Datenschutz 2020 - Teil 2 des Berichts des ULD Schleswig-Holstein

Anwen­dung der DSGVO

Daten­schutz /​ IT-Sicher­heit — All­ge­mei­nes 

Bei der Anwen­dung der DSGVO warnt das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein vor „Schnell­schüs­sen“. Viel­mehr sei hier­bei sorg­fäl­tig zu eva­lu­ie­ren. Bei der ger­ne dis­ku­tier­ten Fin­dung der rich­ti­gen Rechts­grund­la­ge für eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten läge das Augen­merk ins­be­son­de­re auf Art. 6 Abs. 1 b und f DSGVO — (vor)vertragliche Maß­ga­ben und berech­tig­te Inter­es­sen — sowie wei­ter­füh­ren die Ein­wil­li­gung nach Buch­sta­ben a der zitier­ten Vorschrift. 

Daten­schutz­be­auf­trag­ten einer Ein­rich­tung kämen ins­be­son­de­re Beratungs‑, Unterrichtungs‑, Über­wa­chungs- und Prüf­auf­ga­ben zu. Die den Ver­ant­wort­li­chen per Gesetz oblie­gen­den Daten­schutz-Pflich­ten dürf­ten jenen nicht über­ge­hol­fen werden. 

Poli­ti­sche Ansich­ten sind nach EU-Daten­schutz­recht beson­ders sen­si­ble Infor­ma­tio­nen, die „immer einer spe­zi­fi­schen Rechts­grund­la­ge“ bedürf­ten. Eben­so geschützt sei­en pri­va­te Adressdaten. 

Ein zwin­gend zu beach­ten­des Pos­tu­lat ange­sichts der fort­schrei­ten­den Digi­ta­li­sie­rung einer­seits und der teils recht ein­sei­tig ergrif­fe­nen Schutz­maß­nah­men von Privatdaten. 

Bei jed­we­der Her­stel­lung von Ton­auf­zeich­nun­gen müs­sen Rechtsgrundlage(n) und ange­mes­se­ne Trans­pa­renz für die Betrof­fe­nen impli­zit sein. 

Im Rah­men der Ver­ar­bei­tung zur werb­li­chen Anspra­che sind die Maß­ga­ben von Treu und Glau­ben ein­schlä­gig und der Adres­sat muss den werb­li­chen Cha­rak­ter leicht erken­nen können. 

Daten­schutz in Online-Prä­sen­zen 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein hat an sämt­li­che Web­sei­ten­be­trei­ber in Form einer Pres­se­mit­tei­lung appel­liert, genutz­te Ana­ly­se­diens­te wie Goog­le Ana­ly­tics u.ä. sowie deren im Daten­schutz rechts­kon­for­men Ein­satz zu prüfen. 

Zu Face­book Fan­page Betrei­bern und Face­book selbst wur­de klar­ge­stellt, dass bei­de Grup­pen die Anfor­de­run­gen der Gemein­sa­men Ver­ant­wort­lich­keit nach Art. 26 DSGVO nicht erfül­len. Die Pflicht zum Abschluss einer ent­spre­chen­den Ver­ar­bei­tungs­ver­ein­ba­rung betref­fe sowohl Face­book als auch die hie­si­gen Fan­page Betreiber. 

Künst­li­che Intel­li­genz = Arti­fi­cial Intel­li­gence 

Bei Ent­wick­lung, Imple­men­tie­rung und Anwen­dung von KI sol­le auf eine ange­mes­se­ne Imple­men­tie­rung von grund­rechts- und wer­te-rele­van­ten Momen­ten geach­tet wer­den. Ent­spre­chen­de Anrei­ze könn­ten bei­spiels­wei­se durch För­der­ge­ber gesetzt werden. 

TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men 

  • ver­trau­li­che Infor­ma­ti­on sei im Fax­ver­sand nur bedingt geschützt. Bei Trans­port und Emp­fang wer­den „erheb­li­che Risi­ken für die Ver­trau­lich­keit der Inhal­te“ gese­hen. In jedem Fall muss der kon­kre­te und rich­ti­ge Emp­fän­ger sicher­ge­stellt werden 
  • Ver­ant­wort­li­che sei­en dar­auf ver­wie­sen, „peni­bel“ zu beach­ten, dass per­so­nen­be­zo­ge­ne Daten von Beschäf­tig­ten aus­schließ­lich auf Basis von und in den Gren­zen der Erfül­lung ihrer Auf­ga­ben erfolgt. Ein pas­sen­des und detail­lier­tes Berech­ti­gungs­kon­zept sind der Grund­stein für rich­ti­gen Beschäf­tig­ten­da­ten­schutz — u.a. Bestand­teil des Daten­scchutz Quick-Checks 
  • auch der Trans­port von Daten im Wagen soll­te durch ein gewis­ses Maß an tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) gesi­chert sein 
  • Kre­dit­in­sti­tu­te rief das ULD auf, bei der Wei­ter­ga­be per­so­nen­be­zo­ge­ner Bank­da­ten Trans­port- sowie Inhalts­ver­schlüs­se­lung zu implementieren 

Daten­schutz bei Gesund­heits­in­for­ma­tio­nen 

Das ULD kon­sta­tier­te, dass 

  • Kran­ken­häu­ser und Kliniken 
  • Arzt‑, Zahn­arzt­pra­xen 
  • Pfle­ge­ein­rich­tun­gen, ‑diens­te 
  • Apo­the­ken und ver­gleich­ba­re Einrichtungen 

durch ihren Umgang mit beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten die­se gene­rell zu ver­schlüs­seln haben — ins­be­son­de­re bei mobi­len Devices und Speichermedien. 

Exter­nen Dienst­leis­tern zur Ver­nich­tung von Pati­en­ten­un­ter­la­gen sind mit­tels einer AVV „detail­lier­te Vor­ga­ben zur beab­sich­tig­ten Daten­ver­ar­bei­tung“ auf­zu­er­le­gen und eine schrift­li­che Ver­pflich­tung auf das Daten­ge­heim­nis mit Durch­griff auf den Auf­trags­ver­ar­bei­ter der ärzt­li­chen Schwei­ge­pflicht nach § 203 StGB durchzuführen. 

Video­über­wa­chung und Daten­schutz 

Video­über­wa­chung soll­te nur in den Gren­zen der recht­li­chen Zuläs­sig­keit und auf der Grund­la­ge einer ange­mes­se­nen Sach­kennt­nis erfol­gen. Die Daten­schutz­be­auf­trag­ten und Lan­des­da­ten­schutz­be­hör­den kön­nen hier­zu beraten. 

Die Video­über­wa­chung muss in Umklei­de­be­rei­chen grund­sätz­lich aus­blei­ben. Auch für Berei­che, in denen das Ver­hal­ten von Per­so­nen über län­ge­re Zeit auf­ge­zeich­net wird, wie in Trai­nings­be­rei­chen, schloss das ULD eine Zuläs­sig­keit aus. 

Aller­dings dürf­te es aller Vor­aus­sicht nach auch für die­se Fall­ge­stal­tun­gen Schran­ken geben, die eine Video­über­wa­chung im Rah­men einer stren­gen Rechts­gü­ter­ab­wä­gung erlauben. 

AV — Daten­schutz bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag 

Die Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter ist dem Betrof­fe­nen zum Zeit­punkt der Erhe­bung sei­ner per­so­nen­be­zo­ge­nen Daten mit­zu­tei­len — sie­he auch das The­ma Informationspflichten. 

Die Ein­hal­tung der Mel­de­pflich­ten obliegt regel­mä­ßig dem Ver­ant­wort­li­chen. Die­ser kann den Auf­trags­ver­ar­bei­ter aller­dings zu den ent­spre­chen­den Mel­dun­gen zuläs­si­ger­wei­se auto­ri­sie­ren, sofern die Auto­ri­sie­rung aus der Mel­dung für Auf­sichts­be­hör­de „klar und beweis­bar“ nach­voll­zieh­bar ist. 

