Zum Inhalt springen

Datenschutzbeauftragter

Bericht 2019 der Daten­schutz­be­hör­de Saar­land — Überblick

Druck­frisch zu berich­ten — die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land (UZD) hat die­ser Tage den 28. Tätig­keits­be­richt im Daten­schutz für das Saar­land vor­ge­legt (Land­tags­druck­sa­che Saar­land 16/​1200). Dar­in wur­de unter ande­rem auf kon­kre­te, ein­zel­fall­be­zo­ge­ne Ent­wick­lun­gen und Maß­nah­men, erfolg­te Vor­trä­ge, Ver­fah­ren und Bera­tun­gen sowie auf fach­li­che Aspek­te der DSGVO-Vor­ga­ben und ‑umset­zun­gen und Recht­spre­chung detail­liert eingegangen.

News in 2019

Im Jahr 2019 wur­den zwei neue Stel­len für Mit­ar­bei­ter im UDZ vom Land­tag Saar­land bewil­ligt, die erfolg­reich besetzt wur­den, aller­dings sieht das UDZ hier quan­ti­ta­ti­ven Optimierungsbedarf.

Die Web­site des UDZ wur­de mit einem neu­en CMS ange­bun­den und hat ein neu­es Design bekom­men mit Opti­mie­rung auf Bar­rie­re­frei­heit, der Mel­de- und Kon­takt­for­mu­la­re sowie für Mobilgeräte.

Vor dem Hin­ter­grund der Not­wen­dig­keit, wach­sen­den Anfor­de­run­gen, recht­li­chen Vor­ga­ben und einer effek­ti­ven, ange­mes­se­nen Abwehr von Cyber-Angrif­fen kos­ten­ef­fi­zi­ent nach­zu­kom­men, wur­de in dem Bericht die Ein­füh­rung eines ISMS erläu­tert und dabei ins­be­son­de­re ISIS12 „als prag­ma­ti­sches und leicht ska­lier­ba­res Vor­ge­hens­mo­dell“, das auch gera­de Kom­mu­nen eine gute Ver­bin­dung von den Vor­ga­ben und rea­len Res­sour­cen ermögliche.

Der gesam­te Pro­zess von der Sen­si­bi­li­sie­rung der Mit­ar­bei­ter, Ein­schät­zung der Gefähr­dungs­la­ge bis hin zur Abwehr von Angrif­fen kann durch ein ISMS wie ISIS12 gesteu­ert und über­wacht wer­den.

Nach der Imple­men­tie­rung und einem TOM-bezo­ge­nen Audit wur­de das UDZ zum 09.10.2019 zertifiziert.

Bera­tun­gen und Öffentlichkeitsarbeit

Das UDZ hat im Berichts­jahr 50 Ver­an­stal­tun­gen zur Infor­ma­ti­on und Sen­si­bi­li­sie­rung zum Daten­schutz und der DSGVO aus­ge­rich­tet, bei denen es unter ande­rem schwer­punkt­mä­ßig um Aus­le­gungs­fra­gen der DSGVO ging. Ins­ge­samt sieht man auch bei der Öffent­lich­keit ein stei­gen­des Inter­es­se an Daten­schutz­the­men und ‑fra­gen.

In Bezug auf das im Dezem­ber 2019 beschlos­se­ne Jus­tiz­voll­zugs­da­ten­schutz­ge­setz, bei des­sen Ent­wür­fen das UZD bera­tend invol­viert war, stellt der Bericht fest, dass man sich eine umfas­sen­de Moder­ni­sie­rung des Daten­schutz­rechts auch in die­sem Bereich gewünscht hätte.

Die UDZ nahm an Bera­tungs­ge­sprä­chen mit der Enquête­kom­mis­si­on „Digi­ta­li­sie­rung im Saar­land“ teil und führ­te hier unter ande­rem die wich­ti­ge Rol­le des Daten­schut­zes in der Ent­wick­lung des E‑Government aus.

In Brüs­sel tausch­te man sich bei der EU-Ver­tre­tung des Saar­lan­des über die inner­eu­ro­päi­sche Zusam­men­ar­beit der Daten­schutz­be­hör­den aus. In den 154 Fäl­len nahm die Lan­des­da­ten­schutz­be­hör­de ihre Ver­fah­rens­zu­stän­dig­keit iSd. Art. 56 DSGVO in Bezug auf inner­eu­ro­päi­sche, län­der­über­grei­fen­de Ver­ar­bei­tun­gen wahr. Die Behör­de war an elf Recht­set­zungs­vor­ha­ben beteiligt.

Daten­schutz­ver­let­zun­gen nach Art. 33 DSGVO

Dem Bericht zufol­ge wur­den im ver­gan­ge­nen Jahr 286 Daten­schutz­ver­let­zun­gen an die Lan­des­da­ten­schutz­be­hör­de gemel­det und elf amt­li­che Maß­nah­men iSd. Art. 58 DSGVO zur Prä­ven­ti­on von Daten­pan­nen vor­ge­nom­men. Den Anstieg der Mel­dun­gen von Daten­pan­nen wird auf höhe­re Kri­te­ri­en durch die DSGVO, aber auch eine höhe­re Sen­si­bi­li­tät für Daten­schutz­the­men gesehen.

Prü­fun­gen

In sei­nem Bericht spricht das UZD von „meh­re­ren Prü­fun­gen“, die — meist anlass­be­zo­gen und oft im Kon­text des Beschäf­tig­ten­da­ten­schut­zes — in 2019 in Ein­rich­tun­gen sowohl ange­kün­digt als auch unan­ge­kün­digt durch­ge­führt wur­den. Kri­te­ri­um für die Fra­ge der Vor­ab­an­kün­di­gung sei die Abwä­gung der Wahr­schein­lich­keit eines Weg­falls des Prüf­ge­gen­stands durch Mani­pu­la­ti­on im Fal­le der Ankün­di­gung. Im Vor­feld wür­den Prüf­ge­gen­stand und ‑ablauf klar defi­niert und im Regel­fall zunächst die Vor­la­ge von VVT, einer DSFA „oder zumin­dest [..] Risi­ko­be­wer­tung“, der TOM, Doku­men­ta­tio­nen zum Umgang mit Betrof­fe­nen­rech­ten, Lösch­fris­ten und wei­te­re Daten­schutz­kri­te­ri­en vor Ort ange­for­dert. Dar­auf­fol­gend die Prü­fung des kon­kre­ten Anlas­ses und Ver­fer­ti­gung einer Kurz­zu­sam­men­fas­sung vor Ort, die zusam­men mit dem Ver­ant­wort­li­chen erör­tert wird.

Der eigent­li­che Prüf­be­richt wird der Ein­rich­tung /​ dem Ver­ant­wort­li­chen zuge­stellt und die­ser kann dazu Stel­lung neh­men. Gege­be­nen­falls erfol­gen Abhil­fe­maß­nah­men nach Art. 58 Abs. 2 DSGVO und die Ver­hän­gung einer Geldbuße.

Das UZD führ­te nach der Ein­füh­rung des Ein­sat­zes von Body-Cams bei der Poli­zei Saar­land Stich­pro­ben durch, bei denen es erheb­li­che Defi­zi­te bei der Ein­hal­tung der Daten­schutz­vor­ga­ben fest­ge­stellt hat.

Bei der Prü­fung von BCR (Bin­ding Cor­po­ra­te Rules) zur Daten­si­cher­heit inner­halb inter­na­tio­nal agier­den­der Kon­zern­struk­tu­ren iSd. Art. 47 DSGVO war das UDZ in 2019 ins­ge­samt zwei­mal betei­ligt — bei 20 BCR-Ver­fah­ren europaweit.

Rechen­schafts­pflicht Großunternehmen

Ende 2018, Anfang 2019 wur­den drei der größ­ten Unter­neh­men des Saar­lands um Rechen­schaft ersucht hin­sicht­lich DSGVO Umset­zungs­stand, VVT, Risi­ko­ab­schät­zun­gen und Pro­zes­se und die daten­schutz­kon­for­me Ver­ar­bei­tung von per­so­nen­be­zo­ge­ner Daten im all­ge­mei­nen sowie im Detail.

