Datenschutzbeauftragter

Corona App und Datenschutz — ein Update und viele Grüße

von Sascha Kuhrau
23. April 20209. Dezember 2020

Vor allem anderen möchten wir Sie liebe Leute, liebe Leser, liebe Kunden herzlich grüßen. Wir hoffen, dass es Ihnen und den Ihrigen gut geht und dass Ihr Einstieg in das Home-Office bzw. in die Corona bedingten Sondersituationen ok bis gut war. Abgesehen von den international schwierigen Zuständen in Pflege und Logistik — wie etwa das kollektive Maskenbasteln in Industrieländern — können insbesondere Ungewissheiten, subjektive Interpretationen und Ungenauigkeiten in Berichterstattungen dieser Tage schon ziemlich nerven. Wenn Sie also zu Corona, Corona App, Datenschutz oder Home-Office im Allgemeinen etwas schreiben möchten, nutzen Sie gerne das Kommentarfeld zu diesem Post.

Ihr Team von a.s.k. Datenschutz.

P.S. Wir sind gesund und munter und halten unsere Porsche Design Pyjamas modegemäß 😉 Wir freuen uns, Sie bald wieder zu sehen. Und wenn Sie sich zu Datenschutz etc. kurzfristig besprechen möchten, lassen Sie uns einfach gerne per Video Call in Verbindung treten.

App Lösungen gegen Corona

Um der Corona Pandemie besser Herr zu werden, sind verschiedene Ansätze für softwarebasierte Lösungen entwickelt worden, wie zum Beispiel die Konzepte DP-3T und PEPP-PT, die auf personenbezogene Daten zurückgreifen. Eine derzeit besonders prominente Variante ist das Contact Tracing, bei der man als Nutzer der zugehörigen App gewarnt wird, welche anderen App Nutzer im Umkreis x infiziert sein können. Die EU-Kommission befasst sich mit dem Thema.

EU-Kommission zu der Verarbeitung von sensiblen Daten und der Corona App

Der Datenschutzausschuss der EU-Kommission (EDPB) ist bestrebt, den Entwicklungsprozess von Apps und Software zur Corona Bekämpfung nach datenschutzgerechten Maßgaben zu fördern. In diesem Kontext hat der Ausschuss am Dienstag, den 21.04.2020 eine Richtlinie zum Einsatz von Ortungsdaten und Softwarelösungen / Apps, wie etwa zur personenbezogenen Kontaktnachverfolgung, herausgegeben, welche die nationalen Behörden und die Developer Einrichtungen adressiert.

Inhaltliche Anforderungen

Bei der Auswertung sensibler Daten und dem Einsatz von Corona Apps seien Zweckbindung, Transparenz und Datensparsamkeit unerlässlich — alles zentrale Postulate der DSGVO. In der auf Masse angelegten Analyse von Bewegungsdaten sei ein erheblicher Eingriff in die Freiheitsrechte zu sehen, daher sei hier das Prinzip der Freiwilligkeit (Abschnitt zu 2020-02) zu wahren.

Standortdaten seien grundsätzlich nicht zu erfassen, da sie für Mitteilungen über mögliche Infektionsketten nicht benötigt würden und ferner die Aufhebung der Anonymisierung erleichterten. Ferner sei eine Datenschutzfolgeabschätzung für den Einsatz solcher Apps durchzuführen und zu veröffentlichen.

Empfehlungen auch zu Gestaltung einer Corona App

Die App könnte über ein zentrales Serversystem betrieben werden mit restriktiven Zugriffsberechtigungen und geräteorientierten, nativen Sicherheitsmaßgaben. Es bestand große Uneinigkeit betreffend die Frage des zentralen oder dezentralen App-Betriebs. Der Schwerpunkt solle darauf gelegt werden, dass Daten eher lokal gespeichert werden.

Krisenbedingter Umgang mit sensiblen personenbezogenen Daten

Die Richtlinie definiert auch Ausnahmen für den Ermessensspielraum der nationalen Behörden, im Rahmen der Gesetzgebung Ausnahmen von DSGVO-Grundsätzen zu machen. So kann etwa das Erfordernis der Einwilligung für die Verarbeitung von Gesundheitsdaten entfallen, bzw. die Rechtsgrundlage durch Wahrnehmung einer Aufgabe des öffentlichen Interesses oder die Ausübung öffentlicher Gewalt gegeben sein.

Eine Corona App in der Praxis

Brillante Entwicklungen wie das Contact Tracing und die KI-basierte Auswertung von Daten zur intelligenten Gesundheitsvorsorge sind als wahrer Fortschritt in der notwendigen Digitalisierung zu sehen. Dass der konstruktive Erfolg indes mit der effektiven Ausführung in allen organisatorischen Ebenen steht und fällt, beschäftigt die Datenschutzexperten weltweit.

