonders effektiv sind E-Learning-Formate in kurzen, praxisnahen Sequenzen, die den Lerntransfer erleichtern und die Themen Datenschutz und Informationssicherheit greifbar machen. Das Fazit: Informationssicherheit beginnt beim Menschen. Durch klare Vorgaben und kontinuierliche Schulung entsteht eine Sicherheitskultur, die Risiken minimiert und das Vertrauen in digitale Prozesse stärkt.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=84</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=90</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/90</video:thumbnail_loc>
      <video:title>KI und Datenschutz - Stellungnahme der Aufsichtsbehörden</video:title>
      <video:description>Im Café Datenschutz beleuchtet Dr. Sebastian Kraska die aktuellen datenschutzrechtlichen Vorgaben für den Einsatz von KI-Anwendungen in Unternehmen. Sowohl deutsche als auch europäische Aufsichtsbehörden haben hierzu neue Positionspapiere und Orientierungshilfen veröffentlicht, die klare Leitlinien für den Umgang mit Künstlicher Intelligenz vorgeben. Das Video erklärt, was Verantwortliche nach Art. 4 DSGVO beachten müssen, wenn sie KI-Systeme nutzen oder eigene Large Language Models (LLMs) entwickeln. Dazu gehören u.a.: – das Anlernen von LLMs mit öffentlich zugänglichen Daten auf Basis berechtigter Interessen, – die Information der Betroffenen bei großen Datenmengen, – die Möglichkeit, dass Prompts nicht zum Training verwendet werden, – und die Gewährleistung von Betroffenenrechten wie Auskunft oder Löschung. Darüber hinaus gibt das Video praktische Hinweise für Unternehmen: – Verträge mit KI-Anbietern prüfen (insbesondere Trainingsbeschränkungen und AV-Verträge), – Beschäftigte schulen im sicheren Umgang mit KI-Tools, – und Grenzen der Automatisierung beachten – Entscheidungen müssen letztlich beim Menschen verbleiben. Das Fazit: Die Aufsichtsbehörden schaffen mehr Klarheit im Datenschutzrahmen für KI-Systeme. Unternehmen sollten ihre Prozesse anpassen, Datenschutzvereinbarungen prüfen und ihre Teams für den verantwortungsvollen KI-Einsatz sensibilisieren.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=90</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=91</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/91</video:thumbnail_loc>
      <video:title>Koalitionsvertrag: Geplante Änderungen bei Datenschutz und Informationssicherheit</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska die wichtigsten Punkte des neuen Koalitionsvertrags von CDU, CSU und SPD, der umfassende Änderungen im Bereich Datenschutz und Informationssicherheit vorsieht. Das Video bietet einen kompakten Überblick über zentrale Reformpläne – von der Vereinfachung datenschutzrechtlicher Vorgaben über die Neustrukturierung der Datenschutzaufsicht bis hin zu einer Stärkung der Cybersicherheit. Zudem geht es um den geplanten Ausbau der Datennutzung, insbesondere im Bereich Open Data, sowie um neue Ansätze zur erweiterten Datenerfassung zur Kriminalitätsbekämpfung. Dr. Kraska erklärt, welche praktischen Auswirkungen diese Änderungen für Unternehmen, Behörden und Bürger haben könnten und welche Chancen und Herausforderungen sich daraus ergeben. Alle weiterführenden Informationen, Quellen und offiziellen Dokumente finden Sie im Blogbeitrag unter: 👉 iitr.de/blog/koalitionsvertrag-geplante-aenderungen-datenschutz-informationssicherheit/22054 Das Fazit: Der Koalitionsvertrag setzt neue Akzente für Datenschutz und Informationssicherheit – mit Fokus auf Entbürokratisierung, effizientere Aufsicht und eine modernisierte Cyberabwehr.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=91</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=92</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/92</video:thumbnail_loc>
      <video:title>Können DSGVO-Verstöße abgemahnt werden?</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, ob Verstöße gegen die Datenschutz-Grundverordnung auch über das Gesetz gegen den unlauteren Wettbewerb verfolgt werden können. Diese Frage sorgt derzeit für erhebliche rechtliche Unsicherheit. Das UWG untersagt Verstöße gegen gesetzliche Vorschriften, die das Marktverhalten regeln, wenn dadurch das Wohl von Marktteilnehmern oder Mitbewerbern beeinträchtigt wird. Offen ist jedoch, ob auch Datenschutzverstöße darunterfallen. Im Video erklärt Dr. Kraska, warum bislang unklar ist, ob Datenschutzverstöße wettbewerbsrechtlich abmahnfähig sind, welche Rolle der Europäische Gerichtshof in der Klärung dieser Frage spielt und welche Argumente für oder gegen eine Abmahnfähigkeit sprechen. Ebenso wird erläutert, dass der Bundesrat vorgeschlagen hat, Abmahnungen von DSGVO-Verstößen künftig ausdrücklich auszuschließen, um Unternehmen zu entlasten. Fazit: Es bleibt umstritten, ob DSGVO-Verstöße nach dem UWG abgemahnt werden können. Der EuGH wird voraussichtlich für mehr Klarheit sorgen. Unternehmen sollten die Entwicklungen aufmerksam beobachten und ihre Datenschutzorganisation sorgfältig überprüfen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=92</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=72</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/72</video:thumbnail_loc>
      <video:title>Koordinierte Prüfung von Datenschutzbeauftragten</video:title>
      <video:description>Der Europäische Datenschutzausschuss (EDSA) hat eine koordinierte Prüfung zur Rolle und Stellung von Datenschutzbeauftragten (DSB) gestartet, an der 26 nationale Aufsichtsbehörden teilnehmen. In Deutschland hat bisher das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seine Beteiligung bestätigt. Ziel ist es, die organisatorische Einbindung und Unabhängigkeit von Datenschutzbeauftragten genauer zu untersuchen. Dr. Sebastian Kraska empfiehlt, die Prüfung als Anlass zur Selbstkontrolle zu nutzen. Unternehmen und Geschäftsführer sollten sich insbesondere folgende Fragen stellen: – Ist der Datenschutzbeauftragte unabhängig bestellt? – Besteht ein direkter Berichtspfad an die Geschäftsführung? – Verfügt der Datenschutzbeauftragte über ausreichende Ressourcen und Kompetenzen, um seine Aufgaben wirksam wahrzunehmen? Das Fazit: Die EDSA-Prüfung verdeutlicht, dass die funktionale Einbindung des DSB zentral für ein wirksames Datenschutz-Management ist. Unternehmen sollten ihre internen Strukturen prüfen und sicherstellen, dass Datenschutzbeauftragte ihre Aufgaben unabhängig, sachkundig und effektiv erfüllen können.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=72</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=48</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/48</video:thumbnail_loc>
      <video:title>Löschung von Mitarbeiterdaten</video:title>
      <video:description>Der Beitrag befasst sich mit der Frage, wann personenbezogene Daten von Beschäftigten gelöscht werden müssen – von Bewerbungsunterlagen über Mitarbeiterdaten bis hin zu Daten ehemaliger Angestellter. Grundsätzlich gilt: Daten sind zu löschen, sobald der Zweck ihrer Erhebung und Speicherung entfällt. Dr. Sebastian Kraska erläutert zwei datenschutzrechtlich zulässige Ansätze im Umgang mit Beschäftigtendaten. Zum einen können unterschiedliche Datenkategorien definiert werden (z. B. Zeugnisse, Leistungsbeurteilungen, Personalakten), für die jeweils spezifische Speicherfristen gelten. Zum anderen kann eine Gesamtspeicherung während des Beschäftigungsverhältnisses gerechtfertigt sein. Grundlage dafür ist das bekannte „Emmely“-Urteil des Bundesarbeitsgerichts, das feststellte, dass Arbeitgeber für eine sachgerechte Beurteilung auf den gesamten bisherigen Verlauf des Arbeitsverhältnisses zugreifen dürfen. Das Video bietet eine praxisnahe Einordnung, wie Unternehmen Löschpflichten rechtssicher gestalten und gleichzeitig ihre Dokumentationspflichten erfüllen können – ein wichtiger Beitrag zur DSGVO-konformen Personalverwaltung.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=48</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=93</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/93</video:thumbnail_loc>
