Zum Inhalt springen

Ratgeber

Fahr­plan der EU Daten­schutz-Grund­ver­ord­nung (EU DS GVO)

Die Euro­päi­sche Daten­schutz-Grund­ver­ord­nung (EU DS GVO) wird nach der Ver­öf­fent­li­chung im EU Amts­blatt am 24.05.2016 inkraft­tre­ten. Die Ver­un­si­che­rung bei Unter­neh­men, aber auch Behör­den und kom­mu­na­len Ein­rich­tun­gen ist zur Zeit groß. Was kommt genau an Ände­run­gen auf uns zu? Was muss ich ab wann beach­ten? Und noch viel drin­gen­der: wie set­ze ich das Gan­ze in der Pra­xis um? In die­sem Bei­trag wol­len wir Ihnen den Fahr­plan der EU Daten­schutz-Grund­ver­ord­nung auf­zei­gen. Damit haben Sie einen zeit­li­chen Anhalts­punkt, bis wann die Umset­zung zu erfol­gen hat und wel­ches Recht zu wel­chem Zeit­punkt anzu­wen­den ist.

Datum /​ Zeit­raumSach­ver­haltRechts­an­wen­dung
Dezem­ber 2015Eini­gung im EU Tri­log auf die Inhal­te und grund­le­gen­den For­mu­lie­run­gen der Grund­ver­ord­nung (EU DS GVO)Das Bun­des­da­ten­schutz­ge­setz (BDSG) sowie die Lan­des­da­ten­schutz­ge­set­ze gel­ten wei­ter.
Beginn der Umset­zungs­frist, bedeu­tet: Daten­ver­ar­bei­tun­gen sol­len inner­halb von 2 Jah­ren nach Inkraft­tre­ten (24.05.2016) mit der Ver­ord­nung in Ein­klang gebracht, sprich ange­passt wer­den.
Lau­fen­de und neue Ver­fah­ren müs­sen jedoch den Anfor­de­run­gen und Auf­la­gen der noch gel­ten­den Daten­schutz­ge­set­ze genügen!
April 2016Annah­me durch Euro­pa-Rat und das Euro­päi­sche Parlament
04.05.2016Ver­kün­dung im Euro­päi­schen Amtsblatt
24.05.2016Inkraft­tre­ten der Euro­päi­schen Daten­schutz-Grund­ver­ord­nung (EU DS GVO) und Beginn der Umset­zungs­frist in den Mitgliedsstaaten
25.05.2018Gel­tung der EU DS GVO und Ende der UmsetzungsfristAb jetzt sind Bun­des­da­ten­schutz­ge­setz und Lan­des­da­ten­schutz­ge­set­ze in ihrer bis­he­ri­gen Form nicht mehr anwend­bar. Die EU-Daten­schutz­richt­li­nie 95/​46 ist auf­ge­ho­ben. Natio­na­le Gesetz­ge­ber müs­sen (sofern Sie dies nut­zen woll­ten) die Öff­nungs­klau­seln for­mu­liert und gemel­det haben. Natio­na­les Recht muss ent­spre­chend ange­passt sein. Kon­kur­rie­ren­de Rege­lun­gen sind unzulässig.

In wei­te­ren Bei­trä­gen wer­den wir auf die Neue­run­gen und Ände­run­gen durch die EU DS GVO näher ein­ge­hen. Blei­ben Sie dran 🙂 Am ein­fachs­ten geht das mit unse­rem News­let­ter, damit ver­pas­sen Sie kei­nen Bei­trag unse­res Blogs mehr.

Abmah­nung für den Ein­satz von Goog­le Analytics

Goog­le Ana­ly­tics als Web­track­ing- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln — im Zwei­fel mit­tels Abmah­nung — gezwun­gen werden.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/​16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Monaten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestätigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­track­ing- und Ana­ly­se-Tool umzusetzen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te Vor­la­ge samt Anlei­tung fin­den Sie unter www​.goog​le​.com/​a​n​a​l​y​t​i​c​s​/​t​e​r​m​s​/​d​e​.​pdf oder Sie suchen bei goog​le​.de nach „ana­ly­tics +tos.pdf“.
  2. Detail­lier­te For­mu­lie­rung der Nut­zung in der Daten­schutz­er­klä­rung Ihrer Web­sei­te zusam­men mit dem Hin­weis auf die Wider­spruchs­mög­lich­keit durch das Goog­le Tool „gaop­t­aut“ inkl. Down­load­link.
  3. Akti­vie­rung der anony­mi­zeIP-Funk­ti­on (Ach­tung: hier­für ist ein geson­der­ter Track­ing-Code notwendig!)
  4. Löschen ALLER bis­her zu Unrecht erho­be­nen Daten

Viel Erfolg beim daten­schutz­kon­for­men Ein­satz von Goog­le Ana­ly­tics. Wer es unkom­pli­zier­ter mag, setzt auf das Open Source Tool PIWIK, wie in unse­rem Blog­bei­trag beschrieben.

Stoppt das Win­dows 10 Zwangs-Upgrade

Kei­ne Lust auf das Win­dows 10 Zwangs-Upgrade und den dazu­ge­hö­ri­gen Zwangs-Down­load? Dann ist es jetzt Zeit zu han­deln. Denn Micro­soft macht nun Ernst und über­spielt je nach Update-Ein­stel­lung das Betriebs­sys­tem nun sogar unge­fragt auf Ihren PC.

