Social Distancing

In Zei­ten von Not­la­gen muss man auch manch­mal zu krea­ti­ven Maß­nah­men grei­fen. Doch ein kurz­fris­tig geplan­ter Geset­zes­ent­wurf ruft teils kri­ti­sche Reak­tio­nen her­vor, wie die der­zeit geplan­te Han­dy­or­tung zur Corona-Bekämpfung.

… zurecht oder nicht? Las­sen Sie es uns wis­sen — in der Kommentarbox.

Han­dy­or­tung über Provider

Genauigkeit der Handyortung über Funkmasten bestenfalls 100 Meter im Radius
Han­dy­or­tung über Funk­mas­ten

Laut Geset­zes­ent­wurf des Bun­des­ge­sund­heits­mi­nis­te­ri­ums soll den Gesund­heits­be­hör­den das Recht ein­ge­räumt wer­den, Kon­takt­per­so­nen von Infi­zier­ten mit­tels Han­dy­or­tung nach­voll­zie­hen und zeit­spa­rend kon­tak­tie­ren zu kön­nen. Infor­ma­ti­ons­quel­le sol­len hier­für die diver­sen Mobil­funk­an­bie­ter sein. Stand­ort­da­ten der Kon­takt­per­so­nen sol­len Auf­schluss über den Auf­ent­halts­ort geben.

Bun­des­da­ten­schutz­be­auf­trag­ter äußert Skepsis

Vor weni­gen Stun­den äußer­te der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber in einem  Twit­ter Bei­trag Beden­ken zur Wirk­sam­keit der geplan­ten Maß­nah­me. „Alle Maß­nah­men der Daten­ver­ar­bei­tung“ hät­ten laut Kel­ber die öffent­lich-recht­li­chen Schlüs­sel­kri­te­ri­en der Erfor­der­lich­keit, Geeig­net­heit und Ver­hält­nis­mä­ßig­keit zu erfül­len. „Bis­her“ feh­le „jeder Nach­weis, dass die indi­vi­du­el­len Stand­ort­da­ten der Mobil­funk­an­bie­ter einen Bei­trag leis­ten könn­ten, Kon­takt­per­so­nen zu ermit­teln, dafür sind die­se viel zu unge­nau.“ Anders stel­le sich dies bei ent­spre­chen­der Ana­ly­se von Bewe­gungs­strö­men in anony­mi­sier­ter Form dar. Auf der Basis von Funk­ze­l­len Han­dy­or­tung ist ledig­lich ein Radi­us von allen­falls 100 Metern erfass­bar. In länd­li­chen Regio­nen kön­nen es durch­aus meh­re­re Kilo­me­ter sein. Also alles viel zu unge­nau, um poten­ti­el­le Kon­tak­te mög­li­cher Infi­zier­ter aus­rei­chend kon­kret aus der Daten­men­ge her­aus­fil­tern zu kön­nen. Im Rah­men der Res­sort­be­tei­li­gung war die obers­te Bun­des­be­hör­de für Daten­schutz und die Infor­ma­ti­ons­frei­heit BfDI beim Ent­wurf des Infek­ti­ons­schutz­ge­set­zes involviert.

Alter­na­ti­ve der frei­wil­li­gen Nutzung

Gemeinsam gegen das Coronavirus per freiwilliger App möglich
Frei­wil­li­ge Han­dy­or­tung mit­tels App

In Ita­li­en ist sie bereits im Ein­satz — die App-Lösung zur Ortung poten­zi­ell Infi­zier­ter Kon­takt­per­so­nen. Für Deutsch­land befin­det sich das hier bekann­tes­te Pro­jekt der­zeit noch in der crowd­fun­ding Pha­se. Die Akti­vie­rung der Gerä­te von frei­wil­li­gen Test­per­so­nen in der Beta-Pha­se soll Ende die­sen /​ Anfang kom­men­den Monats erfolgen.

Auf anony­mi­sier­ter und frei­wil­li­ger Basis soll es den Han­dy­nut­zern mög­lich sein, prä­zi­ser geor­tet und kon­tak­tiert zu wer­den als dies durch die rei­ne Aus­wer­tung von Ver­kehrs­da­ten zur Ermitt­lung vom Stand­ort mög­lich erscheint.