      <video:title>Mindestanforderungen für IT-Sicherheit in kleinen und mittleren Unternehmen Teil 1</video:title>
      <video:description>Im Café Datenschutz sprechen Dr. Sebastian Kraska und Ralf Zlamal über die grundlegenden technischen Mindestanforderungen für IT-Sicherheit in kleinen und mittleren Unternehmen. KMU geraten zunehmend ins Visier von Cyberangriffen, verfügen jedoch oft über geringere personelle und finanzielle Ressourcen als Großunternehmen. Das Video zeigt, welche technischen Maßnahmen jedes KMU umsetzen sollte, um sich wirksam zu schützen. Dazu gehören moderne Firewalls, Antiviren-Software und eine aktive Netzwerksicherheitsüberwachung. Ebenso wichtig sind ein funktionierendes Update- und Patchmanagement, regelmäßige Datensicherungen mit geprüfter Wiederherstellbarkeit sowie klare Zugangskontrollen mit sicheren Passwörtern und Multi-Faktor-Authentifizierung. Auch die Verschlüsselung sensibler Daten im Ruhezustand und bei der Übertragung zählt zu den zentralen Anforderungen. Fazit: Durch die konsequente Umsetzung dieser technischen Maßnahmen schaffen KMU eine solide Grundlage, um ihre IT-Sicherheit zu verbessern und sich wirksam gegen Cyberangriffe zu schützen. Im zweiten Teil der Reihe werden die organisatorischen Aspekte der IT-Sicherheit behandelt.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=93</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=94</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/94</video:thumbnail_loc>
      <video:title>Missbrauch des Auskunftsrechts</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, wie Unternehmen mit exzessiven oder missbräuchlichen Anträgen auf Auskunft nach Artikel 15 DSGVO umgehen können. Das Auskunftsrecht soll Betroffenen ermöglichen, nachzuvollziehen, wie ihre personenbezogenen Daten verarbeitet werden und ob die Verarbeitung rechtmäßig erfolgt. Im Video wird erklärt, wann eine Anfrage als offenkundig unbegründet oder exzessiv gilt und welche rechtlichen Möglichkeiten Verantwortliche in solchen Fällen haben. Dazu zählt die Erhebung eines angemessenen Entgelts oder – in Ausnahmefällen – die Verweigerung der Auskunft. Entscheidend ist, dass jede Entscheidung nachvollziehbar begründet und den Betroffenen transparent mitgeteilt wird. Das Auskunftsrecht bleibt ein zentrales Instrument zur Kontrolle der Datenverarbeitung, kann jedoch in der Praxis auch missbraucht werden. Unternehmen sollten daher interne Prozesse festlegen, um solche Fälle rechtssicher zu behandeln. Fazit: Das Auskunftsrecht nach Art. 15 DSGVO ist essenziell für den Datenschutz, erfordert jedoch klare Regeln im Umgang mit missbräuchlichen Anfragen. Verantwortliche können Kosten erheben oder Anfragen ablehnen – müssen dies aber stets transparent und begründet tun.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=94</video:player_loc>
      <video:publication_date>2025-11-05T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=95</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/95</video:thumbnail_loc>
      <video:title>Mit welchen Unternehmen muss ich einen Datenschutz-Vertrag (AV Vertrag) abschließen? Art 28 DSGVO</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, wann Unternehmen einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO abschließen müssen und welche Inhalte dabei zwingend zu regeln sind. Ein solcher Vertrag ist immer dann erforderlich, wenn ein anderes Unternehmen personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im Video wird erläutert, welche zentralen Punkte in einem Datenschutzvertrag geregelt werden müssen. Dazu gehören das Weisungsrecht des Verantwortlichen, die Bedingungen für den Einsatz von Subunternehmern, die Verpflichtung zur Meldung von Datenschutzverstößen sowie die Einhaltung technischer und organisatorischer Mindeststandards. Darüber hinaus wird aufgezeigt, welche Tätigkeiten typischerweise eine Auftragsverarbeitung darstellen, wo die Abgrenzung zu anderen Formen der Datenweitergabe liegt und welche Hilfestellungen die Datenschutzaufsichtsbehörden hierzu bereitstellen. Fazit: Unternehmen sollten sorgfältig prüfen, mit welchen externen Dienstleistern sie personenbezogene Daten austauschen, und sicherstellen, dass mit diesen ein rechtssicherer Auftragsverarbeitungsvertrag besteht. Dies schützt nicht nur vor Bußgeldern, sondern stärkt auch die Datenschutz-Compliance im Unternehmen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=95</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=96</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/96</video:thumbnail_loc>
      <video:title>NIS-2 in Deutschland: Was jetzt auf Unternehmen zukommt</video:title>
      <video:description>Im Café Datenschutz erläutern Dr. Sebastian Kraska und Ralf Zlamal die praktischen Folgen der neuen EU-Richtlinie NIS 2 für deutsche Unternehmen. Die Richtlinie verpflichtet ab Oktober 2024 zu deutlich strengeren Anforderungen an die Cybersicherheit. Mit dem Kabinettsbeschluss zum NIS2UmsuCG im Juli 2025 beginnt in Deutschland das parlamentarische Verfahren zur nationalen Umsetzung. Das Video zeigt, welche Unternehmen künftig betroffen sind – darunter viele Einrichtungen aus den Bereichen Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur und Verwaltung. Insgesamt werden rund 30.000 Unternehmen in Deutschland als „wichtig“ oder „besonders wichtig“ eingestuft. Sie müssen sich auf neue Pflichten einstellen: die Registrierung beim BSI, ein umfassendes Risiko- und Sicherheitsmanagement sowie die zeitnahe Meldung von Sicherheitsvorfällen. Ein weiterer Schwerpunkt liegt auf der praktischen Umsetzung. Die Referenten erklären, wie Unternehmen mit Hilfe eines Informationssicherheitsmanagementsystems (ISMS) und geeigneter Schulungen ihre Pflichten erfüllen können und wie Tools wie das ISMS-Kit oder privASSIST dabei unterstützen. Fazit: Mit der NIS 2 Richtlinie wird Cybersicherheit zur gesetzlichen Kernaufgabe für viele Unternehmen. Wer sich frühzeitig vorbereitet, kann Risiken minimieren, Haftungsfallen vermeiden und die Anforderungen effizient umsetzen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=96</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=97</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/97</video:thumbnail_loc>
      <video:title>Nutzung von E-Mail für private Zwecke</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, welche rechtlichen und datenschutzrechtlichen Fragen sich bei der privaten Nutzung dienstlicher E-Mail-Accounts ergeben und warum Unternehmen hierzu klare Regelungen treffen sollten. E-Mail-Postfächer enthalten oft sensible und geschäftskritische Informationen. Arbeitgeber müssen in bestimmten Fällen auf diese Postfächer zugreifen können, etwa bei Abwesenheiten oder Sicherheitsvorfällen. Die Rechtslage wird jedoch kompliziert, sobald die private Nutzung erlaubt ist. Dann kann ein solcher Zugriff ohne Einwilligung der Beschäftigten unzulässig sein, da das Fernmeldegeheimnis greifen kann. Datenschutzbehörden und Gerichte betonen daher, dass Unternehmen die private Nutzung betrieblicher E-Mail-Konten möglichst untersagen sollten, um rechtliche Risiken zu vermeiden. Eine klare, schriftliche Regelung zur E-Mail-Nutzung im Unternehmen schafft Transparenz und Rechtssicherheit. Fazit: Die private Nutzung dienstlicher E-Mail-Accounts sollte aus Datenschutz- und Compliance-Gründen grundsätzlich ausgeschlossen werden. So vermeiden Unternehmen rechtliche Unsicherheiten und wahren zugleich die Integrität geschäftlicher Kommunikation.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=97</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=70</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/70</video:thumbnail_loc>
