Datenschutz Folgeabschätzung

siehe Artikel 35 DSGVO – Datenschutz-Folgeabschätzung

Definition Risiko

In der Risikodefinition orientiere ich mich am gängigen Standard, der auch in der Norm ISO 31000 zu finden ist. Ein Risiko ist definiert:

Risiko = Schaden x Eintrittswahrscheinlichkeit

Wann müssen Unternehmen eine Datenschutz-Folgeabschätzung erstellen?

Verpflichtend wird die Durchführung einer Datenschutz-Folgenabschätzung nach DSGVO, wenn die Verarbeitung der personenbezogenen Daten voraussichtlich ein besonderes Risiko für den Betroffenen birgt. Das besondere Risiko kann sich ergeben, wenn für die Verarbeitungsvorgänge neue Technologien eingesetzt werden, oder aufgrund der Art, des Umfangs und der Zwecke der Verarbeitung.

Hinweis: Ändern sich im laufenden Betrieb Umstände, die der Datenschutz-Folgeabschätzung zugrunde lagen, v. a. hinsichtlich der Risikofaktoren, ist die Verarbeitung zu überprüfen.

Beispiele für ein besonderes Risiko

  • Ein besonderes Risiko ist z. B. gegeben, wenn die Verarbeitung der personenbezogenen Daten dazu bestimmt ist, die Persönlichkeit Betroffener (Fähigkeiten, Leistung, Verhalten) zu bewerten, und diese Bewertung als Grundlage für Entscheidungen (v. a. bei Scoringverfahren) dienen soll.
  • Auch die systematisch umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche stellt ein besonderes Risiko dar.

Um Unternehmen die Einschätzung  zu vereinfachen, wann eine Datenschutz-Folgeabschätzung verpflichtend durchzuführen ist, sieht Art. 35 Abs. 4 DSGVO vor, dass die Datenschutzaufsichtsbehörden eine Positivliste von solchen Verarbeitungsvorgängen erstellen, die eine Datenschutz-Folgeabschätzung verlangen.

Datenschutz-Folgeabschätzung

Dokumentiertes Vorgehen bei der Folgeabschätzung zur Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Die Mindestanforderungen ergeben sich aus Artikel 35 Datenschutz-Folgeabschätzung Absatz 7 der DSGVO:

  • Die Beschreibung der geplanten Verarbeitungsvorgängen und der Zwecke wird systematisch erstellt.
  • Auf Basis der systematischen Beschreibung werden die geplanten Verarbeitungen mit den damit verfolgten Zwecken abgeglichen.
  • Für die von der Datenverarbeitung betroffene Person ist eine Risikobewertung vorzunehmen.
  • Ausgehend von den ermittelten Risiken werden geplante Abhilfemaßnahmen dargestellt. Diese beinhalten Garantien, Sicherheitsvorkehrungen und entsprechende Verfahren.

Zu prüfen:

Wurde eine ausreichende Interessenabwägung vorgenommen und der Verhältnismäßigkeitsgrundsatz in Bezug auf den Zweck gewahrt?

Bestehen eigene berechtigte Interessen an der Verarbeitung?

  • Ja / Nein
  • Begründung
  • Geplante Maßnahmen

Überwiegen entgegenstehende Interessen an der Verarbeitung?

  • Ja / Nein
  • Begründung
  • Geplante Maßnahmen

Ist die Verarbeitung zur Zweckerreichung notwendig?

  • Ja / Nein
  • Begründung
  • Geplante Maßnahmen

Ist die Verarbeitung zur Zweckerreichung verhältnismäßig (hinreichende Abwägung der Interessen im Hinblick auf kostengünstige und effektive Verfahrensdurchführung vs. Vertrauensschutz)?

  • Ja / Nein
  • Begründung
  • Geplante Maßnahmen

Ergibt sich aus der Datenschutz-Folgeabschätzung trotz der geplanten Maßnahmen zur Abhilfe ein Restrisiko bei den Verarbeitungsvorgängen ist der Verantwortliche verpflichtet, vor Aufnahme der Verarbeitung die zuständige Datenschutzaufsichtsbehörde zur konsultieren (sog. Konsultationspflicht nach Art. 36 DSGVO.

Die Aufsichtsbehörde muss dann innerhalb von acht Wochen (der Zeitraum kann auf bis zu 14 Wochen verlängert werden) eine schriftliche Empfehlung für das weitere Vorgehen abgeben.

Der Datenschutzbeauftragte kann die Datenschutz-Folgeabschätzung delegieren, ist aber nur beratend Tätig, dir Durchführung sollte aber von den fachlich internen Verantwortlichen übernommen werden.

Liste von Verarbeitungsvorgängen die eine Datenschutz-Folgeabschtzung notwendig machen

Beispielliste der Aufsichtsbehörde Badenwürtenberg (vom 19.02.2020)

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf

C Liste nach Art. 35 Abs. 4 DS-GVO
Maßgebliche Kriterien zur Einordnung von Verarbeitungsvorgängen sind in der Leitlinie in WP 248 der
Art. 29 Gruppe ab Seite 10 ff. wie folgt zu entnehmen:
1. Bewerten oder Einstufen (Scoring)
(“Evaluation or scoring”)
2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich
bedeutsamer Wirkung
(“Automated-decision making with legal or similar significant effect”)
3. Systematische Überwachung
(“Systematic monitoring”)
4. Vertrauliche oder höchst persönliche Daten
(“Sensitive data or data of a highly personal nature”)
5. Datenverarbeitung in großem Umfang
(“Data processed on a large scale”)
6. Abgleichen oder Zusammenführen von Datensätzen
(“Matching or combining datasets”)
7. Daten zu schutzbedürftigen Betroffenen
(“Data concerning vulnerable data subjects”)
8. Innovative Nutzung oder Anwendung neuer technologischer oder
organisatorischer Lösungen
(“Innovative use or applying new technological or organisational solutions“)
9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer
Dienstleistung bzw. Durchführung eines Vertrags gehindert
(“When the processing in itself prevents data subjects from exercising a right or using
a service or a contract”)
Erfüllt ein Verarbeitungsvorgang zwei oder mehr dieser Kriterien, so ist vielfach ein hohes Risiko gegeben und eine DSFA durch den Verantwortlichen durchzuführen. In wenigen Einzelfällen mag es jedoch
auch vorkommen, dass nur eines der genannten Kriterien erfüllt wird und dennoch auf Grund eines
hohen Risikos des Verarbeitungsvorgangs eine DSFA notwendig wird.

1.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Umfangreiche Verarbeitung von Daten, die dem Sozial-,
einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9
Abs. 1 und 10 DS-GVO handelt

Typische Einsatzfelder

  • Betrieb eines Insolvenzverzeichnisses
  • Sozialleistungsträger
  • Große Anwaltssozietät

Beispiele

Ein Unternehmen bietet ein umfassendes Verzeichnis über Privatinsolvenzen an

2.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Umfangreiche Verarbeitung von Daten über den Aufenthalt von Personen

Typische Einsatzfelder

  • Fahrzeugdatenverarbeitung –
    Car Sharing / Mobilitätsdienste
  • Fahrzeugdatenverarbeitung –
    Zentralisierte Verarbeitung
    der Messwerte oder Bilderzeugnisse von Umgebungssensoren
  • Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.
  • Verkehrsstromanalyse auf
    der Grundlage von Standortdaten des öffentlic

Beispiele

Ein Unternehmen bietet einen
Car-Sharing-Dienst oder andere
Mobilitätsdienstleistungen an und
verarbeitet hierfür insbesondere
umfangreich Positions- und Abrechnungsdaten.

Ein Unternehmen erhebt Daten,
die Fahrzeuge über ihre Umgebung generieren und ermittelt
daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren.

Ein Unternehmen verarbeitet die
GPS- und WLAN-Daten von Passanten und Kunden, um die Laufwege und das Einkaufsverhalten
nachverfolgen zu können.