Wei­te­re Themen

Der Bericht ent­hält außer­dem detail­lier­te Kapi­tel unter ande­rem zu Rechts­fra­gen, recht­li­chen Aus­le­gun­gen und Bewer­tun­gen sowie Rechts­an­wen­dung der DSGVO, die inter­es­san­te und wich­ti­ge Aspek­te beleuchten:

  • Infor­ma­ti­ons­pflich­ten
  • Aus­kunfts­recht
  • Abgren­zung der klas­si­schen AV zur Gemein­sa­men Verantwortlichkeit
  • DSFA
  • Zer­ti­fi­zie­rung und Akkreditierung
  • Fashion ID
  • Planet49
  • Ori­en­tie­rungs­hil­fe Tele­me­di­en der DSK
  • ePri­va­cy-Ver­ord­nung
  • Win­dows 10
  • Daten­schutz­kon­for­me Nut­zung von Whats­App im Rah­men kom­mu­na­ler Bürgerdienste
  • Strea­ming von Ratssitzungen
  • Nut­zung von Geodaten
  • Tele­ar­beit bei der Polizei
  • Licht­bild­ab­gleich in Ord­nungs­wid­rig­kei­ten­ver- fahren
  • Foto­gra­fie­ren an Schu­len und Kindergärten
  • Video­über­wa­chung
  • Daten­schutz im Verein
  • Daten­schutz­recht­li­che Bewer­tung tele­fo­ni­scher Werbeansprachen
  • Ein­sicht in die Patientenakte

Den Bericht fin­den Sie im pdf Voll­text auf der Web­site der Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land — UZD.

Wenn Sie Fra­gen zu The­men oder Begrif­fen des Berichts haben, nut­zen Sie hier­für ger­ne die Kom­men­tar­funk­ti­on — Ihr Team von a.s.k. Datenschutz.

14. Euro­päi­scher Daten­schutz­tag 2020

Am 28.01.2020 fand in Ber­lin der dies­jäh­ri­ge, 14. Euro­päi­sche Daten­schutz­tag der Daten­schutz­kon­fe­renz statt. Auf Initia­ti­ve des Euro­pa­rats jährt sich der Daten­schutz­tag seit 2007 um den 28. Janu­ar und wird in Deutsch­land als Ver­an­stal­tung der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der ausgerichtet.

In die­sem Jahr lag das Augen­merk ins­be­son­de­re auf Daten­schutz im Kon­text des Ent­wick­lungs­fort­schritts der KI. Unter dem Mot­to “Künst­li­che Intel­li­genz — Zwi­schen Bän­di­gung und För­de­rung” wur­den Frei­hei­ten, Grund­rech­te und Schutz­be­dürf­nis­se bei der Schaf­fung von Rah­men­be­din­gun­gen und der Ent­fal­tung dies­be­züg­li­cher Akti­vi­tä­ten the­ma­ti­siert von Refe­ren­ten aus Poli­tik, Wis­sen­schaft, Recht und den Teilnehmern.

Die Vor­trä­ge beschäf­tig­ten sich unter ande­rem mit den Themen:

  • Aspek­te des Uni­ons­rechts im Hin­blick auf Digi­ta­li­sie­rung und Daten­schutz
  • Der Hand­lungs­rah­men für KI-Anwen­dun­gen: Wirt­schaft, Tech­nik, Ethik und (Daten­schutz-) Recht in Deutsch­land, Euro­pa und der Welt” und
  • Was ver­ste­hen Nut­zer unter Algo­rith­men?

“Per­sön­lich” wur­de es — in fach­li­cher Hin­sicht — im Rah­men der Podi­ums­dis­kus­si­on zum “Nut­zen und Scha­den von KI für den Ein­zel­nen — Was geht mich KI an?”. Die KI und ihr Daten­schutz sind ein span­nen­des und leben­di­ges The­ma, das jeden All­tag in naher Zukunft in greif­ba­rer Wei­se bestim­men wird. Wei­te­re Infor­ma­tio­nen zu dem The­men­be­reich erhal­ten Sie unter nach­fol­gen­den Links.

Was mei­nen Sie zu dem The­ma, lie­be Leser? Freu­en Sie sich auf Ihr ers­tes Robo­ter­au­to oder ist Ihnen das alles spoo­ky? Sie kön­nen es uns im Kom­men­tar­feld wis­sen las­sen. Wir sind gespannt, Ihr Team von a.s.k. Datenschutz

BSI IT-Sicher­heits­kon­gress — KI         BSI — KI im Auto         Fraun­ho­fer Insti­tut — KI

Auf­ga­ben des exter­nen Datenschutzbeauftragten

Was sind die Auf­ga­ben des exter­nen Datenschutzbeauftragten?

Arti­kel 39 Absatz 1 DSGVO defi­niert die Auf­ga­ben des Daten­schutz­be­auf­trag­ten. Dar­aus erge­ben sich 1:1 die Auf­ga­ben des exter­nen Daten­schutz­be­auf­trag­ten, denn hier wird kei­ne Unter­schei­dung zwi­schen intern und extern getroffen:

Dem Daten­schutz­be­auf­trag­ten oblie­gen zumin­dest fol­gen­de Aufgaben:

a) Unter­rich­tung und Bera­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters und der Beschäf­tig­ten, die Ver­ar­bei­tun­gen durch­füh­ren, hin­sicht­lich ihrer Pflich­ten nach die­ser Ver­ord­nung sowie nach sons­ti­gen Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mitgliedstaaten;

b) Über­wa­chung der Ein­hal­tung die­ser Ver­ord­nung, ande­rer Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mit­glied­staa­ten sowie der Stra­te­gien des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters für den Schutz per­so­nen­be­zo­ge­ner Daten ein­schließ­lich der Zuwei­sung von Zustän­dig­kei­ten, der Sen­si­bi­li­sie­rung und Schu­lung der an den Ver­ar­bei­tungs­vor­gän­gen betei­lig­ten Mit­ar­bei­ter und der dies­be­züg­li­chen Überprüfungen;

c) Bera­tung – auf Anfra­ge – im Zusam­men­hang mit der Daten­schutz-Fol­gen­ab­schät­zung und Über­wa­chung ihrer Durch­füh­rung gemäß Arti­kel 35;

d) Zusam­men­ar­beit mit der Aufsichtsbehörde;

e) Tätig­keit als Anlauf­stel­le für die Auf­sichts­be­hör­de in mit der Ver­ar­bei­tung zusam­men­hän­gen­den Fra­gen, ein­schließ­lich der vor­he­ri­gen Kon­sul­ta­ti­on gemäß Arti­kel 36, und gege­be­nen­falls Bera­tung zu allen sons­ti­gen Fragen.

Als exter­ne Daten­schutz­be­auf­trag­te kann und darf man durch­aus noch etwas mehr an Auf­ga­ben übernehmen

  • Pfle­ge des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach inter­ner Zuarbeit
  • Kon­ti­nu­ier­li­che Schu­lung und Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch eLear­ning, Web­i­na­re, Vor-Ort-Schu­lun­gen, Mit­ar­bei­ter­zei­tung, News­let­ter und vie­les mehr
  • Prü­fung von Ver­ein­ba­run­gen mit exter­nen Dienst­leis­tern nach Art. 28 DSGVO Auftragsverarbeitung
  • Prü­fen und Über­wa­chen der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men Ihrer exter­nen Dienst­leis­ter nach Art. 28 + 32 DSGVO
  • und noch so eini­ges mehr

Was ein Daten­schutz­be­auf­trag­ter nicht leis­ten kann?

Lei­der immer noch viel zu oft ist eine etwas irra­tio­na­le Erwar­tungs­hal­tung anzu­tref­fen. Mit der Benen­nung eines (exter­nen) Daten­schutz­be­auf­trag­ten ist eine Orga­ni­sa­ti­on mit­nich­ten von den Ver­pflich­tun­gen aus der DSGVO für die Orga­ni­sa­ti­on und die damit ver­bun­de­nen Tätig­kei­ten, Auf­ga­ben und Zuar­bei­ten befreit. Es sind nach wie vor alle Orga­ni­sa­ti­ons­ebe­nen gefor­dert, aktiv das The­ma Daten­schutz zu gestal­ten und dem Daten­schutz­be­auf­trag­ten zuzu­ar­bei­ten. Wenn Sie sich die Auf­stel­lung der Auf­ga­ben des Daten­schutz­be­auf­trag­ten aus Art. 39 DSGVO zu Beginn die­ses Bei­trags noch mal in Erin­ne­rung rufen, sind des­sen Beratungs‑, Kon­troll- und Über­prü­fungs­auf­ga­ben kon­kret defi­niert. Bei die­ser Auf­zäh­lung fehlt zu Recht der Begriff “Umset­zen”. Daten­schutz wird durch alle Mit­ar­bei­ter einer Orga­ni­sa­ti­on “umge­setzt” bzw. gelebt. Der Daten­schutz­be­auf­trag­te wirkt auf die rechts­kon­for­me Daten­ver­ar­bei­tung in der Orga­ni­sa­ti­on hin, u.a. durch Bera­tung, und über­prüft die­se im Rah­men sei­ner Kon­troll- und Überwachungsfunktion.

Inter­es­se an einem exter­nen Daten­schutz­be­auf­trag­ten geweckt?

