Projekt Zahnräder verzahnen

Daten­schutz­ma­nage­ment — Cha­os oder System

Unse­re Kun­den wis­sen es (hof­fent­lich), wie wir Daten­schutz “mana­gen” in der Zusam­men­ar­beit mit ihnen. Inter­es­sen­ten, aber auch Kol­le­gin­nen und Kol­le­gen aus der Bran­che fra­gen jedoch durch­aus mal nach. “Wie macht ihr das mit dem das mit dem Daten­schutz­ma­nage­ment mit euren Kun­den bei der a.s.k. Daten­schutz als exter­ne Datenschutzbeauftragte?”

Glück­li­cher­wei­se haben nur weni­ge Inter­es­sen­ten bzw. poten­ti­el­le Kun­den bereits eine wie auch immer gear­te­te Daten­schutz-Soft­ware von der Stan­ge. Nicht, weil die­se gene­rell unbrauch­bar wären, aber in der Zusam­men­ar­beit intern /​ extern meist doch eher sub­op­ti­mal. Auch wenn sich lang­sam die eine oder ande­re Cloud-Lösung dar­un­ter befin­det, so lau­fen die­se Anwen­dun­gen meist on pre­mi­se, sprich auf den Sys­te­men des Kun­den. Für uns Exter­ne hie­ße dies, eine Viel­zahl an VPN-Cli­ents und Zugangs­lö­sun­gen auf allen Gerä­ten des a.s.k.-Teams ein­zu­rich­ten und zu pfle­gen. Ein beacht­li­cher Auf­wand. Und es soll sogar Orga­ni­sa­tio­nen geben, die einen Fern­zu­griff auf inter­ne Sys­te­me kom­plett unter­sa­gen. Von daher auch nicht optimal.

Hin­zu kommt, dass wir ja nicht nur als exter­ne Daten­schutz­be­auf­trag­te arbei­ten, son­dern auch im Bereich Infor­ma­ti­ons­si­cher­heit tätig sind. Hier sind u.a. auf­grund zeit­li­cher Vor­ga­ben (wie z.B. För­der­mit­tel­fris­ten) eine sys­te­ma­ti­sche Pro­jekt­lei­tung und ein enges Füh­ren der zu erle­di­gen­den Auf­ga­ben kri­ti­sche Erfolgsfaktoren.

Eine Platt­form für (fast) alles, nicht nur für Daten­schutz­ma­nage­ment muss her

Also haben wir uns vor über 10 Jah­ren auf die Suche nach der eier­le­gen­den Woll­milch­sau oder — wie wir hier in Fran­ken sagen — der bier­brau­en­den Schäu­f­ele­kloss­kuh gemacht. Zwin­gen­de Vor­aus­set­zun­gen waren:

  • Ein­fa­cher Zugang sowohl für unse­re Kun­den als auch uns
  • Leich­te Ver­ständ­lich­keit und Bedienbarkeit
  • Hohes Maß an Sicher­heit (u.a. Ver­schlüs­se­lung nicht nur bei Bewegt­da­ten, son­dern auch im Ruhezustand)
  • Zwei-Fak­tor-Authen­ti­fi­zie­rung für alle Nut­zer admi­nis­tra­tiv Pflicht (sonst kein Zugang /​ Zugriff)
  • Fle­xi­ble Ein­setz­bar­keit für unse­re Themen

Dabei soll­te es stets mög­lich sein, vor­ge­fer­tig­te Inhal­te mit unse­ren Kun­den gemein­sam bear­bei­ten zu kön­nen, ein­fach neue Inhal­te ergän­zen zu kön­nen und bei Pro­jek­ten auch das Zeit­ma­nage­ment im Blick haben zu kön­nen. Und das Gan­ze ohne stun­den­lan­ge Ein­füh­run­gen, Schu­lun­gen oder Handbuchwälzerei.