In Süd­ko­rea sind sol­che Model­le bereits im Kampf der Ein­däm­mung ein­ge­setzt wor­den. Dort sta­bi­li­siert sich die einst mas­siv eska­lie­ren­de Lage. In einem Bei­trag der BBC unter­streicht die Außen­mi­nis­te­rin im Kampf gegen das Virus und mit panik­be­ding­ten Pro­ble­men die Not­wen­dig­keit schnel­ler behörd­li­cher Ent­schei­dun­gen und zugleich, die­sen wis­sen­schaft­li­che Erkennt­nis­se und Beweis­ba­res zu Grun­de zu legen.

Aller­dings ist der Erfolg von frei­wil­li­gen Prä­ven­ti­ons­maß­nah­men auch stets von der indi­vi­du­el­len Ein­sichts­be­reit­schaft abhän­gig, die im Rah­men der Coro­na­pan­de­mie man­cher­orts täg­lich Anlass zur Besorg­nis zu geben scheint. Dies wur­de gera­de durch die Not­wen­dig­keit zur Ver­schär­fung bzw. Ein­füh­rung einer bun­des­wei­ten Aus­geh­be­schrän­kung (wohl­ge­merkt nicht Aus­gangs­sper­re) am 22.03.2020 erneut deutlich.

Stand Sonn­tag­abend 22.03.2020

Infol­ge deut­li­cher Kri­tik wur­de davon abge­rückt, den Gesetz­ent­wurf bereits am 23.03.2020 ins Bun­des­ka­bi­nett zu geben. So lau­ten über­ein­stim­men­de Agen­tur­mel­dun­gen. Man wol­le vor­erst auf Han­dy­or­tung ver­zich­ten und einen betref­fen­den Gesetz­ent­wurf nun bis Ostern über­ar­bei­ten. Nähe­res dazu in einem Tages­schau Bei­trag vom Sonntagabend.

Fazit und Hin­wei­se zur geplan­ten Handyortung

Die Risi­ken ein­grei­fen­der Nor­men wie etwa der geplan­ten Han­dy­or­tung ent­ste­hen nicht per se aus dem Rechts­ein­griffs als sol­chem, son­dern aus dem Miss­brauchs­po­ten­zi­al in der täg­li­chen Anwen­dung. Im Eifer des Gefechts kann erfah­rungs­ge­mäß nicht gänz­lich aus­ge­schlos­sen wer­den, dass Feh­ler pas­sie­ren, die Neu­gier bei dem einen oder ande­ren sich durch­setzt oder u.U. sogar ver­ein­zelt gezielt mani­pu­liert wird.

Umso wich­ti­ger sind tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) auch bei Erlass sol­cher Geset­ze, wie

  • das Per­so­nal bei der Aus­wer­tung von und dem Umfang mit den aus­zu­wer­ten­den Stand­ort Daten lücken­los und fach­lich fun­diert zu schulen,
  • auf die­se Wei­se sicher­zu­stel­len, dass die Daten aus­schließ­lich in dem Kon­text der bezweck­ten Ver­ar­bei­tung ver­blei­ben und nicht auf Zuruf offen­ge­legt wer­den, wie dies immer wie­der — etwa in Tele­fo­na­ten anfra­gen­der, ver­meint­lich auto­ri­sier­ter Stel­len — vorkommt,
  • detail­lier­te und tech­nisch ver­bind­lich umge­setz­te Berech­ti­gungs­kon­zep­te zu etablieren,
  • auf die­se Wei­se den Per­so­nen­kreis, die Zugriff auf die Daten haben, in einem kon­kre­ten und stets über­schau­ba­ren Rah­men zu hal­ten und dies auch zu pro­to­kol­lie­ren /​ zu prüfen,
  • den Anwen­der trans­pa­rent zu infor­mie­ren, ohne die ord­nungs­ge­mä­ße Ver­fol­gung der Ein­satz­zwe­cke zu untergraben.

Am 28.01.2020 fand in Ber­lin der dies­jäh­ri­ge, 14. Euro­päi­sche Daten­schutz­tag der Daten­schutz­kon­fe­renz statt. Auf Initia­ti­ve des Euro­pa­rats jährt sich der Daten­schutz­tag seit 2007 um den 28. Janu­ar und wird in Deutsch­land als Ver­an­stal­tung der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der ausgerichtet.