Sie benö­ti­gen einen (exter­nen) Daten­schutz­be­auf­trag­ten? Dann nut­zen Sie unse­re lang­jäh­ri­ge Erfah­rung und das Know How als exter­ne Daten­schutz­be­auf­trag­te für zahl­rei­che unter­schied­li­che Orga­ni­sa­tio­nen zum Schutz Ihres Unter­neh­mens. Spre­chen Sie uns an.

Das Anhe­ben der Mit­ar­bei­ter­gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten senkt nicht die Bürokratie

Daten­schutz-Anpas­sungs­ge­setz 2019 und die Folgen

Die Uni­ons­par­tei­en las­sen sich fei­ern bzw. fei­ern sich selbst. Von einem Weg­fall der Büro­kra­tie im Daten­schutz für klei­ne Betrie­be und Ver­ei­ne ist die Rede. Das The­ma Daten­schutz sei jetzt viel ein­fa­cher und weni­ger auf­wän­dig für eine Viel­zahl von Betrie­ben und Ver­ei­nen. Anlass ist die Ver­ab­schie­dung eines Anpas­sungs­ge­set­zes mit not­wen­di­gen Kor­rek­tu­ren in 154 natio­na­len Geset­zen im Bun­des­tag am ver­gan­ge­nen Frei­tag, zu nächt­li­cher Unzeit. Und es stimmt, eine Anpas­sung zahl­rei­cher natio­na­ler Geset­ze und Rege­lun­gen war durch die DSGVO aus Mai 2018 not­wen­dig gewor­den. Doch was aktu­ell in ver­schie­de­nen Medi­en als Erfolg für den Abbau von Büro­kra­tie gefei­ert wird, allen vor­an bei Hand­werks­kam­mern und Ver­ei­nen, das ent­behrt einer Grund­la­ge. Noch dazu zeugt es davon, dass die Betei­lig­ten, das The­ma Daten­schutz und die recht­li­chen Anfor­de­run­gen nicht ganz umris­sen haben.

Hin­ter­grund ist die Anhe­bung der Mit­ar­bei­ter­gren­ze, ab der für Unter­neh­men und Ver­ei­ne die Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­liegt. War hier bis­her die Gren­ze von min­des­tens 10 (mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befass­ten) Mit­ar­bei­tern gezo­gen, soll zukünf­tig — die Zustim­mung im Bun­des­rat vor­aus­ge­setzt — erst ab 20 Mit­ar­bei­tern eine Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­lie­gen. Die Ver­ant­wort­li­chen ver­spre­chen den betrof­fe­nen Unter­neh­men und Ver­ei­nen eine spür­ba­re büro­kra­ti­sche Ent­las­tung im Daten­schutz. Ist dem so?

Weg­fall des Daten­schutz­be­auf­trag­ten bedeu­tet weni­ger Datenschutz-Bürokratie?

Ein kla­res NEIN. Und das ist auch ganz ohne juris­ti­sche Kennt­nis­se ganz leicht zu beant­wor­ten. Die DSGVO schreibt (wie übri­gens auch das vor­he­ri­ge Daten­schutz­recht) die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unter gewis­sen Vor­aus­set­zun­gen vor. Eben­so beinhal­tet das Bun­des­da­ten­schutz­ge­setz in neu­er Fas­sung 2018 die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten und kon­kre­ti­siert im Rah­men einer sog. Öff­nung­klau­sel wei­te­re Vor­aus­set­zun­gen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergän­zend zu Arti­kel 37 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/​679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen. Neh­men der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter Ver­ar­bei­tun­gen vor, die einer Daten­schutz-Fol­gen­ab­schät­zung nach Arti­kel 35 der Ver­ord­nung (EU) 2016/​679 unter­lie­gen, oder ver­ar­bei­ten sie per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung, haben sie unab­hän­gig von der Anzahl der mit der Ver­ar­bei­tung beschäf­tig­ten Per­so­nen eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten zu benennen.

Die­se Gren­ze von min­des­tens 10 Per­so­nen für die Bestell­pflicht eines inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten soll nun mit den aktu­el­len Anpas­sun­gen, denen der Bun­des­rat noch zustim­men muss (was sehr wahr­schein­lich ist), auf 20 Per­so­nen ange­ho­ben wer­den. Weder in den bis­he­ri­gen Begrün­dun­gen und Erläu­te­run­gen zu die­sem Geset­zes­ent­wurf noch in den zahl­rei­chen Pres­se­ar­ti­keln der Uni­ons­par­tei­en, den Befür­wor­tern die­ser Ände­rung oder Wirt­schafts­ver­bän­den ist jedoch eine nach­voll­zieh­ba­re Erklä­rung vor­han­den, wie­so dies nun weni­ger Büro­kra­tie für die betrof­fe­nen Unter­neh­men und Ver­ei­ne bedeutet.

Es wird auch sehr schwer sein, eine sol­che Erklä­rung zu fin­den. Denn der Daten­schutz­be­auf­trag­te sorgt nicht für die Büro­kra­tie im Daten­schutz. Das über­neh­men die Geset­ze und teil­wei­se auch die nicht immer kla­ren bzw. gele­gent­lich pra­xis­fer­nen Aus­le­gun­gen der Landesdatenschutzbehörden.

“Ja, aber jetzt müs­sen klei­ne Unter­neh­men und Ver­ei­ne für den Daten­schutz nichts mehr tun!”

Auch hier wie­der eine kla­re Aus­sa­ge: DOCH! Ohne jetzt mal eine Unter­schei­dung zwi­schen Behör­den, Unter­neh­men oder Ver­ei­nen vor­zu­neh­men: Ein Para­graph von 85 ins­ge­samt im BDSG n.F. wur­de ange­passt, die sons­ti­gen Anfor­de­run­gen aus dem BDSG und der DSGVO (99 wei­te­re Arti­kel) blei­ben von der Gren­ze zur Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unbe­rührt. Rech­nen wir doch ein­fach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathe­ma­tisch kei­ne all­zu­gro­ße Ent­las­tung bei her­aus­kom­men. Denn um es mit aller Deut­lich­keit zu sagen, ALLE Anfor­de­run­gen, die von Unter­neh­men und Ver­ei­nen als büro­kra­ti­sche “Belas­tung” emp­fun­den wer­den, blei­ben wei­ter­hin bestehen und müs­sen ent­spre­chend erfüllt wer­den (eini­ge Beispiele):

  • Pflicht zum Erstel­len und Pfle­gen eines Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Iden­ti­fi­ka­ti­on, Bewer­tung und Mel­dung von Daten­pan­nen an Auf­sichts­be­hör­de und Betrof­fe­ne nach Art. 33, 34 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Prü­fen aus­rei­chen­der tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men von exter­nen Dienst­leis­tern und Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung gemäß Art. 28, 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Bear­bei­ten und Sicher­stel­len von Betrof­fe­nen­rech­ten nach Art. 12–23 DSGVO inkl. Zusam­men­stel­len und Zur­ver­fü­gung­stel­len der Anga­ben zu den Infor­ma­ti­ons­pflich­ten? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Sicher­heit der eige­nen Ver­ar­bei­tung regel­mä­ßig prü­fen und not­wen­di­ge Anpas­sun­gen sicher­stel­len nach Art. 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Risi­ko­ab­schät­zung von Ver­ar­bei­tungs­tä­tig­kei­ten bis hin zur Daten­schutz-Fol­gen­ab­schät­zung nach Art. 32+35 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Regel­mä­ßi­ge Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern, nicht nur am Tag der Ein­stel­lung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Und die­se Lis­te lie­ße sich noch um vie­le wei­te­re (durch­aus auch mal) “büro­kra­tie­be­haf­te­te” Tätig­kei­ten fort­füh­ren .… CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden

Die von der beschlos­se­nen Anpas­sung aus­ge­sen­de­te Bot­schaft ist durch­aus als toxisch zu bezeich­nen. Der Fehl­glau­be, mit Weg­fall der Bestell­pflicht ent­fie­len auch alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen war auch im alten BDSG vor 2018 weit ver­brei­tet. Aus unse­rer Erfah­rung quä­len sich seit der DSGVO gera­de die Betrie­be und Ver­ei­ne mit dem Daten­schutz am meis­ten, wel­che es in den Jah­ren davor unter dem alten Daten­schutz­recht etwas läs­sig haben ange­hen las­sen. Für die­se Ver­säum­nis­se und auch die gene­rel­len recht­li­chen For­ma­li­tä­ten im Daten­schutz­recht kann der Daten­schutz­be­auf­trag­te jedoch nichts. Im Gegen­teil: Der Daten­schutz­be­auf­trag­te wäre der idea­le Ansprech­part­ner mit aus­rei­chend Wis­sen und Sach­ver­stand, um die­se büro­kra­ti­schen Anfor­de­run­gen pro­blem­los zu meis­tern und für eine Daten­schutz-Kul­tur in der Orga­ni­sa­ti­on zu sorgen.