      <video:title>Pay or OK: Das Ende der DSGVO?</video:title>
      <video:description>Der Beitrag beleuchtet die Entscheidung des Europäischen Datenschutzausschusses (EDPB) zum sogenannten „Pay or OK“-Modell, das insbesondere von Meta und einigen Verlagen eingesetzt wird. Dieses Modell stellt Nutzer vor die Wahl, entweder ein kostenpflichtiges Abo abzuschließen oder der Verarbeitung personenbezogener Daten für personalisierte Werbung zuzustimmen. Der EDPB äußert erhebliche datenschutzrechtliche Bedenken, da eine Einwilligung in diesem Kontext oft nicht freiwillig erfolgt. Für große Online-Plattformen wie Meta wird die verhaltensbezogene Werbung daher als unzulässig bewertet. Kleine und mittlere Verlage dürfen das Modell dagegen weiterhin anwenden, sofern sie die Transparenz- und Informationspflichten der DSGVO beachten. Kritiker sehen in der Entscheidung einen Eingriff in Geschäftsmodelle der Digitalwirtschaft, während Befürworter sie als Stärkung der Grundprinzipien der DSGVO begrüßen. Der Fall wird derzeit in Irland weiter geprüft; ein endgültiges Urteil könnte bis zum Europäischen Gerichtshof führen. Das Fazit: Der EDPB setzt ein deutliches Signal für Freiwilligkeit und Transparenz bei Einwilligungen – ein wichtiger Schritt für den Schutz der Nutzerrechte im digitalen Werbemarkt.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=70</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=98</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/98</video:thumbnail_loc>
      <video:title>Personenbezug pseudonymisierter Daten - EuG-Urteil</video:title>
      <video:description>Im Café Datenschutz erklärt Dr. Sebastian Kraska ein aktuelles Urteil des Europäischen Gerichts (EuG), das weitreichende Auswirkungen auf die Anwendung der Datenschutz-Grundverordnung (DSGVO) haben könnte. Das Gericht stellte fest, dass pseudonymisierte Daten unter bestimmten Umständen nicht mehr als personenbezogene Daten gelten – und somit möglicherweise aus dem Anwendungsbereich der DSGVO herausfallen. Konkret ging es um die Frage, ob eine Re-Identifizierung der betroffenen Personen durch den Empfänger der Daten möglich oder realistisch zu erwarten war. Entscheidend ist laut EuG die tatsächliche und rechtliche Möglichkeit der Re-Identifizierung im Einzelfall. Für Unternehmen könnte dieses Urteil erhebliche Erleichterungen bringen – insbesondere im Hinblick auf die Weitergabe von pseudonymisierten Daten, etwa zu Analyse- oder Forschungszwecken. Dennoch bleibt die Bewertung situationsabhängig und sollte mit datenschutzrechtlicher Sorgfalt erfolgen. Fazit: Das EuG stärkt die Bedeutung der Pseudonymisierung als Datenschutzmaßnahme und öffnet zugleich neue Spielräume für eine datenschutzkonforme Datenverarbeitung, wenn eine Re-Identifizierung ausgeschlossen werden kann.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=98</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=99</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/99</video:thumbnail_loc>
      <video:title>Recht auf Löschung - Prüfung durch Datenschutz Aufsichtsbehörden - Fragebogen veröffentlicht </video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska die praktische Bedeutung des Rechts auf Löschung gemäß Artikel 17 DSGVO und welche Anforderungen Unternehmen erfüllen müssen. Die EU-weite koordinierte Aktion der Datenschutzaufsichtsbehörden im Jahr 2025 prüft, wie Organisationen dieses Recht umsetzen – von der Löschung personenbezogener Daten bis zur Einrichtung klarer interner Prozesse. Das „Recht auf Vergessenwerden“ verpflichtet Unternehmen, personenbezogene Daten zu löschen, sobald sie nicht mehr notwendig oder unrechtmäßig verarbeitet sind. Um dieser Pflicht nachzukommen, sind strukturierte Verfahren erforderlich: Ein Verzeichnis der Verarbeitungstätigkeiten als Basis, definierte Löschprozesse und geschulte Mitarbeitende. Der veröffentlichte Self-Check-Fragebogen der Aufsichtsbehörden bietet eine wertvolle Hilfe, um die eigene Praxis zu überprüfen und Optimierungspotenziale zu erkennen. Fazit: Das Recht auf Löschung ist ein zentrales Element der DSGVO und steht im Jahr 2025 besonders im Fokus der Aufsicht. Unternehmen sollten die aktuelle Initiative nutzen, um ihre Löschprozesse zu prüfen und datenschutzkonform zu gestalten. So können sie Beschwerden vorbeugen und ihre Rechenschaftspflicht effektiv erfüllen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=99</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=49</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/49</video:thumbnail_loc>
      <video:title>Richtige Gestaltung von Consent-Bannern (&quot;Cookie-Bannern&quot;)</video:title>
      <video:description>Der Beitrag erklärt, worauf Unternehmen und Website-Betreiber bei der Gestaltung von Cookie- bzw. Einwilligungsbannern achten müssen, um den Anforderungen der DSGVO gerecht zu werden. Consent-Banner – häufig als Cookie-Banner bezeichnet – dienen dazu, die notwendige Einwilligung der Nutzer zur Datenverarbeitung einzuholen. Diese Einwilligung muss freiwillig, informiert und eindeutig erfolgen. Freiwilligkeit liegt nur vor, wenn Nutzer eine echte Wahl haben – also Cookies ebenso leicht ablehnen wie annehmen können. Deshalb müssen Buttons für „Ja“ und „Nein“ auf der ersten Ebene sichtbar und gleichwertig gestaltet sein. Dr. Sebastian Kraska erklärt, dass bei der Prüfung von Cookie-Bannern insbesondere folgende Punkte entscheidend sind: eine gleichberechtigte Ja/Nein-Auswahl, keine irreführende Gestaltung zugunsten des Zustimmungsbuttons und die Möglichkeit, Einwilligungen granular einzustellen. Das Fazit: Ein korrekt gestaltetes Cookie-Banner ist nicht nur gesetzliche Pflicht, sondern auch ein Zeichen für Transparenz und Fairness gegenüber den Nutzern – ein wichtiger Bestandteil vertrauenswürdiger Online-Kommunikation.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=49</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=100</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/100</video:thumbnail_loc>
      <video:title>Schufa-Urteil, Scoring und KI-Einsatz im Unternehmen</video:title>
      <video:description>Im Café Datenschutz analysiert Dr. Sebastian Kraska ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH), das klare Grenzen für den Einsatz des Schufa-Scores und automatisierter Entscheidungen setzt. Der EuGH stuft „Scoring“ als eine grundsätzlich verbotene automatisierte Entscheidung im Einzelfall ein, sofern der Score maßgeblich für die Entscheidung – etwa über einen Kredit – ist. Nach Artikel 22 DSGVO dürfen Personen nicht ausschließlich auf Basis automatisierter Prozesse, einschließlich Profiling, Entscheidungen unterworfen werden, die rechtliche Wirkung entfalten oder sie erheblich beeinträchtigen. Unternehmen müssen daher sicherstellen, dass Entscheidungen nicht allein vom Schufa-Score abhängen oder eine ausdrückliche Einwilligung der betroffenen Person vorliegt. Das Urteil hat auch weitreichende Bedeutung für den Einsatz von KI-Systemen. Es verdeutlicht, dass Maschinen keine abschließenden Entscheidungen treffen dürfen, wenn diese erhebliche Folgen für Betroffene haben. Ein menschliches Korrektiv bleibt zwingend erforderlich – der Mensch muss stets das letzte Wort haben. Fazit: Unternehmen dürfen automatisierte Entscheidungen nicht maßgeblich von KI oder Scoring-Werten abhängig machen. Die Verantwortung bleibt beim Menschen – sowohl rechtlich als auch ethisch.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=100</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=101</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/101</video:thumbnail_loc>
