Recht

Was kostet ein externer Datenschutzbeauftragter?

von Sascha Kuhrau
22. April 202030. November 2020
4 Kommentare

“Es kommt darauf an” — Was kostet ein externer Datenschutzbeauftragter?

“Was kostet ein externer Datenschutzbeauftragter?”, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen. Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

Was kostet ein Auto?
Wie teuer ist es, ein Haus zu bauen?
Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: “Es kommt darauf an!”

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. “Einführungsphase” gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde, schließt sich nun die “Betreuungsphase” als externer Datenschutzbeauftragter an. Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

Bußgeld (Ausnahme: öffentliche Stellen)
Ihren guten Ruf z.B. bei Datenpannen
Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Was ist Datenschutz?

von Sascha Kuhrau
6. April 2020
2 Kommentare

Unter Datenschutz versteht man den Schutz personenbezogener Daten vor Missbrauch, oft im Zusammenhang auch mit dem Schutz der Privatsphäre. Zweck und Ziel im Datenschutz ist die Sicherung des Grundrechts auf informationelle Selbstbestimmung der Einzelperson. Jeder soll selbst bestimmen können, wem er wann welche seiner Daten und zu welchem Zweck zugänglich macht.

Datenschutz-Definition

Personenbezogene Daten sind gemäß Art. 4 Abs. 1 DSGVO “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen”.

Das Gesetz sieht eine natürliche Person als identifizierbar an, “die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie“

Namen
einer Kennnummer
Standortdaten
einer Online-Kennung oder
„einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann”

Rechtsgrundlagen im Datenschutz

Um personenbezogene Daten verarbeiten zu dürfen, braucht es eine rechtliche Grundlage. Einfach so erlangte Daten anderer Personen zu speichern, bearbeiten, analysieren .. das klingt nicht logisch oder?

Artikel 6 Absatz 1 DSGVO liefert einige mögliche Rechtsgrundlagen, die eine Verarbeitung personenbezogener Daten rechtmäßig machen können. In den sechs aufgezählten Punkten a bis f werden bekannte und vielleicht auch noch nicht so bekannte Rechtsgrundlagen wie etwa die Einwilligung (a), die (vor)vertraglichen Maßgaben (b) und die berechtigten Interessen (f) präsentiert. Insbesondere letztere sind sehr beliebt, weil vermeintlich unbürokratisch, jedoch auch häufig überstrapaziert.

Auch gesetzliche Vorschriften unter c, sehr wichtig gerade für öffentliche Stellen, und lebenswichtige Interessen per se unter d sowie die Öffentlichkeit / öffentliche Interessen sind uns als Rechtsgrundlagen an die Hand gegeben.

Normgebungen

Nicht nur in der DSGVO und dem neuen BDSG ist der Datenschutz anzutreffen. Auch in den spezialgesetzlichen Landesdatenschutzgesetzen für Landesbehörden / Kommunen — wie z.B. dam vielen unserer Kunden wohlbekannten BayDSG — sowie dem TMG, SGB und Kirchenrecht, z.B. DSG-EKD.

Leider ist jedoch der Urvater jeden Datenschutzes schon lange in Vergessenheit geraten. Das Grundrecht, dass es kein Verbrechen ist, über die Preisgabe seiner Daten selbst zu bestimmen.

Datenschutz im Bewusstsein

Der stetig zunehmenden Erhebung, Speicherung, Weitergabe, Vernetzung und Nutzung von Daten durch fortschreitende Technologisierung (Email, Internet, Mobiltelefone, soziale Netzwerke, Kundenkarten etc.) steht oft eine gewisse Gleichgültigkeit entgegen. In weiten Teilen der Bevölkerung, aber auch auf Unternehmerseite, wird dem Datenschutz teils kein oder nur ein geringer Stellenwert zugebilligt. Dabei ist Datenschutz gerade im Lichte fortschreitender Globalisierung ein wichtiger Wegbegleiter von Kindheit an und in zahllosen Aspekten des Alltags. Die weltweite Vernetzung und eine Verlagerung von Daten in Länder, in denen deutsche und europäische Schutzgesetze keine Gültigkeit haben, machen Datenschutz oft wirkungslos oder erschweren diesen zumindest. Datenschutz ist daher nicht als umständliche Eigenart sondern Länderübergreifende Verantwortung zu aufzufassen.