Es emp­fiehlt sich, Dienst­leis­ter und deren TOM regel­mä­ßig zu kon­trol­lie­ren oder nach­prü­fen zu lassen. 

Web­site des ULD 

Die­se und vie­le wei­te­re sehr auf­schluss­reich gestal­te­te The­men zum Daten­schutz, der IT-Sicher­heit und Poli­tik hat das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein mit dem vor­lie­gen­den Bericht veröffentlicht. 

Für die wei­ter­füh­ren­de Lek­tü­re des Ori­gi­nals bit­te hier klicken. 

Social Distancing

In Zei­ten von Not­la­gen muss man auch manch­mal zu krea­ti­ven Maß­nah­men grei­fen. Doch ein kurz­fris­tig geplan­ter Geset­zes­ent­wurf ruft teils kri­ti­sche Reak­tio­nen her­vor, wie die der­zeit geplan­te Han­dy­or­tung zur Corona-Bekämpfung.

… zurecht oder nicht? Las­sen Sie es uns wis­sen — in der Kommentarbox.

Han­dy­or­tung über Provider

Genauigkeit der Handyortung über Funkmasten bestenfalls 100 Meter im Radius
Han­dy­or­tung über Funk­mas­ten

Laut Geset­zes­ent­wurf des Bun­des­ge­sund­heits­mi­nis­te­ri­ums soll den Gesund­heits­be­hör­den das Recht ein­ge­räumt wer­den, Kon­takt­per­so­nen von Infi­zier­ten mit­tels Han­dy­or­tung nach­voll­zie­hen und zeit­spa­rend kon­tak­tie­ren zu kön­nen. Infor­ma­ti­ons­quel­le sol­len hier­für die diver­sen Mobil­funk­an­bie­ter sein. Stand­ort­da­ten der Kon­takt­per­so­nen sol­len Auf­schluss über den Auf­ent­halts­ort geben.

Bun­des­da­ten­schutz­be­auf­trag­ter äußert Skepsis

Vor weni­gen Stun­den äußer­te der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber in einem  Twit­ter Bei­trag Beden­ken zur Wirk­sam­keit der geplan­ten Maß­nah­me. „Alle Maß­nah­men der Daten­ver­ar­bei­tung“ hät­ten laut Kel­ber die öffent­lich-recht­li­chen Schlüs­sel­kri­te­ri­en der Erfor­der­lich­keit, Geeig­net­heit und Ver­hält­nis­mä­ßig­keit zu erfül­len. „Bis­her“ feh­le „jeder Nach­weis, dass die indi­vi­du­el­len Stand­ort­da­ten der Mobil­funk­an­bie­ter einen Bei­trag leis­ten könn­ten, Kon­takt­per­so­nen zu ermit­teln, dafür sind die­se viel zu unge­nau.“ Anders stel­le sich dies bei ent­spre­chen­der Ana­ly­se von Bewe­gungs­strö­men in anony­mi­sier­ter Form dar. Auf der Basis von Funk­ze­l­len Han­dy­or­tung ist ledig­lich ein Radi­us von allen­falls 100 Metern erfass­bar. In länd­li­chen Regio­nen kön­nen es durch­aus meh­re­re Kilo­me­ter sein. Also alles viel zu unge­nau, um poten­ti­el­le Kon­tak­te mög­li­cher Infi­zier­ter aus­rei­chend kon­kret aus der Daten­men­ge her­aus­fil­tern zu kön­nen. Im Rah­men der Res­sort­be­tei­li­gung war die obers­te Bun­des­be­hör­de für Daten­schutz und die Infor­ma­ti­ons­frei­heit BfDI beim Ent­wurf des Infek­ti­ons­schutz­ge­set­zes involviert.

Alter­na­ti­ve der frei­wil­li­gen Nutzung

Gemeinsam gegen das Coronavirus per freiwilliger App möglich
Frei­wil­li­ge Han­dy­or­tung mit­tels App

In Ita­li­en ist sie bereits im Ein­satz — die App-Lösung zur Ortung poten­zi­ell Infi­zier­ter Kon­takt­per­so­nen. Für Deutsch­land befin­det sich das hier bekann­tes­te Pro­jekt der­zeit noch in der crowd­fun­ding Pha­se. Die Akti­vie­rung der Gerä­te von frei­wil­li­gen Test­per­so­nen in der Beta-Pha­se soll Ende die­sen /​ Anfang kom­men­den Monats erfolgen.