3.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Zusammenführung von personenbezogenen Daten aus
verschiedenen Quellen und Weiterverarbeitung der so
zusammengeführten Daten, sofern
• die Zusammenführung oder Weiterverarbeitung in
großem Umfang vorgenommen werden,
• für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden,
• die Anwendung von Algorithmen einschließen, die
für die Betroffenen nicht nachvollziehbar sind, und
• der Erzeugung von Datengrundlagen dienen, die
dazu genutzt werden können, Entscheidungen zu
treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können.

Typische Einsatzfelder

  • Fraud-Prevention-Systeme
  • Scoring durch Auskunfteien,
    Banken oder Versicherunge

Beispiele

Zur Prävention von Betrugsfällen
verarbeitet der Betreiber eines
Online-Shops umfassende Datenmengen. Das Ergebnis der
Prüfung ist ein Risikowert, der
darüber entscheidet, ob einem
Käufer der Rechnungskauf als
Zahlungsart angeboten wird oder
nicht.

Eine Auskunftei führt ein Scoring
im Hinblick auf die Vertrauenswürdigkeit von Personen durch.

Eine Bank führt Scoring durch, um
das Ausfallrisiko der Rückzahlungen von Personen zu bestimmen. Eine Versicherung führt ein Scoring durch, um das Risiko einer Person im Hinblick auf bestimmte Eigenschaften oder Aktivitäten der Person zur Bestimmung der Höhe
einer Versicherung

4.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Mobile und für die Betroffenen intransparente optoelektronische Erfassung öffentlicher Bereiche

Typische Einsatzfelder

  • Fahrzeugdatenverarbeitung –
    Umgebungssensoren

Beispiele

Ein Unternehmen erhebt Daten,
die Fahrzeuge über ihre Umgebung generieren und ermittelt
daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren.

5.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen
entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen

Typische Einsatzfelder

  • Betrieb von Bewertungsportalen
  • Inkassodienstleistungen –
  • Forderungsmanagement
    Inkassodien

Beispiele

Ein Online-Portal bietet Nutzern
die Möglichkeit an, Leistungen
von Selbstständigen öffentlich
feingranular zu bewerten. OnlineBewertungsportal bspw. für Ärzte,
Selbstständige oder Lehrer.

Ein Unternehmen verarbeitet für
seine Kunden in großem Umfang
personenbezogene Daten von
Schuldnern, insbesondere Vertragsdaten, Rechnungsdaten und Daten über Vermögensverhältnisse von Schuldnern zur Geltendmachung von Forderungen. Ggf. werden Daten an Auskunfteien
übermittelt.

Ein Unternehmen lässt sich in
großem Umfang Forderungen
übertragen um diese auf eigenes
Risiko geltend zu machen. Es verbarbeitet hierfür insbesondere Vertragsdaten, Rechnungsdaten, Scoringdaten und Informationen über Vermögensverhältnisse von Schuldnern. Ggf. werden Daten an Auskunfteien übermittelt.

6.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass
sich Rechtsfolgen für die Betroffenen ergeben, oder diese in andere Weise erheblich beeinträchtigen

Typische Einsatzfelder

  • Einsatz von Data-LossPrevention Systemen, die systematische Profile der Mitarbeiter erzeugen
  • Geolokalisierung von Beschäftigten

Beispiele

Zentrale Aufzeichnung des Internetverlaufs und der Aktivitäten am
Arbeitsplatz mit dem Ziel, von
Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu
erkennen.

Ein Unternehmen lässt Bewegungsprofile von Beschäftigen erstellen (per RFID, Handy-Ortung oder GPS) zur Sicherung des Personals (Wachpersonal, Feuerwehrleute), zum Schutz von wertvollem Eigentum des Arbeitgebers oder eines Dritten (LKW mit Ladung,  Geldtransport) oder zur Koordination von Arbeitseinsätzen im Außendienst.

7.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen

Typische Einsatzfelder

  • Betrieb von Dating- und Kontaktportalen
  • Betrieb von großen Sozialen Netzwerken

Beispiele

Ein Webportal erstellt Profile der
Nutzer um möglichst passende
Kontaktvorschläge zu generieren.

8.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Zusammenführung von  personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern
• die Zusammenführung oder Weiterverarbeitung in
großem Umfang vorgenommen werden,
• für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden,
• die Anwendung von Algorithmen einschließen, die für die Betroffenen nicht nachvollziehbar sind, und
• der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein
bestimmte Zwecke dienen

Typische Einsatzfelder

  • Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden

Beispiele

Eine Unternehmen mit umfangreichem Stamm an natürlichen Personen als Kunden, analysiert Daten über das Kaufverhalten der Kunden und die Nutzung der eigenen Webangebote einschließlich des eigenen Webshops, verknüpft mit Bonitätsdaten von dritter Seite und Daten aus der Werbeansprache über soziale Medien einschließlich der vom
Betreiber des sozialen Medium bereitgestellten Daten über die angesprochenen Mitglieder, um Informationen zu gewinnen, die
zur Steigerung des Umsatzes eingesetzt werden können.

9.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der Betroffenen

Typische Einsatzfelder

  • Telefongespräch-Auswertung
    mittels Algorithmen

Beispiele

Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer aus.

10.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der  Betroffenen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des  Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum

Typische Einsatzfelder

  • Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä
  • Verkehrsstromanalyse auf der Grundlage von Standortdaten des  öffentlichen Mobilfunknetzes

Beispiele

Ein Unternehmen verarbeitet die GPS- und WLAN-Daten von Passanten und Kunden, um die Laufwege und das Einkaufsverhalten nachverfolgen zu können.

11.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Automatisierte Auswertung von Video- oder AudioAufnahmen zur Bewertung der  Persönlichkeit der Betroffenen

Typische Einsatzfelder

  • Telefongespräch-Auswertung mittels Algorithmen

Beispiele

Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer aus.

12.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die Betroffenen nicht erkennen können

Typische Einsatzfelder

  • Einsatz von RFID/NFC durch Apps oder Karten

Beispiele

Eine Bank setzt die NFCTechnologie bei Geldkarten ein, um den Zahlungsverkehr zu erleichtern.

13.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen

Typische Einsatzfelder

  • Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen,  Preisnachlässen und Rabatten.

Beispiele

Ein Unternehmen verwendet Kundenkarten, welche das Einkaufsverhalten der Kunden erfassen. Als Anreiz zur Verwendung der Kundenkarte erhält der Kunde mit jedem Einkauf Treuepunkte. Mithilfe der gewonnenen Daten erstellt der Anbieter umfassende Kundenprofile.

14.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist – sofern eine nicht einmalige Datenerhebung mittels  Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und  aufbereitet werden.

Typische Einsatzfelder

  • Einsatz von TelemedizinLösungen zur detaillierten Bearbeitung von Krankheitsdaten

Beispiele

Ein Arzt nutzt ein Webportal oder
bietet eine App an, um Patienten
detailliert und systematisch zu
behandeln.

15.

Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist – sofern die Daten mittels Sensoren erhoben, an einer  zentralen Stelle verarbeitet und dazu verwendet werden, die Leistungsfähigkeit des Betroffenen zu bestimmen

Typische Einsatzfelder

  • entrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind

Beispiele

Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder
Smartphones verbaut sind

Hinweise: Weitere Beispiele können Sie der Liste der jeweiligen Länder entnehmen. Jedes Bundesland muss eine ähnliche Liste zur Verfügung stellen.

Zu den Listen der einzelnen Bundesländer:

Baden-Württemberg

Baden-Württemberg stellt eine Liste für den nicht-öffentlichen Bereich zur Verfügung.

