Datenschutzbehörde in Deutschland verhängt zum erstmal Bußgeld nach DSGVO

Datenschutzbehörde in Deutschland verhängt zum erstmal Bußgeld nach DSGVO

Der Karlsruher Chatanbieter Knuddels muss nach einem Datenleck mit fast zwei Millionen veröffentlichten Zugangsdaten ein Bußgeld von 20.000 € zahlen.

Golem hat hierzu einen schönen Artikel aufgegriffen den ich euch ans Herz legen möchte.

https://www.golem.de/news/knuddels-leak-datenschuetzer-verhaengen-erstmalig-bussgeld-nach-dsgvo-1811-137857.html

 

WhatsApp und die DSGVO

Hält sich WhatsApp an die DSGVO?

Seit dem Mai 2018 fragt WhatsApp die Nutzer freundlicher Weise ob sie damit einverstanden sind das die Daten an Dritte (wie Facebook) weitergeleitet werden- Stimmt man dem nicht zu – dann kann man WhatsApp nicht mehr verwenden – also stimmen alle Nutzer den Datenschutzbstimmungen zu – (in der Regel= sich ohne mit dessen Inhalt überhaupt Ernsthaft zu beschäftigen. Okay ist gibt immer noch Zwei Millarden positibe Gründe für die Verwendung von WhatsApp – die Anzahl der Nutzer und die einfache Erreichbarkeit dieser über die Verwendung der beliebten App. Ich bin gespannt ob das Schalten von Werbung der Beliebtheit der App in Zukunft ähnlich schaden wird wie Facebook.

Aber zurück zu WhatsApp und Datenschutz – nun hat WhatsApp meine Einwilligung und darf alles mit meinen persönlichen Daten machen, diese auch an Dritte weitergeben – so weit zu gut – es gibt ja noch das Recht zum Widerspruch – einfach die Nutzung meiner persönlichen Daten widerrufen – meine Einwilligung zurückziehen.

Das ist nach DSGVO jederzeit erlaubt und der Anbieter muss sich daran halten. Also einfach den Zweck der Datenweitergabe widerrufen und um Auskunft beten, welche Daten von einem verwendet werden und welche Daten nun noch an Dritte weitergeleitet werden.

Interessant die Antwort – siehe Artikel auf www.golem.de zu WhatsApp und der DSGVO vom 19.11.2018.

 

Also geht WhatsApp nun anständig mit meinen Daten um?

Wohl kaum – versuchen sie mal Widerspruch gegen die Datenweitergabe an Dritte einzulegen. Das wird ihnen nur schwierig gelingen – aber ich wäre auf die Antwort gespannt. Golem.de hat versucht das ganze mal durchzuführen. Anbei ein Bericht von Golem.de

https://www.golem.de/news/trotz-dsgvo-whatsapp-ignoriert-widersprueche-zu-datenweitergabe-1811-137742.html

 

Wie kann ich meiner Nutzung wiedersprechen?

 

Anbei ein Link zu WhatsApp – hierdrüber könnt ihr einen Wiederspruch zur Datenverarbeitung personenbezogener Daten einlegen – aber das ist nicht einfach.

https://faq.whatsapp.com/en/general/26000153/?lang=de

 

Zitat:

Wie kann ich Widerspruch einlegen?

Wenn du in der Europäischen Region lebst, kannst du gegen die Verarbeitung deiner persönlichen Daten unter dieser E-Mail-Adresse Widerspruch einlegen. Gib alle unten aufgeführten Informationen an, damit wir deine Anfrage prüfen können.

  • Vollständiger Name
  • E-Mail-Adresse
  • WhatsApp Telefonnummer
  • Land, in dem du lebst
  • Identitätsnachweis, der mit deiner WhatsApp Nummer übereinstimmt (z. B. Kopie des von der Regierung ausgestellten Ausweises mit dem Namen, der deiner Telefonrechnung entspricht)
  • Gegen welche Datenverarbeitungsaktivität(en) möchtest du Widerspruch einlegen?
  • Bitte erläutere, welche Auswirkungen diese Verarbeitung für dich hat. Welche Rechte und Freiheiten werden deiner Meinung nach durch die Verarbeitung beeinträchtigt und warum?
  • Stelle uns bitte alle weiteren Informationen zur Verfügung, die uns deiner Meinung nach dabei helfen, deinen Widerspruch zur prüfen.

Unter Umständen bitten wir dich um weitere Informationen, wenn deine Anfrage unvollständig ist.

 

DSGVO-News – Microsoft und Instagram

Microsoft verstößt gegen die DSGVO doch gelobt Besserung.

Eine Niederländische Studio der Behörden ist zu den Ergebnis gekommen das Microsoft eine Menge Nutzerdaten über das Office bzw. Windows Nutzungsverhalten speichert ohne die Anwender ausreichend darüber hinzuweisen was gespeichert wird.