Fachleute wie die des EU-Ausschusses und der Datenschutzbehörde Schleswig-Holstein sehen den Erfolg dieses konkreten Projekts auch insbesondere vom Vertrauen des Anwenders in die professionelle Verarbeitung seiner Daten abhängig

Oft wird in diesem Kontext ausdrücklich darauf hingewiesen, dass der Datenschutz weder der Pandemiebekämpfung noch der Forschung im Wege steht.

Was kostet ein externer Datenschutzbeauftragter?

von Sascha Kuhrau
22. April 202030. November 2020
4 Kommentare

“Es kommt darauf an” — Was kostet ein externer Datenschutzbeauftragter?

“Was kostet ein externer Datenschutzbeauftragter?”, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen. Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

Was kostet ein Auto?
Wie teuer ist es, ein Haus zu bauen?
Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: “Es kommt darauf an!”

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. “Einführungsphase” gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde, schließt sich nun die “Betreuungsphase” als externer Datenschutzbeauftragter an. Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

Bußgeld (Ausnahme: öffentliche Stellen)
Ihren guten Ruf z.B. bei Datenpannen
Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Informationssicherheit — IT-Sicherheitslücken und Datenpannen 2019 und 2020 — Teil 2

von Sascha Kuhrau
20. April 20209. Dezember 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate.

Oberlandesgericht Berlin wird gehackt - Informationssicherheit fraglich

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit.

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T‑Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste …

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben.

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden.

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden.

2019-11 — Sicherheitslücke bei chinesischem Smartphone-Hersteller

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt.

2019-12 — Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm‑, Kontakt- Kunden- und Transaktionsdaten.

2020-02 — Vorfall in der Informationssicherheit bei Samsung

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt.

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten.

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services.

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten.

2020-03 — Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis‑, Bank‑, Steuer- und Unternehmensdaten.

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert.

Datenpannen — jetzt ganz neu entdecken …

von Sascha Kuhrau
16. April 2020

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO.

Vermeiden und kommunizieren

Es ist bereits die halbe Miete, Datenpannen präventiv — u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien — auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes.

Meldungen von Datenpannen

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet.

Dunkelziffer von Datenpannen

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind.

Aufsichtsbehörden

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert.

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden.

Datenpannen bitte dokumentieren / melden

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell — z.B. in Checklistenform — zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s.

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung.

Was ist Datenschutz?

von Sascha Kuhrau
6. April 2020
2 Kommentare

Unter Datenschutz versteht man den Schutz personenbezogener Daten vor Missbrauch, oft im Zusammenhang auch mit dem Schutz der Privatsphäre. Zweck und Ziel im Datenschutz ist die Sicherung des Grundrechts auf informationelle Selbstbestimmung der Einzelperson. Jeder soll selbst bestimmen können, wem er wann welche seiner Daten und zu welchem Zweck zugänglich macht.

Datenschutz-Definition

Personenbezogene Daten sind gemäß Art. 4 Abs. 1 DSGVO “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen”.

Das Gesetz sieht eine natürliche Person als identifizierbar an, “die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie“

Namen
einer Kennnummer
Standortdaten
einer Online-Kennung oder
„einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann”

Rechtsgrundlagen im Datenschutz

Um personenbezogene Daten verarbeiten zu dürfen, braucht es eine rechtliche Grundlage. Einfach so erlangte Daten anderer Personen zu speichern, bearbeiten, analysieren .. das klingt nicht logisch oder?

Artikel 6 Absatz 1 DSGVO liefert einige mögliche Rechtsgrundlagen, die eine Verarbeitung personenbezogener Daten rechtmäßig machen können. In den sechs aufgezählten Punkten a bis f werden bekannte und vielleicht auch noch nicht so bekannte Rechtsgrundlagen wie etwa die Einwilligung (a), die (vor)vertraglichen Maßgaben (b) und die berechtigten Interessen (f) präsentiert. Insbesondere letztere sind sehr beliebt, weil vermeintlich unbürokratisch, jedoch auch häufig überstrapaziert.

Auch gesetzliche Vorschriften unter c, sehr wichtig gerade für öffentliche Stellen, und lebenswichtige Interessen per se unter d sowie die Öffentlichkeit / öffentliche Interessen sind uns als Rechtsgrundlagen an die Hand gegeben.