In die­sem Jahr lag das Augen­merk ins­be­son­de­re auf Daten­schutz im Kon­text des Ent­wick­lungs­fort­schritts der KI. Unter dem Mot­to “Künst­li­che Intel­li­genz — Zwi­schen Bän­di­gung und För­de­rung” wur­den Frei­hei­ten, Grund­rech­te und Schutz­be­dürf­nis­se bei der Schaf­fung von Rah­men­be­din­gun­gen und der Ent­fal­tung dies­be­züg­li­cher Akti­vi­tä­ten the­ma­ti­siert von Refe­ren­ten aus Poli­tik, Wis­sen­schaft, Recht und den Teilnehmern.

Die Vor­trä­ge beschäf­tig­ten sich unter ande­rem mit den Themen:

  • Aspek­te des Uni­ons­rechts im Hin­blick auf Digi­ta­li­sie­rung und Daten­schutz
  • Der Hand­lungs­rah­men für KI-Anwen­dun­gen: Wirt­schaft, Tech­nik, Ethik und (Daten­schutz-) Recht in Deutsch­land, Euro­pa und der Welt” und
  • Was ver­ste­hen Nut­zer unter Algo­rith­men?

“Per­sön­lich” wur­de es — in fach­li­cher Hin­sicht — im Rah­men der Podi­ums­dis­kus­si­on zum “Nut­zen und Scha­den von KI für den Ein­zel­nen — Was geht mich KI an?”. Die KI und ihr Daten­schutz sind ein span­nen­des und leben­di­ges The­ma, das jeden All­tag in naher Zukunft in greif­ba­rer Wei­se bestim­men wird. Wei­te­re Infor­ma­tio­nen zu dem The­men­be­reich erhal­ten Sie unter nach­fol­gen­den Links.

Was mei­nen Sie zu dem The­ma, lie­be Leser? Freu­en Sie sich auf Ihr ers­tes Robo­ter­au­to oder ist Ihnen das alles spoo­ky? Sie kön­nen es uns im Kom­men­tar­feld wis­sen las­sen. Wir sind gespannt, Ihr Team von a.s.k. Datenschutz

BSI IT-Sicher­heits­kon­gress — KI         BSI — KI im Auto         Fraun­ho­fer Insti­tut — KI

Busi­ness con­cept © AKS — Fotolia.com

Seit Mai 2018 ist die EU Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam, nach­dem sie bereits Mai 2016 in Kraft getre­ten ist. Zeit bestand aus­rei­chend, sich auf die Neue­run­gen vor­zu­be­rei­ten. Die eine oder ande­re Orga­ni­sa­ti­on hat die Gele­gen­heit genutzt, bestehen­de Lücken in der eige­nen Daten­schutz-Orga­ni­sa­ti­on zu schlie­ßen. In den letz­ten Mona­ten haben wir öfter mal den Satz gehört „Woher soll ich wis­sen, was da im Daten­schutz zu tun ist?“. Hier gilt eine Hol­schuld durch die Orga­ni­sa­ti­ons­lei­tung getreu dem Mot­to „Unwis­sen­heit schützt vor Stra­fe nicht“. Für die Ein­hal­tung gesetz­li­cher Vor­schrif­ten ist die Lei­tung zustän­dig und ver­ant­wort­lich. Für Geschäfts­füh­rer gilt hier § 130 Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG) mit der tref­fen­den Bezeich­nung “Ver­let­zung der Auf­sichts­pflicht in Betrie­ben und Unter­neh­men“. Ähn­li­che Ver­pflich­tun­gen für Behör­den trifft sogar unser Grundgesetz.

Die DSGVO-Schon­zeit ist vorbei

Die meis­ten Lan­des­da­ten­schutz­be­hör­den haben jedoch in den letz­ten Mona­ten ein Auge zuge­drückt und eine im Gesetz nicht vor­ge­se­he­ne frei­wil­li­ge Karenz­zeit ein­ge­scho­ben. In die­sem Zeit­raum soll­ten Orga­ni­sa­tio­nen die Gele­gen­heit letzt­ma­lig nut­zen, die recht­li­chen Ver­pflich­tun­gen aus der DSGVO in Ver­bin­dung mit dem neu­en Bun­des­da­ten­schutz­ge­setz (BDSG) für Unter­neh­men und den Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den und kom­mu­na­le Ein­rich­tun­gen umzu­set­zen. Die­se Schon­zeit ist nun vorbei!