Microsoft gelobt Besserung und will den Dienst zum versenden von Absturzdaten etc. so anpassen das der Nutezr darüber informiert wird was von seinem Nutzungsverhalten gesendet wird und ihn die Möglichkeit geben hier Einschränkungen usw. selbst vorzunehmen.

Quelle: https://www.heise.de/newsticker/meldung/Untersuchung-Microsoft-Office-sammelt-Daten-und-verstoesst-gegen-die-DSGVO-4224823.html

 

Instagram biete verbesserungswürdiges DSGVO Tool:

Instagram bietet ein Tool für die DSGVO an was darüber informiert welche Daten bei Instagram gespeichert werden – leider inklusive Passwort im Klartext.

Quelle: https://www.heise.de/security/meldung/Instagram-DSGVO-Tool-verraet-Nutzerpasswoerter-im-Klartext-4224308.html

 

 

 

 

Stellung des Datenschutzbeauftragten

Ist ein Datenschutzbeauftragter notwendig (Extern oder Intern)?

Einige Entscheider meinen, die Bestellung des Datenschutzbeauftragten würde freiwillig erfolgen. Aber diese Annahme ist falsch. Der Gesetzgeber hat im BDSG n.F. definiert, ab wann das Bestellen eines DSB als Pflicht gilt. Ebenso gibt die EU DSGVO vor, wann die Geschäftsleitung der Pflicht unterliegt, einen Datenschutzbeauftragten zu bestellen. Sollte man sich im Unternehmen mit den Voraussetzungen der Bestellung eines Datenschutzbeauftragten noch nicht befasst haben, ist eine Überprüfung der Notwendigkeit dringend anzuraten.

Es sind folgende drei Bereiche zu überprüfen, um mit Gewissheit sagen zu können, ob eine Bestellung erforderlich ist.

 

Unternehmensgröße / Anzahl der Mitarbeiter

Ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu bestellen ist, hängt vom Umgang mit personenbezogenen Daten ab. Im Fokus steht das Ausmaß der Datenverarbeitung. Sollten mehr als mindestens 10 Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben, besteht die Pflicht.

Externer Datenschutzbeauftragter

Angesichts der genannten Risiken halten wir es für sinnvoll, sich bei der Einführung des betrieblichen Datenschutzes und der Ernennung eines DSB von Experten begleiten zu lassen. Alternativ bietet es sich an, einen externen Datenschutzbeauftragten zu bestellen. Dies ist oft nicht nur günstiger, sondern bringt zusätzlich eine bessere Absicherung der Haftung mit sich. Auch Ihrem Unternehmen stehen wir als externer Datenschutzbeauftragter gerne zur Seite und kümmern uns um Entwicklung sowie Implementierung eines maßgeschneiderten Datenschutzkonzepts.

Wirksamkeit der DSB Bestellung

Eine oft gestellte Frage aus der Praxis lautet: „Wer ernennt den Datenschutzbeauftragen?“ Die Ernennung erfolgt durch die Geschäftsleitung bzw. Führungskräften mit Prokura. Im Rahmen der Bestellung sind Formalitäten einzuhalten. Es empfiehlt sich, die bereits erwähnte Bestellungsurkunde anzufertigen. Doch bis zu diesem Moment kann es ein weiter Weg sein, da es zunächst erforderlich ist, eine geeignete Person auszuwählen. Insgesamt ist das Anforderungsprofil, das an die Tätigkeit des betrieblichen DSB gestellt wird, als sehr anspruchsvoll zu bezeichnen.

Die Funktion des Datenschutzbeauftragten kann eine Person nur ausüben, wenn sie folgende Anforderungen erfüllt.

  • Da wäre zunächst die fachliche Eignung: Es gilt ein ausreichendes Verständnis der Thematik aufzubauen. Umfassende Fachkunde im betrieblichen Datenschutz ist eine wesentliche Voraussetzung.
  • Fachkunde ist nicht alles. Weiterhin muss die Person innerhalb ihrer jeweiligen Organisation Einblick in alle entscheidenden Bereiche und Prozesse haben.
  • Außerdem sollte sie der Funktion angemessene Kommunikationsfähigkeiten mitbringen.

Der Markt hat reagiert, es werden diverse Datenschutzbeauftragten Schulungen angeboten, die Mitarbeiter auf ihre künftigen Aufgaben als Datenschutzbeauftragte vorbereiten. Doch häufig sind solche Schulungen als Kompromisslösung zu betrachten, da nur Basiswissen (z.B. Grundlagen der Datenverarbeitung und dem Datenschutz personenbezogener Daten) vermittelt wird. Außerdem ist es gerade in vielen kleinen und mittelständischen Unternehmen üblich, dass Datenschutzbeauftragte weitere betriebliche Aufgaben übernehmen. Als Folge besteht ein vergleichsweises hohes Risiko, dass trotz gezielter Fortbildung weiterhin Fehler im Datenschutz gemacht werden. Die Aufsichtsbehörde kann solche Fehler mit einem hohen Bußgeld bestrafen.