Normgebungen

Nicht nur in der DSGVO und dem neuen BDSG ist der Datenschutz anzutreffen. Auch in den spezialgesetzlichen Landesdatenschutzgesetzen für Landesbehörden / Kommunen — wie z.B. dam vielen unserer Kunden wohlbekannten BayDSG — sowie dem TMG, SGB und Kirchenrecht, z.B. DSG-EKD.

Leider ist jedoch der Urvater jeden Datenschutzes schon lange in Vergessenheit geraten. Das Grundrecht, dass es kein Verbrechen ist, über die Preisgabe seiner Daten selbst zu bestimmen.

Datenschutz im Bewusstsein

Der stetig zunehmenden Erhebung, Speicherung, Weitergabe, Vernetzung und Nutzung von Daten durch fortschreitende Technologisierung (Email, Internet, Mobiltelefone, soziale Netzwerke, Kundenkarten etc.) steht oft eine gewisse Gleichgültigkeit entgegen. In weiten Teilen der Bevölkerung, aber auch auf Unternehmerseite, wird dem Datenschutz teils kein oder nur ein geringer Stellenwert zugebilligt. Dabei ist Datenschutz gerade im Lichte fortschreitender Globalisierung ein wichtiger Wegbegleiter von Kindheit an und in zahllosen Aspekten des Alltags. Die weltweite Vernetzung und eine Verlagerung von Daten in Länder, in denen deutsche und europäische Schutzgesetze keine Gültigkeit haben, machen Datenschutz oft wirkungslos oder erschweren diesen zumindest. Datenschutz ist daher nicht als umständliche Eigenart sondern Länderübergreifende Verantwortung zu aufzufassen.

Datenschutz praktisch gelebt

Von daher geht es beim Thema Datenschutz mittlerweile nicht mehr um die reine Datensicherheit z.B. durch technische Hilfsmittel, sondern auch um eine effektive Durchsetzung. Das Yin und Yang eines zeitgemäßen und souveränen Datenschutzes sind die technischen und organisatorischen Maßnahmen. Auch als TOM bekannt sind sie das Herzstück von IT-Sicherheit und Datenschutz, die beiden Elemente der Informationssicherheit.

.. eine echte Errungenschaft

Bei uns in Deutschland ist Datenschutz kein neues Thema. Schon 1977 trat ein Bundesdatenschutzgesetz in Kraft, welches sich jedoch mit dem Datenschutz in der öffentlichen Bundesverwaltung befasste. Öffentlichkeitswirksam trat der Datenschutz mit dem sog. “Volkszählungsurteil” des Bundesverfassungsgerichts 1983 in den Vordergrund. Auslöser waren die zahlreichen Weigerungen vieler Mitbürger, sich und ihre persönlichen Lebensverhältnisse anlässlich der bundesweiten Volkszählung kundzutun. Das Volkszählungsgesetz wurde — spektakulär — in Teilen aufgehoben und der Begriff der “informationellen Selbstbestimmung” geprägt. Diese leitet sich aus dem Artikel 2 des Grundgesetzes ab — dem Recht auf freie Entfaltung der Persönlichkeit.

Datenschutz-Bericht 2020 der Landesdatenschutzbehörde Schleswig-Holstein — Teil 2

von Sascha Kuhrau
30. März 20209. Dezember 2020

Anwendung der DSGVO

Datenschutz / IT-Sicherheit — Allgemeines

Bei der Anwendung der DSGVO warnt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor „Schnellschüssen“. Vielmehr sei hierbei sorgfältig zu evaluieren. Bei der gerne diskutierten Findung der richtigen Rechtsgrundlage für eine Verarbeitung personenbezogener Daten läge das Augenmerk insbesondere auf Art. 6 Abs. 1 b und f DSGVO — (vor)vertragliche Maßgaben und berechtigte Interessen — sowie weiterführen die Einwilligung nach Buchstaben a der zitierten Vorschrift.

Datenschutzbeauftragten einer Einrichtung kämen insbesondere Beratungs‑, Unterrichtungs‑, Überwachungs- und Prüfaufgaben zu. Die den Verantwortlichen per Gesetz obliegenden Datenschutz-Pflichten dürften jenen nicht übergeholfen werden.

Politische Ansichten sind nach EU-Datenschutzrecht besonders sensible Informationen, die „immer einer spezifischen Rechtsgrundlage“ bedürften. Ebenso geschützt seien private Adressdaten.

Ein zwingend zu beachtendes Postulat angesichts der fortschreitenden Digitalisierung einerseits und der teils recht einseitig ergriffenen Schutzmaßnahmen von Privatdaten.

Bei jedweder Herstellung von Tonaufzeichnungen müssen Rechtsgrundlage(n) und angemessene Transparenz für die Betroffenen implizit sein.