Es wird ernst — aber Buß­gel­der sind nicht das eigent­li­che Problem

Ende Okto­ber wur­de ein ers­tes Buß­geld gegen ein por­tu­gie­si­sches Kran­ken­haus ver­hängt. 400.000 Euro für den laxen Umgang mit Pati­en­ten­da­ten. Das ist erst mal ein Bro­cken. Wei­te­re Buß­gel­der und ver­stärkt Sank­tio­nen in Form von Auf­la­gen haben jetzt auch die deut­schen Lan­des­da­ten­schutz­be­hör­den ange­kün­digt. In den nächs­ten Wochen wird in der Pres­se davon zu lesen und zu hören sein. Glück­li­cher­wei­se gilt es für die Auf­sichts­be­hör­den nach wie vor, bei der Bemes­sung von Buß­gel­dern Ange­mes­sen­heit und Ver­hält­nis­mä­ßig­keit zu wah­ren. Die in der Pres­se oder auch in Bera­tungs­an­ge­bo­ten ger­ne zitier­ten 10 bis 20 Mil­lio­nen Euro (bzw. 2–4% des welt­wei­te­ren Kon­zern­um­sat­zes im Vor­jahr) sind natür­lich im Gesetz so vor­ge­se­hen. In der unre­flek­tier­ten Kom­mu­ni­ka­ti­on sind die­se Zah­len jedoch rei­ne Panik­ma­che. Klei­ne und mit­tel­stän­di­sche Betrie­be wer­den sich mit sol­chen Sum­men sicher nicht kon­fron­tiert sehen. Das heißt aber nicht, sich wei­ter zurück­leh­nen und das The­ma aus­sit­zen zu können.

Denn abge­se­hen von Buß­gel­dern und Sank­tio­nen, geht schnell mit Daten­schutz­ver­stö­ßen auch ein Image­scha­den ein­her. Auch Scha­den­er­satz ist im Daten­schutz mög­lich. Grund genug, zumin­dest ein paar „Basics“ in der eige­nen Orga­ni­sa­ti­on umzusetzen.

Hier ein paar Tipps und Hin­wei­se zur Umset­zung der DSGVO Anforderungen:

1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (VVT)

Ihre Orga­ni­sa­ti­on wird im Zwei­fel mit einer Viel­falt und Viel­zahl an per­so­nen­be­zo­ge­nen Daten von Mit­ar­bei­tern, Kun­den, Bür­gern, Inter­es­sen­ten, Geschäfts­part­nern etc. umge­hen. Aus die­sem Grund trifft eigent­lich (fast) jede Orga­ni­sa­ti­on die Pflicht, ein sog. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu füh­ren. Dabei han­delt es sich um detail­lier­te Über­sich­ten, wo und wie und in wel­chen sog. „Ver­fah­ren“ (nicht immer iden­tisch mit Pro­gram­men) Ihre Orga­ni­sa­ti­on per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Das VVT ist Grund­la­ge für wei­te­re Daten­schutz-Tätig­kei­ten und ele­men­ta­rer Bestand­teil Ihrer Rechen­schafts­pflicht, die recht­li­chen Daten­schutz-Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on umge­setzt zu haben