Auf anony­mi­sier­ter und frei­wil­li­ger Basis soll es den Han­dy­nut­zern mög­lich sein, prä­zi­ser geor­tet und kon­tak­tiert zu wer­den als dies durch die rei­ne Aus­wer­tung von Ver­kehrs­da­ten zur Ermitt­lung vom Stand­ort mög­lich erscheint.

In Süd­ko­rea sind sol­che Model­le bereits im Kampf der Ein­däm­mung ein­ge­setzt wor­den. Dort sta­bi­li­siert sich die einst mas­siv eska­lie­ren­de Lage. In einem Bei­trag der BBC unter­streicht die Außen­mi­nis­te­rin im Kampf gegen das Virus und mit panik­be­ding­ten Pro­ble­men die Not­wen­dig­keit schnel­ler behörd­li­cher Ent­schei­dun­gen und zugleich, die­sen wis­sen­schaft­li­che Erkennt­nis­se und Beweis­ba­res zu Grun­de zu legen.

Aller­dings ist der Erfolg von frei­wil­li­gen Prä­ven­ti­ons­maß­nah­men auch stets von der indi­vi­du­el­len Ein­sichts­be­reit­schaft abhän­gig, die im Rah­men der Coro­na­pan­de­mie man­cher­orts täg­lich Anlass zur Besorg­nis zu geben scheint. Dies wur­de gera­de durch die Not­wen­dig­keit zur Ver­schär­fung bzw. Ein­füh­rung einer bun­des­wei­ten Aus­geh­be­schrän­kung (wohl­ge­merkt nicht Aus­gangs­sper­re) am 22.03.2020 erneut deutlich.

Stand Sonn­tag­abend 22.03.2020

Infol­ge deut­li­cher Kri­tik wur­de davon abge­rückt, den Gesetz­ent­wurf bereits am 23.03.2020 ins Bun­des­ka­bi­nett zu geben. So lau­ten über­ein­stim­men­de Agen­tur­mel­dun­gen. Man wol­le vor­erst auf Han­dy­or­tung ver­zich­ten und einen betref­fen­den Gesetz­ent­wurf nun bis Ostern über­ar­bei­ten. Nähe­res dazu in einem Tages­schau Bei­trag vom Sonntagabend.

Fazit und Hin­wei­se zur geplan­ten Handyortung

Die Risi­ken ein­grei­fen­der Nor­men wie etwa der geplan­ten Han­dy­or­tung ent­ste­hen nicht per se aus dem Rechts­ein­griffs als sol­chem, son­dern aus dem Miss­brauchs­po­ten­zi­al in der täg­li­chen Anwen­dung. Im Eifer des Gefechts kann erfah­rungs­ge­mäß nicht gänz­lich aus­ge­schlos­sen wer­den, dass Feh­ler pas­sie­ren, die Neu­gier bei dem einen oder ande­ren sich durch­setzt oder u.U. sogar ver­ein­zelt gezielt mani­pu­liert wird.

Umso wich­ti­ger sind tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) auch bei Erlass sol­cher Geset­ze, wie

  • das Per­so­nal bei der Aus­wer­tung von und dem Umfang mit den aus­zu­wer­ten­den Stand­ort Daten lücken­los und fach­lich fun­diert zu schulen,
  • auf die­se Wei­se sicher­zu­stel­len, dass die Daten aus­schließ­lich in dem Kon­text der bezweck­ten Ver­ar­bei­tung ver­blei­ben und nicht auf Zuruf offen­ge­legt wer­den, wie dies immer wie­der — etwa in Tele­fo­na­ten anfra­gen­der, ver­meint­lich auto­ri­sier­ter Stel­len — vorkommt,
  • detail­lier­te und tech­nisch ver­bind­lich umge­setz­te Berech­ti­gungs­kon­zep­te zu etablieren,
  • auf die­se Wei­se den Per­so­nen­kreis, die Zugriff auf die Daten haben, in einem kon­kre­ten und stets über­schau­ba­ren Rah­men zu hal­ten und dies auch zu pro­to­kol­lie­ren /​ zu prüfen,
  • den Anwen­der trans­pa­rent zu infor­mie­ren, ohne die ord­nungs­ge­mä­ße Ver­fol­gung der Ein­satz­zwe­cke zu untergraben.