Im Rahmen der Verarbeitung zur werblichen Ansprache sind die Maßgaben von Treu und Glauben einschlägig und der Adressat muss den werblichen Charakter leicht erkennen können.

Datenschutz in Online-Präsenzen

Die Landesdatenschutzbehörde Schleswig-Holstein hat an sämtliche Webseitenbetreiber in Form einer Pressemitteilung appelliert, genutzte Analysedienste wie Google Analytics u.ä. sowie deren im Datenschutz rechtskonformen Einsatz zu prüfen.

Zu Facebook Fanpage Betreibern und Facebook selbst wurde klargestellt, dass beide Gruppen die Anforderungen der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht erfüllen. Die Pflicht zum Abschluss einer entsprechenden Verarbeitungsvereinbarung betreffe sowohl Facebook als auch die hiesigen Fanpage Betreiber.

Künstliche Intelligenz = Artificial Intelligence

Bei Entwicklung, Implementierung und Anwendung von KI solle auf eine angemessene Implementierung von grundrechts- und werte-relevanten Momenten geachtet werden. Entsprechende Anreize könnten beispielsweise durch Fördergeber gesetzt werden.

TOM — technische und organisatorische Maßnahmen

vertrauliche Information sei im Faxversand nur bedingt geschützt. Bei Transport und Empfang werden „erhebliche Risiken für die Vertraulichkeit der Inhalte“ gesehen. In jedem Fall muss der konkrete und richtige Empfänger sichergestellt werden
Verantwortliche seien darauf verwiesen, „penibel“ zu beachten, dass personenbezogene Daten von Beschäftigten ausschließlich auf Basis von und in den Grenzen der Erfüllung ihrer Aufgaben erfolgt. Ein passendes und detailliertes Berechtigungskonzept sind der Grundstein für richtigen Beschäftigtendatenschutz — u.a. Bestandteil des Datenscchutz Quick-Checks
auch der Transport von Daten im Wagen sollte durch ein gewisses Maß an technischen und organisatorischen Maßnahmen (TOM) gesichert sein
Kreditinstitute rief das ULD auf, bei der Weitergabe personenbezogener Bankdaten Transport- sowie Inhaltsverschlüsselung zu implementieren

Datenschutz bei Gesundheitsinformationen

Das ULD konstatierte, dass

Krankenhäuser und Kliniken
Arzt‑, Zahnarztpraxen
Pflegeeinrichtungen, ‑dienste
Apotheken und vergleichbare Einrichtungen

durch ihren Umgang mit besondere Kategorien personenbezogener Daten diese generell zu verschlüsseln haben — insbesondere bei mobilen Devices und Speichermedien.

Externen Dienstleistern zur Vernichtung von Patientenunterlagen sind mittels einer AVV „detaillierte Vorgaben zur beabsichtigten Datenverarbeitung“ aufzuerlegen und eine schriftliche Verpflichtung auf das Datengeheimnis mit Durchgriff auf den Auftragsverarbeiter der ärztlichen Schweigepflicht nach § 203 StGB durchzuführen.

Videoüberwachung und Datenschutz

Videoüberwachung sollte nur in den Grenzen der rechtlichen Zulässigkeit und auf der Grundlage einer angemessenen Sachkenntnis erfolgen. Die Datenschutzbeauftragten und Landesdatenschutzbehörden können hierzu beraten.

Die Videoüberwachung muss in Umkleidebereichen grundsätzlich ausbleiben. Auch für Bereiche, in denen das Verhalten von Personen über längere Zeit aufgezeichnet wird, wie in Trainingsbereichen, schloss das ULD eine Zulässigkeit aus.

Allerdings dürfte es aller Voraussicht nach auch für diese Fallgestaltungen Schranken geben, die eine Videoüberwachung im Rahmen einer strengen Rechtsgüterabwägung erlauben.

AV — Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag

Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist dem Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten mitzuteilen — siehe auch das Thema Informationspflichten.

Die Einhaltung der Meldepflichten obliegt regelmäßig dem Verantwortlichen. Dieser kann den Auftragsverarbeiter allerdings zu den entsprechenden Meldungen zulässigerweise autorisieren, sofern die Autorisierung aus der Meldung für Aufsichtsbehörde „klar und beweisbar“ nachvollziehbar ist.

Es empfiehlt sich, Dienstleister und deren TOM regelmäßig zu kontrollieren oder nachprüfen zu lassen.

Website des ULD

Diese und viele weitere sehr aufschlussreich gestaltete Themen zum Datenschutz, der IT-Sicherheit und Politik hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit dem vorliegenden Bericht veröffentlicht.