Bayern

Auf den Seiten des Bayerischen Landesamts für Datenschutzaufsicht und des Bayerischen Landesbeauftragten für den Datenschutz (öffentlicher Bereich) finden sich zur Zeit keine Angaben. Allerdings war das Bayerischen Landesamts für Datenschutzaufsicht an der Erstellung einer Liste (s.o.) maßgeblich beteiligt.

Berlin

Gleiches gilt für Berlin. Auch hier gibt es noch keine Liste auf der Homepage, aber Berlin war an der Erstellung einer Liste beteiligt.

Brandenburg

Hat eine gemeinsame Liste für den öffentlichen und nichtöffentlichen Bereich.

Bremen

Bremen hat seit dem 01.06.2018 auch eine Liste für den nicht-öffentlichen Bereich auf der Homepage. Vielen Dank an die Leser, die uns mit Ihren Kommentaren auf dem Laufenden halten.

Hamburg

Die Hansestadt hält eine List für den öffentlichen Bereich  sowie eine für den nichtöffentlichen Bereich vor.

Hessen

Auch Hessen hat nun eine gemeinsame Liste für den öffentlichen und den nicht-öffentlichen Bereich veröffentlicht.

Mecklenburg-Vorpommern

Hält eine Liste für den öffentlichen und eine für den nicht-öffentlichen Bereich vor.

Niedersachsen

Niedersachsen hat ebenfalls eine gemeinsame Liste für den öffentlichen und nicht öffentlichen Bereich.

Nordrhein-Westfalen

Nordrhein-Westfalen hält eine Liste für den öffentlichen Bereich sowie eine für den nicht-öffentlichen Bereich (NRW verlinkt die von der DSK veröffentlichte Liste) vor.

Rheinland-Pfalz

Das gleiche Bild zeigt sich im benachbarten Rheinland-Pfalz. Auch hier gibt es eine Liste für den öffentlichen Bereich und eine für den nicht-öffentlichen.

Saarland

Das Saarland verlinkt inzwischen auch die gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich der DSK.

Sachsen

Inzwischen hat auch Sachsen eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich veröffentlicht.

Sachsen-Anhalt

Auch Sachsen-Anhalt hat inzwischen eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich herausgegeben.

Schleswig-Holstein

Schleswig-Holstein hat eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich.

Thüringen

Ebenso Thüringen. Auch hier gibt es eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich.

E-Mail Nutzung sowie Internetnutzung nur zu betrieblichen Zwecken

Ohne Regelung besteht in einem Unternehmen kein privates Nutzungsrecht von E-Mail oder Internet. Dies bedeutet im Umkehrschluss.

Besteht in einem Unternehmen keine Regelung zur E-Mail- bzw. Internetnutzung, wird die private Nutzung von Internet und E-Mail grundsätzlich ausgeschlossen.

II. Rechtlicher Rahmen

1. Grundsatz Soweit der Arbeitgeber Hardware bzw. Software zur Verfügung stellt, dürfen die betrieblichen Internet- und E-Mail-Dienste grundsätzlich nur für die betriebliche Tätigkeit genutzt werden. Eine private Nutzung von Internet und/oder betrieblichem E-Mail-Postfach ist daher nicht erlaubt, es sei denn, der Arbeitgeber hat eine Privatnutzung ausdrücklich z.B. im Arbeitsvertrag oder in einer Betriebsvereinbarung geregelt oder, was überwiegend als möglich angesehen wird, in Kenntnis und Duldung der privaten Nutzung über einen längeren Zeitraum (sog. „betriebliche Übung“) konkludent genehmigt. Dem Arbeitgeber steht es frei, ob er eine Privatnutzung des Internets und/oder des betrieblichen E-Mail-Accounts erlaubt.

Quelle:

https://lfd.niedersachsen.de/startseite/themen/beschaftigtendatenschutz/arbeitnehmer/internet_e_mail/internet-und-e-mail-am-arbeitsplatz-146073.html

Datensicherungskonzept

Datensicherungskonzept – Ein Teil der Umsetzung der DSGVO

Jedes Unternehmen sollte ein Datensicherungskonzept vorhalten. Dies ist ein bestandteil der Anforderungen der DSGVO, dazu hilft es den Unternehmen auch sich über ihre Unternehmensdaten und Bedeutung beuwsst zu werden.

Zu diesen Zweck habe ich einen Fragekatalog erstellt der ihnen dabei helfen soll ihr Datensicherungskonzept zu erstellen.

Zum erstellen eines Datensicherungskonzept hbeantworten sie am besten folgende Fragen.

Hinweis / Disclaimer:

Diese Fragen dienen lediglich als Praxisbeispiel. Wir können hier keine Garantie auf allgemeingültigkeit bezeihungswiese Vollständigkeit übernehmen. Ein Datensicherungskonzept kann sich ja nach Kunde und Anforderungen des Kunden unterscheiden.

1. IT-System

Beschreiben sie die IT-Umgebung des Unternehmens

z. B. Netzwerk-Sicherheit: Firewall und Virenschutz, File-Server mit Windows Berechtigungen, Exchange Server für E-Mail, Warenwirtschaftssystem XYZ aus der Cloud oder OnPremise

2. Datenvolumen

Wir hoch ist das zu sichernde Datenvolumen im Unternhemen?

  • Listen sie die Anwendungen und die jeweilige Datenmenge auf. Gewichtigen sie wie wichtig welche Anwendungsdaten ihnen sind.

3. Änderungsfrequenz der Daten

Wie häufig ändern sich die Daten im Unternehmen?

Welche Daten haben welche Wichtigkeit?

Sind Personenbezogene Daten besonders zu berücksichtigen?

4. Verfügbarkeitsanforderungen

Welchen Verlust hat ihr Unternehmen bei einem Ausfall der Daten (Keine Zugriff auf die Daten möglich).

Wie viele Daten können verloren gehen, was würde ihnen der Verlust kosten?

5. Datensicherung:

Wer ist der/die Verantwortliche für die Datensicherung im Unternehmen?

Wie werden die Daten gesichert?

Wird das Backup verschlüsselt? Wenn ja wie?

Wie wird das Backup aufbewahrt?

Wird auf einer NAS, auf Tapes (Bändern), externe USB-Festplatten. etc. gespeichert?

Welche Mitarbeiter haben Zugriff auf das Backup?

Wie lange dauert es eine Datensicherung zu erstellen?

Wie lange dauert es eine Datensicherung wiederherzustellen?

Wird die Basisfunktionalität regelmäßig überprüft? Wer übernimmt wann diese Aufgabe?

Existiert ein Desaster Recovery Szenario? Gibt es regelmäßige Desaster Recovery Tests? Wann  gab es den letzten?

Wer ist ihr Datenschutzbeauftragter? Haben sie das Datensicherungskonzept mit ihm abgestimmt?

Weitere Links zu diesen Thema finden sie hier:

https://www.brandmauer.de/blog/it-security/so-erstellen-sie-ein-datensicherungskonzept-ein-praxisbeispiel

https://www.datenschutz.org/datensicherung/

Bisher 160.000 Datenschutzverstöße in Europ gemeldet

Seit Einführung der neuen EU-DSGVO im Mai 2018 wurden bsiher mehr als 160.000 Datenschutzverstöße mit einer Schadensgesamthöhe von 114 Millionen Euro verhängt.

Ganz vorne liegt Frankreich, aber auch Deutschland sichert sich in dieser traurigen Liste den 2. Platz. Dabei hätte England der Sieger sein können, denn hier sind noch zwei große Verfahren in der Schwebe.

 

Anbei finden Sie Auszüge aus den Originaltext  von Andreas Wilkens (Heise.de) zu diesen Artikel:

Die bisher höchste verhängte Strafe erhielt Google mit 50 Millionen Euro.

Deutschland befindet sich mit einer Summe von rund 24,6 Millionen Euro, auf Platz 2 und Österreich mit 18,1 Millionen vor Italien mit 11,5 Millionen.