      <video:title>Schutz vor Abmahnungen im Datenschutz - Webseite DSGVO-konform gestalten</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, wie Webseiten datenschutzkonform aufgebaut werden sollten, um Konflikte mit Aufsichtsbehörden oder Abmahnungen zu vermeiden. Im Mittelpunkt stehen die gesetzlichen Anforderungen der DSGVO und des TTDSG sowie praktische Maßnahmen zur Umsetzung. Ein datenschutzfreundliches Einwilligungsbanner ist zentral, ebenso eine jederzeit zugängliche Datenschutzerklärung. Unternehmen sollten prüfen, welche externen Dienste und Plugins auf ihrer Website eingebunden sind – etwa Google Fonts, YouTube-Videos oder Kartendienste – und sicherstellen, dass deren Datenflüsse DSGVO-konform gestaltet sind. Beim Thema Tracking gilt: Anonymisiertes Tracking mit Widerspruchsmöglichkeit ist zulässig, während pseudonymisiertes oder personenbezogenes Tracking nur mit ausdrücklicher und dokumentierter Einwilligung erlaubt ist. Fazit: Eine datenschutzkonforme Website erfordert Transparenz, technische Sorgfalt und die konsequente Umsetzung der DSGVO-Vorgaben – von der Gestaltung des Cookie-Banners bis zur Einbindung externer Dienste.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=101</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=102</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/102</video:thumbnail_loc>
      <video:title>Sichere Passwörter im Datenschutz</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, welche Anforderungen die Datenschutz-Grundverordnung (DSGVO) an die Informationssicherheit stellt – insbesondere im Hinblick auf die Verwendung sicherer Passwörter. Grundlage ist Artikel 32 DSGVO, der technische und organisatorische Maßnahmen nach dem „Stand der Technik“ verlangt. Um diesen Standard zu erfüllen, sollten Unternehmen sich an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren. Dieses gibt regelmäßig praxisnahe Hinweise zur sicheren Passwortgestaltung. Dazu zählen Passwörter mit mindestens acht Zeichen, die aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Jedes Passwort sollte ausschließlich für einen Account verwendet werden. Zusätzlich wird die Nutzung einer Zwei-Faktor-Authentifizierung empfohlen, um unbefugten Zugriff wirksam zu verhindern. Fazit: Sichere Passwörter sind ein zentrales Element der Informationssicherheit. Unternehmen sollten regelmäßig ihre Passwortstandards überprüfen und an aktuelle Sicherheitsrichtlinien anpassen, um DSGVO-konform zu bleiben und Daten bestmöglich zu schützen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=102</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=28</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/28</video:thumbnail_loc>
      <video:title>Sicherheitskultur im Unternehmen schaffen - Einfach erklärt - Schulung</video:title>
      <video:description>Der Beitrag erklärt, wie Unternehmen eine wirksame Sicherheitskultur aufbauen können – als Grundlage für nachhaltigen Datenschutz und stabile Geschäftsprozesse. Dr. Sebastian Kraska zeigt im Rahmen des „Café Datenschutz“, welche Maßnahmen sich bewährt haben, um Risiken zu minimieren, Compliance sicherzustellen und das Sicherheitsbewusstsein langfristig zu fördern. Die wichtigsten Schritte umfassen: Risikomanagement und Sicherheitsmanagement: Systematische Risikoanalysen und Informationssicherheits-Managementsysteme (ISMS) bilden das Fundament. Technische und organisatorische Maßnahmen: Netzwerkschutz, Verschlüsselung, Mehrfaktor-Authentifizierung und Incident-Response-Pläne sichern die IT-Infrastruktur. Compliance und Dokumentation: Klare Richtlinien, regelmäßige Audits und aktuelle Dokumentation schaffen Transparenz und Verlässlichkeit. Schulung und Sensibilisierung: Mitarbeitende werden regelmäßig geschult, um Sicherheitsbewusstsein und Verantwortlichkeit zu fördern. Kooperation und Kommunikation: Austausch mit Behörden und das Einhalten von Meldepflichten stärken Vertrauen und rechtliche Sicherheit. Fazit: Eine starke Sicherheitskultur entsteht nicht durch Technik allein, sondern durch gelebte Verantwortung, klare Prozesse und kontinuierliche Weiterbildung.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=28</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=103</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/103</video:thumbnail_loc>
      <video:title>VDA-ISA &amp; TISAX – Alles, was Sie wissen müssen!</video:title>
      <video:description>Im Café Datenschutz sprechen Dr. Sebastian Kraska und Ralf Zlamal über die Informationssicherheitsstandards VDA-ISA und TISAX, die für Unternehmen der Automobilbranche zunehmend an Bedeutung gewinnen. Der Standard VDA-ISA (Information Security Assessment) definiert die Anforderungen an Informationssicherheit, während TISAX (Trusted Information Security Assessment Exchange) das offizielle Prüf- und Austauschverfahren für entsprechende Zertifizierungen darstellt. Im Gespräch wird erklärt, welche Rolle die ENX Association bei der Durchführung von TISAX-Audits spielt, wie die Struktur des Fragenkatalogs aufgebaut ist und welche Themen – von physischer Sicherheit über IT- und Zugriffskontrollen bis hin zu Lieferantenmanagement – abgedeckt werden. Zudem wird erläutert, wie Unternehmen den Schutzbedarf ermitteln, Muss- und Soll-Anforderungen priorisieren und Schritt für Schritt ein zertifizierungsfähiges Informationssicherheitsmanagementsystem (ISMS) aufbauen können. Abschließend gibt Ralf Zlamal praktische Hinweise zur Implementierung und Dokumentation, zur Nutzung des IITR ISMS-KITs als unterstützendes Werkzeug sowie zu den Abläufen einer TISAX-Auditierung. Das Interview bietet einen kompakten Überblick über alle zentralen Aspekte – von den Grundlagen bis zur erfolgreichen Umsetzung in der Praxis.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=103</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=104</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/104</video:thumbnail_loc>
      <video:title>Verarbeitung von Gesundheitsdaten durch Arbeitgeber</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska die datenschutzrechtlichen Vorgaben zur Verarbeitung von Gesundheitsdaten im Beschäftigungsverhältnis. Nach Artikel 9 DSGVO zählen Gesundheitsdaten zu den besonders sensiblen personenbezogenen Daten und dürfen grundsätzlich nicht verarbeitet werden – es sei denn, eine gesetzliche Ausnahme greift. Im Video wird erklärt, in welchen Fällen Arbeitgeber Gesundheitsdaten rechtmäßig verarbeiten dürfen, etwa im Rahmen der betrieblichen Gesundheitsvorsorge, der Pandemieprävention oder des betrieblichen Eingliederungsmanagements. Zudem wird aufgezeigt, wo die Grenzen des Informationsanspruchs liegen – insbesondere, dass keine Pflicht zur Offenlegung von Diagnosen oder Krankheitsursachen besteht. Ein weiterer Schwerpunkt liegt auf der Bedeutung von Datenschutz und IT-Sicherheit bei Gesundheitsdaten, da diese besonders schützenswert sind. Das Video richtet sich an Arbeitgeber, Personalverantwortliche und Datenschutzbeauftragte, die im Bereich Beschäftigtendatenschutz tätig sind. Fazit: Gesundheitsdaten erfordern höchste Sorgfalt. Arbeitgeber sollten klare Prozesse und Schutzmaßnahmen implementieren, um rechtssicher mit diesen sensiblen Informationen umzugehen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=104</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=105</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/105</video:thumbnail_loc>