Daten­schutz­ver­stö­ße und Buß­gel­der wer­den zunehmen

Man muss kein Wahr­sa­ger sein, dass sowohl die Zahl der Daten­schutz­ver­stö­ße und die der Buß­gel­der nun zuneh­men wird. Die Lan­des­da­ten­schutz­be­hör­den haben bereits in 2018, in der Pla­nungs­pha­se für die­ses Anpas­sungs­ge­setz signa­li­siert, mit der vor­han­de­nen Per­so­nal­aus­stat­tung kei­ne bera­ten­den, son­dern nur noch kon­trol­lie­ren­de Tätig­kei­ten aus­üben zu kön­nen. Eine Auf­sto­ckung ist nach unse­rem Kennt­nis­stand in kei­nem Bun­des­land geplant. Sorg­te bis­her der Daten­schutz­be­auf­trag­te für das not­wen­di­ge Wis­sen in klei­nen Unter­neh­men und Ver­ei­nen, so geht die­ses Wis­sen nun im Rah­men der ver­meint­li­chen “Ent­bü­ro­kra­ti­sie­rung” von Bord. Damit ste­hen übli­cher­wei­se Inha­ber, Geschäfts­füh­rer und Ver­eins­vor­stän­de in der Pflicht, für die kor­rek­te Umset­zung und den Betrieb des Daten­schut­zes Sor­ge zu tra­gen. Und da reden wir bis­her nur von den For­ma­li­tä­ten, sie­he Abschnitt zuvor. Ein akti­ver Daten­schutz­be­auf­trag­ter ist Bera­ter, Coach, Moti­va­tor und Kon­trol­leur zugleich. Ein akti­ver Daten­schutz­be­auf­trag­ter sorgt bei guter Auf­ga­ben­er­fül­lung für einen geleb­ten Daten­schutz in der Orga­ni­sa­ti­on. Auch die­se Auf­ga­be obliegt nun ande­ren Ver­ant­wort­li­chen. Woher kommt der not­wen­di­ge Zeit­an­teil dafür, wo doch alle Unter­neh­men per­so­nell auf spit­zer Kan­te fah­ren? Woher kommt das not­wen­di­ge Wis­sen für die kor­rek­te Umset­zung des Daten­schut­zes? Wird es jetzt 4‑stündige Crash-Kur­se der ein­schlä­gi­gen Anbie­ter geben “DSGVO ohne Büro­kra­tie und Auf­wand für Geschäfts­füh­rer und Ver­eins­vor­stän­de”, selbst­ver­ständ­lich mit bun­tem Zer­ti­fi­kat auf Hoch­glanz? Gute Kur­se zum Ein­stieg für einen DSB dau­ern 5 Tage. Und danach hat der DSB immer noch einen lan­gen Weg vor sich, bis er weiß, was und wie es kon­kret zu tun ist!

Und wenn etwas pas­siert oder im Fal­le einer Über­prü­fung als Man­gel fest­ge­stellt wird, die Haf­tung bleibt. Die bis­he­ri­ge Art von “Ver­si­che­rung” oder zumin­dest die Mög­lich­keit zur Ver­rin­ge­rung von Ein­tritts­wahr­schein­lich­kei­ten von Risi­ken und Män­geln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bun­des­rat nicht noch zur Ver­nunft kommt.

Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber twit­ter­te nicht zu Unrecht:

Mit der Ver­wäs­se­rung der Anfor­de­rung zur Ernen­nung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten wird den Unter­neh­men nur Ent­las­tung sug­ge­riert. Daten­schutz­pflich­ten blei­ben, Kom­pe­tenz fehlt ohne bDSB. Fol­ge wer­den mehr Daten­schutz­ver­stös­se und Buß­gel­der sein ☹️

Im Ergeb­nis haben klei­ne Unter­neh­men und Ver­ei­ne nur weni­ge Möglichkeiten:

  1. Igno­ranz des The­mas Daten­schutz: Sie­he Haf­tung und Bußgelder
  2. Eigen­re­gie und Prin­zip Hoff­nung: Inha­ber, Geschäfts­füh­rer oder Ver­eins­vor­stand eig­nen sich in ihrer eh schon knap­pen Zeit das not­wen­di­ge Know How an, hal­ten die­ses aktu­ell und küm­mern sich um die kor­rek­te Umset­zung in der eige­nen Orga­ni­sa­ti­on. Wie rea­lis­tisch wird das sein?
  3. Exter­nes Know How zukau­fen: Da das not­wen­di­ge Wis­sen und die Mög­lich­keit zur Wei­ter­bil­dung nicht gege­ben sind, wird das Know How extern zugekauft
  4. Inter­nen Mit­ar­bei­ter für das The­ma Daten­schutz aus­bil­den und Auf­ga­ben über­tra­gen: Kos­ten für die Aus- und Wei­ter­bil­dung, not­wen­di­ge Zeit­an­tei­le müs­sen ein­ge­plant werden

Übri­gens sind die Vari­an­ten 3 und 4 ganz nah am exter­nen und inter­nen Daten­schutz­be­auf­trag­ten. Und ob Vari­an­ten 1 und 2 so geschickt sind, die Erfah­rung muss jetzt jeder Ver­ant­wort­li­che für sich selbst machen. Sofern die­ser in Betracht zieht, die Auf­wei­chung zur Gren­ze der Bestell­pflicht nach oben für die eige­nen Orga­ni­sa­ti­on zu nutzen.

Was hät­te der Gesetz­ge­ber bes­ser machen können?

Die Sinn­haf­tig­keit der Anhe­bung der Gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten kann man durch­aus in Zwei­fel zie­hen. Dabei hät­te der Gesetz­ge­ber — zumin­dest in Tei­len — durch­aus die Mög­lich­keit gehabt, für Klar­heit zu sor­gen. Die­se wur­de jedoch ver­säumt. So hät­te der immer noch schwe­len­de Kon­flikt mit dem Recht auf freie Mei­nungs­äu­ße­rung und dem Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung auch oder gera­de im Rah­men jour­na­lis­ti­scher Tätig­kei­ten gelöst wer­den kön­nen. Ein paar klä­ren­de Para­gra­phen zu der noch immer herr­schen­den Unsi­cher­heit beim Anfer­ti­gen und Nut­zen von Foto­gra­fien im Kon­flikt mit dem KUG hät­ten durch­aus auch Charme gehabt. Ob es zweck­dien­lich für das The­ma Daten­schutz ist, das BSI von Tei­len der Betrof­fe­nen­rech­te zukünf­tig aus­zu­neh­men und die Rechen­schafts­pflicht hier ein­zu­schrän­ken, darf durch­aus auch in Zwei­fel gezo­gen wer­den. Man hät­te sich aber auch um den vom Bun­des­ver­fas­sungs­ge­richt vor kur­zem für ungül­tig erklär­ten § 4 Abs. 1 BDSG zur Video­über­wa­chung küm­mern kön­nen oder zumin­dest klar­stel­len kön­nen, dass euro­päi­sches Recht hier gilt. Da kann man es auch nur noch mit einem leich­ten Schmun­zeln zur Kennt­nis neh­men, dass jetzt auch der Digi­tal­funk der Poli­zei einer 75-tägi­gen Vor­rats­da­ten­spei­che­rung unter­wor­fen wer­den soll. Und das, wo die aktu­el­le Frist von 70 Tagen zur Zeit aus­ge­setzt ist und vor dem Bun­des­ver­fas­sungs­ge­richt geklärt wird.

Es gibt viel Ver­bes­se­rungs­po­ten­ti­al im Bereich Daten­schutz, gar kei­ne Fra­ge. Ein­heit­li­che und pra­xis­na­he Aus­le­gun­gen sei­tens der Lan­des­da­ten­schutz­be­hör­den hät­ten enor­mes Poten­ti­al, auch die Akzep­tanz des The­mas Daten­schutz gene­rell zu erhö­hen. Hier kann der Gesetz­ge­ber jedoch nicht regelnd ein­grei­fen, außer man wür­de die Lan­des­da­ten­schutz­be­hör­den auf­lö­sen und in einer zen­tra­len Orga­ni­sa­ti­on des Bun­des zusam­men­fas­sen. Statt­des­sen wird nun in klei­nen Schif­fen und Boo­ten der Lot­se von Bord geschickt. Die Zukunft wird zei­gen, ob die gewünsch­te Ent­bü­ro­kra­ti­sie­rung damit Ein­zug hält. Es steht nicht zu vermuten.