Für die weiterführende Lektüre des Originals bitte hier klicken.

Datenschutz-Bericht 2020 der Landesdatenschutzbehörde Schleswig-Holstein — Teil 1

von Sascha Kuhrau
29. März 20209. Dezember 2020

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat seinen Tätigkeitsbericht 2020 für den Berichtszeitraum 2019 veröffentlicht.

Insgesamt wurden 758 Beratungen durchgeführt und 959 Verfahren in der Zuständigkeit des ULD angelegt, davon 680 auf Grund von Beschwerden gegen Unternehmen und 279 gegen Behörden.

Des Weiteren wurden 37 Warnungen, 26 Verwarnungen und 2 Anordnungen gegenüber Einrichtungen ausgesprochen. Auf Geldbußen wurde in dem Zeitraum 2019 verzichtet. In 26 Fällen führte man Prüfungen ohne zu Grunde liegende, anlassbezogene Beschwerden durch, 13 davon bei nichtöffentlichen Einrichtungen.

Verletzungen von Datenschutz und Meldepflicht

Die insgesamt 349 in Sachen Datenpannen eröffneten Verfahren stellen naturgemäß nur einen Anteil der täglich gemeldeten oder anderweitig dem ULD zur Kenntnis gelangten Datenschutz-Verletzungen dar. Ebenso naturgemäß, dass das ULD von der Dunkelziffer an Datenpannen, die nicht gemeldet, sondern im Nachhinein festgestellt werden, nicht angetan ist.

hier würde ich als tipp ergänzen .. Daher auch in diesem Kontext der Tipp, nicht nur für unsere Kunden in Schleswig-Holstein J, den Sie von uns auch sicherlich aus Präsentationen und Vorortterminen kennen: Datenpannen immer dokumentieren und — zumindest intern an Ihren DSB — melden. Entwarnen lässt sich immer noch.

Datenpannen — Informationssicherheit / Datenschutz

Ebenfalls kritische Worte findet das ULD in Bezug auf das Umsetzungsniveau der Informationssicherheit. Es gebe hier noch viel Nachholbedarf, zumal Verletzungen der Informationssicherheit wie u.a. auch Cyberangriffe mangels personenbezogener Daten häufig nicht einmal in einer Meldung resultieren.

Für eine „verantwortungsvolle Digitalisierung“ hält der vorliegende Bericht dazu an, dass sämtliche Einrichtungen das Schutzniveau in Sachen Informationssicherheit einschließlich Datenschutz auf den Prüfstand bringen mögen. Sensibilisierung der Mitarbeiter sei nicht zu vernachlässigen.

Das ULD sah ‘über den Tellerrand´

Inspiration für Sensibilisierungen konnte man im Austausch mit einem unserer Nachbarländer erhalten:

Aktionstage „Löschen/Schreddern“
„Gamification“ Ansätze von Datenschutz mit Preis (Obst/Schokoriegel)
Datenschutzquiz und Datenpannensimulation
anonymisiert realisierte Phishing-Tests
Selbstdatenschutz mit Mehrwert für die Beschäftigten
im Team produzierte Kurzvideos für Schulungszwecke

gehörten dazu. Eine weitere Klarstellung, dass Datenschutz per se lebendig ist und unrichtigerweise manchmal als trocken und lästiges Beiwerk angesehen wird.

Auch in Unternehmen und kommunalen Einrichtungen lassen sich solche Aktionen und Workshops durchführen. Für Anfragen und Anregungen nehmen Sie gerne Kontakt zu uns auf.

Für eine Vereinheitlichung von Datenschutzstandards und Verständnisfragen sieht das ULD eine regelmäßige Kommunikation über Erfahrungen als sehr wichtig an. Im genannten Nachbarland Österreich ist dies bereits verbindliche Vorschrift.

Informationsfreiheit und Datenschutz auf (inter)nationaler Ebene

Das ULD stellt klar, dass auch die innerstaatliche Abstimmung unter Datenschutzbehörden auf Bundes- und Landesebene in Sachen Datenschutz und Informationsfreiheit in angemessenem Maße aufrecht zu erhalten ist. Bei der Informationsfreiheit existiere lediglich ein Gremium für die Zuarbeit der IFK. Noch seien nicht alle Bundesländer vertreten mangels entsprechender Informationsfreiheits- oder Transparenzportalen.