      <video:title>Vermeidbare Interessenskollision bei Datenschutzbeauftragten</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska eine aktuelle Entscheidung der italienischen Datenschutzaufsichtsbehörde, die wichtige Konsequenzen für Unternehmen in ganz Europa hat. Im konkreten Fall war der Datenschutzbeauftragte einer Gemeinde gleichzeitig in leitender Position bei einem beauftragten IT-Dienstleister tätig – ein klarer Interessenkonflikt, wie die Behörde feststellte. Das Video erklärt, dass Datenschutzbeauftragte unabhängig handeln müssen und keine Position innehaben dürfen, in der sie selbst Zwecke oder Mittel der Datenverarbeitung bestimmen. Dazu zählen insbesondere leitende Managementfunktionen wie Geschäftsführung, IT-Leitung, Personal- oder Marketingverantwortung. Auch bei externen Datenschutzbeauftragten ist besondere Vorsicht geboten – sie dürfen den Verantwortlichen oder Auftragsverarbeiter nicht gleichzeitig in datenschutzrechtlichen Verfahren vertreten. Dr. Kraska fasst praxisnah zusammen, wie Unternehmen Interessenkollisionen vermeiden können – etwa durch klare Abgrenzung von Aufgaben, sorgfältige Auswahl externer Datenschutzbeauftragter und den Ausschluss leitender Positionen für interne Datenschutzbeauftragte. Fazit: Ein wirksamer Datenschutz erfordert Unabhängigkeit. Unternehmen sollten bei der Bestellung ihres Datenschutzbeauftragten sicherstellen, dass keine Überschneidungen mit Entscheidungsbefugnissen oder operativen Tätigkeiten bestehen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=105</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=50</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/50</video:thumbnail_loc>
      <video:title>Veröffentlichung von Mitarbeiterfotos, was müssen Sie beachten?</video:title>
      <video:description>Der Beitrag erklärt, unter welchen Voraussetzungen Fotos von Beschäftigten veröffentlicht werden dürfen – sowohl im Intranet als auch auf der öffentlichen Unternehmenswebsite. Dr. Sebastian Kraska erläutert, dass bei Mitarbeitenden mit Außenbezug – etwa in leitenden oder repräsentativen Positionen – eine Veröffentlichung des Fotos auf der Website ohne Einwilligung zulässig ist. Auch im Intranet dürfen Mitarbeiterfotos grundsätzlich ohne Einwilligung veröffentlicht werden, da der Zugriff intern und zweckgebunden erfolgt. In allen anderen Fällen ist jedoch eine ausdrückliche Einwilligung der betroffenen Person erforderlich. Wichtig bleibt in jedem Fall: Die Beschäftigten müssen umfassend über Zweck, Umfang und mögliche Folgen der Veröffentlichung informiert werden. So lässt sich Transparenz schaffen und das Vertrauen der Mitarbeitenden wahren. Das Fazit: Fotos dürfen nur im Rahmen klarer rechtlicher Grundlagen genutzt werden – mit Einwilligung, wenn kein beruflicher Außenbezug besteht, und immer mit vollständiger Information der Betroffenen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=50</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=106</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/106</video:thumbnail_loc>
      <video:title>Videoüberwachung und Datenschutz: Checkliste für Ihren Betrieb</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, welche rechtlichen Anforderungen für die Videoüberwachung im Unternehmen gelten. Dabei steht die datenschutzkonforme Umsetzung nach der DSGVO im Fokus. Im Video wird erklärt, wie Videoüberwachung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden muss und welche Hinweise für Beschäftigte und Besucher gut sichtbar anzubringen sind. Zudem wird aufgezeigt, dass die Überwachung räumlich auf das notwendige Maß zu begrenzen ist – fremdes Gelände oder Sozialräume dürfen grundsätzlich nicht erfasst werden. Auch bei den Aufbewahrungsfristen gilt das Prinzip der Datenminimierung: Aufnahmen sind in der Regel innerhalb von zwei Tagen zu löschen. Falls Dienstleister in den Betrieb der Videoüberwachung eingebunden sind, sollte geprüft werden, ob eine Datenschutzvereinbarung erforderlich ist. Fazit: Videoüberwachung ist nur in engen rechtlichen Grenzen zulässig. Mit klaren Regeln, kurzen Speicherfristen und transparenter Information der Betroffenen lassen sich Konflikte mit Datenschutzaufsichtsbehörden vermeiden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=106</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=44</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/44</video:thumbnail_loc>
      <video:title>Wann haften das Unternehmen und die Geschäftsleitung?</video:title>
      <video:description>Der Beitrag erklärt, wann Unternehmen und ihre Geschäftsleitung für Datenschutzverstöße haften und welche rechtlichen Grundlagen dabei greifen. Grundsätzlich haftet das Unternehmen als Verantwortlicher nach Art. 4 Abs. 7 DSGVO für die Einhaltung aller datenschutzrechtlichen Pflichten. Kommt es zu Verstößen, können Schadenersatzansprüche (Art. 82 DSGVO) und Bußgelder (Art. 83 DSGVO) gegen das Unternehmen verhängt werden. Die Verantwortung endet jedoch nicht auf Unternehmensebene: Wenn die Geschäftsleitung keine ausreichenden organisatorischen Strukturen für Datenschutz und Informationssicherheit schafft, kann sie auch persönlich haftbar gemacht werden. Die Pflichten lassen sich weder auf Versicherungen noch auf Datenschutzbeauftragte oder externe Dienstleister abwälzen. Das Video zeigt praxisnah, welche Maßnahmen zur Haftungsvermeidung beitragen – insbesondere der Aufbau klarer Datenschutzstrukturen, ein funktionierendes Compliance-System und die Umsetzung technischer Schutzmaßnahmen nach Art. 32 DSGVO. So lassen sich Risiken reduzieren und Haftungsfälle vermeiden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=44</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=51</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/51</video:thumbnail_loc>
      <video:title>Wann haftet der Datenschutzbeauftragte?</video:title>
      <video:description>Der Beitrag behandelt die Frage, wann ein Datenschutzbeauftragter haftet, wenn ein Unternehmen gegen die DSGVO verstößt. Dr. Sebastian Kraska erklärt, dass der Datenschutzbeauftragte keine Umsetzungspflicht besitzt. Seine Aufgabe besteht darin, Unternehmen zu beraten, zu überwachen und bei der Einhaltung der Datenschutzvorgaben zu unterstützen – die Verantwortung für die Umsetzung liegt jedoch allein bei der Geschäftsleitung. Eine Haftung des Datenschutzbeauftragten kommt daher nur in Betracht, wenn er eigene Pflichten – etwa im Rahmen seiner Beratungs- oder Kontrollfunktion – verletzt. Für Verstöße des Unternehmens selbst kann er dagegen nicht verantwortlich gemacht werden. Das Video verweist auf die rechtliche Grundlage in Artikel 39 DSGVO und bietet einen klaren Überblick darüber, wie die Aufgabenverteilung zwischen Datenschutzbeauftragtem und Unternehmensleitung ausgestaltet ist. So wird deutlich, dass die Rolle beratend und unabhängig, aber nicht haftungsfrei ist – sie dient dem Schutz des Unternehmens und der rechtskonformen Umsetzung der Datenschutzpflichten.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=51</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=107</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/107</video:thumbnail_loc>