Wie Sie dage­gen erfolg­reich vor­ge­hen kön­nen, lesen Sie in die­sem Bei­trag der COMPUTER BILD: 

Oder direkt den CB Win­dows 10 Zwangs-Update-Kil­ler her­un­ter­la­den. Down­load hier: https://​www​.com​pu​ter​bild​.de/​d​o​w​n​l​o​a​d​/​C​O​M​P​U​T​E​R​-​B​I​L​D​-​W​i​n​d​o​w​s​-​1​0​-​Z​w​a​n​g​s​-​U​p​d​a​t​e​-​K​i​l​l​e​r​-​1​3​3​3​2​2​1​5​.​h​tml

EU Daten­schutz-Grund­ver­ord­nung am Start

Mit­te Dezem­ber 2015 fand die wohl letz­te Ver­hand­lungs­run­de zur EU Daten­schutz-Grund­re­form statt. Die nun vor­lie­gen­de “fina­le” Ver­si­on wird wohl kei­nen wei­te­ren Ände­run­gen mehr unter­wor­fen sein. Die EU Daten­schutz Grund­ver­ord­nung steht also nach lan­gem Rin­gen am Start. Fast 4 Jah­re sind ver­gan­gen, seit der Ent­schluss gefasst wur­de, ein ein­heit­li­ches, moder­nes und zukunfts­fä­hi­ges Daten­schutz-Recht für alle EU-Mit­glieds­staa­ten zu schaf­fen. Was lan­ge währt, wird end­lich gut?

Mit­nich­ten. Die groß ange­kün­dig­ten neu­en Rech­te der Ver­brau­cher sind in wei­ten Tei­len Augen­wi­sche­rei und unprak­ti­ka­bel. Unter­neh­men und Behör­den müs­sen sich noch mehr Büro­kra­tie stel­len, die Buß­gel­der stei­gen. Und wie so oft bei vie­len Köchen, der Brei ist — naja — so lala. Die Poli­tik lobt sich über­schwäng­lich. Wer in den nun fina­len Text der Ver­ord­nung schaut, stellt fest, es wur­de der kleins­te gemein­sa­me Nen­ner gefunden.

Besteht jetzt schon Handlungsbedarf?

Der Text muss nun noch in die Lan­despra­chen der EU Län­der über­setzt wer­den, EU-Rat und EU-Par­la­ment müs­sen das Mach­werk noch abni­cken und die Ver­kün­dung im EU-Amts­blatt statt­fin­den. Die Ver­ord­nung sieht eine zwei­jäh­ri­ge Über­gangs­frist vor, das heißt Anfang 2018 müs­sen die neu­en Rege­lun­gen umge­setzt sein.

Bis dahin bleibt aus­rei­chend Zeit, sich mit den not­wen­di­gen Anpas­sun­gen für Unter­neh­men aber auch Behör­den aus­ein­an­der­zu­set­zen und die erfor­der­li­chen Maß­nah­men zur rechts­kon­for­men Umset­zung zu treffen.

Doch bevor es los­ge­hen kann, sind sowohl Über­set­zung als auch die Kom­men­ta­re zur Ver­ord­nung abzu­war­ten. Auch wird es noch eini­ge Zeit dau­ern, bis klar ist, ob natio­na­le Öff­nungs­klau­seln durch die Län­der genutzt wer­den und wie die­se aus­ge­stal­tet sein werden.

Es gibt jedoch kei­nen Grund, nun in Aktio­nis­mus zu ver­fal­len. Im Lau­fe des Jah­res 2016 wer­den aus­rei­chend Stel­lung­nah­men und Kom­men­tie­run­gen unter ande­rem auch aus den ein­schlä­gi­gen Berufs­ver­bän­den vor­lie­gen, die es dann suk­zes­si­ve abzu­ar­bei­ten gilt.

Der Autor die­ses Bei­trags wird im April die­sen Jah­res ein ers­tes Ori­en­tie­rungs­se­mi­nar sei­nes Berufs­ver­ban­des zur EU Daten­schutz-Grund­ver­ord­nung besu­chen, um einen ers­ten — hof­fent­lich schon — kon­kre­ten Über­blick zu erhalten.

Safe Har­bor 2.0 — Wunsch oder Wirklichkeit

Was ist mit Safe Har­bor 1.0 passiert?

Am 06.10.2015 hat für eini­ge der größ­te Durch­bruch der letz­ten Jahr­zehn­te im Daten­schutz statt­ge­fun­den und für ande­re end­lich die lang­jäh­ri­ge bewuß­te Selbst­täu­schung ein Ende gefun­den. Die Rede ist vom soge­nann­ten Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs. Voll­kom­men zu Recht hat der EuGH die­ses Zuläs­sig­keits­ver­fah­ren für Daten­über­mitt­lun­gen in die USA in Fra­ge gestellt und am Ende für nich­tig erklärt. Wer sich mit den Hin­ter­grün­den befasst hat, ist davon wenig überrascht.
Was jedoch in der Pra­xis in den ers­ten Wochen der Unsi­cher­heit nach die­sem Urteil nun statt­fand, war teil­wei­se purer markt­schreie­ri­scher Aktio­nis­mus gepaart mit einer gehö­ri­gen Por­ti­on Weltfremdheit.