 

Berücksichtigen Sie alle wichtigen Merkmale

Die Bestellung eines Datenschutzbeauftragten kann auf unterschiedlichem Wege erfolgen. Zum einen besteht die Möglichkeit sich für einen internen Datenschutzbeauftragten zu entscheiden. Bei ihm handelt es sich um eine Person, die unmittelbar im Unternehmen beschäftigt ist.

Optional kann auch ein externer Datenschutzbeauftragter bestellt werden. In diesem Fall wird die Leistung bei einem spezialisierten Dienstleister eingekauft.

Welche Lösung für ein Unternehmen besser ist, hängt ganz von der jeweiligen Ausgangssituation ab. Faktoren wie Unternehmensgröße, Branche und Personalpolitik nehmen Einfluss darauf, wie am besten entschieden wird. Schlussendlich ist es so, dass beide Varianten ihre eigenen Vor- und Nachteile mit sich bringen.

 

Interner Datenschutzbeauftragter

  • Gute Kenntnisse über Abläufe und Prozesse im Unternehmen, es besteht jedoch das Risiko der Betriebsblindheit.
  • Bei unerfahrenem Datenschutzbeauftragtem drohen Anlaufschwierigkeiten. Die Effizienz ist gering und externe Unterstützung muss oft zusätzlich eingekauft werden.
  • Haftungsrisiko bleibt im Unternehmen. Der Mitarbeiter kann für Fehlentscheidungen oft gar nicht haftbar gemacht werden, sofern er nicht nachweislich mit Vorsatz gehandelt hat.
  • Hohe Wahrscheinlichkeit, dass die Haupttätigkeit im Vordergrund bleibt und die Aufgaben eines Datenschutzbeauftragten eine geringe Priorität erhalten.
  • Mitarbeiter reagieren auf Anfragen oft nur langsam oder gar nicht.
  • Kosten für Aus- und Fortbildung einschließlich Erwerb von Literatur sind vom Unternehmen zu tragen.
  • Der interne Datenschutzbeauftragte genießt ausgeprägten Kündigungsschutz mit einem Jahr Nachwirkung. Eine Abberufung ist nur langsam und unter großem Aufwand möglich.

 

Externer Datenschutzbeauftragter

  • Kein Risiko der Betriebsblindheit, Einnahme einer neutralen Perspektive
  • Erfahrung und das Arbeiten auf Basis erprobter Konzepte versprechen eine hohe Effizienz und somit ein schnelles Erreichen des erforderlichen Datenschutzniveaus zu niedrigen Kosten.
  • Der externe Datenschutzbeauftragte haftet im Rahmen der vereinbarten Summe für sein Handeln. Dadurch ist mehr Sicherheit für das Unternehmen geboten.
  • Ausschließliche Konzentration auf Aufgaben, die mit dem Datenschutz in Verbindung stehen.
  • Mitarbeiter nehmen den externen Datenschutzbeauftragten und dessen Aufgaben anders wahr. Antwortzeiten fallen erfahrungsgemäß kürzer aus.
  • Ein externer Datenschutzbeauftragter ist bereits ausgebildet, Kosten der Fortbildung werden vom Anbieter selbst getragen. Weiterhin gibt es keine Ausfallzeiten durch Aus- und Fortbildung.
  • Vereinbarung regulärer Kündigungsfristen über den Dienstvertrag ist möglich.
  • seiner Haupttätigkeit nicht im vollen Umfang nachgehen. Die wirtschaftliche Ertragsleistung des Mitarbeiters geht zwangsläufig zurück.
  • In Anbetracht seiner gestiegenen Qualifikationen ist es erfahrungsgemäß nur eine Frage der Zeit, bis der Mitarbeiter eine Gehaltserhöhung fordert.

 

Kostenbeispiel eines internen Datenschutzbeauftragten

Position des Mitarbeiters DSB in Vollzeit DSB in Teilzeit
Zeitaufwand 100 % 20 %
Jahresgehalt 36.000 € 36.000 €
Gehalt als DSB (davon) 36.000 € 7.200 €
20% Arbeitgeberkosten 7.200 € 1.440
Aus- und Weiterbildung 3.000 € 3.000
Reisekosten und Spesen 1.000 € 1.000
Sonstige Kosten 1.500 € 1.500
Gesamtkosten pro Jahr: 48.700 14.140

Die Kosten eines externen Datenschutzbeauftragten sind vertraglich geregelt. Leistungen werden auf Basis der vereinbarten Konditionen abgerechnet. Insgesamt lassen sich die Kosten in zwei Bereiche untergliedern.