Datenschutz praktisch gelebt

Von daher geht es beim Thema Datenschutz mittlerweile nicht mehr um die reine Datensicherheit z.B. durch technische Hilfsmittel, sondern auch um eine effektive Durchsetzung. Das Yin und Yang eines zeitgemäßen und souveränen Datenschutzes sind die technischen und organisatorischen Maßnahmen. Auch als TOM bekannt sind sie das Herzstück von IT-Sicherheit und Datenschutz, die beiden Elemente der Informationssicherheit.

.. eine echte Errungenschaft

Bei uns in Deutschland ist Datenschutz kein neues Thema. Schon 1977 trat ein Bundesdatenschutzgesetz in Kraft, welches sich jedoch mit dem Datenschutz in der öffentlichen Bundesverwaltung befasste. Öffentlichkeitswirksam trat der Datenschutz mit dem sog. “Volkszählungsurteil” des Bundesverfassungsgerichts 1983 in den Vordergrund. Auslöser waren die zahlreichen Weigerungen vieler Mitbürger, sich und ihre persönlichen Lebensverhältnisse anlässlich der bundesweiten Volkszählung kundzutun. Das Volkszählungsgesetz wurde — spektakulär — in Teilen aufgehoben und der Begriff der “informationellen Selbstbestimmung” geprägt. Diese leitet sich aus dem Artikel 2 des Grundgesetzes ab — dem Recht auf freie Entfaltung der Persönlichkeit.

Aufgaben des externen Datenschutzbeauftragten

von Sascha Kuhrau
9. März 20201. Dezember 2020

Was sind die Aufgaben des externen Datenschutzbeauftragten?

Artikel 39 Absatz 1 DSGVO definiert die Aufgaben des Datenschutzbeauftragten. Daraus ergeben sich 1:1 die Aufgaben des externen Datenschutzbeauftragten, denn hier wird keine Unterscheidung zwischen intern und extern getroffen:

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Als externe Datenschutzbeauftragte kann und darf man durchaus noch etwas mehr an Aufgaben übernehmen

Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach interner Zuarbeit
Kontinuierliche Schulung und Sensibilisierung Ihrer Mitarbeiter durch eLearning, Webinare, Vor-Ort-Schulungen, Mitarbeiterzeitung, Newsletter und vieles mehr
Prüfung von Vereinbarungen mit externen Dienstleistern nach Art. 28 DSGVO Auftragsverarbeitung
Prüfen und Überwachen der technischen und organisatorischen Maßnahmen Ihrer externen Dienstleister nach Art. 28 + 32 DSGVO
und noch so einiges mehr

Was ein Datenschutzbeauftragter nicht leisten kann?

Leider immer noch viel zu oft ist eine etwas irrationale Erwartungshaltung anzutreffen. Mit der Benennung eines (externen) Datenschutzbeauftragten ist eine Organisation mitnichten von den Verpflichtungen aus der DSGVO für die Organisation und die damit verbundenen Tätigkeiten, Aufgaben und Zuarbeiten befreit. Es sind nach wie vor alle Organisationsebenen gefordert, aktiv das Thema Datenschutz zu gestalten und dem Datenschutzbeauftragten zuzuarbeiten. Wenn Sie sich die Aufstellung der Aufgaben des Datenschutzbeauftragten aus Art. 39 DSGVO zu Beginn dieses Beitrags noch mal in Erinnerung rufen, sind dessen Beratungs‑, Kontroll- und Überprüfungsaufgaben konkret definiert. Bei dieser Aufzählung fehlt zu Recht der Begriff “Umsetzen”. Datenschutz wird durch alle Mitarbeiter einer Organisation “umgesetzt” bzw. gelebt. Der Datenschutzbeauftragte wirkt auf die rechtskonforme Datenverarbeitung in der Organisation hin, u.a. durch Beratung, und überprüft diese im Rahmen seiner Kontroll- und Überwachungsfunktion.

Interesse an einem externen Datenschutzbeauftragten geweckt?

Sie benötigen einen (externen) Datenschutzbeauftragten? Dann nutzen Sie unsere langjährige Erfahrung und das Know How als externe Datenschutzbeauftragte für zahlreiche unterschiedliche Organisationen zum Schutz Ihres Unternehmens. Sprechen Sie uns an.