06.10.2015 Das Safe Har­bor Urteil des Euro­päi­schen Gerichtshofs

Jede Daten­über­mitt­lung benö­tigt eine recht­li­che Grund­la­ge zur Zuläs­sig­keit. Dies schrei­ben unse­re deut­schen und euro­päi­schen Daten­schutz­ge­set­ze so vor. Zur ver­ein­fach­ten Legi­ti­ma­ti­on von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA durch euro­päi­sche Unter­neh­men wur­de vor 15 Jah­ren (also auch lan­ge vor dem NSA Skan­dal) Safe Har­bor ins Leben geru­fen. Der “siche­re Hafen” defi­nier­te Richt­li­ni­en zum Daten­schutz und zur Daten­si­cher­heit, unter denen die Über­mitt­lung per­so­nen­be­zo­ge­ne Daten in die USA als zuläs­sig ein­ge­stuft wur­de. Ame­ri­ka­ni­sche Anbie­ter konn­ten sich die­sen Richt­li­ni­en unter­wer­fen und an zen­tra­ler Stel­le dies doku­men­tie­ren las­sen. Eine Über­prü­fung, ob die gefor­der­ten Stan­dards wirk­lich in die Tat umge­setzt waren, fand nicht statt. Allei­ne schon des­we­gen stand die­ses Ver­fah­ren von Anfang an unter Beschuss sei­tens Ver­tre­tern des Datenschutzes.

Zusätz­lich bot Safe Har­bor kei­nen Schutz vor US-geheim­dienst­li­chen Zugrif­fen auf Daten deut­scher /​ euro­päi­scher Bür­ger, selbst wenn deren Daten in euro­päi­schen Rechen­zen­tren die­ser ame­ri­ka­ni­schen Unter­neh­men gespei­chert waren.

Die­sem Umstand trug der EuGH in sei­nem Urteil vom 06.10.2015 Rech­nung und hat Safe Har­bor für unzu­läs­sig erklärt. In der Urteils­be­grün­dung wur­de wei­ter­hin die Auto­no­mie der Daten­schutz­be­hör­den der Mit­glieds­län­der in die­ser Sache bekräf­tigt. Und ab hier wird es bunt …

Die Bun­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­si­cher­heit spricht von einem “Mei­len­stein für den Daten­schutz”.

Das ULD pos­tu­lier­te “Das ULD wird prü­fen, ob Anord­nun­gen gegen­über nicht­öf­fent­li­chen Stel­len getrof­fen wer­den müs­sen, auf deren Basis Daten­über­mitt­lun­gen in die USA aus­ge­setzt oder ver­bo­ten wer­den müs­sen.” 

Recht blau­äu­gig reagiert hin­ge­gen die EU Kom­mis­si­on, die für das bis­he­ri­ge Safe Har­bor Ver­fah­ren ver­ant­wort­lich zeich­net. Das Urteil wird als “Wei­ter so” betrach­tet, in Form von  Neu­ver­hand­lun­gen zu Safe Har­bor. Bis die­se nicht abge­schlos­sen sind, wäre kein Grund zum Han­deln laut der Kommission.

Doch es gibt auch Erfreu­li­ches zu berichten

Die Arti­kel 29 Grup­pe (der Zusam­men­schluss der EU Daten­schutz­be­auf­trag­ten) zeigt hier etwas mehr Augen­maß. Sie sieht die Not­wen­dig­keit einer gemein­sa­mem Linie in der wei­te­ren Vor­ge­hens­wei­se. Bis dahin sol­len zumin­dest die EU stan­dard clau­ses für Rechts­si­cher­heit bei den Unter­neh­men auf bei­den Sei­ten des Atlan­tiks sor­gen. Die­se wur­den vom EuGH nicht für unzu­läs­sig erklärt, obwohl sich die Kri­tik an Safe Har­bor auch auf die clau­ses anwen­den lässt.

Vera Jou­ro­va, EU-Kom­mis­sa­rin für Jus­tiz, Ver­brau­cher­schutz und Gleich­stel­lung, äußer­te sich vor kur­zem in einer öster­rei­chi­schen Tages­zei­tung zuver­sicht­lich, ein neu­es Safe Har­bor Abkom­men mit den USA schon bald abschlie­ßen zu kön­nen. Bei dem Nach­fol­ger von Safe Har­bor dürf­te es sich tat­säch­lich um ein Abkom­men han­deln, nicht um eine ein­sei­ti­ge Ent­schei­dung der Kom­mis­si­on (mit einer der Kri­tik­punk­te an der frü­he­ren Regelung).

„Idea­ler­wei­se soll­ten wir uns über alle Streit­fra­gen bis Mit­te Jän­ner 2016 eini­gen“, so Vera Jour­ava im Inter­view. Das mag opti­mis­tisch klin­gen, aber der Druck auf bei­den Sei­ten des Atlan­tiks ist enorm. Unter­neh­men in den USA und ihre Ver­trags­part­ner auf Sei­ten der EU müs­sen sich plötz­lich mit den EU-Stan­dard­ver­trags­klau­seln beschäf­ti­gen. Und auch die­se stel­len schlimms­ten­falls nur eine Inte­rims­lö­sung dar.

Bis hier­über Klar­heit herrscht, soll­ten bis­he­ri­ge Ver­ein­ba­run­gen zur Daten­über­mitt­lung, die sich aus­schließ­lich auf Safe Har­bor bezie­hen, auf die EU-Stan­dard­ver­trags­klau­seln umge­stellt wer­den. Die Erfah­run­gen der letz­ten Wochen zei­gen, dass ame­ri­ka­ni­sche Anbie­ter hier kon­struk­tiv mit­ar­bei­ten und die Umstel­lung unter­stüt­zen. Ende Janu­ar 2016 wird man sehen, was die Zukunft bringt. Die Zeit soll­te man jedoch nicht unge­nutzt ver­strei­chen las­sen. Denn recht­lich sind unse­re deut­schen Lan­des­da­ten­schutz­be­hör­den durch­aus in der Lage, den “Ste­cker zu zie­hen”.