  • Zunächst fallen Kosten für die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an. Hier kann der Leistungsbedarf je nach Unternehmen sehr verschieden bemessen sein. Die Abrechnung erfolgt überwiegend
    auf Stundenbasis.
  • Ist das Datenschutzniveau erreicht, übt der externe Datenschutzbeauftragte fortan seine Kontrollfunktion aus und steht zudem als Ansprechpartner zur Verfügung. Außerdem wird die Haftungsübernahme gewährleistet und je nach Anbieter ein Gütesiegel verfügbar
    gemacht. Die Abrechnung erfolgt monatsbezogen auf Basis der erbrachten Einzelleistungen.

Bei der Wahl eines Anbieters, der den externen Datenschutzbeauftragten bestellt, sollte keinesfalls nur auf die Kosten geachtet werden.

 

 Folgende Punkte sollten berücksichtigt werden:

  • Qualität und Umfang der Aus- und Weiterbildung
  • Einbindung und Unterstützung von Mitarbeitern
  • Art und Umfang des Versicherungsschutzes
  • Integration in Datenschutz-Netzwerke
  • Klima der Geschäftsbeziehung

 

Hinweise zur Entscheidungsfindung

Die Bestellung eines internen Datenschutzbeauftragten ist kostspieliger, als in den meisten Fällen zunächst vermutet. Insbesondere die Ausbildung des Mitarbeiters sowie die Einschränkungen bei dessen Haupttätigkeit sind als Kostenfaktoren nicht außer Acht zu lassen.

Aus finanzieller Sicht sind viele Unternehmen besser damit beraten, einen externen Datenschutzbeauftragten zu bestellen. Zumal dieser erfahrungsgemäß schnellere Ergebnisse liefert und außerdem bei Unzufriedenheit leichter austauschbar ist.

Unsere Datenschutzberatung beginnt mit der Erfassung, Analyse und Bewertung aller datenschutzrelevanten Prozesse in Ihrer Unternehmung.

Betrugsmasche – Falsche Datenschutzbehöre möchte ihr Geld

Achtung: Aktuell wird leider auch viel Unfug mit dem Thema DSGVO betrieben.

Eine aktuelle Bergungsversuchsmasche ist es Firmen anzuschreiben und sich als Datenschutzbehörde auszugeben und um eine Auskunft zu beten.

Füllen sie das Schreiben aus, erhalten sie im Grunde keinerlei Leistungen, verpflichten sich aber zu einer jährlichen Zahlung von 500 € verpflichtet – darin sind keine Leistungen enthalten, außer das ihr Unternehmen in irgendeiner einer Liste geführt wird.

Das bringt ihnen nichts und ist eine reiner Betrugsversuch. Bitte prüfen sie und lesen sie ihre Schreiben ausführlich

Im Zweifel fragen sie einfach ihren Datenschutzbeauftragten.

Details:

Die DSGVO wird als Vorwand genutzt, um ungerechtfertigte Zahlungen zu ergaunern. Die DSGVO verunsichert immer noch etliche Führungskräfte. Das versuchen sich die Gauner zu nutze zu machen.

Ein Schreiben, das von einer Datenschutzbehörde stammt, kann so schon große Nervosität verursachen. Betrüger sind sich dieser Tatsache bewusst und haben kürzlich eine Telefax-Masche gestartet. 

Die Betrugsmasche beginnt mit einem Fax (in Zukunft könnte dies auch eine E-Mail oder ein Brief sein). In dem Anschreiben geben sich die Betrüger als Datenschutzauskunft-Zentrale (DAZ) aus.

Neben einem Anschreiben umfasst das Fax ein Formular, das innerhalb einer Woche ausgefüllt und zurückgesendet werden soll. Laut Anschreiben besteht eine Verpflichtung das Formular auszufüllen, um der „gesetzlichen Pflicht zur Umsetzung des Datenschutzes“ nach DSGVO nachzukommen.
HINWEIS: Dem ist natürlich nicht so!

Die Machart erinnert an ein Schreiben, das von einer Behörde stammt. Eine  Datenschutzauskunft-Zentrale existiert jedoch nicht.
HINWEIS: Ob das Formular „gebührenfrei“ zurückgesendet wird, ist ebenfalls mit Vorsicht zu genießen. Diese Aussage bezieht sich nämlich nur auf das Versenden des Faxes an die kostenlose 0800er Nummer.

Tatsächlich soll der Empfänger einen Vertrag abschließen, dessen Details dem Kleingedruckten zu entnehmen sind. Mit dem Vertrag verpflichtet sich Unternehmen dann über einen Zeitraum von drei Jahren  jährlich 500 Euro zzgl. Umsatzsteuer zu zahlen.

Als Gegenleistung soll der Empfänger eine Sendung, die Informationsmaterialien zur DSGVO einschließlich Anleitungen und Mustern umfasst, erhalten.

 Das Fax lockt den Empfänger in eine Abo-Falle.

Als Empfänger sollten sie das Formular auf gar keinen Fall ausfüllen und zurücksenden. Es droht unnötiger kostspieliger Ärger. Mit Konsequenzen, weil das Formular nicht zurückgesendet wird, ist nicht zu rechnen. Wie bereits erwähnt: eine solche Behörde existiert nicht.