Druck­frisch zu berich­ten — die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land (UZD) hat die­ser Tage den 28. Tätig­keits­be­richt im Daten­schutz für das Saar­land vor­ge­legt (Land­tags­druck­sa­che Saar­land 16/​1200). Dar­in wur­de unter ande­rem auf kon­kre­te, ein­zel­fall­be­zo­ge­ne Ent­wick­lun­gen und Maß­nah­men, erfolg­te Vor­trä­ge, Ver­fah­ren und Bera­tun­gen sowie auf fach­li­che Aspek­te der DSGVO-Vor­ga­ben und ‑umset­zun­gen und Recht­spre­chung detail­liert eingegangen.

News in 2019

Im Jahr 2019 wur­den zwei neue Stel­len für Mit­ar­bei­ter im UDZ vom Land­tag Saar­land bewil­ligt, die erfolg­reich besetzt wur­den, aller­dings sieht das UDZ hier quan­ti­ta­ti­ven Optimierungsbedarf.

Die Web­site des UDZ wur­de mit einem neu­en CMS ange­bun­den und hat ein neu­es Design bekom­men mit Opti­mie­rung auf Bar­rie­re­frei­heit, der Mel­de- und Kon­takt­for­mu­la­re sowie für Mobilgeräte.

Vor dem Hin­ter­grund der Not­wen­dig­keit, wach­sen­den Anfor­de­run­gen, recht­li­chen Vor­ga­ben und einer effek­ti­ven, ange­mes­se­nen Abwehr von Cyber-Angrif­fen kos­ten­ef­fi­zi­ent nach­zu­kom­men, wur­de in dem Bericht die Ein­füh­rung eines ISMS erläu­tert und dabei ins­be­son­de­re ISIS12 „als prag­ma­ti­sches und leicht ska­lier­ba­res Vor­ge­hens­mo­dell“, das auch gera­de Kom­mu­nen eine gute Ver­bin­dung von den Vor­ga­ben und rea­len Res­sour­cen ermögliche.

Der gesam­te Pro­zess von der Sen­si­bi­li­sie­rung der Mit­ar­bei­ter, Ein­schät­zung der Gefähr­dungs­la­ge bis hin zur Abwehr von Angrif­fen kann durch ein ISMS wie ISIS12 gesteu­ert und über­wacht wer­den.

Nach der Imple­men­tie­rung und einem TOM-bezo­ge­nen Audit wur­de das UDZ zum 09.10.2019 zertifiziert.

Bera­tun­gen und Öffentlichkeitsarbeit

Das UDZ hat im Berichts­jahr 50 Ver­an­stal­tun­gen zur Infor­ma­ti­on und Sen­si­bi­li­sie­rung zum Daten­schutz und der DSGVO aus­ge­rich­tet, bei denen es unter ande­rem schwer­punkt­mä­ßig um Aus­le­gungs­fra­gen der DSGVO ging. Ins­ge­samt sieht man auch bei der Öffent­lich­keit ein stei­gen­des Inter­es­se an Daten­schutz­the­men und ‑fra­gen.

In Bezug auf das im Dezem­ber 2019 beschlos­se­ne Jus­tiz­voll­zugs­da­ten­schutz­ge­setz, bei des­sen Ent­wür­fen das UZD bera­tend invol­viert war, stellt der Bericht fest, dass man sich eine umfas­sen­de Moder­ni­sie­rung des Daten­schutz­rechts auch in die­sem Bereich gewünscht hätte.