Je mehr wir uns im Markt umge­se­hen und Tools getes­tet haben, des­to grö­ßer wur­den dann auch unse­re Ansprüche 🙂

  • Doku­men­ten­ma­nage­ment (zumin­dest Ver­sio­nie­rung) wäre nicht verkehrt.
  • Auto­ma­ti­sche Wie­der­vor­la­gen z.B. für regel­mä­ßi­ge TOM-Nach­prü­fun­gen bei Auf­trags­ver­ar­bei­tern ein Gedicht.
  • Doku­men­ta­ti­on (auch im Zuge der Nach­weis­bar­keit und Beleg­bar­keit) von Dis­kus­sio­nen zu Fra­gen von Kun­den an zen­tra­ler Stel­le statt stun­den­lan­ger Recher­ché in zahl­rei­chen Post­fä­chern (gera­de bei Mit­ar­bei­ter­wech­seln eine Pest).
  • Über­sicht­li­che Dar­stel­lung erle­dig­ter und noch offe­ner ToDos, einer­seits zur Moti­va­ti­on der Betei­lig­ten, aber auch zur Erleich­te­rung des Berichtswesens.
  • Bear­bei­ten und Doku­men­tie­ren von Betrof­fe­nen­an­fra­gen und Daten­schutz­ver­let­zun­gen mit ein­fa­cher Mög­lich­keit des Löschens nach abge­lau­fe­ner Aufbewahrungsfrist.
  • Und … und … und … unse­re Wunsch­lis­te wur­de immer länger.

Ja, stimmt. Zahl­rei­che der im Markt erhält­li­chen Tools für Daten­schutz­ma­nage­ment kön­nen das irgend­wie, teil­wei­se oder gänz­lich. Irgend­ei­ne Krö­te muss man aber doch schlu­cken. Und man erhält “Daten­schutz von der Stan­ge”. Und sie kön­nen halt meist auch “nur” Daten­schutz. Die Steue­rung eines ISMS auf Basis des BSI IT-Grund­schutz oder ande­rer Stan­dards als exter­ner Pro­jekt­lei­ter ist damit sel­ten zu stem­men. Von ande­ren Auf­ga­ben in unse­rem Arbeits­all­tag ganz zu schwei­gen. Und für alles ein jeweils ande­res Tool ein­zu­set­zen, ist am Ende auch kei­ne Lösung.

Vor vie­len Jah­ren die Lösung: Daten­schutz­ma­nage­ment via Stackfield

Und dann haben wir nach län­ge­rer Suche vor vie­len Jah­ren unse­re bier­brau­en­de Schäu­f­ele­kloss­kuh gefun­den. Die Münch­ner Stack­field GmbH hat­te mit dem Pro­dukt Stack­field eine Alter­na­ti­ve zu Trel­lo (einem bekann­ten US-Kan­ban-Board) am Start und sowohl das vor­han­de­ne Pro­dukt als auch die wei­te­re Road­map waren viel­ver­spre­chend. Und den Ein­satz als zen­tra­les Sys­tem für Daten­schutz­ma­nage­ment für unse­re Kun­den und uns, aber auch als Pro­jekt­ma­nage­ment-Tool haben wir seit­her kei­ne Sekun­de bereut. Auf­grund der kon­ti­nu­ier­li­chen Wei­ter­ent­wick­lung des Pro­dukts sind mitt­ler­wei­le noch zahl­rei­che Fea­tures hin­zu­ge­kom­men, die wir nicht auf unse­rer Lis­te hat­ten, die aber den Arbeits­all­tag in der Zusam­men­ar­beit mit unse­ren Kun­den noch wei­ter erleich­tern. Direk­te ver­schlüs­sel­te Chat-Funk­ti­on, Video­kon­fe­ren­zen (geplant oder adhoc) inner­halb der Pro­jekt­um­ge­bung ohne sepa­ra­tes Tool, Wis­sens­ma­nage­ment und noch so vie­les mehr. Aus unse­rem Arbeits­all­tag ist Stack­field nicht mehr weg­zu­den­ken. Auch abseits der Zusam­men­ar­beit mit Kun­den ist Stack­field für rein inter­ne a.s.k.-Angelegenheiten ein eben­so wich­ti­ges Instru­ment gewor­den. Auf den ers­ten Blick mag Stack­field einem wie ein Auf­ga­ben-/Pro­jekt­ma­nage­ment-Tool unter vie­len erschei­nen. Doch unter der Hau­be steckt noch sehr viel mehr.