Generell raten wir nicht mit den Betrügern zu kommunizieren. Ähnliche Trittbrettfahrer  mit ähnlichen Schreiben per E-Mail oder Briefpost sind zu erwarten.

Im Zweifelsfall online recherchiert: existiert der angegebene Absender, stammt  das Schreiben tatsächlich von ihm?

Wer das ausgefüllte Formular zurückgesendet hat, muss mit einer eingehenden Zahlungsaufforderung rechnen. Wird nicht gezahlt, könnten Drohungen, wie z.B. eine Meldung bei Auskunfteien (Creditreform, Schufa etc.) oder gar Inkasso-Schreiben, folgen.

Eine rechtliche Beratung um den Vertragsschluss zu widerrufen und anzufechten könnte Hilfreich sein, hierdurch sind jedoch Kosten zu erwarten.

 

Hinweis: Nicht zahlen sondern gleich anfechten „widerrufen“.

Dazu auch ein Hinweis vom Rechtsanwalt Schwartmann:

https://www.rechtsanwalt-schwartmann.de/warnung-vor-datenschutzauskunft-zentrale/)

DSGVO – Abmahnungen – möglich, aber nur halb so schlimm

Landgericht: Verstöße gegen die DSGVO grundsätzlich abmahnbar

Quelle: https://www.heise.de/newsticker/meldung/Landgericht-Verstoesse-gegen-die-DSGVO-grundsaetzlich-abmahnbar-4176595.html

 

Die vielfach vor Inkrafttreten der DSGVO (Datenschutzgrundverordnung) am 25. Mai 2018 befürchteten Abmahnungen sind bislang weitestgehend ausgeblieben. Zwar gab es vereinzelt solche Anwaltsschreiben, die prophezeite massenhafte Welle blieb jedoch zumindest bislang aus. Dies lag auch daran, dass es eine gewisse Rechtsunsicherheit gab, ob Datenschutzvergehen tatsächlich auch als Verstöße gegen das Wettbewerbsrecht von Mitbewerbern kostenpflichtig beanstandet werden dürfen.

Datenschutzverstoß abmahnbar?

Neu befeuert wird diese juristische Diskussion jetzt durch einen Beschluss des Landgerichts Würzburg vom 13. September 2018 (Az. 11 O 1741/18 UWG). Umstritten ist dabei die Frage, ob die Regelungen der DSGVO unter die Vorschrift des Paragrafen 3a des Gesetzes gegen den unlauteren Wettbewerb (UWG) fallen können. Dies ist der Fall, wenn es sich bei den Datenschutzvorgaben um Regeln handelt, die „auch dazu bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln“. Weiterhin muss ein Verstoß gegen die Vorgaben geeignet sein, die Interessen von Verbrauchern oder Mitbewerbern „spürbar zu beeinträchtigen“.

Diese Frage hat das Landgericht Würzburg in seiner Entscheidung nun erstmals explizit für die DSGVO bejaht. Ausgangspunkt des Verfahrens war die Abmahnung eines Anwalts durch einen Kollegen. Der Abgemahnte hatte auf seiner Website eine Datenschutzerklärung bereitgehalten, die lediglich sieben Zeilen umfasste. Hierin sah das Landgericht einen klaren Verstoß, da dort unter anderem Angaben zu dem Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten oder der zuständigen Aufsichtsbehörde fehlten.

inRead invented by Teads

Das Gericht geht davon aus, dass es sich bei den Vorschriften, gegen die hier verstoßen wurde um Verstöße gegen das Wettbewerbsrecht handele, die somit von einem anderen Rechtsanwalt als Wettbewerber abgemahnt werden können. Weiterhin hält das Gericht dem abgemahnten Juristen vor, dass dieser „jedenfalls über ein Kontaktformular Daten erheben kann“, so dass „zwingend auch eine Verschlüsselung der Homepage erforderlich ist, die hier fehlt“.

Weitere Schritte unklar

Bemerkenswert an der Entscheidung ist der vergleichsweise niedrige Streitwert von 2000 Euro. Aus diesem Wert berechnen sich die Gebühren, die Anwälte und das Gericht für die jeweilige Angelegenheit ansetzen können. Bei der Entscheidung des Gerichts handelt es sich allerdings nur um einen Beschluss im Rahmen eines juristischen Eilverfahrens, bei dem es keine mündliche Verhandlung gegeben hat. Ob der Abgemahnte gegen den Beschluss vorgehen wird, ist noch nicht bekannt. (Joerg Heidrich) / (mho)

Sofortmaßnahmen zur Umsetzung der DSGVO

Sofortmaßnahmen zur Umsetzung der DSGVO

 

Zweck der DSGVO ist es vor allem, mehr Transparenz über Datenverarbeitungen gegenüber dem Betroffenen zu schaffen und dessen Rechte (Auskunft über gespeicherte Daten, Berichtigung oder Löschen von Daten) zu stärken. Gegenüber der Landesdatenschutzaufsicht muss das Unternehmen nachweisen, dass es aktiv Maßnahmen zur Einhaltung dieser Prinzipien und zur Sicherung der Datenverarbeitung umsetzt.