Micro­soft führt zur Zeit einen Mus­ter­pro­zess in den USA (2nd U.S. Cir­cuit Court of Appeals, No. 14–2985). Das Unter­neh­men will die Her­aus­ga­be von per­so­nen­be­zo­ge­nen Daten an US-Behör­den ver­hin­dern, die auf euro­päi­schen Ser­vern gespei­chert sind. Geht die­ses Urteil zuguns­ten von Micro­soft aus, wäre das ein wirk­li­cher Pau­ken­schlag. Im ande­ren Fall wird eine gan­ze Bran­che mit Gigan­ten wie Micro­soft, Apple, Goog­le, Face­book & Co. schwer zu kämp­fen haben. Das Wall Street Jour­nal berich­tet noch am Tag des Urteils über die Bemü­hun­gen ame­ri­ka­ni­scher Unter­neh­men, die per­so­nen­be­zo­ge­nen Daten euro­päi­scher und deut­scher Bür­ger dem Zugriff der US-Behör­den zu entziehen.

Was kön­nen Sie tun?

Trotz der Panik­ma­che sei­tens der deut­schen Lan­des­da­ten­schutz­be­hör­den hilft purer Aktio­nis­mus nicht wei­ter. Auch wenn sich deut­sche und euro­päi­sche Anbie­ter nun die Hän­de rei­ben, sie müs­sen sich an Leis­tung und Preis der trans­at­lan­ti­schen Kon­kur­renz mes­sen las­sen. Und selbst den Daten­schutz­be­hör­den soll­te klar sein, dass die Migra­ti­on eines lang­jäh­rig genutz­ten CRM Sys­tems oder ande­rer ele­men­ta­rer Bau­stei­ne nicht auf Knopf­druck erfol­gen kann, selbst wenn ein alter­na­ti­ver Anbie­ter gefun­den wurde.

  1. Umschau­en scha­det nicht: Ob und wie eine Ersatz­re­ge­lung für Safe Har­bor gefun­den wer­den kann, steht zur Zeit in den Ster­nen. Wer also per­so­nen­be­zo­ge­ne Daten zu US-ame­ri­ka­ni­schen Anbie­tern über­trägt und /​ oder deren Ser­vices nutzt, soll­te zumin­dest den euro­päi­schen und deut­schen Markt nach geeig­ne­ten mög­li­chen Alter­na­ti­ven sondieren.
  2. Aus­wei­chen auf die EU stan­dard clau­ses: Noch sind die­se nicht per Urteil außer Kraft gesetzt und kön­nen daher bis auf wei­te­res aus Sicht der Art.29-Gruppe als Legi­ti­ma­ti­ons­er­satz die­nen. Gera­de Nut­zer der Micro­soft Cloud­ser­vices haben es hier rela­tiv ein­fach, hat das Unter­neh­men doch mit sei­nen Rege­lun­gen den Segen der Art.29-Gruppe erhal­ten. Die Doku­men­te für die Micro­soft Ser­vices fin­den Sie hier.
  3. Ein­wil­li­gung der Betrof­fe­nen statt ver­trag­li­cher Rege­lun­gen mit den US-Unter­neh­men: Hier schei­den sich die Geis­ter. Wäh­rend bei­spiels­wei­se der ehe­ma­li­ge Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar als einer von vie­len eine sau­ber für die­sen Zweck for­mu­lier­te und ein­ge­hol­te Ein­wil­li­gung samt aus­führ­li­cher Infor­ma­ti­on über die Risi­ken der Daten­über­mitt­lung in die USA oder an US-Unter­neh­men für zuläs­sig hält, sehen das eini­ge Lan­des­da­ten­schutz­be­auf­trag­te anders. In deren Augen kann die Ein­wil­li­gung — als eigent­lich stärks­tes Zuläs­sig­keits­in­stru­ment — dies nicht leisten.
  4. Küh­len Kopf bewah­ren: Bei aller Panik­ma­che sei­tens der Schutz­be­hör­den soll­te das The­ma nun ruhig und kon­zen­triert ange­gan­gen wer­den. Bei­de Sei­ten des Atlan­tiks sind hier auf­ein­an­der ange­wie­sen, gera­de auch wirt­schaft­lich. Gan­ze Bran­chen kön­nen hier nicht wech­sel­sei­tig auf­ein­an­der ver­zich­ten. Von daher steht zu erwar­ten, dass auf bei­den Sei­ten Bewe­gung in die Sache kom­men. Eine Garan­tie gibt es hier­für jedoch kei­ne. Daher gilt wie­der Punkt 1 Umschau­en scha­det nicht” 🙂

Semi­nar “Recht­li­che Aspek­te der IT-Nutzung”

Am 21.10.2015 fin­det das BVS Semi­nar “Recht­li­che Aspek­te der IT-Nut­zung” in Nürn­berg mit Sascha Kuhr­au als Refe­ren­ten statt. Das Semi­nar rich­tet sich an IT-Füh­rungs­kräf­te, Admi­nis­tra­to­ren, Daten­schutz­be­auf­trag­te, Per­so­nal­re­fe­ren­ten und Betriebs­rä­te, aber auch an Geschäfts­füh­rung /​ Orga­ni­sa­ti­ons­lei­tung.

Inhal­te sind unter anderem:

Juris­ti­sche Kon­se­quen­zen von Schä­den und Fehlverhalten

  • Scha­den­er­satz und Haftung
  • Straf- und Bußgeldvorschriften

IT-Arbeits­rech­t/­Mit­ar­bei­ter­da­ten­schutz

  • Pri­vat­nut­zung von E‑Mail und Internet
  • IT-Pro­to­kol­lie­rung und Auswertung
  • Video­über­wa­chung
  • Heim­ar­beit
  • Bring your own device (BYOD)
  • Mit­ar­bei­ter­fo­tos auf der Webseite
  • Ein­sicht­nah­me in per­sön­li­che E‑Mail-Kon­ten und Ablagen
  • Lega­le Kon­trol­len und inter­ne Ermittlungen

Inter­net-Recht

  • Recht­li­che Risi­ken sozia­ler Medien
  • Impres­sum und Datenschutzerklärung
  • Auf­trags­da­ten­ver­ar­bei­tung (IT-Out­sour­cing und Cloud Computing)

Die Ver­an­stal­tung fin­det im BVS Bil­dungs­zen­trum Nürn­berg statt. Beginn ist um 9.00 Uhr, Ende vor­aus­sicht­lich um 16.30 Uhr. Refe­rent ist Herr Sascha Kuhr­au von a.s.k. Daten­schutz. Ich freue mich auf Ihre Teilnahme.