Großbritannien hätte die „Geldrangliste“ anführen können, doch die insgesamt 329 Millionen Euro, die die britische Datenschutzbehördee ICO beabsichtigt zu verhängen – gegen die Hotelkette Marriott sowie gegen British Airways. Allerdings ist hier die Datenerhebung noch nicht abgeschlossen.

Die Anzahl der am meisten gemeldeten Verstöße gegen die DSGVO führt die Niederlande mit 40.647 Fällen an. Deutschland kommt mit 37.636 Meldungen auf den zweiten Platz, darauf folgen Großbritannien mit 22.181 und Irland mit 10.516 Meldungen.

Quelle: Heise

URL: https://www.heise.de/newsticker/meldung/Datenschutzgrundverordnung-Juristen-zaehlen-160-000-Verstoesse-4642385.html

Original Text von Andreas Wilkens

Sicherheit in Unternehmen – Schutz gegen Cyberangriffe

Anbei ein klasse Artikel von Heise.de zum Thema wie sich Mittelständige Firmen am praktischten gegen Hacker-Angriffe schützen sollten.

Quelle: https://www.heise.de/security/solutions/dell/der-beste-schutz-gegen-hacker/?source=nat_teas

Zusammenfassung:

  1. Verfolgen Sie einen proaktiven Ansatz. Ansonsten installieren Mitarbeiter auf eigene Faust irgendeine Sicherheitssoftware, was nicht mehr, sondern eher weniger Sicherheit bringt.
  2. Erstellen Sie eine Datenschutzrichtlinie, die Ihre Mitarbeiter bei ihren Bemühungen unterstützt und nicht mit unrealistischen Maßnahmen deren Arbeit behindert.
  3. Schulen Sie die Mitarbeiter in Sachen Cyber-Sicherheit. Dazu gehören Informationen zu sicheren Passwörtern, zum Verhalten im Internet oder über den Schutz von Kundeninformationen und Unternehmensdaten.
  4. Halten Sie die IT-Systeme auf dem neuesten Stand mit der neuesten Sicherheitssoftware und regelmäßigen Updates.
  5. Sichern Sie Netzwerk- und Internetverbindungen, etwa durch eine Firewall – auch wenn Mitarbeiter zu Hause arbeiten.
  6. Erstellen Sie einen Aktionsplan für mobile Geräte. Private Geräte von Mitarbeitern sind eine große Herausforderung für Sicherheit und Management. Sie müssen passwortgeschützt, verschlüsselt und mit Sicherheitssoftware ausgestattet werden. Richten Sie Meldeverfahren für verlorengegangene oder gestohlene Geräte ein.
  7. Richten Sie ein Identitäts- und Zugriffsmanagement ein. Mitarbeiter müssen sich identifizieren, bevor sie Zugriff auf Informationen bekommen – und dabei starke Passwörter verwenden.

Bußgelder Datenschutz

Mögliche Bußgelder

Grundlage ist der Artikel 83 DSGVO

https://dsgvo-gesetz.de/art-83-dsgvo/

Übersicht zur Datenschutzverletzung

  • Die Sanktionen, die ein Verstoß gegen den Datenschutz nach sich ziehen kann, richten sich maßgeblich nach den Angaben im Bundesdatenschutzgesetz (BDSG). Ab Mai 2018 sind zudem für alle EU-Mitgliedstaaten die Strafen verbindlich, die die Datenschutz-Grundverordnung vorsieht.
  • Die Datenschutz-Grundverordnung sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor.
  • Ein Verstoß gegen das Bundesdatenschutzgesetz kann derzeit noch zu einem Bußgeld bis 300.000 Euro führen oder gar zu einer bis zu zweijährigen Freiheitsstrafe. Die hierin enthaltenen Sanktionen werden mit der Neuerung auf wenige Delikte eingeschränkt.

Ein Verstoß gegen den Datenschutz kostet: Schadensersatz-Ansprüche, Geldbußen, Geldstrafen oder gar Freiheitsstrafen können die Folge sein.

Quelle: https://www.datenschutz.org/verstoss/

Bei den Ordnungswidrigkeiten wird zwischen zwei Bußgeldstufen differenziert:

  • bis zu 50.000 Euro Bußgeld kann z. B. ein folgender Verstoß gegen den Datenschutz nach sich ziehen: Verstoß gegen die Meldepflicht, die Auskunftspflicht, die Zweckbindung oder unzulässige Erhebung von personenbezogenen Daten entgegen den Willen des Betroffenen.
  • bis zu 300.000 Euro Bußgeld sieht das BDSG z. B. in den folgenden Fällen vor: unbefugte Datenerhebung von nicht allgemein zugänglichen personenbezogenen Daten, Erschleichung einer Datenübermittlung, Nutzung personenbezogener Daten zu Werbezwecken trotz Widerruf des Betroffenen, Verstoß gegen die Informationspflicht bei Kenntnis unrechtmäßiger Datenerhebung.
  • Ein vorsätzlicher Verstoß nach § 43 Absatz 2 BDSG hingegen kann strafrechtlich relevant sein, wenn dieser in der Absicht der Bereicherung oder gegen Entgelt erfolgte: Dann kann der Verstoß gegen Datenschutz eine empfindliche Strafe nach sich ziehen: eine Geldstrafe oder gar eine Freiheitsstrafe bis zu zwei Jahren.

Die DSGVO Regelt Strafen bis 10. Millionen bzw. 2% vom Unternehmens (Konzern) Umsatzes. In besonders schwierigen Fall verdoppelt sich die maximal mögliche Strafe auf bis zu 20 Millionen Euro bzw. 4% des Unternehmensumsatzes (je Geschäftsjahr).

Straf- und Bußgeldvorschriften

In Ergänzung zu den in Art. 83 DSGVO vorgeschriebenen Sanktionen, welche von den Aufsichtsbehörden bei Verstößen verhängt werden können, werden auch im BDSG-neu Sanktionsvorschriften gemacht. Zum einen macht § 42 Strafvorschriften. Hierzu ist die DSGVO, wie bereits erwähnt, nicht befugt, weshalb dies durch ein nationales Gesetz wie das BDSG-neu erfolgen muss.

Vorgesehen sind zum Beispiel Freiheitsstrafen von bis zu zwei Jahren oder eine Geldstrafe, wenn personenbezogene Daten ohne Berechtigung verarbeitet oder durch unrichtige Angaben erschlichen werden und hierbei die Absicht einer Schädigung oder Bereicherung vorliegt.

Eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe muss befürchten, wer personenbezogene Daten einer großen Zahl von Personen ohne Berechtigung an Dritte übermittelt oder anderweitig zugänglich macht. Ab wann eine solche „große Zahl“ vorliegt, wird allerdings im Gesetzestext nicht konkretisiert, sodass hier Arbeit auf Gerichte zukommt, um eine solche Zahl im Einzelfall festzulegen.

An Bußgeldern, die über diejenigen der DSGVO hinausgehen, werden in § 43 BDSG-neu vor allem diese beiden Fälle reguliert: Bei Verstößen gegen § 30 BDSG-neu, also die Vorschriften zu den Verbraucherkrediten, kann von den Aufsichtsbehörden eine Geldbuße von bis zu 50.000 Euro verhängt werden. Zum anderen wird festgelegt, dass gegen Behörden und andere öffentliche Stellen keine Geldbußen ausgesprochen werden.

Die BDSG-Neu ist kein eigenständiges und umfassendes Gesetz, sondern das Datenschutzrecht, das die EU-DSGVO vorgibt, an den notwendigen Stellen ergänzt und konkretisiert. Daher kann es nur in Verbindung mit der DSGVO betrachtet werden.