2. Rech­te der Kund­schaft sicherstellen

Im Rah­men der DSGVO haben sich die Rech­te der sog. Betrof­fe­nen wei­ter ver­bes­sert. So kann jede Per­son von Unter­neh­men und Behör­den sehr umfäng­lich Aus­kunft über die gespei­cher­ten und ver­ar­bei­te­ten Daten ver­lan­gen. Neben der rei­nen Aus­kunft ist eine sog. „Daten­ko­pie“, sowohl von vor­han­de­nen ana­lo­gen als auch digi­ta­len Daten in geeig­ne­ter Form mit­zu­lie­fern. Wenn Sie kei­ne Über­sicht haben, wo und wie wel­che per­so­nen­be­zo­ge­nen Daten in Ihrer Orga­ni­sa­ti­on gespei­chert sind, wird es schwer­fal­len, die­sem aus­führ­li­chen Anspruch ohne Feh­ler und /​ oder Bean­stan­dung gerecht zu werden.
Wei­ter­hin sind per­so­nen­be­zo­ge­ne Daten nach Ablauf der gesetz­li­chen Auf­be­wah­rungs­frist umge­hend zu löschen. Pein­lich, wenn Sie im Rah­men der Aus­kunft Infor­ma­tio­nen her­aus­ge­ben, die schon längt hät­ten gelöscht sein müssen.

3. Infor­ma­ti­ons­pflich­ten

Jede Orga­ni­sa­ti­on muss Betrof­fe­ne bei direk­ter und indi­rek­ter Erhe­bung über die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten auf­klä­ren (Art. 13+14 DSGVO). Die­se Pflicht­an­ga­ben sind recht umfang­reich und müs­sen leicht zugäng­lich sein. Hier gilt es, die­se Pflicht­an­ga­ben für die Ver­ar­bei­tun­gen in der Orga­ni­sa­ti­on zusam­men­zu­stel­len und dann z.B. über Web­sei­te, Aus­hän­ge, Hin­wei­se auf die Anga­ben auf der Web­sei­te an die Betrof­fe­nen zu kom­mu­ni­zie­ren. Bit­te ver­wech­seln Sie das nicht mit der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te. Das ist ein ganz ande­res Thema.
Da das Vor­han­den­sein und Durch­füh­ren der Infor­ma­ti­ons­pflich­ten mit einem Blick auf die Web­sei­te oder einem ein­fa­chen Anruf bei Ihnen sofort fest­ge­stellt wer­den kann, sind feh­len­de Umset­zun­gen schnell festzustellen.

4. Ein­wil­li­gun­gen

Wenn Sie per­so­nen­be­zo­ge­ne Daten zur Durch­füh­rung eines Ver­tra­ges oder auf­grund einer Rechts­vor­schrift erhe­ben, benö­ti­gen Sie kei­ne Ein­wil­li­gung (das wird auch nicht wah­rer, wenn vie­le Medi­en das Gegen­teil behaup­ten). In vie­len ande­ren Fäl­len (Email-Wer­bung, Tele­fon-Wer­bung etc.) ist eine Ein­wil­li­gung uner­läß­lich. Ein­wil­li­gun­gen müs­sen aktiv, frei­wil­lig, trans­pa­rent und aus­führ­lich sowie mit Hin­weis auf die Wider­rufs­mög­lich­keit erteilt wer­den. Prü­fen Sie Ihre Ein­wil­li­gun­gen, ob die­se den Anfor­de­run­gen entsprechen.

5. Wer­bung

Brief­wer­bung (also wirk­lich klas­si­sche Post) ist nach der DSGVO im Ein­klang mit dem UWG (Gesetz gegen den unlau­te­ren Wett­be­werb) ohne Ein­wil­li­gung mög­lich. Für Email-Wer­bung gilt dies nur für Bestands­kun­den. Dabei darf aber der vor­ge­schrie­be­ne Hin­weis auf die jeder­zei­ti­ge Wider­rufs­mög­lich­keit nicht ver­ges­sen wer­den. Alle ande­ren Daten dür­fen nur mit gül­ti­ger Ein­wil­li­gung (sie­he 4) für Wer­be­zwe­cke genutzt werden.

6. Sicher­heit der Datenverarbeitung

Unge­schütz­te Daten­spei­che­rung, unver­schlüs­sel­te Daten­über­tra­gung, End­ge­rä­te (PC, Lap­tops, Tablet und Smart­pho­ne) ohne Pass­wort­schutz, unzu­rei­chen­de oder nicht dem Stand der Tech­nik ent­spre­chen­de Daten­si­che­run­gen sind Geschich­te. Die DSGVO schiebt dem laxen Umgang mit der IT-Sicher­heit einen hef­ti­gen Rie­gel vor. Zukünf­tig muss nicht der Betrof­fe­ne im Scha­den­fall nach­wei­sen, dass Ihre Orga­ni­sa­ti­on kei­ne aus­rei­chen­den Schutz­maß­nah­men für des­sen per­so­nen­be­zo­ge­ne Daten ergrif­fen hat. Statt­des­sen ist Ihre Orga­ni­sa­ti­on beweis­pflich­tig, das alles Mach- und Zumut­ba­re an Sicher­heits­maß­nah­men ein­ge­führt und regel­mä­ßig auf Funk­ti­ons­fä­hig­keit geprüft wurde.