Zur Anmel­dung (Lehr­gangs­ge­bühr 170 Euro wird von der BVS erhoben)

Land­kreis Wun­sie­del im a.s.k. Daten­schutz AKDB Sicherheits-Check

Ende 2014 hat sich das Land­rats­amt Wun­sie­del dem AKDB Check 250 von a.s.k. Daten­schutz unter­zo­gen. Vor dem Hin­ter­grund ste­tig zuneh­men­der Daten­men­gen in Kom­mu­nen und den tech­ni­schen Her­aus­for­de­run­gen für Daten­schutz und Daten­si­cher­heit , aber auch ange­sichts der Fül­le sich ändern­der Geset­zes­la­gen ist es fast unmög­lich, in allen Berei­chen auf dem Lau­fen­den zu bleiben.

„Die eige­nen Ver­hält­nis­se mit den Bestim­mun­gen des BSI-Grund­schutz­ka­ta­lo­ges abzu­glei­chen, ist eine Her­ku­les­auf­ga­be“, so Wal­ter Zim­met, IT-Lei­ter im Land­rats­amt. „Unse­re IT-Abtei­lung kon­trol­liert sich selbst­ver­ständ­lich regel­mä­ßig selbst“, sagt Land­rat Karl Döh­ler. Doch auf­grund der zahl­rei­chen Her­aus- und Anfor­de­run­gen im Daten­schutz und in der Daten­si­cher­heit hat sich das Land­rats­amt Wun­sie­del zur Durch­füh­rung des AKDB Check 250 durch a.s.k. Daten­schutz ent­schie­den. „Vom äuße­ren Blick eines unab­hän­gi­gen Gut­ach­ters ver­spra­chen wir uns her­aus­zu­fin­den, wo wir bereits gut auf­ge­stellt sind und wo noch Ver­bes­se­rungs­be­darf beherrscht.“

Im Rah­men eines ein­tä­gi­gen Work­shops vor Ort wur­den knapp 250 Prüf­punk­te zu sicher­heits- und daten­schutz­re­le­van­ten The­men abge­ar­bei­tet. Im Nach­gang wur­den ers­te Schwach­stel­len besei­tigt, noch bevor der fina­le Audit-Bericht vor­lag. Das Ergeb­nis: über­durch­schnitt­lich! „Es brach­te uns eine gute Bewer­tung, for­dert aber auch, stän­dig wei­ter an der Daten­si­cher­heit zu arbei­ten“, fasst Land­rat Karl Döh­ler das Ergeb­nis des Audits zusammen.

Haben auch Sie für Ihre Kom­mu­ne Inter­es­se an den AKDB Checks 250 oder 650? Dann spre­chen Sie uns an. Selbst­ver­ständ­lich kann das Prüf­sche­ma auch auf nicht-baye­ri­sche Kom­mu­nen ange­wen­det werden.

Lesen Sie hier den voll­stän­di­gen Bericht auf Kommune21 oder laden Sie hier die PDF Ver­si­on herunter

[wpfi­le­ba­se tag=file path=‘presse/meldung_21206_IT+im+Selbst-Check.pdf’ tpl=download-button /​]

 

Quel­le: Kommune21

Här­te­res Vor­ge­hen der Daten­schutz­be­hör­den bei Wett­be­werbs­ver­stö­ßen angekündigt

Gera­de per­so­na­li­sier­te Wer­bung ist nach wie vor ein bewähr­tes Mit­tel, um Kun­den zu gewin­nen. In den let­zten Jah­re wur­den die Aufla­gen  immer stren­ger. Zumeist als Reak­ti­on auf aus­ufern­de Miß­ach­tung bestehen­der gesetz­li­cher Rege­lun­gen durch die Werbetreibenden.

Mit dem Gesetz gegen den unlau­te­ren Wet­tbe­werb (UWG) und den Bes­tim­mungen aus dem Bun­des­daten­schutzge­setz (BDSG) gilt es eini­ges zu beach­ten. Nicht nur, um sich nicht den Unmut der poten­tiellen Käu­fer zuzu­zie­hen, weil deren Rech­te nicht beach­tet wur­den. Die Auf­merk­sam­keit der Lan­des­da­ten­schutz­be­hör­den soll­te man eben­falls zukünf­tig nicht erre­gen. Von dro­hen­den Abmah­n­risiken mal ganz zu schweigen.

Da ist es auch wenig tröst­lich, dass dies nur auf eini­ge schwar­ze Scha­fe unter den Wer­be­treiben­den zurück­zuführen ist. Lei­den müs­sen dar­un­ter alle, die auf Wer­bung ange­wie­sen sind.

Zu allem Über­fluss haben die Daten­schutzbe­hör­den das The­ma nun auch für sich entdeckt!

Es bleibt nicht unbemerkt

Recht­li­che Ver­stö­ße blei­ben nicht unbe­merkt. Denn selbst wenn sich der Betrof­fe­ne nicht direkt bei dem Wer­be­trei­ben­den mel­det, so bleibt immer noch der Weg zur zustän­di­gen Lan­des­da­ten­schutz­be­hör­de offen. Und die­ser Weg wird auch beschritten.