Doch bevor wir das nun lang und breit erklä­ren und damit den Umfang die­ses Bei­trags spren­gen wür­den: Der geschätz­te Ste­phan Han­sen-Oest, auch bekannt als “Daten­schutz-Guru” (selbst wenn er das so nicht hören mag, er ist einer) hat vor eini­ger Zeit einen Video­cast mit uns zu dem The­ma “Stack­field als DSMS” gemacht. Unter dem Titel “So arbei­ten Daten­schutz­be­auf­trag­te — a.s.k. Daten­schutz” kann sich jeder, der mag, wei­te­re Details zur Ein­satz­wei­se die­ser Lösung anschau­en , die nicht von der Stan­ge kommt. Viel Spaß beim Schauen!

Und bevor jemand fragt: Nein, die­ser Bei­trag ist kein Wer­be­bei­trag und nicht gespons­ort. Wir erhal­ten auch kei­ne Ver­güns­ti­gun­gen oder Kick­backs irgend­ei­ner Art. Wir sind ein­fach von dem Tool so begeis­tert, dass wir dar­über berich­ten wollten.

BfDI legt Berichte vor

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­filing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Darknet Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Bre­x­it, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Europatag 2020 - Videoreihe zum Datenschutz

In einer Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) vom 15.05.2020 wird zum Euro­pa­tag 2020 eine Vide­orei­he vorgestellt.

Jubi­lä­um — 70 Jah­re EU und der Daten­schutz zum Euro­pa­tag 2020

Der fran­zö­si­sche Außen­mi­nis­ter Robert Schu­man präg­te mit dem Aus­spruch, dass „Euro­pa [..] durch kon­kre­te Tat­sa­chen ent­ste­hen [wird], die zunächst eine Soli­da­ri­tät der Tat schaf­fen.“ am 09. Mai 1950 das poli­ti­sche Bewusst­sein für die Grün­dung der Euro­päi­sche Uni­on. Als Urhe­ber der DSGVO wird die EU sowie der Euro­pa­tag 2020 selbst­ver­ständ­lich auch von Daten­schüt­zern aller Her­ren Län­der began­gen und gefei­ert. Anläss­lich die­ses — 70-jäh­ri­gen — Jubi­lä­ums ehrt der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg ein zusam­men­wach­sen­des Euro­pa auf beson­de­re Art.

Vide­orei­he des LfDI

Unter dem für „LfDI“ akro­ny­men Titel „Daten­schutz – zum Lua­ga fir Daho­im ond Iber­all“ wer­den in locke­rer und auf­schluss­rei­cher Form The­men des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit behan­delt und wie euro­pa­weit gel­ten­de Rege­lun­gen in dem Bun­des­land umge­setzt werden.

Das aktu­el­le Video zum Euro­pa­tag 2020

In der ers­ten Fol­ge wird eine Ein­füh­rung pas­send zum The­ma Daten­schutz zum Euro­pa­tag 2020 in das The­ma Daten­schutz ver­mit­telt mit Grund­be­grif­fen und Tipps. Neben Erläu­te­run­gen der Begrif­fe per­so­nen­be­zo­ge­ner Daten und der Ver­ar­bei­tung die­ser wer­den Sinn und Nut­zen des Daten­schut­zes prä­gnant the­ma­ti­siert. Letz­te­res ist noch nicht über­all eine Selbst­ver­ständ­lich­keit. Die Zuor­den­bar­keit von Daten zu Per­so­nen wird mit Bei­spie­len wie KFZ-Kenn­zei­chen und Video­auf­zeich­nun­gen ver­an­schau­licht. Tra­gen­de Grund­sät­ze des Daten­schut­zes wie u.a. die nach­fol­gen­den wer­den erklärt: 