Datenethik und Datensicherheit

Die Datenethikkommission der Bundesregierung hat ein Gutachten erstellt, das sich insbesondere mit Algorithmen, KI und Big Data befasst. Betont werden unter anderem Möglichkeiten der Regulierung von algorithmischen Systemen. Das ULD fordert — weniger banal als es zunächst klingen mag — die Bundesregierung als Auftraggeberin des Gutachtens der Datenethikkommission auf, die Inhalte auswerten und in die weitere Planung einfließen zu lassen. In diesem Zusammenhang moniert das ULD ein teils inkonsistentes Agieren von Bund und Ländern für / wider eine grundwerteorientierte, zukunftsfähige Digitalisierung wie etwa Inhalte in Gesetzgebungsentwürfen, die „eine Kriminalisierung von Anbietern bestimmter datenschutzfreundlicher Techniken“ nahelegten. (§ 126a StGB).

Man möchte eine „Chance auf bessere Sicherheit“ nicht vertan wissen.

Die per Innenministerkonferenz 2019-06 in Planung gegebenen „Zugriffserleichterungen“ auf Messenger und Smart Home Anwendungen hält das ULD in dieser Form für nicht grundrechtsvereinbar.

Behörden

Die Landesdatenschutzbehörde Schleswig-Holstein fordert Behörden und sonstige öffentliche Stellen des Bundeslandes auf, einen behördlichen Datenschutzbeauftragten zu benennen und „mit den erforderlichen Ressourcen“ auszustatten, sofern bislang nicht erfolgt.

Handlungsbedarf sah die Landesdatenschutzbehörde bei der Weiterentwicklung von IT-Verfahren der Landespolizei. Diese müssten in der Lage sein, Auskünfte an Betroffene „umfassend und zeitnah“ zu erteilen. Unter dem Titel „Null Datenpannenmeldungen im Polizeibereich?!“ postuliert die Landesbeauftragte für Datenschutz Schleswig-Holstein, „gesetzliche Pflichten müssen ernst genommen werden.“ Auch für den Justizbereich gelte, dass Meldepflicht von Datenpannen umfassend zur Kenntnis genommen und umgesetzt werden sollte.

Schleswig-Holstein und die Kommunen seien — mit Unterstützung des ULD — in der Verantwortung einer datenschutzkonformen Umsetzung des Onlinezugangsgesetzes.

Fortsetzung folgt ..

Kontaktaufnahme mit Daten aus öffentlichem Register

von Sascha Kuhrau
26. März 20209. Dezember 2020

Die Deutsche Gesellschaft für Politikberatung (degepol) hat eine Verwarnung wegen Datenschutzverstoßes von der Berliner Beauftragten für Datenschutz und Informationsfreiheit erhalten. In diesem Zuge erfolgte die Klarstellung, dass die Gewinnung von Daten aus öffentlichen Registern nicht zu jedem Zweck — wie etwa dem Versand personalisierter Werbung — zulässig ist. Dies hat Auswirkungen sowohl auf die werbliche Kontaktaufnahme als solche als auch auf Umfragen, die mit Hilfe solcher Informationen durchgeführt werden, im vorliegenden Fall gegenüber Lobbys.

Beschwerde durch Betroffenen aus Lobbys

Im vorliegenden Fall waren Verbände / deren Vertreter aus dem öffentlichen Register über Lobbys des Bundestags mittels Tabellenexport in Excel angeschrieben und zu Umfragen eingeladen worden. Die zugrunde liegende Beschwerde wurde durch einen Betroffenen Lobby-Angehörigen eingegeben.

Quellenangaben

Die Daten aus dem Lobby-Register seien von der degepol an den Dienstleister onlineumfragen.com weitergegeben worden für den Versand von Anschreiben mit personalisierter Anrede und ohne Hinweis auf Datenquellen. Unter anderem hierin wurde ein Datenschutzverstoß gesehen. Eine Quellenangabe habe mit dem ersten Anschreiben erfolgen müssen und wurde auch in der verlinkten Datenschutzerklärung vermisst — so die Datenschutzaufsicht.

Namen von Lobbyisten

Die Berliner DSB zog ein berechtigtes Interesse der Deutschen Gesellschaft für Politikberatung in Zweifel, nach dem diese die Daten zur Anfertigung einer “aussagekräftigen Studie” zu Honorarzahlungen in der Lobbywelt Deutschlands für erforderlich hielt. Ferner wurde moniert, dass in diesem Zusammenhang Namen Angehöriger von Lobbys ohne Notwendigkeit verarbeitet worden seien.

“Weitere aufsichtsrechtliche Mittel”, auch für einen Wiederholungfall, schloss die Datenschutzbehörde nicht aus. Generell gesprochen kann es sich bei solchen etwa um Vor-Ort-Prüfungen, die Anordnung von Maßnahmen oder die Verhängung von Bußgeldern handeln, um einige Befugnisse der unabhängigen Datenschutzbehörden zu nennen.