      <video:title>Wann muss ich eine Datenpanne melden? Pflicht zur Meldung einer Datenschutz-Verletzung Art 33 DSGVO</video:title>
      <video:description>Im Café Datenschutz erklärt Dr. Sebastian Kraska, wann Unternehmen verpflichtet sind, Datenschutzverletzungen nach der DSGVO zu melden und welche Pflichten sich daraus ergeben. Dabei steht die richtige Risikobewertung im Mittelpunkt: Die Datenschutz-Grundverordnung unterscheidet zwischen geringem, mittlerem und hohem Risiko für die Rechte der Betroffenen. Ein geringes Risiko erfordert in der Regel nur eine interne Dokumentation. Bei einem mittleren Risiko muss die Aufsichtsbehörde innerhalb von 72 Stunden informiert werden. Besteht ein hohes Risiko für die Betroffenen, müssen zusätzlich auch die betroffenen Personen selbst informiert werden. Im Video werden praxisnahe Hinweise zur Bewertung von Datenschutzverletzungen gegeben und erklärt, wie Unternehmen die Meldepflichten rechtssicher umsetzen. Fazit: Die richtige Einschätzung des Risikos ist entscheidend, um rechtliche Konsequenzen zu vermeiden. Unternehmen sollten klare interne Prozesse etablieren, um Datenschutzverletzungen schnell zu erkennen, zu bewerten und fristgerecht zu melden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=107</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=109</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/109</video:thumbnail_loc>
      <video:title>Was macht ein externer Datenschutzbeauftragter? Welche Aufgaben hat der Datenschutzbeauftragte?</video:title>
      <video:description>Das Video erklärt die zentralen Aufgaben eines Datenschutzbeauftragten (DSB) gemäß der Datenschutz-Grundverordnung (DSGVO), welche sich im Kern auf vier Bereiche reduzieren lassen: Beratung und Unterstützung: Der DSB unterstützt das Unternehmen bei der Einhaltung der datenschutzrechtlichen Vorgaben und hilft konkret beim Aufbau interner Datenschutzprozesse. Schulung und Sensibilisierung: Er schult die Beschäftigten hinsichtlich dieser Prozesse und der datenschutzrechtlichen Vorgaben. Prüfauftrag: Der DSB hat die Aufgabe, die Einhaltung der aufgesetzten Prozesse regelmäßig zu prüfen. Datenschutz-Folgenabschätzung (DSFA): Er unterstützt das Unternehmen bei der Durchführung von DSFAs, also der datenschutzrechtlichen Beurteilung von besonders datenschutzrechtsintensiven Verarbeitungstätigkeiten. Ansprechpartner: Er dient als zentrale Kontaktperson und Unterstützung im Umgang mit den Datenschutzaufsichtsbehörden. Das Video betont, dass Unternehmen den DSB proaktiv bestellen sollten, bevor es zu Datenschutzverletzungen kommt, anstatt erst reaktiv tätig zu werden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=109</video:player_loc>
      <video:publication_date>2022-07-29T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=111</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/111</video:thumbnail_loc>
      <video:title>Webcams und Datenschutz</video:title>
      <video:description>Das Video behandelt die datenschutzrechtliche Zulässigkeit des Einsatzes von Webcams, die Bilder aus dem öffentlichen Raum live oder in regelmäßigen Abständen ins Internet übertragen. Geltungsbereich und Einschränkungen: Anwendbarkeit der DSGVO: Sobald eine Webcam personenbezogene Daten verarbeitet, ist der Anwendungsbereich der DSGVO eröffnet. Da auch zufällig aufgenommene Personen identifizierbar sein können, gilt dies für die meisten Webcams im öffentlichen Raum. Persönlichkeitsrechte: Das Veröffentlichen von Bildern von identifizierbaren Personen im öffentlichen Raum ist nicht ohne Weiteres gestattet, da es die Persönlichkeitsrechte der Betroffenen berührt. Anforderungen der Aufsichtsbehörden: Die Datenschutzaufsichtsbehörden haben in ihren Stellungnahmen festgelegt, wie Webcams im öffentlichen Raum datenschutzkonform betrieben werden müssen: Unkenntlichmachung: Die Webcam-Einstellung muss so gewählt werden, dass einzelne Personen nicht erkennbar sind. Keine Identifizierungsmerkmale: Es muss sichergestellt werden, dass keine identifizierenden Merkmale erfasst werden können, z.B. Kennzeichen auf Straßen oder Gehwegen. Umfeld berücksichtigen: Die Aufnahme von Geschäftshäusern oder Privathäusern ist so zu gestalten, dass die Personen, die sich darin befinden, nicht überwacht werden können. Fokus auf Landschaft/Natur: Es ist darauf zu achten, dass der Ausschnitt generell den Blick auf Natur und Landschaft zulässt, aber keine individualisierende Erfassung von Personen ermöglicht. Fazit: Der Einsatz von Webcams im öffentlichen Raum ist grundsätzlich zulässig, erfordert jedoch eine restriktive Wahl der Bildeinstellung, um die Identifizierbarkeit von Einzelpersonen zuverlässig auszuschließen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=111</video:player_loc>
      <video:publication_date>2024-07-28T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=113</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/113</video:thumbnail_loc>
      <video:title>Webseiten Tracking ohne Einwilligung</video:title>
      <video:description>Das Video erklärt, wie Webseiten-Tracking auch ohne die explizite Einwilligung der Nutzer (&quot;Einwilligungsbanner&quot;) datenschutzkonform betrieben werden kann, gestützt auf das berechtigte Interesse als Rechtsgrundlage. Voraussetzungen für Tracking ohne Einwilligung: Um das Webseiten-Besucherverhalten rechtssicher ohne Einwilligung erfassen zu können, müssen zwei zentrale Bedingungen erfüllt sein: Cookie-Freiheit: Es dürfen keine Cookies oder ähnliche Informationen auf dem Endgerät des Nutzers gespeichert werden. Aggregierte Erfassung: Die Daten müssen so erfasst werden, dass am Ende kein Rückschluss auf einzelne, individuelle Webseitenbesucher möglich ist. Es kann lediglich das Verhalten der Gesamtheit der Besucher (z.B. Klickraten, Gesamtbesucherzahl) ausgewertet werden, nicht aber das individuelle Nutzerprofil. Stellungnahme der Aufsichtsbehörden: Die Aufsichtsbehörden halten dieses Vorgehen unter den genannten Voraussetzungen für datenschutzrechtlich zulässig. Sie argumentieren, dass die Verarbeitung von Browser- oder Headerinformationen, die zwangsläufig oder aufgrund von Browsereinstellungen beim Aufruf einer Webseite übermittelt werden, nicht als Zugriff auf bereits in der Endeinrichtung gespeicherte Informationen gewertet wird. Solche Daten dürfen in aggregierter Form analysiert und ausgewertet werden. Fazit für Webseitenbetreiber: Wenn das Ziel lediglich die Webseitenoptimierung ist, kann auf ein Einwilligungsbanner verzichtet und stattdessen Technologie für einwilligungsfreies, aggregiertes Tracking eingesetzt werden, um 100 % des Besucherverhaltens zu analysieren. Nur wenn individualisierendes Tracking und insbesondere nachverfolgende (personalisierte) Werbung geschaltet werden sollen, ist weiterhin die Einholung einer Einwilligung (z.B. über ein Cookie-Banner) zwingend erforderlich.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=113</video:player_loc>
      <video:publication_date>2024-03-24T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=114</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/114</video:thumbnail_loc>
      <video:title>Webseiten-Tracking ohne Einwilligung mit Matomo: Interview mit Joachim Nickel von Chop Solutions 1/2</video:title>