In einer Pressemit­teilung vom 25.11.2014 des Bay­erischen Lan­desamt für Daten­schutza­uf­sicht heisst es:

“Im Jahr 2013 gin­gen beim BayL­DA zum The­ma unzuläs­sige Wer­bung 162 und im Jahr 2014 bis­her 149 Ein­ga­ben und Beschw­er­den ein. Mehr als zwei Drit­tel die­ser Beschw­er­den stell­ten sich nach Über­prü­fung durch das BayL­DA als begrün­det, d.h. als Daten­schutzver­stoß heraus.”

Feh­len­de oder feh­ler­haf­te Einwilligung

Im Tele­fon­mar­ket­ing wur­den das feh­len­de Vor­liegen einer gülti­gen Ein­willi­gung oder auch die Ruf­num­mern­un­ter­drü­ckung als Grund für das Ein­schrei­ten der Schutz­be­hör­de auf­ge­führt. Eine recht­skon­forme Ein­willi­gung ist jedoch eben­falls Voraus­set­zung für Werbe­maß­nah­men per Email oder SMS.

Oft kon­nten die ange­blich vor­liegen­den Ein­willi­gun­gen  durch das betrof­fene Unter­neh­men nicht schlüs­sig belegt wer­den. Postal­is­che Wer­bung ist weni­ger gro­ßen Aufla­gen unter­wor­den. Jedoch darf der Wider­ruf­sh­in­weis hier (auch) nicht fehlen.

Die unzuäs­sige Nut­zung von Email-Adres­sen und Tele­fon­num­mern für elek­tro­n­is­che Wer­bung sowie die Post­wer­bung trotz aus­drück­lich erk­lärtem Wer­be­wider­spruch stel­len Tat­be­stän­de dar, die mit einem Buß­geld von bis zu 300.000,00 EUR geah­n­det wer­den kön­nen. Und da  hat das UWG sich noch gar nicht mit sei­nen Kon­se­quen­zen zu Wort gemeldet.

Frü­her oder spä­ter krie­gen wir euch

So denkt es sich auch das BayL­DA im Ver­bund mit den übri­gen Lan­des­daten­schutzbe­hör­den. Es heißt in der Pressemit­teilung weiter:

“Nach­dem trotz inten­siver Infor­ma­tion­sar­beit durch alle Daten­schutza­uf­sichts­be­hör­den […] und auch guten Hin­weisen aus den Ver­bän­den der Wer­be­wirtschaft selbst die Zahl der begrün­de­ten Ein­ga­ben und Beschw­er­den wegen unzuläs­siger Wer­bung nicht zurück­ge­gan­gen ist, wird das BayL­DA die in der let­zten Zeit eher zurück­hal­tende Pra­xis der Ahn­dung die­ser Ver­stöße durch Bußgeld­ver­fahren auf­ge­ben und schw­er­punk­t­mäßig in der näch­sten Zeit die „Mis­sach­tung von Wer­be­wider­sprüchen“ und die unzuläs­sige „E‑Mail-Wer­bung zur Neukun­dengewin­nung“ mit Buß­gel­dern sanktionieren.”

Inter­es­sant ist der abschlie­ßen­de Aspekt die­ses State­ments, auf die üblicher­weise vorge­zo­ge­nen Aufla­gen zu Gun­sten von Buß­gel­dern zu ver­zich­ten. Die Behör­de wird bei dem The­ma also kei­nen Spaß mehr ver­ste­hen, hat es den Anschein.

Hil­festel­lung zum recht­skon­for­men Ein­satz per­so­n­en­be­zo­gener Daten gibt das BayL­DA in einem PDF Doku­ment schon seit ger­aumer Zeit (Anwen­dung­sh­in­weise zur Erhe­bung, Ver­ar­beitung und Nut­zung von per­so­n­en­be­zo­ge­nen Daten für werb­li­che Zwe­cke).

Sie kön­nen aber auch ein­fach Ihren Daten­schutzbeauf­tragten fra­gen. Die­ser hilft Ihnen auch beim Erstel­len rechts­gültiger Ein­willi­gun­gen. Unan­genehm ist näm­lich, dass Sie alle Daten löschen müs­sen, die Sie über eine ungül­ti­ge (also fehler­haft for­mulierte und gestal­tete) Ein­willi­gung an sich genom­men haben. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Spre­chen Sie uns an

Wie lösche ich mein Face­book Profil?

Der Auf­re­ger

Ende 2014 war die Auf­re­gung groß. Face­book kün­dig­te eine Ände­rung sei­ner Datennut­zungsschutz­richt­li­nie für 2015 an. Der Stein des Ansto­ßes fin­det sich gleich zu Beginn

“Du gibst uns eine nicht-exklu­si­ve, über­trag­ba­re, unter­li­zen­sier­ba­re, gebüh­ren­freie, welt­wei­te Lizenz zur Nut­zung jeg­li­cher IP-Inhal­te, die du auf oder im Zusam­men­hang mit Face­book pos­tet („IP-Lizenz“). Die­se IP-Lizenz endet, wenn du dei­ne IP-Inhal­te oder dein Kon­to löscht, außer dei­ne Inhal­te wur­den mit ande­ren Nut­zern geteilt und die­se haben die Inhal­te nicht gelöscht.“

Kurz: alles, was Du als Nut­zer pos­test, wird von uns ver­wer­tet. Oder wie es unser Part­ner­blog daten​schutz​be​auf​trag​ter​-info​.de so pas­send for­mu­liert: “Friss oder stirb”

Das Laby­rinth des Minotaurus

Wer die Funk­ti­ons- und Vor­ge­hens­wei­se von Face­book kennt, der weiß, wie schwie­rig es ist, sein Pro­fil dort zu löschen. Regel­mä­ßig ändern sich die Menü­struk­tu­ren und sol­che “unwich­ti­gen” Funk­tio­nen ver­schwin­den zuun­terst am Ende in The­men­be­rei­chen, wo sie Otto Nor­mal­ver­brau­cher im Zwei­fel nicht sucht oder fin­det. Und wenn der Nut­zer dabei ver­se­hent­lich noch die eine oder ande­re Ein­stel­lung zu Pri­vat­sphä­re und Daten­schutz falsch inter­pre­tiert, gibt er noch mehr über sich preis, statt sein Pro­fil loszuwerden.