Register des Bundestags

Der Bundestag hat bisher kein verbindliches Verzeichnis hierzu herausgegeben. Das Register des Bundestages über Lobbys umfasst momentan über 2300 Einrichtungen, “die eine Aufnahme von sich aus beantragt“ hätten, um ihre Tätigkeiten damit transparent machen zu wollen.

Sicher auch aus Datenschutzsicht eine begrüßenswerte Intention.

Handyortung als geplante Bekämpfung des Coronavirus

von Sascha Kuhrau
23. März 20209. Dezember 2020
2 Kommentare

In Zeiten von Notlagen muss man auch manchmal zu kreativen Maßnahmen greifen. Doch ein kurzfristig geplanter Gesetzesentwurf ruft teils kritische Reaktionen hervor, wie die derzeit geplante Handyortung zur Corona-Bekämpfung.

… zurecht oder nicht? Lassen Sie es uns wissen — in der Kommentarbox.

Handyortung über Provider

Laut Gesetzesentwurf des Bundesgesundheitsministeriums soll den Gesundheitsbehörden das Recht eingeräumt werden, Kontaktpersonen von Infizierten mittels Handyortung nachvollziehen und zeitsparend kontaktieren zu können. Informationsquelle sollen hierfür die diversen Mobilfunkanbieter sein. Standortdaten der Kontaktpersonen sollen Aufschluss über den Aufenthaltsort geben.

Bundesdatenschutzbeauftragter äußert Skepsis

Vor wenigen Stunden äußerte der Bundesdatenschutzbeauftragte Ulrich Kelber in einem Twitter Beitrag Bedenken zur Wirksamkeit der geplanten Maßnahme. „Alle Maßnahmen der Datenverarbeitung“ hätten laut Kelber die öffentlich-rechtlichen Schlüsselkriterien der Erforderlichkeit, Geeignetheit und Verhältnismäßigkeit zu erfüllen. „Bisher“ fehle „jeder Nachweis, dass die individuellen Standortdaten der Mobilfunkanbieter einen Beitrag leisten könnten, Kontaktpersonen zu ermitteln, dafür sind diese viel zu ungenau.“ Anders stelle sich dies bei entsprechender Analyse von Bewegungsströmen in anonymisierter Form dar. Auf der Basis von Funkzellen Handyortung ist lediglich ein Radius von allenfalls 100 Metern erfassbar. In ländlichen Regionen können es durchaus mehrere Kilometer sein. Also alles viel zu ungenau, um potentielle Kontakte möglicher Infizierter ausreichend konkret aus der Datenmenge herausfiltern zu können. Im Rahmen der Ressortbeteiligung war die oberste Bundesbehörde für Datenschutz und die Informationsfreiheit BfDI beim Entwurf des Infektionsschutzgesetzes involviert.

Alternative der freiwilligen Nutzung

In Italien ist sie bereits im Einsatz — die App-Lösung zur Ortung potenziell Infizierter Kontaktpersonen. Für Deutschland befindet sich das hier bekannteste Projekt derzeit noch in der crowdfunding Phase. Die Aktivierung der Geräte von freiwilligen Testpersonen in der Beta-Phase soll Ende diesen / Anfang kommenden Monats erfolgen.

Auf anonymisierter und freiwilliger Basis soll es den Handynutzern möglich sein, präziser geortet und kontaktiert zu werden als dies durch die reine Auswertung von Verkehrsdaten zur Ermittlung vom Standort möglich erscheint.

In Südkorea sind solche Modelle bereits im Kampf der Eindämmung eingesetzt worden. Dort stabilisiert sich die einst massiv eskalierende Lage. In einem Beitrag der BBC unterstreicht die Außenministerin im Kampf gegen das Virus und mit panikbedingten Problemen die Notwendigkeit schneller behördlicher Entscheidungen und zugleich, diesen wissenschaftliche Erkenntnisse und Beweisbares zu Grunde zu legen.

Allerdings ist der Erfolg von freiwilligen Präventionsmaßnahmen auch stets von der individuellen Einsichtsbereitschaft abhängig, die im Rahmen der Coronapandemie mancherorts täglich Anlass zur Besorgnis zu geben scheint. Dies wurde gerade durch die Notwendigkeit zur Verschärfung bzw. Einführung einer bundesweiten Ausgehbeschränkung (wohlgemerkt nicht Ausgangssperre) am 22.03.2020 erneut deutlich.

Stand Sonntagabend 22.03.2020

Infolge deutlicher Kritik wurde davon abgerückt, den Gesetzentwurf bereits am 23.03.2020 ins Bundeskabinett zu geben. So lauten übereinstimmende Agenturmeldungen. Man wolle vorerst auf Handyortung verzichten und einen betreffenden Gesetzentwurf nun bis Ostern überarbeiten. Näheres dazu in einem Tagesschau Beitrag vom Sonntagabend.