Die UDZ nahm an Bera­tungs­ge­sprä­chen mit der Enquête­kom­mis­si­on „Digi­ta­li­sie­rung im Saar­land“ teil und führ­te hier unter ande­rem die wich­ti­ge Rol­le des Daten­schut­zes in der Ent­wick­lung des E‑Government aus.

In Brüs­sel tausch­te man sich bei der EU-Ver­tre­tung des Saar­lan­des über die inner­eu­ro­päi­sche Zusam­men­ar­beit der Daten­schutz­be­hör­den aus. In den 154 Fäl­len nahm die Lan­des­da­ten­schutz­be­hör­de ihre Ver­fah­rens­zu­stän­dig­keit iSd. Art. 56 DSGVO in Bezug auf inner­eu­ro­päi­sche, län­der­über­grei­fen­de Ver­ar­bei­tun­gen wahr. Die Behör­de war an elf Recht­set­zungs­vor­ha­ben beteiligt.

Daten­schutz­ver­let­zun­gen nach Art. 33 DSGVO

Dem Bericht zufol­ge wur­den im ver­gan­ge­nen Jahr 286 Daten­schutz­ver­let­zun­gen an die Lan­des­da­ten­schutz­be­hör­de gemel­det und elf amt­li­che Maß­nah­men iSd. Art. 58 DSGVO zur Prä­ven­ti­on von Daten­pan­nen vor­ge­nom­men. Den Anstieg der Mel­dun­gen von Daten­pan­nen wird auf höhe­re Kri­te­ri­en durch die DSGVO, aber auch eine höhe­re Sen­si­bi­li­tät für Daten­schutz­the­men gesehen.

Prü­fun­gen

In sei­nem Bericht spricht das UZD von „meh­re­ren Prü­fun­gen“, die — meist anlass­be­zo­gen und oft im Kon­text des Beschäf­tig­ten­da­ten­schut­zes — in 2019 in Ein­rich­tun­gen sowohl ange­kün­digt als auch unan­ge­kün­digt durch­ge­führt wur­den. Kri­te­ri­um für die Fra­ge der Vor­ab­an­kün­di­gung sei die Abwä­gung der Wahr­schein­lich­keit eines Weg­falls des Prüf­ge­gen­stands durch Mani­pu­la­ti­on im Fal­le der Ankün­di­gung. Im Vor­feld wür­den Prüf­ge­gen­stand und ‑ablauf klar defi­niert und im Regel­fall zunächst die Vor­la­ge von VVT, einer DSFA „oder zumin­dest [..] Risi­ko­be­wer­tung“, der TOM, Doku­men­ta­tio­nen zum Umgang mit Betrof­fe­nen­rech­ten, Lösch­fris­ten und wei­te­re Daten­schutz­kri­te­ri­en vor Ort ange­for­dert. Dar­auf­fol­gend die Prü­fung des kon­kre­ten Anlas­ses und Ver­fer­ti­gung einer Kurz­zu­sam­men­fas­sung vor Ort, die zusam­men mit dem Ver­ant­wort­li­chen erör­tert wird.

Der eigent­li­che Prüf­be­richt wird der Ein­rich­tung /​ dem Ver­ant­wort­li­chen zuge­stellt und die­ser kann dazu Stel­lung neh­men. Gege­be­nen­falls erfol­gen Abhil­fe­maß­nah­men nach Art. 58 Abs. 2 DSGVO und die Ver­hän­gung einer Geldbuße.

Das UZD führ­te nach der Ein­füh­rung des Ein­sat­zes von Body-Cams bei der Poli­zei Saar­land Stich­pro­ben durch, bei denen es erheb­li­che Defi­zi­te bei der Ein­hal­tung der Daten­schutz­vor­ga­ben fest­ge­stellt hat.

Bei der Prü­fung von BCR (Bin­ding Cor­po­ra­te Rules) zur Daten­si­cher­heit inner­halb inter­na­tio­nal agier­den­der Kon­zern­struk­tu­ren iSd. Art. 47 DSGVO war das UDZ in 2019 ins­ge­samt zwei­mal betei­ligt — bei 20 BCR-Ver­fah­ren europaweit.