Neues Bundesdatenschutzgesetz

Mit Wirksamkeit der Datenschutz-Grundverordnung müssen alle nationalen Gesetze auf die jeweiligen Bestimmungen entsprechend zugeschnitten werden. Obwohl es dabei keiner separaten Übertragung in nationales Recht bedarf, müssen die Einzelgesetze dennoch derart umformuliert werden, dass sie den Bestimmungen in der DSGVO nicht zuwiderlaufen. Sie dürfen Sie lediglich ergänzen.

Im neuen BDSG werden mithin auch die Bußgeld- und Strafvorschriften entsprechend abgewandelt. Ein direkter Bezug zu den betreffenden Passagen der DSGVO wird hergestellt. Die Regelungen sind dann auf insgesamt drei Paragraphen verteilt (§§ 41 bis 43 BDSG). Diese ergänzen dabei nur die DSGVO und sind bezogen auf den Katalog an Verstößen umfassend gekürzt.

Ein Datenschutzverstoß kann auch strafrechtliche Konsequenzen haben.

Bei einem Verstoß gegen den Datenschutz werden die Strafen gemäß (neuem) BDSG zum Teil sogar angehoben:

  1. Die wissentliche, gewerbsmäßige und unberechtigte Weitergabe zahlreicher personenbezogener Daten kann eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe zur Folge haben. Beim Erschleichen von Daten oder unberechtigter und entgeltlicher Datenverarbeitung bleibt der derzeitige Strafrahmen bestehen.
  2. Die Geldbuße bei einem ordnungswidrigen Verstoß wurde auf 50.000 Euro gedeckelt. Betrachtet werden ab Mai 2018 dabei aber nur noch zwei Tatbestände gesondert: der Verstoß gegen das Auskunftsrecht sowie die nicht rechtzeitige Unterrichtung des Betroffenen.

Die Streichung von Delikten aus dem BDSG bedeutet aber nicht, dass ab Wirksamkeit des neuen Entwurfs nur noch diese sanktioniert werden können. Vielmehr verdankt sich dies der Tatsache, dass die meisten anderen zuvor geführten Verstöße nunmehr in die DSGVO aufgenommen wurden. In dieser sind eigens Strafen für einen Verstoß gegen den Datenschutz vorgesehen.

Welcher Verstoß gegen den Datenschutz mit Wirksamkeit der Datenschutz-Grundverordnung sanktioniert wird, ergibt sich aus Artikel 83 DSGVO. Hierin sind zudem Geldbußen bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des weltweiten Unternehmensumsatzes festgelegt. Diese können nur in Ausnahmefällen unterschritten werden (etwa bei natürlichen Personen und einem Verstoß gegen den Datenschutz durch Mitarbeiter).
Strafen vorbeugen:
Durch:

Bestellung eines Datenschutzbeauftragten (Intern oder Extern)

Wann Unternehmen einen Datenschutzbeauftragten benennen müssen, regelt die DSGVO in Art. 37. Die dort genannten Bedingungen sind so gefasst, dass nur wenige Formen der Datenverarbeitung der Pflicht zur Benennung unterliegen.

BDSG-neu: Was enthält das neue Bundesdatenschutzgesetz?

Quelle: Datenschutz.org, letzte Aktualisierung am: 27. Juni 2019

 Übersicht über das BDSG-neu

  • Das neue Bundesdatenschutzgesetz (BDSG-neu) stellt eine Konkretisierung und Ergänzung zur europäischen Datenschutzgrundverordnung (DSGVO) dar.
  • Diese enthält nämlich eine Reihe von sogenannten Öffnungsklauseln, die eine nationale Spezifizierung bestimmter Vorschriften ermöglichen.
  • Die Sonderregelungen betreffen zum Beispiel den Datenschutz im Beschäftigungsverhältnis und die Fälle, in denen eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht.

Neues BDSG: Was hat es damit auf sich?

Seit dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union verbindlich anzuwenden. Gleichzeitig trat auch ein neues Bundesdatenschutzgesetz in Kraft, das sogenannte BDSG-neu, das im Bundesgesetzblatt am 5.7.2017 veröffentlicht wurde.Doch wozu dient ein solches neues Datenschutzgesetz auf nationaler Ebene? Der Hintergrund ist der, dass die DSGVO zwar unmittelbar geltendes Recht ist und keine Umsetzung in nationales Recht benötigt, wie es bei der alten EU-Datenschutzrichtlinie noch der Fall war – auf den ersten Blick scheint das BDSG-neu also überflüssig zu sein.

Allerdings enthält die DSGVO auch zahlreiche Öffnungsklauseln. Das bedeutet, dass an diesen Stellen die Regelungen offengehalten werden, damit sie auf nationaler Ebene konkretisiert werden können. Diese Aufgabe übernimmt das BDSG-neu.

Das alte Bundesdatenschutzgesetz diente der Umsetzung der damaligen EU-Datenschutzrichtlinie und enthielt das deutsche Datenschutzrecht. Das BDSG in seiner Neufassung ist hingegen lediglich eine Ergänzung und Konkretisierung der DSGVO, deren Regelungen unmittelbar anwendbar sind.
Lohnt sich ein extern⁣er Date⁣nschutzbeauftragter für Ihr Unternehmen?

Machen Sie Ihr Unternehmen datenschutzfit – schnell & unkompliziert!

Jetzt Angebot anfordern →

DSGVO und BDSG-neu: In welchem Verhältnis stehen sie?

Alles, was die DSGVO regelt, gilt unmittelbar. Da sie Vorrang vor nationalem Recht hat, kann das BDSG-neu also nur solche Bestimmungen enthalten, welche die DSGVO auslässt oder bewusst offenlässt. Explizit sagt das BDSG-neu in § 1 Abs. 5, dass seine eigenen Regelungen dann keine Anwendung finden, wenn die DSGVO in dem Bereich bereits unmittelbar geltende Vorschriften macht. Hiermit werden Konflikte vermieden, die etwa dann auftreten könnten, wenn Änderungen der DSGVO erfolgen.

Ein Beispiel dafür, dass etwas durch das BDSG-neu geregelt werden muss, weil die DSGVO keine Kompetenz in dem Bereich hat, sind die Strafvorschriften (§ 42 BDSG-neu). Auf europäischer Ebene können nämlich lediglich Bußgeldvorschriften gemacht werden.

Für wen gilt das BDSG-neu? Die Regelungen, die getroffen werden, beziehen sich – wie auch diejenigen der DSGVO – sowohl auf öffentliche als auch nicht-öffentliche Stellen. Zu letzteren zählen zum Beispiel Unternehmen.

Während Teil 1 des BDSG-neu allgemeine Bestimmungen enthält und Teil 2 die Konkretisierungen und Ergänzungen zur DSGVO, befasst sich der dritte Teil mit der Umsetzung der EU-Datenschutzrichtlinie für Polizei und Justiz (EU 2016/680). Der vierte Teil ist denjenigen Bestimmungen gewidmet, die weder unter die DSGVO noch die Richtlinie für Polizei und Justiz fallen.

Änderungen BDSG-neu

Da BDSG-neu und DSGVO in einem vornehmlich ergänzenden Verhältnis stehen, enthält ersteres vor allem punktuelle und spezifische Regelungen. Einige von ihnen wollen wir im Folgenden genauer betrachten. Dazu gehören die Bedingungen, unter denen Unternehmen einen Datenschutzbeauftragten bestellen müssen, den Datenschutz im Beschäftigungsverhältnis sowie besondere Regelungen, die das Scoring und Bonitätsauskünfte betreffen.

Bestellung eines Datenschutzbeauftragten

Wann Unternehmen einen Datenschutzbeauftragten benennen müssen, regelt die DSGVO in Art. 37. Die dort genannten Bedingungen sind so gefasst, dass nur wenige Formen der Datenverarbeitung der Pflicht zur Benennung unterliegen.