Das Anheben der Mitarbeitergrenze für die Bestellpflicht eines Datenschutzbeauftragten senkt nicht die Bürokratie

von Sascha Kuhrau
1. Juli 2019

Datenschutz-Anpassungsgesetz 2019 und die Folgen

Die Unionsparteien lassen sich feiern bzw. feiern sich selbst. Von einem Wegfall der Bürokratie im Datenschutz für kleine Betriebe und Vereine ist die Rede. Das Thema Datenschutz sei jetzt viel einfacher und weniger aufwändig für eine Vielzahl von Betrieben und Vereinen. Anlass ist die Verabschiedung eines Anpassungsgesetzes mit notwendigen Korrekturen in 154 nationalen Gesetzen im Bundestag am vergangenen Freitag, zu nächtlicher Unzeit. Und es stimmt, eine Anpassung zahlreicher nationaler Gesetze und Regelungen war durch die DSGVO aus Mai 2018 notwendig geworden. Doch was aktuell in verschiedenen Medien als Erfolg für den Abbau von Bürokratie gefeiert wird, allen voran bei Handwerkskammern und Vereinen, das entbehrt einer Grundlage. Noch dazu zeugt es davon, dass die Beteiligten, das Thema Datenschutz und die rechtlichen Anforderungen nicht ganz umrissen haben.

Hintergrund ist die Anhebung der Mitarbeitergrenze, ab der für Unternehmen und Vereine die Bestellpflicht für einen Datenschutzbeauftragten vorliegt. War hier bisher die Grenze von mindestens 10 (mit der Verarbeitung personenbezogener Daten befassten) Mitarbeitern gezogen, soll zukünftig — die Zustimmung im Bundesrat vorausgesetzt — erst ab 20 Mitarbeitern eine Bestellpflicht für einen Datenschutzbeauftragten vorliegen. Die Verantwortlichen versprechen den betroffenen Unternehmen und Vereinen eine spürbare bürokratische Entlastung im Datenschutz. Ist dem so?

Wegfall des Datenschutzbeauftragten bedeutet weniger Datenschutz-Bürokratie?

Ein klares NEIN. Und das ist auch ganz ohne juristische Kenntnisse ganz leicht zu beantworten. Die DSGVO schreibt (wie übrigens auch das vorherige Datenschutzrecht) die Bestellpflicht eines Datenschutzbeauftragten unter gewissen Voraussetzungen vor. Ebenso beinhaltet das Bundesdatenschutzgesetz in neuer Fassung 2018 die Bestellpflicht eines Datenschutzbeauftragten und konkretisiert im Rahmen einer sog. Öffnungklausel weitere Voraussetzungen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Diese Grenze von mindestens 10 Personen für die Bestellpflicht eines internen oder externen Datenschutzbeauftragten soll nun mit den aktuellen Anpassungen, denen der Bundesrat noch zustimmen muss (was sehr wahrscheinlich ist), auf 20 Personen angehoben werden. Weder in den bisherigen Begründungen und Erläuterungen zu diesem Gesetzesentwurf noch in den zahlreichen Presseartikeln der Unionsparteien, den Befürwortern dieser Änderung oder Wirtschaftsverbänden ist jedoch eine nachvollziehbare Erklärung vorhanden, wieso dies nun weniger Bürokratie für die betroffenen Unternehmen und Vereine bedeutet.

Es wird auch sehr schwer sein, eine solche Erklärung zu finden. Denn der Datenschutzbeauftragte sorgt nicht für die Bürokratie im Datenschutz. Das übernehmen die Gesetze und teilweise auch die nicht immer klaren bzw. gelegentlich praxisfernen Auslegungen der Landesdatenschutzbehörden.

“Ja, aber jetzt müssen kleine Unternehmen und Vereine für den Datenschutz nichts mehr tun!”