Rechen­schafts­pflicht Großunternehmen

Ende 2018, Anfang 2019 wur­den drei der größ­ten Unter­neh­men des Saar­lands um Rechen­schaft ersucht hin­sicht­lich DSGVO Umset­zungs­stand, VVT, Risi­ko­ab­schät­zun­gen und Pro­zes­se und die daten­schutz­kon­for­me Ver­ar­bei­tung von per­so­nen­be­zo­ge­ner Daten im all­ge­mei­nen sowie im Detail.

Wei­te­re Themen

Der Bericht ent­hält außer­dem detail­lier­te Kapi­tel unter ande­rem zu Rechts­fra­gen, recht­li­chen Aus­le­gun­gen und Bewer­tun­gen sowie Rechts­an­wen­dung der DSGVO, die inter­es­san­te und wich­ti­ge Aspek­te beleuchten:

  • Infor­ma­ti­ons­pflich­ten
  • Aus­kunfts­recht
  • Abgren­zung der klas­si­schen AV zur Gemein­sa­men Verantwortlichkeit
  • DSFA
  • Zer­ti­fi­zie­rung und Akkreditierung
  • Fashion ID
  • Planet49
  • Ori­en­tie­rungs­hil­fe Tele­me­di­en der DSK
  • ePri­va­cy-Ver­ord­nung
  • Win­dows 10
  • Daten­schutz­kon­for­me Nut­zung von Whats­App im Rah­men kom­mu­na­ler Bürgerdienste
  • Strea­ming von Ratssitzungen
  • Nut­zung von Geodaten
  • Tele­ar­beit bei der Polizei
  • Licht­bild­ab­gleich in Ord­nungs­wid­rig­kei­ten­ver- fahren
  • Foto­gra­fie­ren an Schu­len und Kindergärten
  • Video­über­wa­chung
  • Daten­schutz im Verein
  • Daten­schutz­recht­li­che Bewer­tung tele­fo­ni­scher Werbeansprachen
  • Ein­sicht in die Patientenakte

Den Bericht fin­den Sie im pdf Voll­text auf der Web­site der Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit der Auf­sichts­be­hör­de Unab­hän­gi­ges Daten­schutz­zen­trum Saar­land — UZD.

Wenn Sie Fra­gen zu The­men oder Begrif­fen des Berichts haben, nut­zen Sie hier­für ger­ne die Kom­men­tar­funk­ti­on — Ihr Team von a.s.k. Datenschutz.

Am 21.10.2015 fin­det das BVS Semi­nar “Recht­li­che Aspek­te der IT-Nut­zung” in Nürn­berg mit Sascha Kuhrau als Refe­ren­ten statt. Das Semi­nar rich­tet sich an IT-Füh­rungs­kräf­te, Admi­nis­tra­to­ren, Daten­schutz­be­auf­trag­te, Per­so­nal­re­fe­ren­ten und Betriebs­rä­te, aber auch an Geschäfts­füh­rung /​ Orga­ni­sa­ti­ons­lei­tung.

Inhal­te sind unter anderem:

Juris­ti­sche Kon­se­quen­zen von Schä­den und Fehlverhalten

  • Scha­den­er­satz und Haftung
  • Straf- und Bußgeldvorschriften

IT-Arbeits­rech­t/­Mit­ar­bei­ter­da­ten­schutz

  • Pri­vat­nut­zung von E‑Mail und Internet
  • IT-Pro­to­kol­lie­rung und Auswertung
  • Video­über­wa­chung
  • Heim­ar­beit
  • Bring your own device (BYOD)
  • Mit­ar­beiterfo­tos auf der Webseite
  • Ein­sicht­nah­me in per­sön­li­che E‑Mail-Kon­ten und Ablagen
  • Lega­le Kon­trol­len und inter­ne Ermittlungen

Inter­net-Recht

  • Recht­li­che Risi­ken sozia­ler Medien
  • Impres­sum und Datenschutzerklärung
  • Auf­trags­da­ten­ver­ar­bei­tung (IT-Out­sour­cing und Cloud Computing)

Die Ver­an­stal­tung fin­det im BVS Bil­dungs­zen­trum Nürn­berg statt. Beginn ist um 9.00 Uhr, Ende vor­aus­sicht­lich um 16.30 Uhr. Refe­rent ist Herr Sascha Kuhrau von a.s.k. Daten­schutz. Ich freue mich auf Ihre Teilnahme.