7. Mel­de­pflicht von Datenpannen

Ver­bum­mel­te Papier­un­ter­la­gen, ver­lo­re­ne tech­ni­schen Gerä­te, feh­ler­haf­ter Ver­sand (Post /​ Email), mit Schad­code befal­le­ne IT-Sys­te­me und vie­le Anläs­se mehr füh­ren schnell zu einer mel­de­pflich­ti­gen Daten­pan­ne, wenn per­so­nen­be­zo­ge­ne Daten im Spiel sind. Die­se Daten­pan­nen sind alle­samt intern zu doku­men­tie­ren und auf Risi­ko für den Betrof­fe­nen zu bewer­ten. Liegt ein Risi­ko für Betrof­fe­ne vor, gilt es die Daten­pan­ne inner­halb von 72h an die zustän­di­ge Auf­sichts­be­hör­de online zu mel­den. Bei beson­ders hohem Risi­ko müs­sen zusätz­lich die Betrof­fe­nen durch Sie infor­miert wer­den. Schau­en Sie auf die Web­sei­te Ihrer Lan­des­da­ten­schutz­be­hör­de mit dem dazu­ge­hö­ri­gen Mel­de­for­mu­lar. Sie wer­den stau­nen, wie schnell und umfang­reich eine sol­che Mel­dung getä­tigt wer­den muss. Ohne inter­ne Pro­zes­se zur Erken­nung, Bewer­tung und Mel­dung sind die Anfor­de­run­gen nicht zu erfül­len. Damit ist nicht zu spa­ßen. Und nach der Daten­pan­ne nicht die Nach­be­ar­bei­tung ver­ges­sen: Was ist zu tun, damit sich die­se Art der Daten­pan­ne mög­lichst nicht wiederholt.

8. Daten­schutz­be­auf­trag­ter /​ DSB

Sobald mehr als 9 Mit­ar­bei­ter regel­mä­ßig per­so­nen­be­zo­ge­ne Daten von Kun­den und /​ oder Mit­ar­bei­tern ver­ar­bei­ten, muss Ihre Orga­ni­sa­ti­on einen Daten­schutz­be­auf­trag­ten bestel­len. Öffent­li­che Stel­len unter­lie­gen einer gene­rel­len Bestell­pflicht, ganz unab­hän­gig von der Mit­ar­bei­ter­an­zahl. Die Aus­füh­rung die­ser Bestell­pflicht kann die Auf­sichts­be­hör­de seit Mai 2018 ganz ein­fach über­prü­fen. Denn Ihre Orga­ni­sa­ti­on muss den Daten­schutz­be­auf­trag­ten offi­zi­ell bei der Auf­sichts­be­hör­de mit Name und Kon­takt­da­ten mel­den. Ein Abgleich bringt schnell zuta­ge, wel­che Ein­rich­tung wohl der Bestell­pflicht unter­liegt, aber kei­ne Mel­dung vor­ge­nom­men hat. Zusätz­lich müs­sen Sie Ihren Daten­schutz­be­auf­trag­ten offi­zi­ell im Rah­men der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te mit Kon­takt­da­ten benen­nen. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann wird es Zeit. Die­ser hilft Ihnen übri­gens auch sofort bei der Umset­zung der 7 ande­ren Punk­te aus die­ser Lis­te — und bei vie­len wei­te­ren Daten­schutz-The­men, die Ihre Orga­ni­sa­ti­on umge­setzt haben muss.

Viel Erfolg!

PS: Die Punk­te 1–8 sind einer Infor­ma­ti­ons­bro­schü­re des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht ent­nom­men. Unser Arti­kel stellt kei­ne Rechts­be­ra­tung dar.