So müssen die hauptsächlich verarbeiteten Informationen entweder zu den besonderen Kategorien personenbezogener Daten gehören, also von hoher Schutzwürdigkeit sein, oder aber in der Art ihrer Verarbeitung eine umfangreiche Überwachung der jeweiligen Personen erforderlich machen. Es handelt sich hierbei also nur um Fälle, die sehr weit in die schutzwürdigen Bereiche der betroffenen Personen eingreifen.

Art. 37 Abs. 4 sieht jedoch explizit vor, dass weitere Fälle durch nationale Gesetzgebung vorgeschrieben werden können. Dies wird im deutschen Datenschutzgesetz in seiner neu gefassten Ausführung in § 38 getan. Die dortige Ergänzung nennt zusätzlich folgende Bedingungen:

  • Mindestens zehn Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
  • Es werden Datenverarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
  • Es werden geschäftsmäßig personenbezogene Daten verarbeitet zum Zweck der (anonymisierten) Übermittlung oder der Markt- oder Meinungsforschung.

Im Vergleich zum alten BDSG ergibt sich die Änderung, dass eine Regelung bezüglich nicht-automatisierter Datenverarbeitung (Pflicht zur Bestellung eines Datenschutzbeauftragten ab 20 beschäftigten Personen) nun entfallen ist. Da alles, was mit Computern durchgeführt wird, bereits als automatisierte Verarbeitung gilt, ist davon auszugehen, dass dies heutzutage der Regelfall ist.

Datenschutz im Beschäftigungsverhältnis

Art. 88 DSGVO trägt den Titel „Datenverarbeitung im Beschäftigungskontext“. Er enthält aber keine konkreten Vorschriften zum Thema Beschäftigtendatenschutz, sondern verweist lediglich darauf, dass die EU-Mitgliedstaaten hier selbst spezifische Regelungen erlassen können. Nur die relevanten Aspekte, welche behandelt werden können, werden aufgezählt.

Neues BDSG: Vorschriften zur Datenverarbeitung im Beschäftigungsverhältnis finden sich in § 26.

Die Verarbeitung personenbezogener Daten von Beschäftigten ist erlaubt wenn:

  • für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses,
  • innerhalb des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder
  • zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten,

notwendig ist.

In § 26 Abs. 8 BDSG-neu wird auch definiert, wer als Beschäftigter im Sinne dieses Gesetzes zu verstehen ist. Dazu gehören neben regulären Arbeitnehmern zum Beispiel auch Azubis, Freiwilligendienstleistende oder Beamte. Auch Bewerberinnen und Bewerber sowie ehemalige Beschäftigte gelten nach dem Gesetz als Beschäftigte.

Von der Freiwilligkeit die Abhängigkeit des Beschäftigungsverhältnisses sowie die besonderen Umstände der Erteilung zu berücksichtigen sind. Demnach kann eine Einwilligung dann freiwillig gegeben werden, wenn

  • ein rechtlicher oder wirtschaftlicher Vorteil für den Beschäftigten erreicht wird oder
  • Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.

Zudem muss die Einwilligung in Schriftform vorliegen und der Beschäftigte schriftlich zum einen über den Zweck der Datenverarbeitung und zum anderen über sein Widerrufsrecht informiert werden.

Scoring und Bonitätsauskünfte

Eine spezifische Regelung, die das BDSG-neu im Rahmen von besonderen Verarbeitungssituationen trifft, betrifft Scoring-Verfahren und Bonitätsauskünfte. So darf gemäß § 31 BDSG-neu Scoring, also die Verwendung eines Wahrscheinlichkeitswerts bezüglich eines spezifischen zukünftigen Verhaltens, nur dann eingesetzt werden, wenn das Datenschutzrecht eingehalten wird.

Zudem muss die Berechnung der Wahrscheinlichkeitswerte auf der Verwendung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens beruhen und nicht ausschließlich auf Adressdaten zurückgreifen. Wenn aber letzteres der Fall sein sollte, muss die betroffene Person vor der Berechnung über die Nutzung der Adressdaten informiert werden.

Bonitätsauskünfte dürfen nur dann verwendet werden, wenn die oben genannten Bedingungen erfüllt sind. Zudem dürfen nur bestimmte Forderungen darin berücksichtigt sein. Dazu gehören gemäß § 31 Abs. 2 BDSG-neu zum Beispiel Forderungen, für die ein Titel vorliegt oder die der Schuldner ausdrücklich anerkannt hat.

Verbraucherkredite

In engem Zusammenhang mit den Vorschriften zur Bonitätsauskunft stehen die Bestimmungen über Verbraucherkredite, die in § 30 BDSG-neu festgelegt sind. Demnach gilt, wenn ein solcher Kredit aufgrund einer eingeholten Bonitätsauskunft abgelehnt wird, dass die betroffene Person zusammen mit der Information über die Ablehnung auch über die erhaltene Auskunft unterrichtet werden muss.

Datenschutzverstöße werden „jetzt“ geahndet! Greift die Datenschutzbehörde nun hart durch?

Datenschutzverstöße werden „jetzt“ geahndet! Greift die Datenschutzbehörde nun hart durch?

Beispiel: Telekomunikationsunternehmen 1&1 Telecom GmbH

oder

 Beispiel: Deutsche Wohnunen in Berlin

Die bisher höchste Geldbuße auf DSGVO-Basis 14,5 Millionen Euro hat die Berliner Datenschutzbeauftragte Maja Smoltczyk jüngst gegen die deutsche Immobiliengesellschaft Deutsche Wohnen verhängt. Diese will den Bescheid aber nicht anerkennen.

Das Unternehmen „Deutsche Wohnen“ soll sensible Mieterdaten rechtswidrig gespeichert haben. Berliner Politiker bezeichnen die Höhe des Bußgelds als „Paukenschlag“.

Die Behörde hatte bei Prüfungen festgestellt, dass die Deutsche Wohnen personenbezogene Daten von Mietern in einem System.

Die Deutsche Wohnen und der Verstoß gegen Datenschutz – der Überblick:

  • Die Deutsche Wohnen muss 14,5 Millionen Euro Strafe zahlen
  • Das Unternehmen hat gegen die Datenschutzgrundverordnung (DSGVO) verstoßen
  • Das System speicherte Daten von Bewerbern – und kann diese nicht löschen
  • Unter anderem besitzt die Deutsche Wohnen somit sensible Angaben über finanzielle Verhältnisse, Gehaltsbescheinigungen, und Versicherungsdaten der Bewerber
  • Die Strafe ist das zweithöchste Bußgeld, was jemals in Europa wegen Verstößen gegen den Datenschutz verhängt wurde – und die höchste in Deutschland

Es handele sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieter, wie Gehaltsbescheinigungen, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Die Daten hätten gelöscht werden müssen.

Die Datenschutzbeauftragte hatte der Deutsche Wohnen nach einem ersten Termin 2017 sogar Zeit eingeräumt, die Verstöße zu beseitigen und das Archiv-System umzustellen. Bei einer weiteren Prüfung mehr als eineinhalb Jahre später sei aber festgestellt worden, dass kaum etwas passiert sei.

Inzwischen ist die Deutsche Wohnen ein eigenständiges börsennotiertes Unternehmen (ehemalige Tochter der Deutschen Bank) mit einem Umsatz von mehr als 1,4 Milliarden Euro in 2018 [PDF] – und Gegenstand anhaltender Kritik.

Wegen der unzulässigen Datenspeicherung von Mieter:innen muss die Deutsche Wohnen in 15 konkreten Fällen aber auch Einzelbußgelder in Höhe mehrerer Tausend Euro zahlen. Es ist davon auszugehen, dass es die Beschwerden dieser Menschen waren, die das Verfahren bei der Behörde ins Rollen brachten.