Übri­gens ein Schelm, wer Böses dabei denkt: Der Pas­sus zur Anhe­bung der Gren­ze von 10 auf 20 Mit­ar­bei­ter wur­de erst Mon­tag, den 24.06.2019 — also sehr kurz­fris­tig vor der Ver­ab­schie­dung am Frei­tag im Bun­des­tag — (wie­der) eingefügt.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Inter­es­sens­kon­flik­te bei Daten­schutz­be­auf­trag­ten vermeiden

Rechts­la­ge: Ver­mei­dung von Inter­es­sens­kon­flik­ten bei einem Daten­schutz­be­auf­trag­ten vorgeschrieben

Bereits im Anwen­dungs­rah­men des alten BDSG (vor Mai 2018) galt es, Inter­es­sens­kon­flik­te eines Daten­schutz­be­auf­trag­ten bei der Aus­übung sei­ner Tätig­keit zu ver­mei­den. Art. 38 Abs. 6 DSGVO (exter­ner Link) regelt das seit Mai 2018 nicht anders:

“Der Daten­schutz­be­auf­trag­te kann ande­re Auf­ga­ben und Pflich­ten wahr­neh­men. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter stellt sicher, dass der­ar­ti­ge Auf­ga­ben und Pflich­ten nicht zu einem Inter­es­sen­kon­flikt führen.”

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit von Baden-Würt­tem­berg, Dr. Ste­fan Brink hat dies in sei­nem 38. Tätig­keits­be­richt 2018 (exter­ner Link) aus­führ­li­cher beleuch­tet. “Der Ver­ant­wort­li­che bzw. Auf­trags­ver­ar­bei­ter hat aller­dings dafür Sor­ge zu tra­gen, dass […] kei­ne Unver­ein­bar­kei­ten bzw. Befan­gen­heit vorliegen.”

Wer darf bzw. darf die Funk­ti­on des Daten­schutz­be­auf­trag­ten in einem Unter­neh­men oder einer Behör­de ausüben?

In Anbe­tracht der wei­ten Prüf- und Kon­troll­pflich­ten eines Daten­schutz­be­auf­trag­ten, zieht Brink hier eine deut­li­che Grenze:

“Für eine kor­rek­te Erfül­lung der Auf­ga­ben des DSB ist viel­mehr eine wei­test­ge­hen­de Distanz gegen­über der zu kon­trol­lie­ren­den Stel­le uner­läss­lich, denn eine effek­ti­ve Kon­trol­le ist dann zu bezwei­feln, wenn der Kon­trol­leur sich selbst kon­trol­lie­ren muss.”

Das mit der zu kon­trol­lie­ren­den Stel­le die Orga­ni­sa­ti­on (Unter­neh­men, Behör­de, Ver­ein) gemeint ist, wel­che den Daten­schutz­be­auf­trag­ten zu bestel­len hat, liegt auf der Hand. Gene­rell soll der DSB kei­ne ande­re Funk­ti­on aus­üben, in der er oder sie über die Zwe­cke oder Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten selbst zu ent­schei­den hat. Doch was bedeu­tet das nun kon­kret (Sei­ten 28–30 des TB), wer schei­det für die Aus­übung des Daten­schutz­be­auf­trag­ten gene­rell aus:

  1. Leitungs‑, Chef- und Inha­ber­ebe­ne: Inha­ber, Lei­ter, Part­ner, Vor­stand, Geschäfts­füh­rer, Mit­glied der Geschäfts­lei­tung, Mana­ger, Bür­ger­meis­ter, Land­rat oder ander­wei­tig beru­fe­ne Lei­tung der Organisation
  2. Nach­ge­ord­ne­te Posi­tio­nen mit Füh­rungs­auf­ga­ben und Ent­schei­dungs­kom­pe­tenz über die Fest­le­gung von Zwe­cken und Mit­teln der Daten­ver­ar­bei­tung (IT): IT-Lei­ter, Lei­ter des ope­ra­ti­ven Geschäfts­be­reichs, Lei­ter Mar­ke­ting, Lei­ter Per­so­nal, Betriebs­lei­ter, Amts- bzw- Geschäfts­lei­ter, aber durch­aus auch nach­ge­la­ger­te Funk­tio­nen, wenn die­se ähn­li­che Inter­es­sens­kon­flik­te mit sich bringen
  3. Berei­che mit hohem Ver­ar­bei­tungs­um­fang: Mit­ar­bei­ter aus dem Personal‑, Ver­triebs- oder Marketingbereich
  4. Beauf­trag­te: Geheim­schutz­be­auf­trag­te, Geldwäschebeauftragte

Bei der Prü­fung auf mög­li­che Inter­es­sens­kon­flik­te sind auch fami­liä­re Ver­hält­nis­se zu berück­sich­ti­gen. So kann bei zu engen fami­liä­ren Bezie­hun­gen zwi­schen Orga­ni­sa­ti­ons­lei­tung bzw. Inha­ber und dem zu bestel­len­den Daten­schutz­be­auf­trag­ten die not­wen­di­ge Unab­hän­gig­keit nach Art. 38 Abs. 3 DSGVO nicht mehr gewähr­leis­tet sein. Das gilt übri­gens unab­hän­gig davon, ob der oder die Ver­wand­te bei der bestel­len­den Orga­ni­sa­ti­on beschäf­tigt ist oder nicht.

Dann bestel­len wir doch ein­fach einen exter­nen Daten­schutz­be­auf­trag­ten, der hat kei­ne Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vor­han­de­ne Inter­es­sens­kon­flik­te zu ver­mei­den. So ist lt. Brink der genutz­te IT-Dienst­leis­ter eben­falls befan­gen und soll­te daher nicht als exter­ner Daten­schutz­be­auf­trag­ter bestellt wer­den. Das gilt auch für den Fall, dass der Dienst­leis­ter für die IT-Betreu­ung und den Daten­schutz zwei unter­schied­li­che Mit­ar­bei­ter ein­setzt. Soll­te der exter­ne Daten­schutz­be­auf­trag­te die Orga­ni­sa­ti­on in daten­schutz­recht­li­chen Sachen vor Gericht ver­tre­ten, ist eben­falls ein Inter­es­sens­kon­flikt anzunehmen.

Durch unse­re Fokus­sie­rung auf die bei­den The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit sind wir bei Aus­übung der Funk­ti­on des exter­nen Daten­schutz­be­auf­trag­ten frei von Inter­es­sens­kon­flik­ten. Wir sind in kei­nen ande­ren Berei­chen für Sie tätig und bestim­men wei­ter­hin nicht über Zweck und Mit­tel zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in Ihrer Orga­ni­sa­ti­on. Spre­chen Sie uns an (inter­ner Link).

 

 

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

Gera­de klei­ne­re Kom­mu­nen wün­schen ger­ne die The­men Infor­ma­ti­ons­si­cher­heit und Daten­schutz aus einer Hand. Dabei wird ger­ne über­se­hen, dass hier­bei ein klas­si­scher Inter­es­sens­kon­flikt ent­steht. Die­ser ist nicht nur auf­grund recht­li­cher Vor­schrif­ten zu vermeiden.

Durch unse­re Zusam­men­ar­beit mit der GKDS in Mün­chen haben wir für Kom­mu­nen die opti­ma­le Lösung im Angebot.

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

  • Daten­schutz und Informations­sicherheit aus einer Hand
  • Qua­li­fi­zier­tes Per­so­nal mit jah­re­lan­ger Kommunalerfahrung
  • Zer­ti­fi­zier­te Kom­mu­ni­ka­ti­ons­- und Dokumentationsplattform
  • Struk­tu­rier­te Doku­men­ta­ti­on im vir­tu­el­len Aktenschrank
  • Fach­li­cher Informationsaustausch
  • Per­sön­li­che Ansprechpartner
  • Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune
  • ISMS ISIS12 mit Zertifizierung
  • BSI IT­-Grund­schutz 200x

Die GKDS unter­stützt Sie mit

  • Datenschutz­analyse
  • Umset­zung der DSGVO
  • Exter­ne Daten­ schutzbeauf­tragte
  • Datenschutz­beratung

a.s.k. Daten­schutz steht Ihnen zur Sei­te mit

  • Schwach­stellenanalyse Informationssicherheit
  • Informations­sicherheits­konzept
  • Kom­mu­na­le Informationssicherheitsbeauftragte

Und das alles auf einer Platt­form und mit direk­tem Aus­tausch der Betei­lig­ten unter­ein­an­der. Kei­ne Inter­es­sens­kon­flik­te, kei­ne lee­ren Ver­spre­chun­gen, son­dern genau die benö­tig­te Unter­stüt­zung im kom­mu­na­len Bereich — gera­de für klei­ne­re Kommunen.