      <video:description>Das Video ist der erste Teil eines Interviews mit Joachim Nickel über Matomo, eine quelloffene Alternative zu Google Analytics, die für datenschutzkonformes Webseiten-Tracking ohne explizite Einwilligung genutzt werden kann. Matomo ermöglicht es Nutzern, ihre Tracking-Daten vollständig selbst zu speichern und die Datenhoheit zu behalten, wahlweise On-Premise oder in der Cloud. Ein zentraler Vorteil von Matomo ist die höhere Datenquantität. Da es so konfiguriert werden kann, dass es cookiefrei und auf Basis des berechtigten Interesses nur aggregierte Daten auswertet, kann auf ein lästiges Einwilligungsbanner verzichtet werden. Dadurch werden deutlich mehr Besucher erfasst als bei Systemen, die auf die aktive Zustimmung (Opt-in) angewiesen sind. Die rechtliche Grundlage ist gegeben, solange das Tracking cookiefrei erfolgt und die Daten ausschließlich in nicht-individueller, zusammengefasster Form ausgewertet werden, um die Vorgaben der e-Privacy-Richtlinie und der DSGVO zu erfüllen. Matomo bietet die notwendigen Einstellungsmöglichkeiten, um diese Compliance zu gewährleisten.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=114</video:player_loc>
      <video:publication_date>2024-09-29T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=115</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/115</video:thumbnail_loc>
      <video:title>Webseiten-Tracking ohne Einwilligung mit Matomo: Interview mit Joachim Nickel von Chop Solutions 2/2</video:title>
      <video:description>Das Video ist der zweite Teil des Interviews mit dem Matomo-Spezialisten Joachim Nickel und widmet sich den detaillierten technischen Einstellungen für ein datenschutzkonformes, einwilligungsfreies Webseiten-Tracking auf Basis des berechtigten Interesses. Im Zentrum steht die Herausforderung, die Grenze zwischen aggregierter Datenauswertung und individueller Profilbildung zu ziehen, wobei die juristische Lage hier noch nicht abschließend geklärt ist. Matomo ermöglicht es dem Betreiber, die Generierung einer sogenannten Besucher-ID stark zu beeinflussen. Diese ID dient dazu, den Nutzerfluss (von welcher Seite kommt der Besucher, wann verlässt er sie) zu analysieren, ohne eine individuelle Identifizierung zuzulassen. Hierfür wird die IP-Adresse maskiert, was bedeutet, dass nur die verkürzte Version in der Datenbank gespeichert wird. Je stärker die IP-Maskierung vorgenommen wird, desto geringer ist die Genauigkeit der Geolokalisierung. Die Besucher-ID selbst wird aus der (maskierten) IP-Adresse, Browserinformationen und einem Zufallswert generiert, der maximal 24 Stunden gültig ist. Weiterführende Analysen wie das Ereignis-Tracking (Klicks, Downloads) und die Inhaltserkennung (Scrolltiefe) sind ebenfalls möglich, müssen aber strikt in aggregierter Form erfolgen, um keine Rückschlüsse auf Einzelpersonen zuzulassen und so beispielsweise die Webseiten-Optimierung zu ermöglichen. Im E-Commerce-Bereich unterstützt Matomo die Messung von Warenkorb-Abbrüchen und Käufen, wobei der Grad der Anonymisierung bei der Warenkorb-Zusammenstellung ein konfigurierbarer und juristisch diskutierter Punkt ist. Insgesamt ist Matomo ein mächtiges, individuell einstellbares Tool, das neben dem Hybridmodell (mit Einwilligungsbanner) auch die Möglichkeit bietet, nahezu alle Besucherdaten ohne Einwilligung auf Basis des berechtigten Interesses zu verarbeiten, sofern die notwendigen Anonymisierungsstufen gewählt werden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=115</video:player_loc>
      <video:publication_date>2024-10-06T00:00:00+02:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=52</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/52</video:thumbnail_loc>
      <video:title>Welche Datenschutz-Themen muss der Mittelstand beachten? Fokus für KMU.</video:title>
      <video:description>Der Beitrag zeigt, welche Datenschutzanforderungen für kleine und mittlere Unternehmen (KMU) besonders relevant sind und wie sie die DSGVO risikobasiert umsetzen können. Dr. Sebastian Kraska erläutert, dass KMU sich auf die Basis-Themen des Datenschutzes konzentrieren sollten – also auf Kernverarbeitungstätigkeiten, Prozesse mit Außenwirkung und Maßnahmen zur Informationssicherheit. Anstatt komplexe Datenschutzstrukturen aufzubauen, empfiehlt sich ein pragmatischer Ansatz, der die tatsächlichen Risiken und den betrieblichen Alltag berücksichtigt. Zentrale Schwerpunkte sind die Dokumentation der Verarbeitungstätigkeiten, die Prüfung von Auftragsverarbeitungsverträgen, die Schulung der Mitarbeitenden sowie die technische Absicherung von IT-Systemen. Grundlage ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, wonach Unternehmen jederzeit nachweisen müssen, dass sie datenschutzkonform handeln. Das Fazit: Datenschutz im Mittelstand bedeutet nicht Bürokratie, sondern gezielte Organisation. Mit klaren Prozessen, technischen Mindeststandards und regelmäßigem Bewusstseinstraining lassen sich DSGVO-Anforderungen effizient und praxisnah erfüllen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=52</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=112</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/112</video:thumbnail_loc>
      <video:title>Welche IT-Mindeststandards muss ich nach der DSGVO beachten</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, welche IT-Mindeststandards die Datenschutz-Grundverordnung (DSGVO) fordert und wie Unternehmen diese praktisch umsetzen können. Die DSGVO verlangt in Artikel 32, dass Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Im Video wird erklärt, was unter dem „Stand der Technik“ zu verstehen ist und wie Unternehmen diesen im eigenen Umfeld berücksichtigen können. Dazu gehören aktuelle Sicherheitsmaßnahmen wie Firewalls, Zugriffsbeschränkungen, Verschlüsselung, regelmäßige Updates sowie die Schulung der Beschäftigten. Zudem wird auf Empfehlungen von Fachstellen wie dem Bayerischen Landesamt für Datenschutzaufsicht und dem Teletrust-Verband verwiesen, die konkrete Orientierungshilfen und Checklisten zur Umsetzung bieten. Fazit: IT-Mindeststandards nach der DSGVO sind kein starres Regelwerk, sondern orientieren sich an Risiko, Unternehmensgröße und technischer Entwicklung. Wer sich am Stand der Technik orientiert, erfüllt zentrale Datenschutzanforderungen und minimiert Haftungsrisiken.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=112</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=110</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/110</video:thumbnail_loc>
      <video:title>Wie baue ich das Verzeichnis der Verarbeitungstätigkeiten auf? Art 30 DSGVO</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, was ein Verzeichnis der Verarbeitungstätigkeiten ist und wie Unternehmen dieses nach Artikel 30 DSGVO strukturiert aufbauen sollten. Das Verzeichnis bildet das Herzstück der Datenschutzdokumentation und ist ein zentrales Instrument, um der Rechenschaftspflicht gerecht zu werden. Im Video wird erklärt, dass Unternehmen mit ihren Kernprozessen beginnen und die Erfassung der Verarbeitungstätigkeiten schrittweise – beispielsweise in Zehnerschritten – durchführen sollten. Eine softwaregestützte Dokumentation erleichtert die Pflege und Aktualisierung der Inhalte. Zudem wird auf die Erwartungshaltung der Datenschutzaufsichtsbehörden eingegangen, die ein vollständiges, nachvollziehbares und aktuelles Verzeichnis fordern. Fazit: Ein gut strukturiertes Verzeichnis der Verarbeitungstätigkeiten ist die Grundlage für wirksamen Datenschutz im Unternehmen. Es unterstützt nicht nur die interne Organisation, sondern dient auch als Nachweis gegenüber den Aufsichtsbehörden.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=110</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=108</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/108</video:thumbnail_loc>