  • Inte­gri­tät
  • Ver­trau­lich­keit
  • Zweck­bin­dung
  • Trans­pa­renz

Auch Recht­mä­ßig­keit, Rechen­schafts­pflich­ten und die Betrof­fe­nen­rech­te nach Artt. 15 ff. DSGVO sind Gegen­stand der Betrach­tung. Das Pro­zes­s­prin­zip Plan, Do, Check, Act sowie die Mel­dung von Daten­pan­nen auf dem online Wege und die Abgren­zung von Auf­trags­ver­ar­bei­tung und Gemein­sa­mer Ver­ant­wort­lich­keit iSd. Art. 26 DSGVO wer­den dem Zuschau­er näher gebracht.

Wei­te­re Epi­so­den zum Datenschutz

Nicht nur zum Euro­pa­tag 2020, son­dern gene­rell ist dies eine viel­ver­spre­chen­de Rei­he, Anwen­dern und Betrof­fe­nen wich­ti­ge Aspek­te des Daten­schut­zes und auch der Infor­ma­ti­ons­si­cher­heit in einem infor­ma­ti­ven und gut kon­su­mier­ba­ren For­mat anzu­bie­ten. Für die fol­gen­den Vide­os wer­den detail­lier­te­re The­men wie „Lösch­kon­zept“ und „Trans­pa­renz­pflicht“ ange­kün­digt. Adres­sa­ten der Vide­orei­he sei­en „ins­be­son­de­re [..] klei­ne und mit­tel­stän­di­sche Unter­neh­men, Ver­ei­ne und natür­lich auch an unse­re Kommunen.“

Trai­ning und Betreu­ung von Datenschutzexperten

Die Her­aus­for­de­run­gen für Unter­neh­men und Kom­mu­nen im Daten­schutz sind sehr anspruchs­voll. Ruf­schä­di­gen­de oder kos­ten­in­ten­si­ve Feh­ler sind schnell pas­siert. Wen­den Sie sich ver­trau­ens­voll an Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Dann for­dern Sie doch ein­fach ein unver­bind­li­ches Ange­bot für einen exter­nen Daten­schutz­be­auf­trag­ten bei uns an.

gesundheitsdaten gehen an die polizei

Nun auch Sach­sen-Anhalt — das Innen­mi­nis­te­ri­um wies die Gesund­heits­äm­ter an, per­so­nen­be­zo­ge­ne /​ Gesund­heits­da­ten aller Per­so­nen in Qua­ran­tä­ne den Poli­zei­be­hör­den zur Ver­fü­gung zu stel­len. Die Poli­zei erhielt somit per­so­nen­be­zo­ge­ne Daten über Coro­na-Infi­zier­te und Kontaktpersonen. 

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge 

Aus den Rei­hen des Land­tags wur­de am 22.04.2020 die Ent­hül­lung bekannt, dass der Lan­des­in­nen­mi­nis­ter vom 27. bis 31.03.2020 eine Ver­pflich­tung zur Bereit­stel­lung der Daten für alle Per­so­nen in Qua­ran­tä­ne des Bun­des­lan­des ver­fügt habe. Seit­dem wür­den Gesund­heits­äm­ter „nach eige­nem Ermes­sen und im Ein­zel­fall“ Daten von Per­so­nen in Qua­ran­tä­ne an die Poli­zei über­mit­teln. Bis 09.04.2020 über 800 Fäl­le in Sach­sen-Anhalt — heißt es wei­ter in den zuge­hö­ri­gen Posts auf Twit­ter. Eine öffent­li­che Infor­ma­ti­on über die Maß­nah­me durch das Innen­mi­nis­te­ri­um zur Erfül­lung der DSGVO-gesetz­li­chen Trans­pa­renz­pflicht war lan­ge Zeit nicht erfolgt. Die kom­mu­ni­zier­ten Daten hät­ten Namen, Anschrif­ten, Geburts­da­ten, Wohn­or­te, Natio­na­li­tä­ten, Geschlech­ter sowie Beginn und Ende der behörd­lich defi­nier­ten Qua­ran­tä­ne umfasst. Die Über­mitt­lung, Ver­ar­bei­tung und Spei­che­rung auf Poli­zei­da­ten­ban­ken von Gesund­heits­da­ten sei „recht­lich pro­ble­ma­tisch“ und der Lan­des­be­auf­trag­te für den Daten­schutz sei the­ma­tisch zu invol­vie­ren. Wei­te­re ~130 sol­cher Über­mitt­lun­gen in Hal­le wur­den zunächst laut Anga­be der Stadt­ver­wal­tung wohl gar nicht erst gezählt. 