 

  •  Erstellung eines Verarbeitungsverzeichnis mit folgenden Informationen :
    • Den Zweck der Verarbeitung
    • die Kategorien der betroffenen Personen
    • die Kategorien der personenbezogenen Daten
    • die Kategorien von Empfängern
    • gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland
    • die vorgesehene Speicherdauer
    • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung

(siehe Bayrisches Landesamt für Datenschutzaufsicht)

 

  • Die Datenschutzerklärung muss überarbeitet werden

Die Datenschutzerklärung muss überarbeitet werden und um die Informationspflichten aus Artikel 13, 14 DSGVO ergänzt werden. Überwiegend handelt es sich um Informationen, die eine vollständige und ausführliche Datenschutzerklärung bisher auch enthalten hat. Neu ist anzugeben: die Rechtsgrundlagen zur vorgesehenen Speicherdauer. der
(siehe Datenverarbeitung und Hinweise  der Datenschutz Sachsen-Anhalt)

 

  • Auftragsdatenverarbeitung

Daten, die durch einen Dienstleister im Auftrag des Unternehmens verarbeitet (Beispiele: Daten liegen in der Cloud, Newsletter-Versand über Agentur, Betreuung der Webseite), ist ein entsprechender Vertrag zur Auftragsverarbeitung mit dem Dienstleister zu schließen.

 

  • Einwilligungen

Daten die aufgrund der Einwilligung der Betroffenen verarbeitet werden sind zu überprüfen. Entspricht diese Einwilligung den Anforderungen der DSGVO, das heißt, ist der Zweck zur Datenverarbeitung beschrieben und ist ein Hinweis auf die Freiwilligkeit und jederzeitige Widerrufbarkeit vorhanden?
Andernfalls müssen die Einwilligungen neu eingeholt werden.

 

  • IT-Sicherheit

Eine entsprechend zeitgemäße und Unternehmensangepasste IT-Sicherheit ist aufzubauen

 

  • Schnelle Reaktionszeiten

Schnelle Reaktionsmechanismen zur Meldung von Datenverstößen an die Aufsicht sind zu schaffen
(künftig sind Datenschutzverletzungen binnen 72 Stunden zu melden)

 

  • Betroffenenrechte müssten berücksichtigt werden

Ein Prozess zur Beantwortung von Betroffenenrechten ist einrichten
(das sind die Rechte auf Auskunft, Berichtigung, Einschränkung oder Löschen von Daten)  

 

  • Betriebsvereinbarungen sind ggf. anzupassen.

 

  • Risikobewertung der Verfahren

 

  • Sensibilisierung der MitarbeiterInnen (Schulungen)

 

Die Datenschutz-Grundverordnung (DSGVO) – Anforderungen an Technik und Sicherheit der Verarbeitung

Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) 

URL: https://www.datenschutz-bayern.de/datenschutzreform2018/technik_und_sicherheit.html

 

  • chätzung“,
  • Art. 36 DSGVO „Vorherige Konsultation“.

2. Pflichten des Verantwortlichen

Wie schon in Kapitel IV.1 des Überblicks zur Datenschutz-Grundverordnung dargestellt, richten sich die Regelungen der Datenschutz-Grundverordnung in erster Linie an den Verantwortlichen (siehe Art. 4 Nr. 7 DSGVO). Im vorliegenden Zusammenhang umfasst dies nach Art. 24 und Art. 32 DSGVO insbesondere die Pflicht, geeignete technische und organisatorische Maßnahmen einzusetzen, um zum einen sicherzustellen, dass eine Verarbeitung personenbezogener Daten mit den Vorgaben der Datenschutz-Grundverordnung in Einklang steht, und um zum anderen ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten.

Die Einhaltung dieser – und weiterer sich aus der Datenschutz-Grundverordnung ergebender – Pflichten ist durch den Verantwortlichen angemessen zu dokumentieren („Rechenschaftspflicht“, vgl. insbesondere Art. 5 Abs. 2, Art. 24 Abs. 1 Satz 1 DSGVO). Maßnahmen nach Art. 24 Abs. 1 Satz 1 DSGVO sind erforderlichenfalls zu überprüfen und zu aktualisieren (Art. 24 Abs. 1 Satz 2 DSGVO).

Hinweis: Gerade im Bereich der Dokumentation und Nachweisbarkeit steigen die Anforderungen durch die Datenschutz-Grundverordnung erheblich. Es sollte daher frühzeitig geprüft werden, welche Maßnahmen im Einzelnen ergriffen werden müssen (etwa Einhaltung von genehmigten Verhaltensregeln oder Zertifizierungsverfahren, vgl. Art. 24 Abs. 3 DSGVO). Es bietet sich an, ein übergreifendes Datenschutzmanagementsystem für alle Verfahren einzurichten.