Siehe:

Quelle: https://www.tagesspiegel.de/berlin/rekordbussgeld-wegen-datenschutzverstoessen-deutsche-wohnen-muss-14-5-millionen-euro-strafe-bezahlen/25191038.html

URL: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-1-1-muss-knapp-10-Millionen-Euro-Strafe-zahlen-4608676.html

Zitat:

Im September hatte der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, dass auch deutsche Aufsichtsbehörden nach ersten Warnschüssen bald Sanktionen auf Basis der Datenschutz-Grundverordnung (DSGVO) in Millionenhöhe verhängen würden. Jetzt hat der Kontrolleur selbst durchgegriffen und die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Der Telekommunikationsdienstleister, zu dessen Konzernverbund etwa auch die von dem Fall nicht betroffenen Mail-Anbieter Web.de und GMX gehören, hatte Kelber zufolge „keine hinreichenden technisch-organisatorischen Maßnahmen“ zum Schutz von Kundendaten ergriffen.

Unverhältnismäßig hohe Strafe wegen iner zu geringen  Authentifizierung/Überprüfung der Richtigkeit der Daten. Die telefonische Abfrage nach dem Geburtsdatum alleine ist nicht ausreichend.

Unser Rat: Nehmen Sie sich umgehend einen guten Anwalt der auf IT-Datenschutz Recht spezialisiert ist.

Für weitere Details wenden Sie sich an ihren Datenschutzbeauftragten.

DSGVO-Bußgelder – das ist neu

Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:

  1. Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres richtet.
  2. Anschließend wird der mittlere Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen)bestimmt, in die das Unternehmen eingeordnet wurde.
  3. Auf dieser Grundlage wird der wirtschaftlichen Grundwert des Unternehmens ermittelt: Die Behörden errechnen einen sogenannten Tagessatz indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
  4. Danach wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
  5. Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechenden, täterbezogenen sowie sonstigen Umstände, berücksichtigt werden.

So führen Sie ein Lösch- und Archivierungssystem ein

Die Erstellung eines Löschkonzepts erfolgt in der Regel in diesen vier Schritten:

1. Umfangsanalyse

Zunächst sollte geklärt werden, in welchem Umfang und in welcher Tiefe die Löschung erfolgen soll. Dabei sollten die Kosten vollständiger Compliance und eventuelle Risiken durch Bußgelder oder einen Imageverlust abgewogen werden. Eine Auflistung der Unterlagen und ihrer Bezüge, die Bestandteil des Konzepts sind, sollte in einer Dokumentationsstruktur organisiert werden. Im Einklang mit anerkannten Best Practices, etwa der Richtlinie zur Erstellung eines Löschkonzepts DIN 66398, sollte weiter dargestellt werden, wie das Löschkonzept entwickelt und gepflegt werden soll.

2. Festlegung von Datenkategorien und Löschfristen

Im Anschluss gilt es, einzelne Datenkategorien zu bilden und explizite Löschfristen für diese festzulegen. Bei der Festlegung der Löschfristen ist zunächst zu prüfen, ob gesetzliche Fristen existieren. Beispielhaft sind hier die Verpflichtung zur Aufbewahrung von Geschäftsunterlagen nach § 257 Handelsgesetzbuch oder § 147 der Abgabenordnung zu nennen. Hier empfiehlt es sich, konkrete Kriterien zu erarbeiten und diese zu dokumentieren. Die gesetzlichen Fristen können dafür als Grundlage dienen.

Zu beachten ist aber, dass mit Ablauf der Aufbewahrungsfrist nicht automatisch eine Löschpflicht entsteht, da weiterhin ein legitimes Interesse an der Speicherung bestehen kann, um zum Beispiel bei Rechtsstreitigkeiten etwaigen Auskunftspflichten nachkommen zu können. Für solche Sonderfälle müssen spezielle Prozesse entwickelt werden.

3. Bestimmung eines Löschverantwortlichen

Neben der Festlegung einer verantwortlichen Person kann die Löschung auch automatisiert erfolgen, was unter Effizienzgesichtspunkten sinnvoll ist. Dabei gilt es, die Vorgaben für die Umsetzung der Löschmaßnahmen und die entsprechenden Löschregeln zu konkretisieren und regelmäßig zu überprüfen, ob sie eingehalten werden. Typische Fragestellungen betreffen hier beispielsweise den Löschmechanismus, ob die Regellöschfrist zu beachten ist oder ob die Daten schon früher gelöscht werden können.

4. Einbettung in verwandte Themen

Ein erfolgreiches Löschkonzept sollte stets in andere Systeme eingebettet sein. Regelmäßig sind Daten miteinander verknüpft, sodass die Löschung an einer Stelle zu Problemen an anderen Stellen führen kann oder eine Löschung überhaupt nicht möglich ist. Weiterhin relevant sind der Umgang mit individuellen Löschanträgen durch betroffene Personen, sowie eine Dokumentation der Zwecke, zu denen Daten erhoben, gespeichert oder anderweitig verarbeitet werden. Dies ist zur Bewertung einer angemessenen Speicherfrist erforderlich. (jd)

Datenschutzinformationen zum Arbeitsvertrag

Arbeitgeber müssen im Arbeitsvertrag auf den Datenschutz achten

Die neuen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten werden im Art 1 Abs. 1 DSGVO beschrieben und regeln den freien Verkehr (Umgang) mit diesen schätzenswerten Daten.

Hinweise: https://www.datenschutz.org/arbeitsvertrag/#datenschutzklausel-im-arbeitsvertrag-als-unabdingbarer-bestandteil

Das Wichtigste zum Arbeitnehmerdatenschutz

  • Der Arbeitnehmerdatenschutz soll im Allgemeinen die Persönlichkeitsrechte, im Besonderen das Recht auf informationelle Selbstbestimmung der Arbeitnehmer vor Missbrauch bewahren.
  • Ein eigens errichtetes Arbeitnehmerdatenschutzgesetz gibt es nicht. Stattdessen finden dezentral einzelne Regelungen in unterschiedlichsten anderen Gesetzestexten wie dem Bundesdatenschutzgesetz  (BDSG), dem Telekommunikationsgesetz, der Bildschirmverordnung, dem Einkommensteuergesetz u. v. m.
  • Im Allgemeinen darf Ihr Arbeitgeber nur personenbezogene Daten zu Ihrer Person erheben, die für die Aufnahme, Beendigung oder Durchführung Ihres Beschäftigungsverhältnisses relevant sind.
  • Die heimliche Überwachung von Telekommunikation, Aktivitäten am PC oder die heimliche Videoüberwachung durch den Arbeitgeber sind regelmäßig nicht zulässig.

Merke:

Bestimme zu welcher Kategorie der Arbeitnehmer fällt. (gem. § 26 Abs. 8 BDSG-neu):

  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
  • zu ihrer Berufsbildung Beschäftigte,
  • Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
  • in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
  • Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
  • Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende

Zum Zeitpunkt der Erhebung der Daten muss ein Arbeitgeber seine Beschäftigten gem. Art. 13 DSGVO in alle im Artikel genannten Punkte informieren.  Die Art und Weise, der Information beschreibt Art. 12 DSGVO. Diese Informationen sollten als Anhang zum Arbeitsvertrag ausgegeben bzw. falls die Erhebung der Daten bereits früher stattfindet, sollten auch die Informationen zum Zeitpunkt der Erhebung herausgegeben werden.

  • Fragen sie bei ihrem Datenschutzbeauftragten ein Muster für das „Informationsschreiben für den Arbeitsvertrag“ an.

Beschäftigte sollten darüber hinaus auf das Datengeheimnis nach Art. 32 Abs. 1 lit. b) 2. Var. DSGVO verpflichtet werden. In diesem Zusammenhang ist darauf zu achten, eine Verpflichtungserklärung zu verwenden, die alle anzugebenden Informationen enthält. Die Verpflichtungserklärung auf das Datengeheimnis muss von den Beschäftigten gegengezeichnet werden. Diese Erklärung sollte sich ebenfalls im Anhang des Arbeitsvertrages befinden.