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten 

Auf Anfra­ge hat­te das Lan­des­in­nen­mi­nis­te­ri­um gegen­über netz​po​li​tik​.org geleug­net, dass es der­lei Gesund­heits­da­ten­über­mitt­lun­gen an die Poli­zei gege­ben hat­te. Spä­ter wur­de bekannt, dass Gesund­heits- /​ per­so­nen­be­zo­ge­ne Daten auf der Fahn­dungs­da­ten­bank des Lan­des­kri­mi­nal­amts gespei­chert wur­den. Zu direk­ten Anfra­gen von netz​po​li​tik​.org sei sei­tens der Poli­zei nicht Stel­lung genom­men wor­den. Der Erlass sei dem Lan­des­da­ten­schutz­be­auf­trag­tes Sach­sen-Anhalts erst auf Nach­fra­ge zur Ver­fü­gung gestellt wor­den, den die­ser am 31.03.2020 für rechts­wid­rig erklärt habe. In sei­ner Haut möch­te man jetzt eher nicht ste­cken. Aus DSB-Sicht stellt sich aller­dings die Fra­ge, aus wel­chem Grund kei­ne Vor­ab­infor­ma­ti­on erfolg­te und kei­ne Daten­schutz­fol­ge­ab­schät­zung in fach­li­cher Abstim­mung mit dem Lan­des-DSB durch­ge­führt wor­den ist. l 

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern 

Auch in ande­ren Bun­des­län­dern wur­den Daten­über­mitt­lun­gen von Infi­zier­ten und Kon­takt­per­so­nen ein­ge­führt. Offi­zi­ell sei Ziel der Maß­nah­me die Über­wa­chung der Ein­hal­tung der Qua­ran­tä­ne und Schutz der Polizeibeamten. 

Nach uns vor­lie­gen­den Infor­ma­tio­nen erklär­te auch die nie­der­säch­si­sche Daten­schutz­be­auf­trag­te Bar­ba­ra Thiel die Maß­nah­me für ihr Bun­des­land als rechts­wid­rig. Aller­dings hielt die Lan­des­re­gie­rung an den Daten­über­mitt­lun­gen fest. 

Die umstrit­te­ne Pra­xis wur­de auch in wei­te­ren Bun­des­län­dern ein­ge­führt. In Fol­ge vehe­men­ter Pro­tes­te wur­de die­se in Bre­men auf­ge­ho­ben. In Baden-Würt­tem­berg wird eine DSGVO kon­for­me Ver­ord­nung zur Daten­über­mitt­lung posi­tiv erwar­tet. In Meck­len­burg-Vor­pom­mern wur­de das Pro­ce­de­re modi­fi­ziert. Hier wird bei der Über­mitt­lung der Gesund­heits­da­ten nun auf den Bedarfs­fall abge­stellt. Fer­ner soll nun die Vor­ga­be sein, die Daten anony­mi­siert und ver­schlüs­selt an einen defi­nier­ten Per­so­nen­kreis im Poli­zei­dienst zu über­mit­teln. Es ist begrü­ßens­wert, dass die tra­gen­den Stan­dards in der Infor­ma­ti­ons­si­cher­heit neben den Daten­schutz­an­for­de­run­gen auch bei die­sem The­ma suk­zes­si­ve Berück­sich­ti­gung finden. 