Time to say good bye

Für die­je­ni­gen, die nun wirk­lich genug haben, von der Daten­sam­mel­wut und der Igno­ranz deut­scher und euro­päi­scher Geset­ze, der kann sein Face­book Pro­fil schnell und ein­fach löschen. Unse­re Schritt-für-Schritt Anlei­tung, wie Sie Ihren Account bei Face­book los­wer­den können:

  1. Letzt­ma­lig bei Face­book einloggen
  2. Den Link https://​www​.face​book​.com/​h​e​l​p​/​c​o​n​t​a​c​t​.​p​h​p​?​s​h​o​w​_​f​o​r​m​=​d​e​l​e​t​e​_​a​c​c​o​unt aufrufen
  3. Die Opti­on “Kon­to löschen” auswählen
  4. Jetzt müs­sen Sie noch mal Ihr Pass­wort ein­ge­ben und die Captcha Sicher­heits­ab­fra­ge bestä­ti­gen. Ein Schelm, wer böses dabei denkt, wie­so das Captcha so schlecht les­bar ist und man im Zwei­fel meh­re­re Anläu­fe benötigt
  5. Geschafft

Vor­sicht Falle

Face­book geht davon aus, dass Sie Ihr Pro­fil eigent­lich gar nicht löschen woll­ten. Daher wird Ihr Account erst mal nur für 14 Tage deak­ti­viert, sprich nie­man­dem mehr ange­zeigt. Sobald Sie sich in die­sem Zeit­raum noch mal ein­log­gen, und sei es nur um Nach­zu­schau­en, ob das Face­book Pro­fil wirk­lich gelöscht ist, schwupp ist es wie­der aktiv. Also Geduld haben.

Wider­spruch per Time­line zwecklos

Wie ein Virus gras­siert regel­mä­ßig ein Bild und /​ oder Text in den Time­lines zahl­rei­cher Nut­zer mit der Auf­for­de­rung, dies zahl­reich zu tei­len. Sinn­ge­mäß soll damit der Daten­nut­zung durch Face­book wider­spro­chen wer­den. Recht­lich unwirk­sam, daher sinnlos.

Am Ende des Tages bleibt es also beim “Friss oder Stirb” .…

 

 

 

 

War­um ist Daten­schutz für Unter­neh­men und Behör­den wichtig?

Haben Sie sich auch schon die­se Fra­ge gestellt? Sascha Kuhr­au, Inha­ber des bun­des­weit täti­gen Bera­tungs­un­ter­neh­mens a.s.k. Daten­schutz gibt Antworten.

Herr Kuhr­au, ist Daten­schutz ein Modethema?

Mit­nich­ten! Schau­en Sie ein­fach auf die His­to­rie des Daten­schutz­rechts in Deutsch­land und der EU. 1977 hat­ten wir das ers­te Bun­des­da­ten­schutz­ge­setz (BDSG) in Deutsch­land, seit 1995 gibt es auf EU Ebe­ne ver­bind­li­che Regeln für alle Mitgliedsstaaten.

Wen betrifft die­ses Bundesdatenschutzgesetz?

Das ist ganz ein­fach. Jedes Unter­neh­men, jeden Gewer­be­trei­ben­den, jeden Frei­be­ruf­ler, jede Behör­de und auch jeden Ver­ein, sofern dort per­so­nen­be­zo­ge­ne Daten vor­lie­gen und ver­ar­bei­tet werden.

Man soll­te auch nicht dem Irr­tum unter­lie­gen, ein eige­nes Stan­des­recht wür­de das Daten­schutz­ge­setz erset­zen. Obwohl die Aus­sa­ge der Geset­ze hier klar ist, muss­ten mitt­ler­wei­le Gerich­te bestä­ti­gen, dass sol­ches Recht nicht pau­schal erset­zend wirkt. Die­se Fehl­ein­schät­zung kann gera­de bei Ärz­ten, Steu­er­be­ra­tern oder auch Anwäl­ten schnell zu Kon­flik­ten führen.

Wirk­lich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie ent­täu­schen. § 1 BDSG ist hier ein­deu­tig. Es wer­den kei­ne Unter­schie­de nach Bran­che, Mit­ar­bei­ter­zahl oder Umsatz gemacht. Die­sen Irr­glau­ben trifft man öfter in Gesprä­chen mit Geschäfts­füh­rern, Inha­bern oder auch Behördenleitern.

Eine Aus­nah­me gibt es jedoch bei der Bestell­pflicht des soge­nann­ten Daten­schutz­be­auf­trag­ten.

Wel­che Auf­ga­ben hat ein sol­cher Datenschutzbeauftragter?

Salopp gesagt, küm­mert sich die­ser um die rechts­kon­for­me Umset­zung des Daten­schutz­rechts in der Orga­ni­sa­ti­on vor Ort. Er ist Bera­ter , Tipp­ge­ber und Ansprech­part­ner für Lei­tung und Mitarbeiter.