Unser gemein­sa­mer Fly­er zum Download

[wpfi­le­ba­se tag=file path=‘flyer/1902ask-GKDS_Flyer_DIN-A4_DD.pdf’ tpl=simple /​]

Kei­ne Panik: Die EU-Daten­schutz­grund­ver­ord­nung kommt

Wer die letz­ten Woche und Mona­te die Mel­dun­gen in den Nach­rich­ten, auf Blogs, in sozia­len Netz­wer­ken und auch per Post ver­folgt, kann es nur mit der Angst bekom­men. Da kommt die EU-Daten­schutz­grund­ver­ord­nung im Mai 2018 auf Unter­neh­men und Behör­den zu und man könn­te mei­nen, die Welt ste­he kurz vor ihrem Unter­gang. Ein­zi­ge Abhil­fe natür­lich, jetzt schnell diver­se Semi­na­re buchen oder diver­se Lite­ra­tur­zu­sam­men­stel­lun­gen kau­fen. Doch ist das wirk­lich so schlimm, was da auf Unter­neh­men und Behör­den zu kommt?

Recht­li­ches zur EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein har­tes Umschal­ten zwi­schen unse­ren bis­he­ri­gen natio­na­len Daten­schutz­ge­set­zen und der EU-DSGVO geben. Sind wir bis zu die­sem Ter­min noch an das Bun­des­da­ten­schutz­ge­setz und die Lan­des­da­ten­schutz­ge­set­ze gebun­den, so wer­den die­se zum og. Ter­min durch die EU-DSGVO ver­drängt. Hin­zu kom­men in den EU-Mit­glieds­staa­ten mög­li­che Anpas­sungs­ge­set­ze, in Deutsch­land für Bund und Län­der jeweils sepa­rat. Die­se beru­hen auf den soge­nann­ten Öff­nungs­klau­seln in der EU-DSGVO, zu denen die Mit­glieds­staa­ten eige­ne natio­na­le Regeln ergän­zen kön­nen. Der Spiel­raum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu wider­spre­chen sein.

Vor die­sem Hin­ter­grund ist auch der Arbeits­ti­tel “BDSG-neu” für das deut­sche Anpas­sungs­ge­setz nicht ganz kor­rekt. Daher heißt es auch im rich­ti­gen Wort­laut “Daten­schutz­an­pas­sungs- und Umset­zungs­ge­setz (DSAn­pUG)” und wur­de gera­de nach eini­gen Dis­kus­sio­nen ver­ab­schie­det. Einer­seits sind die Daten­schutz­be­auf­trag­ten der Län­der nach wie vor nicht ganz zufrie­den, ande­rer­seits haben die ver­schie­de­nen Lob­by­grup­pen zur Auf­wei­chung des bis­he­ri­gen Daten­schutz-Niveaus eben­falls Federn las­sen müs­sen. Eine EU-wei­te Har­mo­ni­sie­rung eines sol­chen The­mas wird immer ein Kom­pro­miss sein. Die­ser ist im Fal­le der EU-DSGVO erfolgt. Ob es wirk­lich der Meil­ein­stein wur­de, der von zahl­rei­chen Betei­lig­ten aus­ge­ru­fen wird, das wird die Zukunft zeigen.

Von den Anpas­sungs­ge­set­zen in den Bun­des­län­dern ist bis­her wenig bis nichts zu sehen. Belast­ba­re Rechts­kom­men­ta­re — zumin­dest zur EU-DSGVO selbst — erschei­nen in den letz­ten Wochen ver­mehrt. Kom­me­na­ta­re zum DSAn­pUG sind noch abzu­war­ten, bis zum Erschei­nen brauch­ba­rer Kom­men­ta­re zu den Anpas­sungs­ge­set­zen der Bun­des­län­der wird noch mehr Zeit ver­strei­chen. Nicht viel anders sieht es mit brauch­ba­ren Vor­la­gen z.B. zu Ände­run­gen in der Auf­trags­da­ten­ver­ar­bei­tung oder mit Prüf- und Check­lis­ten aus, die eine geziel­te Vor­be­rei­tung und Umset­zung ermöglichen.

Dies merkt auch der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz auf sei­ner Web­sei­te kor­rek­ter­wei­se im Mai 2017 an:

In die­sem Zusam­men­hang ist zu beach­ten, dass die Daten­schutz-Grund­ver­ord­nung gera­de für den öffent­li­chen Bereich eine Viel­zahl von soge­nann­ten “Öff­nungs­klau­seln” vor­sieht, die der Ergän­zung bzw. Aus­fül­lung durch die mit­glied­staat­li­chen Gesetz­ge­ber bedür­fen. Bis die dies­be­züg­li­chen Gesetz­ge­bungs­ver­fah­ren — ins­be­son­de­re auf baye­ri­scher Ebe­ne — abge­schlos­sen sind, kann daher zu bestimm­ten The­men nur eine vor­läu­fi­ge Dar­stel­lung unter dem Vor­be­halt spä­te­rer natio­na­ler Rege­lung erfolgen.

Grund zur Panik?

Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grund­sät­ze wie Ver­bots­ge­setz mit Erlaub­nis­vor­be­halt (Rechts­vor­schrift, Ver­trag, Ein­wil­li­gung) blei­ben uns erhal­ten. Grund­le­gen­de Ver­fah­rens­wei­sen blei­ben iden­tisch, bekom­men teil­wei­se nur einen ande­ren Namen (Ver­fah­rens­ver­zeich­nis wird zum Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten). Die Rege­lun­gen zur Bestell­pflicht eines (inter­nen oder exter­nen) Daten­schutz­be­auf­trag­ten wur­den in das Anpas­sungs­ge­setz über­nom­men. Für Unter­neh­men ändert sich hier nichts. In eini­gen Bun­des­län­dern wie Bay­ern war bis­her für kom­mu­na­le Ein­rich­tun­gen nur die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten mög­lich, in eini­gen Bun­des­län­dern wur­de die Bestel­lung auf frei­wil­li­ger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO har­mo­ni­siert und ab Mai 2018 müs­sen alle kom­mu­na­le Ein­rich­tun­gen einen Daten­schutz­be­auf­trag­ten bestellt haben und die­se Bestel­lung kann selbst­ver­ständ­lich auch extern erfol­gen (beach­ten Sie hier­zu auch unser Ange­bot “Exter­ner Daten­schutz­be­auf­trag­ter für baye­ri­sche Kommunen”).

 Also alles nur Panikmache?

Nein, selbst­ver­ständ­lich bringt die EU-DSGVO auch Neue­run­gen und Ände­run­gen mit sich. Statt der nur gele­gent­lich durch­zu­füh­ren­den Vor­ab­kon­trol­le wird es nun die soge­nann­te Risi­ko­fol­gen­ab­schät­zung geben. Die­se ist auch öfter durch­zu­füh­ren als bis­her. Die Rech­te der Betrof­fe­nen wer­den erwei­tert. Neben den bekann­ten Rech­ten auf Aus­kunft, Löschung und /​ oder Sper­rung kommt das Recht auf Daten­über­trag­bar­keit hin­zu. Die Ver­ein­ba­run­gen zur Auf­trags­da­ten­ver­ar­bei­tung mit bestehen­den Dienst­leis­tern sind zu aktua­li­sie­ren, sobald hier sinn­vol­le Vor­la­gen vor­lie­gen. Neu hin­zu kom­men Daten­schutz durch Tech­nik­ge­stal­tung und Daten­schutz durch Vor­ein­stel­lung (pri­va­cy by design und pri­va­cy by default). Bei­des kon­se­quen­te Fort­füh­run­gen der bis­he­ri­gen Prin­zi­pi­en Daten­ver­mei­dung und Daten­spar­sam­keit. Wei­ter­hin wur­den die Doku­men­ta­ti­ons­pflich­ten erwei­tert. Mehr Vor­gän­ge und Ent­schei­dun­gen als bis­her sind schrift­lich nach­voll­zieh­bar fest­zu­hal­ten. Hier wer­den unse­re Kun­den bereits durch die Nut­zung unse­rer voll­ver­schlüs­sel­ten Pro­jekt­platt­form bes­tens unter­stützt. Wei­te­re Ände­run­gen und Anpas­sun­gen sind abseh­bar. Doch ein Grund zur Panik ist das nicht.

Inter­es­san­ter­wei­se spielt das The­ma Infor­ma­ti­ons­si­cher­heit (end­lich) eine wich­ti­ge­re Rol­le und fin­det sich inhalt­lich auch in der EU-DSGVO wider. Orga­ni­sa­tio­nen sind gehal­ten, aus­rei­chen­de Maß­nah­men zur Infor­ma­ti­ons­si­cher­heit (nicht IT-Sicher­heit!) ein­zu­füh­ren, um den Schutz per­so­nen­be­zo­ge­ner Daten (und im eige­nen Inter­es­se gene­rell für inter­ne schüt­zens­wer­te Infor­ma­tio­nen) ein­zu­füh­ren und zu betrei­ben. Der Grad der Infor­ma­ti­ons­si­cher­heit wird sich bei Ver­stö­ßen auf die Höhe der Stra­fen aus­wir­ken. Mehr Infos zum The­ma Infor­ma­ti­ons­si­cher­heit fin­den Sie auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit. Ger­ne unter­stüt­zen wir Sie neben den Daten­schutz-The­men auch bei Ein­füh­rung und Betrieb eines Informationssicherheitskonzepts.