Darüber hinaus erfordert die Überprüfungs- und Aktualisierungspflicht, auch bestehende Verfahren regelmäßig in Augenschein zu nehmen, insbesondere im Hinblick auf geänderte Rechtsvorschriften, auf wesentliche Verfahrensänderungen (etwa durch Hinzunahme neuer Datenarten), auf veränderte Zuständigkeiten sowie auch auf Weiterentwicklungen hinsichtlich des Standes der Technik (beispielsweise geänderte Anforderungen an Verschlüsselungsverfahren). Die insoweit durchgeführten Prüfungen müssen ebenfalls schriftlich dokumentiert werden.

3. Risikoanalyse

Die Datenschutz-Grundverordnung stellt die Rechte und Freiheiten der betroffenen Personen – also derjenigen, deren Daten verarbeitet werden – in den Vordergrund der (Sicherheits-)Betrachtungen. Art. 24 Abs. 1 Satz 1 und Art. 32 Abs. 1 DSGVO legen jeweils fest, dass die Erforderlichkeit von technischen und organisatorischen Maßnahmen unter Berücksichtigung „der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken (bzw. des Risikos) für die Rechte und Freiheiten natürlicher Personen“ geprüft werden muss.

Ähnlich wie im Bereich der IT-Sicherheit (siehe den „BSI-Grundschutz“) muss daher eine formale Risikoanalyse bei der Einführung eines neuen Verfahrens durchgeführt werden. Die Risikoanalyse ist zudem Grundlage für die Entscheidung, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO nötig ist. Kriterien für die Risikobewertung lassen sich vor allem den Erwägungsgründen 75 und 76, 89 bis 91 sowie 94 der Datenschutz-Grundverordnung entnehmen.

Im Rahmen der Risikoanalyse muss insbesondere abgewogen werden, in welchem Umfang und zu welchem Zweck personenbezogene Daten erhoben werden sollen, welchen Schutzbedarf die Daten haben und welche Gefahren/Risiken (genannt werden in Art. 32 Abs. 2 DSGVO insbesondere Risiken durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang zu personenbezogenen Daten) dies für die betroffenen Personen mit sich bringen kann. Dabei muss sowohl geprüft werden, wie schwerwiegend mögliche Nachteile für die betroffenen Personen sind, als auch, mit welcher Wahrscheinlichkeit diese eintreten können. Anschließend muss geprüft werden, mit welchen Maßnahmen das jeweilige Risiko reduziert werden kann. In diesem Zusammenhang nennt die Datenschutz-Grundverordnung ausdrücklich die Datenminimierung, die Pseudonymisierung sowie den Datenschutz durch Technikgestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default).

Die bayerischen öffentlichen Stellen sollten frühzeitig entscheiden, welche Methodik für die Risikoanalyse verwendet wird und durch welche Personen/Bereiche diese zukünftig durchgeführt werden soll.

4. Technische und organisatorische Maßnahmen, Datenschutz durch Technikgestaltung

Eine Auflistung von Datensicherheitsmaßnahmen, wie sie bisher in Art. 7 BayDSG enthalten war („Zehn Gebote“), sieht die Datenschutz-Grundverordnung nicht mehr vor. In Art. 25 und Art. 32 DSGVO werden jedoch einige Maßnahmen und Schutzziele in Bezug auf die Technik und Sicherheit der Datenverarbeitung aufgeführt. Diese beziehen sich teils unmittelbar auf die personenbezogenen Daten, teils aber auch auf die Systeme und Dienste, die im Zusammenhang mit der Datenverarbeitung eingesetzt werden (vgl. insbesondere Art. 32 Abs. 1 DSGVO).

Auch wenn hier teilweise neue Begrifflichkeiten und Systematiken verwendet werden, finden sich doch letztlich alle bisher schon aus dem Bayerischen Datenschutzgesetz abgeleiteten Sicherheitsanforderungen auch in der Datenschutz-Grundverordnung wieder:

  • Vertraulichkeit: Schutz vor unbefugter Kenntnisnahme der Daten;
  • Integrität: Gewährleistung der Echtheit, Vollständigkeit, Zurechenbarkeit, Urheberschaft und (Rechts-)Gültigkeit der Daten;
  • Verfügbarkeit: zeitgerechte Bereitstellung von Daten, Möglichkeit zur ordnungsgemäßen Verarbeitung;
  • Belastbarkeit („Resilience“): Dies ist ein neuer Begriff, der bisher im Datenschutzbereich nicht verwendet wurde. Im IT-Bereich ist mit „Resilience“ üblicherweise eine gewisse Stabilität gegenüber Ausfällen oder Angriffen – wie etwa „Denial of Service“-Angriffen – gemeint. Die Abgrenzung zur Verfügbarkeit ist jedoch nicht eindeutig;
  • Wiederherstellbarkeit: Dieser Begriff wurde bisher ebenfalls nicht als eigenständiges Schutzziel verwendet, da auch er dem Begriff der Verfügbarkeit zugeordnet werden könnte. Hierunter fallen Notfallkonzepte für Rechenzentren, um nach einem Ausfall oder Angriff schnell wieder betriebsbereit zu sein;
  • Data protection by design/Datenschutz durch Technikgestaltung: Fragen des Datenschutzes müssen zukünftig bereits bei der Konzipierung von Verfahren und Produkten betrachtet werden. Dies betrifft etwa die Punkte Datenminimierung (Pflichtfelder), Pseudonymisierung, Möglichkeiten zur Datenlöschung, sichere Verschlüsselung und Berechtigungskonzept;
  • Data protection by default/datenschutzfreundliche Voreinstellungen: Die Voreinstellungen von Produkten und Verfahren sollen so gestaltet sein, dass sie die Grundprinzipien des Datenschutzes und der IT-Sicherheit von vornherein berücksichtigen (Beispiele: keine Standard-Passwörter, Verschlüsselung aktiviert, Beschränkung der Berechtigungen von Nutzenden, Ortungsdienste ausgeschaltet). Dieser Aspekt sollte zukünftig insbesondere bei der Beschaffung von Produkten berücksichtigt werden;
  • Pseudonymisierung, Verschlüsselung: Diese beiden Maßnahmen dienen den Zielen der Vertraulichkeit und Integrität.

Bei der Auswahl der technischen und organisatorischen Maßnahmen ist gemäß Art. 25 DSGVO der „Stand der Technik“ zu beachten, der jedoch gesetzlich nicht näher definiert wird. Wie bisher auch, ist es daher sinnvoll, sich an öffentlich zugänglichen Standards zu orientieren, wie etwa an den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu Schlüssellängen, Cipher-Suites oder zur WLAN-Konfiguration.

Für die Prüfung, ob eine konkrete technische und organisatorische Maßnahme erforderlich ist, müssen nach wie vor die Implementierungskosten mit den Ergebnissen der Risikoanalyse abgewogen werden. Zudem müssen der Schutzbedarf der Daten und die Ergebnisse der Risikoanalyse betrachtet werden. Je sensibler die Daten (siehe etwa besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO) und je höher die Risiken für die betroffenen Personen sind, desto umfassendere Maßnahmen sind erforderlich.

Hinweis: Die tatsächlich von bayerischen öffentlichen Stellen zu ergreifenden technischen und organisatorischen Maßnahmen zur Absicherung von Verfahren ändern sich durch die Datenschutz-Grundverordnung nicht zwangsläufig, auch wenn hier teilweise andere Begrifflichkeiten und Schutzziele verwendet werden. Allerdings steigt der Aufwand hinsichtlich der Vorabprüfung und Dokumentation von Maßnahmen in der Regel deutlich an. Es wird stets ein Datenschutzkonzept erforderlich sein, das die Risikoanalyse, die ergriffenen Maßnahmen und die regelmäßigen Prüfungen umfasst.

5. Handlungsempfehlungen

Nach allgemeiner Auffassung werden die Anforderungen der Datenschutz-Grundverordnung an Technik und Sicherheit nicht nur an neu zu entwickelnde Verarbeitungen, sondern auch an bereits bestehende Verarbeitungen zu stellen sein. Hinsichtlich des vorgeschriebenen Überprüfungsturnus wird derzeit voraussichtlich von einem Zwei- bis Drei-Jahres-Rhythmus ausgegangen.

Es wird daher empfohlen, frühzeitig mit der Überprüfung bestehender Verarbeitungen hinsichtlich ihrer Konformität mit den technischen und organisatorischen Vorgaben der Datenschutz-Grundverordnung zu beginnen, diese geeignet zu dokumentieren und ein Datenschutzmanagementsystem zu etablieren.

Bereits vor Inkrafttreten der Datenschutz-Grundverordnung sollten sich die bayerischen öffentlichen Stellen insbesondere einen Überblick darüber verschaffen, welche risikoverringernden Maßnahmen sie bereits getroffen haben und was noch zu tun ist, um auch den künftigen Vorgaben zu genügen.

 

Ab wann benötigt ein Unternehmen einen Datenschutzbeauftragten?

Ab wann benötigt ein Unternehmen einen Datenschutzbeauftragten?

 

  • bei Unternehmen, deren Kerntätigkeit t in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht

 

  • wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (z. B. regelmäßige Kommunikation per E-Mail) oder

 

  • wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen. Das bedeutet, wenn besonders sensible Daten verarbeitet werden, wie zum Beispiel ethische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung usw. – dann hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen. Das gilt nicht bei einem Versicherungsvermittler, der auch Gesundheitsdaten erhebt, da dies nicht seine Kerntätigkeit ist,