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten 

Es besteht ein gro­ßes Span­nungs­feld zwi­schen Daten­schutz /​ Grund­rech­ten und einer effek­ti­ven Pan­de­mie­be­kämp­fung. Dass Men­schen und Pfle­ge­per­so­nal, der öffent­li­che Dienst und ande­re Arbeits­kräf­te mit not­wen­di­gem Publi­kums­kon­takt des Schut­zes bedür­fen, steht völ­lig außer Fra­ge. Aller­dings kann als auf­fäl­lig bezeich­net wer­den, dass gera­de in sol­chen grenz­wer­ti­gen Maß­nah­men der Dia­log mit den Daten­schutz­be­hör­den und auch den behörd­li­chen Daten­schutz­be­auf­trag­ten aktiv ver­mie­den wird. Gera­de in sol­chen Zei­ten darf erwar­tet wer­den, dass man sich zwecks ganz­heit­li­cher Kri­sen­be­wäl­ti­gung bereichs­über­grei­fend abstimmt. So kann dafür Sor­ge getra­gen wer­den, dass die Ver­ar­bei­tun­gen und Über­mitt­lun­gen der Behör­den den zwin­gend erfor­der­li­chen, zeit­ge­mä­ßen Vor­ga­ben des Daten­schut­zes sowie der Infor­ma­ti­ons­si­cher­heit /​ IT-Sicher­heit genügen. 

Limonade statt Zitrone

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, die­se Fra­ge wird desöf­te­ren per Email oder als Blog-Kom­men­tar an uns her­an­ge­tra­gen.  Eine nach­voll­zieh­ba­re Fra­ge, gera­de wenn das eige­ne Unter­neh­men unter die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten fällt. Und gera­de in wirt­schaft­lich anstren­gen­den Pha­sen sind die Kos­ten ein rele­van­ter Fak­tor. Sind kei­ne wei­te­ren Anga­ben vor­han­den, dann fällt die Beant­wor­tung in etwa so leicht wie die von Fra­gen wie

  • Was kos­tet ein Auto?
  • Wie teu­er ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächs­ten Som­mer­ur­laub bezahlen?

Die ehr­li­che Ant­wort auf die Fra­ge nach den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten kann in die­sem Fall nur lau­ten: “Es kommt dar­auf an!”

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Daten­schutz ist kein Pro­dukt von der Stan­ge, auch wenn das eine oder ande­re rei­ße­ri­sche Bil­lig­hei­mer-Ange­bot das glau­ben machen will. Daten­schutz ist stets eine indi­vi­du­el­le Leis­tung maß­ge­schnei­dert auf Ihre Orga­ni­sa­ti­on. Jede Unter­neh­mung ver­fügt über eine eige­ne Aus­gangs­si­tua­ti­on (Sta­tus Quo wie Anzahl der Mit­ar­bei­ter, Filia­len, Betriebs­rat, Richt­li­ni­en etc.), unter­schied­li­che Res­sour­cen zur Umset­zung, eine Viel­falt an zu betrach­ten­den Fak­to­ren (bei­spiels­wei­se die unter­schied­lichs­ten IT-Lösun­gen) und ein not­wen­di­ges Schutz­ni­veau je nach Bran­che und Art der per­so­nen­be­zo­ge­nen Daten in der Organisation.

All die­se Punk­te bedeu­ten ein Mehr oder Weni­ger an Auf­wand in der Umset­zung und Betreu­ung im Rah­men der Auf­ga­ben eines Daten­schutz­be­auf­trag­ten nach Art. 39 DSGVO. Sie wir­ken sich dem­nach direkt auf die ent­ste­hen­den Kos­ten aus. Umso wich­ti­ger ist es, mög­lichst vie­le die­ser Aspek­te zu ken­nen, um die ein­gangs genann­te Fra­ge seri­ös und vor allem ohne spä­te­re Preis­nach­ver­hand­lun­gen beant­wor­ten zu kön­nen. Zu die­sem Zweck kön­nen Sie unser kom­for­ta­bles Online-For­mu­lar nut­zen und damit Ihr Ange­bot anfor­dern. Ihre Anga­ben wer­den selbst­ver­ständ­lich ver­trau­lich behandelt.