Für eine kor­rek­te Umset­zung und Anpas­sung emp­fiehlt es sich, belast­ba­re Rechts­kom­men­ta­re und auch Vor­la­gen sowie Stel­lung­nah­men der für Ihre Orga­ni­sa­ti­on jeweils zustän­di­gen Daten­schutz­auf­sicht abzu­war­ten. Wer bis­her nach Bun­des­da­ten­schutz­ge­setz oder Län­der­da­ten­schutz­ge­setz kor­rekt gear­bei­tet hat, muss nicht Schlim­mes befürch­ten. Die­se Rechts­grund­la­gen fal­len zwar weg, inhalt­lich fin­den sich wei­te Tei­le davon in der EU-DSGVO und dem DSAn­pUG wider. Das wird bei den Anpas­sungs­ge­set­zen in den Bun­des­län­dern nicht viel anders sein.

Kon­zer­ne mit inter­na­tio­na­len Ver­flech­tun­gen ste­hen da vor grö­ße­ren Her­aus­for­de­run­gen als natio­nal agie­ren­de Unter­neh­men oder Kom­mu­nal­ein­rich­tun­gen. Jedoch soll­te man sich von der Panik­ma­che nicht anste­cken las­sen. Sofern Grund­la­gen des bis­he­ri­gen Daten­schutz­rechts in Ihrer Orga­ni­sa­ti­on vor­han­den sind und aktu­ell gehal­ten wer­den, wird es zwar Anpas­sungs­auf­wand geben, die­ser wird jedoch über­schau­bar blei­ben. Wer sich bis­her um das gel­ten­de Daten­schutz­recht nicht geküm­mert hat, der wird einen gro­ßen Berg Arbeit vor sich sehen. Für die­se Ein­rich­tun­gen heißt es, früh­zei­tig Gas zu geben — und wenn es zu Beginn noch auf den Vor­la­gen und Mate­ria­li­en zum BDSG oder der Lan­des­da­ten­schutz­ge­set­ze geschieht.

Tipps /​ Hin­wei­se

Die Lan­des­da­ten­schutz­be­hör­de Nie­der­sach­sen hat einen (noch) recht all­ge­mei­nen Leit­fa­den für Unter­neh­men bereit­ge­stellt. Sie fin­den die­sen hier.

Immer einen Abste­cher für Infor­ma­tio­nen wert, sind die fol­gen­den Web­sei­ten /​ Blogs:

  • Die Bei­trags­se­rie “Die EU-DSGVO ist da” von Frau RAin Nina Diercks.
  • Die Web­sei­te mit Tipps und Tricks samt Vor­la­gen des “Daten­schutz-Guru” RA Ste­phan Hansen-Oest.
  • Unser Part­ner­blog “Daten­schutz­be­auf­trag­ter Info” mit aktu­el­len Infor­ma­tio­nen zur EU-DSGVO.

Wir wer­den in den nächs­ten Wochen und Mona­ten eben­falls suk­zes­si­ve nach Erschei­nen belast­ba­rer Vor­la­gen und Kom­men­ta­re wei­te­re Bei­trä­ge zur EU-DSGVO hier veröffentlichen.

Und jetzt … Ruhig Blut!

Exter­ner behörd­li­cher Daten­schutz­be­auf­trag­ter (Baye­ri­sche Kommunen)

DIE EU-DSGVO macht es mög­lich – der exter­ne Daten­schutz­be­auf­trag­te für baye­ri­sche Kommunen

Die EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) macht es für baye­ri­sche Kom­mu­nen mög­lich, was in ande­ren Bun­des­län­dern schon län­ger geüb­te Pra­xis ist: Die Bestel­lung eines exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten. Sah das Baye­ri­sche Lan­des­da­ten­schutz­ge­setz (BayDSG) bis­her eine exter­ne Bestell­mög­lich­keit eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nal­ein­rich­tun­gen nicht vor, so ändert sich dies zum 25.05.2018 ein­heit­lich. Ab die­sem Zeit­punkt kön­nen und dür­fen baye­ri­sche Kom­mu­nen end­lich einen exter­nen Daten­schutz­be­auf­trag­ten zum behörd­li­chen Daten­schutz­be­auf­trag­ten bestellen.

Ent­las­tung für klei­ne­re Kommunen

Gera­de klei­ne­re Kom­mu­nen haben sich mit der Bestel­lung eines Daten­schutz­be­auf­trag­ten stets schwer getan. Neben den viel­fäl­ti­gen Auf­ga­ben einer Ver­wal­tung und den nicht gera­de üppig vor­han­de­nen Per­so­nal­res­sour­cen war meist wenig „Luft“ für die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten. Und selbst wenn es zu einer inter­nen Bestel­lung kam, so wur­de die Funk­ti­on nicht sel­ten mit wenig bis kei­nem Leben erfüllt. Hin­zu kamen gra­vie­ren­de Nach­tei­le eines mit wenig Zeit und Res­sour­cen aus­ge­stat­te­ten inter­nen Daten­schutz­be­auf­trag­ten. Näm­lich der viel zu gerin­ge zeit­li­che Spiel­raum zur Aus­übung der Tätig­keit, das feh­len­de Know-How (meist kei­ne Aus­bil­dung zum DSB vor­han­den) und damit ein­her­ge­hend die feh­len­de Übung im Umgang mit den all­täg­li­chen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Ent­las­tung und Unter­stüt­zung für baye­ri­sche Kom­mu­nen. Ab dem 25.05.2018 kön­nen die­se nun einen Daten­schutz­be­auf­trag­ten auch extern bestellen.

Vor­tei­le der exter­nen Bestel­lung eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kommunen

Die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten für Kom­mu­nen lie­gen klar auf der Hand

  • Trans­pa­renz in Zeit und Kosten
  • Stets aktu­el­les Know-How durch Grund­aus­bil­dung, Fort- und Wei­ter­bil­dung des exter­nen Daten­schutz­be­auf­trag­ten (nicht zu Las­ten der Kommune)
  • Sofort im The­ma: Der exter­ne Daten­schutz­be­auf­trag­te kennt sich mit Theo­rie und Pra­xis im Daten­schutz­recht und Daten­schutz­all­tag bes­tens aus und kann sofort loslegen
  • Gemein­sa­me Bestel­lung mög­lich: Meh­re­re Kom­mu­nen im Land­kreis kön­nen sich im Rah­men der Inter­kom­mu­na­len Zusam­men­ar­beit zeit und Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten teilen

Über­gangs­lö­sung durch exter­ne Bera­tung zum 25.05.2018

Nichts ist schlim­mer, als nichts zu tun. Daher emp­feh­len wir, nicht bis zum 25.05.2018 abzu­war­ten. Holen Sie bereits heu­te einen ver­sier­ten Daten­schutz­be­ra­ter an Bord, der Ihre Kom­mu­ne fit für den Daten­schutz und die Anfor­de­run­gen der EU-Daten­schutz­grund­ver­ord­nung macht. Damit legen Sie erfolg­reich den Grund­stein für die erfolg­rei­che Tätig­keit des exter­nen Daten­schutz­be­auf­trag­ten für (baye­ri­sche) Kom­mu­nen ab dem 25.05.2018.

Die exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz für baye­ri­sche Kommunen

Spe­zi­ell für baye­ri­sche Kom­mu­nen ste­hen die aus­ge­bil­de­ten Bera­ter und spä­te­ren exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz bereit. Mit dem The­ma Daten­schutz zumeist bereits seit Jah­ren befasst, haben unse­re Mit­ar­bei­ter die Daten­schutz-Kur­se der Baye­ri­schen Ver­wal­tungs­schu­le (BVS) erfolg­reich absol­viert oder sich in ande­ren geeig­ne­ten Maß­nah­men für den Ein­satz in öffent­li­chen und nicht-öffent­li­chen Stel­len qua­li­fi­ziert. Zusätz­lich sind unse­re Mit­ar­bei­ter zer­ti­fi­zier­te Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (BVS) und kön­nen Ihren Bezirk, Ihr  Land­rats­amt, Ihre Stadt oder Ihre Gemein­de voll­um­fäng­lich unter­stüt­zen. Soll­ten Sie einen exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten für baye­ri­sche Kom­mu­nen benö­ti­gen, ste­hen wir Ihnen damit eben­falls zur Verfügung.

Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nen anfordern

Sie wün­schen ein Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für Ihre Kom­mu­ne? Nut­zen Sie ein­fach das For­mu­lar aus unse­rem Fly­er (Down­load am Ende des Bei­trags) oder schrei­ben Sie uns eine Email.