Und wann muss ein sol­cher Daten­schutz­be­auf­trag­ter bestellt werden?

Die­se Vor­schrift fin­det sich in § 4f BDSG und ist bis auf ganz weni­ge Aus­nah­men eben­falls ein­deu­tig. Sobald mehr als 9 Mit­ar­bei­ter mit per­so­nen­be­zo­ge­nen Daten mit­tels IT arbei­ten, muss ein Daten­schutz­be­auf­trag­ter intern oder extern bestellt wer­den. Und bei der Zahl der Mit­ar­bei­ter ist es uner­heb­lich, ob Voll­zeit, Teil­zeit, Aus­hil­fe oder Geschäfts­füh­rung selbst.

Dann liegt die­se Bestell­pflicht recht schnell vor, ohne dass die Ver­ant­wort­li­chen dies viel­leicht wissen?

Das ist in der Pra­xis häu­fig der Fall. Wir bera­ten hier­zu jedoch kos­ten­los und unver­bind­lich, ob eine Bestell­pflicht vorliegt.

Wer küm­mert sich um das The­ma Daten­schutz, wenn kein Daten­schutz­be­auf­trag­ter vor­han­den ist?

Dann liegt die Umset­zung aller Rechts­vor­schrif­ten bei der Geschäfts­füh­rung oder Behör­den­lei­tung. Die­se haf­tet im Zwei­fel dann auch bei Nicht­er­fül­lung oder ein­tre­ten­den Daten­pan­nen. Das BDSG hat hier einen mitt­ler­wei­le sehr emp­find­li­chen Buß­geld­ka­ta­log.

Also soll­te man schon zur Ver­mei­dung von Buß­gel­dern das The­ma Daten­schutz ernst nehmen?

Das ist nach mei­ner Erfah­rung der fal­sche Ansatz. Wenn sich des The­mas nur ange­nom­men wird, weil Ängs­te vor recht­li­chen Risi­ken und Buß­gel­dern bestehen, dann wur­den die Chan­cen eines bewusst geleb­ten Daten­schut­zes nicht erkannt.

Daten­schutz ist mehr als eine Rechtsvorschrift?

Ja! Kun­den und Bür­ger wer­den immer sen­si­bler. Neh­men Sie nur die aktu­el­le Pres­se. Nicht erst seit der NSA Affä­re, aus­ge­löst durch Herrn Snow­den, stei­gen das Bewusst­sein und auch der Anspruch der soge­nann­ten “Betrof­fe­nen” (im Sin­ne des BDSG) rund um das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung.

Kom­me ich die­sem Anspruch als Orga­ni­sa­ti­on nach, dann ist geleb­ter Daten­schutz ein Ele­ment der Kun­den­ak­qui­se, aber auch der Kundenbindung.

Und da Daten­schutz auch sehr weit in Berei­che wie der IT-Sicher­heit ein­greift, kom­men Fak­to­ren wie Sen­kung des Aus­fall­ri­si­kos oder Ver­kür­zung von Wie­der­an­lauf­zei­ten von EDV-Sys­te­men ergän­zend hin­zu. Es geht hier um die Kern­zie­le: Schutz vor Zer­stö­rung, Ver­lust und Miss­brauch von per­so­nen­be­zo­ge­nen Daten. Am Ende spart die Orga­ni­sa­ti­on Zeit und Geld, wenn es zum Stör­fall kommt..

Wie unter­stützt a.s.k. Daten­schutz hierbei?

Wir prü­fen das vor­han­de­ne Daten­schutz– und Daten­si­cher­heits­ni­veau, iden­ti­fi­zie­ren Schwach­stel­len, behe­ben die­se gemein­sam mit unse­ren Auf­trag­ge­bern, betreu­en Einzelprojekte—z.B. die Ein­füh­rung einer geplan­ten Videoüberwachung—oder ste­hen als per­ma­nen­ter Ansprech­part­ner für Fra­gen zu die­sen The­men zur Verfügung.

Selbst­ver­ständ­lich über­neh­men wir auch die Auf­ga­ben des (exter­nen) Daten­schutz­be­auf­trag­ten oder unter­stüt­zen einen inter­nen Daten­schutz­be­auf­trag­ten, wenn die­ser aus Zeit­grün­den Sup­port benö­tigt. Letz­te­res kommt in der Pra­xis recht häu­fig vor. Seit eini­ger Zeit haben wir für baye­ri­sche Kom­mu­nen auch zwei Vari­an­ten des AKDB Sicher­heits­checks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wich­tig sind uns der abso­lu­te Pra­xis­be­zug und die Sicher­stel­lung der recht­li­chen Anfor­de­run­gen. Daten­schutz darf kein Selbst­zweck sein oder sich zu wich­tig neh­men. Nicht umsonst lau­tet unser Mot­to „Aus der Pra­xis für die Praxis“.

Ist Daten­schutz teuer?

Ja, wenn Sie sich nicht dar­um kümmern 🙂

Nein, im Ernst. Wir arbei­ten bei lang­fris­ti­gen Betreu­un­gen und Pro­jek­ten mit Pau­scha­len, damit unser Kun­de stets weiß, mit wel­chen Kos­ten er zu rech­nen hat und vor unlieb­sa­men Über­ra­schun­gen sicher ist.

Und da unse­re Leis­tun­gen modu­lar buch­bar sind, kann der Kun­de selbst ent­schei­den, wel­chen Anteil an Zeit er selbst ein­brin­gen will und kann, und wel­chen er an uns auslagert.

Wenn jemand noch Fra­gen zum The­ma hat?

Ein­fach anru­fen oder eine kur­ze Email schreiben.

Die mobile Version verlassen