      <video:title>Wie finde ich einen Datenschutzbeauftragten?</video:title>
      <video:description>Im Café Datenschutz erläutert Dr. Sebastian Kraska, wie Unternehmen den passenden Datenschutzbeauftragten finden und welche Kriterien bei der Entscheidung zwischen einem internen und externen Datenschutzbeauftragten maßgeblich sind. Im Video werden zentrale Aspekte wie Fachwissen, Ressourcen, Kosten und der Umfang der angebotenen Leistungen besprochen – etwa ob auch Audit-Tätigkeiten, Schulungsplattformen oder Datenschutz-Management-Systeme abgedeckt sind. Besonders wichtig ist es, Interessenkollisionen bei internen Datenschutzbeauftragten zu vermeiden, da leitende Funktionen häufig nicht mit der Rolle vereinbar sind. Zudem besteht bei internen Datenschutzbeauftragten ein besonderer Kündigungsschutz, was in die Entscheidung mit einfließen sollte. Fazit: Unternehmen sollten bei der Auswahl ihres Datenschutzbeauftragten nicht nur auf die fachliche Qualifikation, sondern auch auf organisatorische und wirtschaftliche Rahmenbedingungen achten. Eine sorgfältige Abwägung hilft, die Datenschutzanforderungen effizient und rechtssicher zu erfüllen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=108</video:player_loc>
      <video:publication_date>2025-11-06T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=79</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/79</video:thumbnail_loc>
      <video:title>Wie kann ich mein Unternehmen auf NIS-2 vorbereiten?</video:title>
      <video:description>Die neue EU-Richtlinie NIS-2 verpflichtet Unternehmen, ihre Cyber-Sicherheitsmaßnahmen erheblich zu verstärken. Im Video erklärt Dr. Sebastian Kraska, wie Sie prüfen, ob Ihr Unternehmen direkt oder indirekt betroffen ist, welche Rolle die Geschäftsleitung spielt und welche Pflichten bei einer direkten Betroffenheit gelten – etwa die Registrierung beim BSI innerhalb von drei Monaten. Zu den zentralen Anforderungen zählen: – Risikomanagement: fortlaufende Identifikation, Bewertung und Behandlung von Cyber-Risiken. – Incident-Management: Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle. – Business-Continuity-Management: Notfallpläne, Backups und Wiederherstellungsstrategien. – Technische Maßnahmen: Zugangskontrollen, Multi-Faktor-Authentifizierung, Verschlüsselung und Patch-Management. – Lieferketten-Sicherheit: Prüfung der Cyber-Resilienz von Dienstleistern und Partnern. Darüber hinaus zeigt das Video, wie Sie Ihre Mitarbeitenden durch Schulungen und Sensibilisierung einbinden und die Cyber-Resilienz Ihres Unternehmens stärken können. Zum Abschluss stellt die IITR Datenschutz GmbH ihre praxisnahen Unterstützungsangebote vor – das ISMS-KIT zur strukturierten Umsetzung eines Informationssicherheitsmanagementsystems, eLearning-Programme für Beschäftigte sowie das Audit-Tool privASSIST zur Überprüfung und Dokumentation der NIS-2-Konformität. Das Fazit: Mit klaren Strukturen, technischer Sicherheit und gut geschulten Teams gelingt der Weg zur NIS-2-Compliance effizient und nachhaltig.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=79</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=78</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/78</video:thumbnail_loc>
      <video:title>Wie teste ich Software datenschutzkonform? DSGVO und Echtdaten?</video:title>
      <video:description>Der Beitrag behandelt die Frage, ob Software mit Echtdaten getestet werden darf oder ob zuvor die Einwilligung der Betroffenen erforderlich ist. Dr. Sebastian Kraska erklärt, dass Tests grundsätzlich mit anonymisierten oder fiktiven Daten durchgeführt werden sollten, um personenbezogene Informationen zu schützen. Nur wenn es technisch zwingend erforderlich ist, dürfen Echtdaten im Testbetrieb verwendet werden – dann jedoch unter denselben technischen und organisatorischen Schutzmaßnahmen wie im Live-System. Dazu gehören insbesondere Zugriffsbeschränkungen, Protokollierung und die sichere Löschung der Testdaten nach Abschluss der Tests. Das Fazit: Echtdaten dürfen nur im Ausnahmefall für Tests genutzt werden. Wer auf Datensparsamkeit und Sicherheit achtet, bleibt DSGVO-konform und minimiert das Risiko von Datenschutzverletzungen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=78</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=77</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/77</video:thumbnail_loc>
      <video:title>Workation und Datenschutz</video:title>
      <video:description>Der Beitrag beleuchtet die datenschutzrechtlichen Aspekte von „Workation“, also dem Arbeiten aus dem Ausland. Immer mehr Unternehmen ermöglichen ihren Mitarbeitenden, zeitweise im Ausland zu arbeiten – doch welche DSGVO-Anforderungen gelten in solchen Fällen? Dr. Sebastian Kraska erklärt, dass ein Datentransfer im rechtlichen Sinn nur dann vorliegt, wenn Daten zwischen verschiedenen Verantwortlichen oder Auftragsverarbeitern ausgetauscht werden. Solange Mitarbeitende also unternehmensintern über Firmenlaptops auf Unternehmenssysteme zugreifen, besteht kein Drittlandtransfer im Sinne der DSGVO. Der Fokus liegt vielmehr auf der Informationssicherheit: Unternehmen sollten technische und organisatorische Maßnahmen treffen, etwa VPN-Verbindungen, sichere Netzwerke und ggf. den Einsatz von speziellen Laptops für Auslandsaufenthalte. Ergänzend kann eine Workation-Richtlinie helfen, klare Rahmenbedingungen für Sicherheit und Kommunikation zu schaffen. Das Fazit: Workation ist kein Datenschutzproblem, sondern eine Frage der IT-Sicherheit. Entscheidend ist, dass Unternehmen ihr individuelles Risiko bewerten und passende Schutzmaßnahmen umsetzen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=77</video:player_loc>
      <video:publication_date>2025-10-30T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
  <url>
    <loc>https://www.iitr.de/datenschutz-videos?v_id=34</loc>
    <video:video>
      <video:thumbnail_loc>https://vilex.iitr.de/api/client/videos/thumbnail/34</video:thumbnail_loc>
      <video:title>Zugriffsrechte und Datenschutz im Unternehmen – Wer darf was sehen?</video:title>
      <video:description>Der Beitrag zeigt, warum die Vergabe und Kontrolle von Zugriffsrechten ein zentraler Bestandteil des Datenschutzes im Unternehmen ist. Datenschutz bedeutet nicht nur die Einhaltung gesetzlicher Vorgaben, sondern auch einen verantwortungsvollen Umgang mit sensiblen Informationen im Arbeitsalltag. Dr. Sebastian Kraska erläutert, wie Unternehmen sicherstellen können, dass nur befugte Personen Zugriff auf vertrauliche Daten erhalten – unabhängig von Position oder Beschäftigungsart. Ein strukturiertes Berechtigungskonzept legt fest, wer welche Daten sehen, bearbeiten oder weitergeben darf. Dabei spielen Vorgesetzte eine wichtige Rolle bei der regelmäßigen Überprüfung und Anpassung von Zugriffsrechten. Neben organisatorischen Prozessen sind auch technische Maßnahmen entscheidend, etwa rollenbasierte Zugriffssysteme, Protokollierungen und regelmäßige Audits. So lässt sich gewährleisten, dass Datenschutz und Datensicherheit Hand in Hand gehen – für mehr Transparenz, Kontrolle und Vertrauen im Unternehmen.</video:description>
      <video:player_loc>https://www.iitr.de/datenschutz-videos?v_id=34</video:player_loc>
      <video:publication_date>2025-10-29T00:00:00+01:00</video:publication_date>
    </video:video>
  </url>
</urlset>