Wuss­ten Sie schon, dass zahl­rei­che unse­rer Leis­tun­gen aus offi­zi­el­len För­der­mit­teln bezu­schusst wer­den kön­nen? Hier erfah­ren Sie mehr über För­der­mög­lich­kei­ten und Zuschüs­se für Bera­tungs­leis­tun­gen Daten­schutz & Infor­ma­ti­ons­si­cher­heit von a.s.k. Daten­schutz. Ein wei­te­rer Fak­tor, der Sie unter­stützt, die Belas­tung für die Kos­ten eines exter­nen Daten­schutz­be­auf­trag­ten gering zu halten.

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Im Rah­men eines ein- bis mehr­tä­gi­gen Daten­schutz-Audits vor Ort (zu Coro­na-Zei­ten erst mal nur remo­te) wird der Sta­tus Quo des Daten­si­cher­heit- und Daten­schutz-Niveaus Ihrer Orga­ni­sa­ti­on ermit­telt. Klar defi­nier­te Fra­gen­ka­ta­lo­ge zusam­men mit Ein­zel- und Grup­pen­ge­sprä­chen erge­ben ein deut­li­ches Bild und bil­den die Grund­la­ge für alle wei­te­ren Akti­vi­tä­ten. Nach Aus­wer­tung des Audits und der Gesprä­che steht ein Kata­log von Maß­nah­men und Emp­feh­lun­gen fest, mit des­sen Umset­zung die gesetz­lich vor­ge­schrie­be­nen Not­wen­dig­kei­ten in Ihrem Unter­neh­men sicher­ge­stellt wer­den. Der Kata­log wird in der sog. “Ein­füh­rungs­pha­se” gemein­sam unter Zuhil­fe­nah­me eines Online Pro­jekt Tools umge­setzt. Der Auf­wand für die­se Pha­se wird in Mann­ta­gen gemäß Ihren Anga­ben kal­ku­liert und abge­rech­net. Zumeist ist ein Pau­schal­preis ver­ein­bart, der alle Leis­tun­gen die­ser Pha­se umfasst. Beach­ten Sie mög­li­che För­der­mit­tel und Zuschüs­se.

Nach­dem in der Ein­füh­rungs­pha­se die not­wen­di­ge Basis geschaff­ten wur­de,  schließt sich nun die “Betreu­ungs­pha­se” als exter­ner Daten­schutz­be­auf­trag­ter an.  Die­se umfasst ein­ma­li­ge und wie­der­keh­ren­de Auf­ga­ben wie sie Arti­kel 39 DSGVO vor­sieht. Selbst­ver­ständ­lich haben wir die­se Auf­ga­ben um eini­ge wei­te­re Tätig­kei­ten für Sie ergänzt, sofern dadurch kei­ne Inter­es­sens­kon­flik­te zu den Kern­auf­ga­ben des Daten­schutz­be­auf­trag­ten ent­ste­hen. Zu den Auf­ga­ben lesen Sie mehr in unse­rem sepa­ra­ten Blog-Beitrag.

Was kos­tet es Sie auf jeden Fall …

… wenn Sie kei­nen Daten­schutz­be­auf­trag­ten benen­nen, obwohl Sie gesetz­lich dazu ver­pflich­tet sind.

  • Buß­geld (Aus­nah­me: öffent­li­che Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Die Vor­tei­le einer exter­nen Bestel­lung lie­gen für klei­ne und mit­tel­stän­di­sche Unter­neh­men aber auch Kom­mu­nen klar auf der Hand. Dabei spie­len nicht nur die kal­ku­lier­ba­ren und über­schau­ba­ren Kos­ten eine gro­ße Rol­le. Ihre Orga­ni­sa­ti­on pro­fi­tiert spür­bar vom Ein­satz eines exter­nen Datenschutzbeauftragten.