Zur Anmel­dung (Lehr­gangs­ge­bühr 170 Euro wird von der BVS erhoben)

Fotolia_40732264_XS_roundedDer Angriff war schnell und sorg­te für fet­te Beu­te: Unbe­kann­te haben am 11. April den Ser­ver nam­haf­ter Unter­neh­men im Bereich Rei­se­bu­chun­gen geknackt und eine bis­lang unbe­kann­te Zahl an Kun­den-Kre­dit­kar­ten­da­ten gestoh­len! Wie sehen die weit­rei­chen­den Kon­se­quen­zen aus? Kaum ein Tag ver­geht ohne Schlag­zei­len in der Pres­se zu den The­men Daten­schutz und Daten­si­cher­heit. Die­se Mel­dun­gen kön­nen Sie als Ver­brau­cher, genau­so wie als Unter­neh­mer oder Mit­ar­bei­ter betreffen.

Zu den größ­ten Irr­tü­mern im Daten­schutz gehört die Auf­fas­sung, das eige­ne Unter­neh­men habe mit dem Bun­des­da­ten­schutz­ge­setz nichts zu tun. Das Bun­des­da­ten­schutz­ge­setz (BDSG) ist recht­li­che Vor­schrift für alle. Zusätz­lich muss ab 9 Mitarbeiter/​innen, die im  Unter­neh­men per PC mit per­so­nen­be­zo­ge­nen Daten (Daten von Kun­den, Geschäfts­part­nern oder Per­so­nal­da­ten der eige­nen Mit­ar­bei­ter) ein sog. Daten­schutz­be­auf­trag­ter bestellt werden.

Vie­le Fall­stri­cke lau­ern im Umgang mit per­so­nen­be­zo­ge­nen Daten und den mög­li­chen Feh­ler­quel­len samt Rechts­ver­stö­ßen. Geld­bu­ßen (50.000 – 300.000 EUR) für Ver­stö­ße gegen das Bun­des­da­ten­schutz­ge­setz sind vor­ge­se­hen – zuzüg­lich even­tu­el­ler Scha­den­er­satz­for­de­run­gen! Und das nicht erst, wenn etwas schief gegan­gen ist.

Hahn Premium IT Lösungen SchwaigBesu­chen Sie einen der für Sie kos­ten­frei­en Info­aben­de im Rah­men der Hahn IT Cam­pu­s­in­itia­ti­ve und infor­mie­ren Sie sich in nur  zwei Stun­den über die­ses bri­san­te Thema.

Das Pro­gramm für Sie :

  • Begrü­ßung mit Geträn­ken & Snacks
  • Top Irr­tü­mer zum The­ma Datenschutz
  • Kon­se­quen­zen durch Nichteinhaltung
  • Aktu­el­le Infos zum The­ma IT-Sicherheit
  • Lösun­gen zur geset­zes­kon­for­men Umsetzung
  • Bei­spie­le aus der Pra­xis in der Talkrunde
  • Zeit fur Gesprä­che beim Abendbuffet

+ Die Ver­an­stal­tung ist für Sie kostenfrei
+ Sie erhal­ten ein Teilnahmezertifikat

Refe­ren­ten des Abends sind Herr Ste­fan Mol­ter (Hahn IT) und Sascha Kuhrau (a.s.k. Datenschutz).

Ter­mi­ne:

  • 27. Juni 2013, 17.00 — 19.00 Uhr
  • 04. Juli 2013, 17.00 — 19.00 Uhr
  • 11. Juli 2013, 17.00 — 19.00 Uhr

Ver­an­stal­tungs­ort:

90571 Schwaig

Haben wir Ihr Inter­es­se geweckt? Hier geht es zur Anmel­dung.