Fazit und Hinweise zur geplanten Handyortung

Die Risiken eingreifender Normen wie etwa der geplanten Handyortung entstehen nicht per se aus dem Rechtseingriffs als solchem, sondern aus dem Missbrauchspotenzial in der täglichen Anwendung. Im Eifer des Gefechts kann erfahrungsgemäß nicht gänzlich ausgeschlossen werden, dass Fehler passieren, die Neugier bei dem einen oder anderen sich durchsetzt oder u.U. sogar vereinzelt gezielt manipuliert wird.

Umso wichtiger sind technische und organisatorische Maßnahmen (TOM) auch bei Erlass solcher Gesetze, wie

das Personal bei der Auswertung von und dem Umfang mit den auszuwertenden Standort Daten lückenlos und fachlich fundiert zu schulen,
auf diese Weise sicherzustellen, dass die Daten ausschließlich in dem Kontext der bezweckten Verarbeitung verbleiben und nicht auf Zuruf offengelegt werden, wie dies immer wieder — etwa in Telefonaten anfragender, vermeintlich autorisierter Stellen — vorkommt,
detaillierte und technisch verbindlich umgesetzte Berechtigungskonzepte zu etablieren,
auf diese Weise den Personenkreis, die Zugriff auf die Daten haben, in einem konkreten und stets überschaubaren Rahmen zu halten und dies auch zu protokollieren / zu prüfen,
den Anwender transparent zu informieren, ohne die ordnungsgemäße Verfolgung der Einsatzzwecke zu untergraben.

Auftragsverarbeitung — Definition, Beispiele, Massnahmen, Risiken (Update) — früher Auftragsdatenverarbeitung

von Sascha Kuhrau
16. März 20208. Dezember 2020
4 Kommentare

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

Outsourcing des Rechenzentrums (ganz oder teilweise).
Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
Externe Lohn- und Gehaltsabrechnung.
Externe Rechnungsbearbeitung / Buchhaltung.
Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):

Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
Systemmigrationen.

Was heisst das jetzt für Sie als Auftraggeber?

Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.
Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber von ihrer Leistungsfähigkeit zu überzeugen.
Wenig hilfreich: den Auftraggeber vor die Wahl stellen — entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.

Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.

Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.

Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:

“15 Irrtümer bei der Auftragsdatenverarbeitung” — sehr interessanter und aufklärender Beitrag über die zahlreichen Möglichkeiten, was bei der Bewertung und Umsetzung von Auftrags(daten)verarbeitung alles falsch gemacht werden kann
Div. Infos und Vorlagen des BayLDA zur Auftragsverarbeitung

« Zurück
1
2
3
4
…
11
Weiter »

Datenschutzbeauftragter

App Lösun­gen gegen Coro­na

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App

Inhaltli­che Anfor­de­run­gen

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten

Eine Coro­na App in der Pra­xis

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Was kos­tet es Sie auf jeden Fall …

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler

2019-12 — Daten­pan­ne bei der Luft­hansa

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin

Ver­mei­den und kom­mu­ni­zie­ren

Mel­dun­gen von Daten­pan­nen

Dun­kel­zif­fer von Daten­pan­nen

Auf­sichts­be­hör­den

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den

Daten­schutz-Defi­ni­ti­on

Rechts­grund­la­gen im Daten­schutz

Norm­ge­bungen

Daten­schutz im Bewusst­sein

Daten­schutz prak­tisch gelebt

.. eine ech­te Errun­gen­schaft

Anwen­dung der DSGVO

Daten­schutz /​ IT-Sicher­heit — All­ge­mei­nes

Daten­schutz in Online-Prä­sen­zen

Künst­li­che Intel­li­genz = Arti­fi­ci­al Intel­li­gence

TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men

Daten­schutz bei Gesund­heits­in­for­ma­tio­nen

Video­über­wa­chung und Daten­schutz

AV — Daten­schutz bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag

Web­site des ULD

Ver­let­zun­gen von Daten­schutz und Mel­de­pflicht

Daten­pan­nen — Infor­ma­ti­ons­si­cher­heit /​ Daten­schutz

Das ULD sah ‘über den Tel­ler­rand´

Infor­ma­ti­ons­frei­heit und Daten­schutz auf (inter)nationaler Ebe­ne

Daten­ethik und Daten­si­cher­heit

Behör­den

Beschwer­de durch Betrof­fe­nen aus Lobbys

Quel­len­an­ga­ben