  • Fragen sie bei ihrem Datenschutzbeauftragten ein Muster für die „Verpflichtungserklärung auf das Datengeheimnis“ an.
  • Arbeitgeber müssen bei der Verarbeitung der Daten die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO beachten:
    • Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden, Art. 5 Abs. 1 lit. a) DSGVO.
    • Der Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit .b) DSGVO muss eingehalten werden.
    • Außerdem muss bei der Verarbeitung von personenbezogenen Daten der Grundsatz der Datenminimierung bzw. der Datensparsamkeit eingehalten werden, Art. 5 Abs. 1 lit. c) DSGVO.
    • Personenbezogene Daten müssen gerne richtig verarbeitet werden, also dem Grundsatz der Richtigkeit genügen, Art. 5 Abs. 1 lit. d) DSGVO.
    • Auch der Grundsatz der Speicherbegrenzung spielt im Beschäftigtendatenschutz eine wichtige Rolle und muss eingehalten werden, vgl. Art. 5 Abs. 1 lit. e) DSGVO
    • Darüber hinaus müssen personenbezogene Daten in einer Weise verarbeitet werden, die den Grundsätzen der Integrität und Vertraulichkeit entspricht, Art. 5 Abs. 1 lit f.) DSGVO.
  • Richtlinien, z.B. bezüglich der Nutzung der IT und des Internets des Betriebes, sollten erstellt und von den Mitarbeitern gegengezeichnet werden

Arbeitgeber müssen dafür sorgen, dass für Verarbeitungen von personenbezogenen, für die keine gesetzliche Grundlage existiert, eine informierte Einwilligung nach den Vorgaben der DSGVO erstellt und den betroffenen Mitarbeitern übergeben werden. Eine gesetzliche Grundlage für die Verarbeitung von personenbezogenen Daten existiert z.B. in § 26 Abs. 1 und Abs. 3 BDSG-neu. Allerdings muss genau geprüft werden, ob diese Rechtsgrundlage für die beabsichtigte Verarbeitung ausreichen. Andernfalls ist eine Einwilligungserklärung erforderlich Die Mitarbeiter können, müssen die Einwilligungserklärung aber nicht unterzeichnen, da eines der zentralen Merkmale einer Einwilligung stets die Freiwilligkeit ist, die speziell im Beschäftigungsverhältnis eine besondere Bedeutung besitzt, vgl. Art. 7, 9, 88 DSGVO, § 26 Abs. 2, Abs. 3 BDSG-neu. Wenn die Einwilligung nicht erteilt wird, darf die beabsichtigte Verarbeitung nicht stattfinden. Anbei finden Sie eine Muster-Datenschutzerklärung, die allerdings stets auf den Einzelfall angepasst und ggfs. erweitert werden muss. Wichtig ist, dass die Einwilligungserklärung alle erforderlichen Informationen nach Art. 7, 8, 12 ff DSGVO enthält und insbesondere einen Hinweis auf die Möglichkeit eines Widerrufs enthält.

  • Fragen sie bei Ihren Datenschutzbeauftragten nach einen Muster für die „Einwilligungserklärung„.

datenschutzrechtlichen Einwilligungserklärung 

  • Sind Speicherung, Nutzung und Verarbeitung personenbezogener Daten nicht aufgrund einer gesetzlichen Grundlage gestattet oder geboten, ist dies nur bei Einwilligung des Betroffenen zulässig.
  • Die Einwilligungserklärung muss dabei grundsätzlich eindeutig als solche erkennbar sein und muss neben dem Hinweis auf den jeweiligen Verwendungszweck auch die Rechte des Betroffenen auf Löschung, Auskunft und Widerspruch aufführen.
  • Fehlt die Einwilligung des Betroffenen in einem solchen Falle und die Daten werden dennoch unzulässigerweise erhoben, so handelt es sich um einen Datenschutzverstoß.

Ausgenommen von der Erfordernis einer Einwilligungserklärung sind grundsätzlich alle personenbezogenen Daten, die für Aufnahme, Durchführung oder Beendigung eines Arbeitsverhältnisses notwendig sind. Es bedarf oft einer in einem Arbeitsvertrag enthaltenen Datenschutzklausel, die die Zustimmung des Betroffenen herstellt, wenn es um die Speicherung von Personendaten wie Name, Vorname, Geburtsdatum, Rentenversicherungsnummer, Krankenversicherungsscheinnummer und Bankverbindung geht. Diese Daten sind unerlässlich für die Vertragsausübung.

Werden Dienstleister für die Verarbeitung von personenbezogenen Daten eingesetzt, muss geprüft werden, ob eine Auftragsverarbeitung i.S.d. Art. 28 DSGVO vorliegt. Für den Fall der Einschlägigkeit müssen entsprechende Auftragsverarbeitungsverträge mit den Auftragsverarbeitern vereinbart. Der Inhalt dieser Verträge muss die Vorgaben von Art. 28 DSGVO berücksichtigen. Mitarbeiter müssen bezüglich der datenschutzrechtlichen Pflichten geschult werden, vgl. Art. 39 Abs. 1 lit. b) letzte Variante DSGVO. Ein Verfahren für die rechtskonforme Bearbeitung von Betroffenenrechten nach Art. 15 bis Art. 23 DSGVO, insbesondere wenn diese von aktuellen oder ehemaligen Mitarbeitern geltend gemacht werden, muss ebenfalls von dem Arbeitgeber mit der Hilfe des Datenschutzbeauftragten erarbeitet und mit in die Unternehmensprozesse aufgenommen werden

Die Verarbeitungen von betroffenen Personen müssen in das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach den Vorgaben des Art. 30 DSGVO aufgenommen werden.

Darüber hinaus müssen alle nach Art. 32 DSGVO vorgeschriebenen technisch-organisatorischen Maßnahmen im Bereich der Verarbeitung von  Beschäftigtendaten etabliert werden.

Weitere datenschutzrechtliche Pflichten nennt Ihnen ihr Datenschutzbeauftragter nach einer ausführlichen Bestandsaufnahme hinsichtlich der Verarbeitung von personenbezogenen Daten Ihrer Beschäftigten. Zu berücksichtigen ist stets die Nachweispflicht in Art. 5 Abs. 2 DSGVO: Für die Nachweisbarkeit der Einhaltung des Datenschutzes ist der Arbeitgeber verantwortlich.

  • Fragen sie bei Ihrem Datenschutzbeauftragten nach einem „Muster für die Auftragsdatenvereinbarung“

Datenschutz-Konsequenzen (Bußgelder):

Ein Verstoß des Arbeitgebers gegen den Datenschutz kann schwerwiegende Folgen haben. Gem. 83 Abs. 4 lit. a) DSGVO drohen bei einem Verstoß gegen die hier genannten Vorgaben Geldbußen von bis zu 10 Millionen Euro allerdings maximal 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres des Unternehmens.

Bei einem Verstoß gegen die in Art. 83 Abs. 5 lit. a) und b) DSGVO genannten Vorschriften drohen sogar Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.

Datenschützer einigen sich auf einheitliche Prüfmethode

Datenschützer einigen sich auf eine Einheitliche Prüfmethode zum Thema Datenschutz.

Die grundlegend überarbeitete Version des Standard-Datenschutzmodells (SDM) umfasst 68 Seiten. Dabei handelt es sich um eine dokumentierte Prüfmethode um sich selbst oder andere Unternehmen und Behörden einer Prüfung unterziehen zu können, ob ihre Anwendungen personenbezogene Daten datenschutzkonform verarbeiten.

SDM-Methode

In der Version 2.0 der Standard Datenschutzmodell (kurz SDM 2.0)sind nun alle rechtlichen Anforderungen abgebildet.

Quelle: https://www.heise.de/newsticker/meldung/DSGVO-Datenschuetzer-einigen-sich-auf-einheitliche-Pruefmethode-4587205.html