[wpfi­le­ba­se tag=file path=‘flyer/1703ask_Flyer_Ext_DSB_DIN-A4_DD.pdf’ /​]

Daten­schutz­be­auf­trag­ter darf kei­nen Inter­es­sen­kon­flik­ten unterliegen

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

“Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ansbach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestellen?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll dann eine gene­rel­le Mög­lich­keit der exter­nen Bestel­lung für Behör­den /​ Kom­mu­nen gege­ben sein.

Wann ist von einem Inter­es­sens­kon­flikt auszugehen?

Wird ein Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten bestellt, so darf er jedoch dane­ben nicht zusätz­lich /​ wei­ter­hin für sol­che Auf­ga­ben zustän­dig sein, wel­che die Gefahr von Inter­es­sens­kon­flik­ten mit sei­ner Funk­ti­on als Daten­schutz­be­auf­trag­ter mit sich brin­gen kön­nen. Der Gesetz­ge­ber ver­langt hier salopp, nicht “den Bock zum Gärt­ner zu machen”. Ähn­lich hat dies auch die EU-Daten­schutz­richt­li­nie (Art. 18) gefor­dert, völ­li­ge Unab­hän­gig­keit des DSB in sei­ner Funk­ti­on als Kon­troll­in­stanz. Mit Arti­kel 38 und 39 der EU-DSGVO wird dies in 2018 kei­ne Ände­rung erfahren.

In ein­schlä­gi­gen Kom­men­ta­ren zum Bun­des­da­ten­schutz­ge­setz (z.B. Gola /​ Schome­rus) wird expli­zit dar­auf ver­wie­sen, dass sich hier­aus bestimm­te Funk­tio­nen für die Tätig­keit des Daten­schutz­be­auf­trag­ten von vorn­her­ein aus­schlie­ßen. Dazu zäh­len auf jeden Fall

  • Inha­ber, Vor­stand, Geschäfts­füh­rer (aus­nahms­los),
  • Lei­ter der IT,
  • Per­so­nal­lei­ter,
  • Ver­triebs­lei­ter (zumin­dest im Direktvertrieb).

Für alle ande­ren Funk­tio­nen ist zu prü­fen, ob ein Inter­es­sens­kon­flikt aus­ge­schlos­sen wer­den kann und auch kei­ne wei­te­ren Beein­träch­ti­gun­gen für die Aus­übung der Funk­ti­on des Daten­schutz­be­auf­trag­ten bestehen. So ist es nicht unbe­dingt ziel­füh­rend, einen IT-Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten zu bestel­len, wenn der Kon­flikt mit dem Vor­ge­setz­ten — dem IT-Lei­ter — bereits vor­pro­gram­miert ist und der IT-Mit­ar­bei­ter sei­ne zusätz­li­che Auf­ga­be als DSB z.B. aus Angst vor Repres­sa­li­en nicht aus­üben kann /​ wird.

Wie kam es jetzt zu die­sem Buß­geld auf­grund eines Interessenskonflikts?

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) berich­tet in sei­ner Press­mit­tei­lung davon, dass im Rah­men der Über­prü­fung eines baye­ri­schen Unter­neh­mens die Bestel­lung des IT-Lei­ters zum inter­nen Daten­schutz­be­auf­trag­ten fest­ge­stellt wur­de. Dies lie­fe nach Mei­nung der Behör­de “letzt­lich auf eine Daten­schutz­kon­trol­le eines der maß­geb­li­chen zu kon­trol­lie­ren­den Funk­ti­ons­trä­ger im Unter­neh­men durch sich selbst hin­aus”. Aus Sicht der Behör­de (und der ein­schlä­gi­gen Rechts­kom­men­ta­re) wider­spricht dies der Funk­ti­on des Daten­schutz­be­auf­trag­ten, als unab­hän­gi­ge Instanz im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hin­zu­wir­ken (eine der Kern­auf­ga­ben des DSB).

Nach­dem das Lan­des­amt das Unter­neh­men mehr­fach über Mona­te auf­ge­for­dert hat, eine Bestel­lung ohne Inter­es­sens­kon­flikt her­bei­zu­füh­ren und dies sei­tens des Unter­neh­mens zuge­sagt, jedoch nicht umge­setzt wur­de, ver­häng­te die Behör­de ein Buß­geld. Die Geld­bu­ße ist mitt­ler­wei­le bestandskräftig.

„Der betrieb­li­che Daten­schutz­be­auf­trag­te ist ein Erfolgs­mo­dell und ein sehr wich­ti­ges Ele­ment der Daten­schutz­or­ga­ni­sa­ti­on in Deutsch­land. Die Funk­ti­on des Daten­schutz­be­auf­trag­ten kann aber nicht durch eine Per­son wahr­ge­nom­men wer­den, die dane­ben im Unter­neh­men noch Auf­ga­ben inne­hat, die in einem Span­nungs­ver­hält­nis mit einer unab­hän­gi­gen, effek­ti­ven inter­nen Auf­sicht über den Daten­schutz ste­hen. Unter­neh­men, die gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet sind, kön­nen daher nur eine sol­che Per­son zum Daten­schutz­be­auf­trag­ten bestel­len, die in der Lage ist, die­se Auf­ga­be frei von sach­frem­den Zwän­gen aus­zu­üben. Und wenn sie das trotz wie­der­hol­ter Auf­for­de­rung nicht machen, müs­sen sie not­falls mit Buß­geld dazu gezwun­gen wer­den.“, betont Tho­mas Kra­nig, der Prä­si­dent des BayLDA.

Was kön­nen Sie als Unter­neh­men tun, um sol­ches Buß­gel­der zu vermeiden?

Ent­we­der Sie ver­mei­den sol­che Inter­es­sens­kon­flik­te oder Sie grei­fen zu einer trans­pa­ren­ten und kos­ten­güns­ti­gen exter­nen Bestel­lung des Daten­schutz­be­auf­trag­ten, wie sie bei­spiels­wei­se a.s.k. Daten­schutz anbie­tet. Ein Ange­bot erhal­ten Sie zeit­nah mit­tels unse­rer Online-Anfra­ge.

Übri­gens gilt das The­ma Inter­es­sens­kon­flikt auch für behörd­li­che Datenschutzbeauftragte!!

Quel­le: Pres­se­mit­tei­lung des BayLDA

 

Lan­des­da­ten­schutz­be­hör­den prü­fen Cloud-Ein­satz in Unternehmen

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­geld­ri­si­ko für Ihre Organisation.

“[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ort­un­ab­hän­gig und fle­xi­bel genutzt wer­den können.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Drittstaaten).

“Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den – mit einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten ver­bun­den sind.”

Im zwei­ten Teil wird es ziem­lich kon­kret im Hin­blick auf in der Cloud ein­ge­setz­te Lösun­gen wie Rei­se­ma­nage­ment, Cus­to­mer-Rela­ti­onship-Manage­ment, Bewer­ber­por­ta­le bis hin zu kom­plet­ten Recruit­ment und Per­so­nal­ver­wal­tung und Abrech­nung, Cloud-Spei­cher, News­let­ter-Ser­vices, Cloud Office, aber auch Kol­la­bo­ra­ti­ons­platt­for­men. Hier wol­len die Behör­den sehr kon­kre­te Anga­ben zu den genutz­ten Anbie­tern und Lösungen.

Abge­schlos­sen wird der Fra­ge­bo­gen mit Anga­ben zum betrieb­li­chen Daten­schutz­be­auf­trag­ten. Die­sen soll­ten Sie bei Vor­lie­gen der gesetz­li­chen Bestell­pflicht hof­fent­lich benen­nen kön­nen und in die Beant­wor­tung des Fra­ge­bo­gens ein­be­zo­gen haben.

„Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten gehö­ren inzwi­schen auch bei vie­len mit­tel­stän­di­schen Unter­neh­men zum All­tag, nicht zuletzt auf­grund der immer stär­ke­ren Ver­brei­tung von Ange­bo­ten des Cloud Com­pu­ting. Unter­neh­men müs­sen sich aber des­sen bewusst sein, dass hier­für beson­de­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten. Durch die koor­di­nier­te Prüf­ak­ti­on, an der sich zehn deut­sche Daten­schutz­auf­sichts­be­hör­den betei­li­gen, wol­len wir auch die Sen­si­bi­li­tät der Unter­neh­men in die­sem Bereich erhö­hen.“ betont Tho­mas Kra­nig, der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht. „Aus­ge­hend von der Beant­wor­tung des Fra­ge­bo­gens kann und wird das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht dort, wo sich dies als not­wen­dig zeigt, auch in eine tie­fe­re Prü­fung einsteigen.“ 

Sie haben einen sol­chen Fra­ge­bo­gen erhal­ten, jedoch kei­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten zur Beant­wor­tung parat? Spre­chen Sie uns an.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​9​.​pdf

Die mobile Version verlassen