Auch hier wieder eine klare Aussage: DOCH! Ohne jetzt mal eine Unterscheidung zwischen Behörden, Unternehmen oder Vereinen vorzunehmen: Ein Paragraph von 85 insgesamt im BDSG n.F. wurde angepasst, die sonstigen Anforderungen aus dem BDSG und der DSGVO (99 weitere Artikel) bleiben von der Grenze zur Bestellpflicht eines Datenschutzbeauftragten unberührt. Rechnen wir doch einfach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathematisch keine allzugroße Entlastung bei herauskommen. Denn um es mit aller Deutlichkeit zu sagen, ALLE Anforderungen, die von Unternehmen und Vereinen als bürokratische “Belastung” empfunden werden, bleiben weiterhin bestehen und müssen entsprechend erfüllt werden (einige Beispiele):

Pflicht zum Erstellen und Pflegen eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Identifikation, Bewertung und Meldung von Datenpannen an Aufsichtsbehörde und Betroffene nach Art. 33, 34 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Prüfen ausreichender technischer und organisatorischer Maßnahmen von externen Dienstleistern und Vereinbarung zur Auftragsverarbeitung gemäß Art. 28, 32 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Bearbeiten und Sicherstellen von Betroffenenrechten nach Art. 12–23 DSGVO inkl. Zusammenstellen und Zurverfügungstellen der Angaben zu den Informationspflichten? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Sicherheit der eigenen Verarbeitung regelmäßig prüfen und notwendige Anpassungen sicherstellen nach Art. 32 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Risikoabschätzung von Verarbeitungstätigkeiten bis hin zur Datenschutz-Folgenabschätzung nach Art. 32+35 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Regelmäßige Schulung und Sensibilisierung von Mitarbeitern, nicht nur am Tag der Einstellung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Und diese Liste ließe sich noch um viele weitere (durchaus auch mal) “bürokratiebehaftete” Tätigkeiten fortführen .… CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden

Die von der beschlossenen Anpassung ausgesendete Botschaft ist durchaus als toxisch zu bezeichnen. Der Fehlglaube, mit Wegfall der Bestellpflicht entfielen auch alle anderen datenschutzrechtlichen Anforderungen war auch im alten BDSG vor 2018 weit verbreitet. Aus unserer Erfahrung quälen sich seit der DSGVO gerade die Betriebe und Vereine mit dem Datenschutz am meisten, welche es in den Jahren davor unter dem alten Datenschutzrecht etwas lässig haben angehen lassen. Für diese Versäumnisse und auch die generellen rechtlichen Formalitäten im Datenschutzrecht kann der Datenschutzbeauftragte jedoch nichts. Im Gegenteil: Der Datenschutzbeauftragte wäre der ideale Ansprechpartner mit ausreichend Wissen und Sachverstand, um diese bürokratischen Anforderungen problemlos zu meistern und für eine Datenschutz-Kultur in der Organisation zu sorgen.

Datenschutzverstöße und Bußgelder werden zunehmen

Man muss kein Wahrsager sein, dass sowohl die Zahl der Datenschutzverstöße und die der Bußgelder nun zunehmen wird. Die Landesdatenschutzbehörden haben bereits in 2018, in der Planungsphase für dieses Anpassungsgesetz signalisiert, mit der vorhandenen Personalausstattung keine beratenden, sondern nur noch kontrollierende Tätigkeiten ausüben zu können. Eine Aufstockung ist nach unserem Kenntnisstand in keinem Bundesland geplant. Sorgte bisher der Datenschutzbeauftragte für das notwendige Wissen in kleinen Unternehmen und Vereinen, so geht dieses Wissen nun im Rahmen der vermeintlichen “Entbürokratisierung” von Bord. Damit stehen üblicherweise Inhaber, Geschäftsführer und Vereinsvorstände in der Pflicht, für die korrekte Umsetzung und den Betrieb des Datenschutzes Sorge zu tragen. Und da reden wir bisher nur von den Formalitäten, siehe Abschnitt zuvor. Ein aktiver Datenschutzbeauftragter ist Berater, Coach, Motivator und Kontrolleur zugleich. Ein aktiver Datenschutzbeauftragter sorgt bei guter Aufgabenerfüllung für einen gelebten Datenschutz in der Organisation. Auch diese Aufgabe obliegt nun anderen Verantwortlichen. Woher kommt der notwendige Zeitanteil dafür, wo doch alle Unternehmen personell auf spitzer Kante fahren? Woher kommt das notwendige Wissen für die korrekte Umsetzung des Datenschutzes? Wird es jetzt 4‑stündige Crash-Kurse der einschlägigen Anbieter geben “DSGVO ohne Bürokratie und Aufwand für Geschäftsführer und Vereinsvorstände”, selbstverständlich mit buntem Zertifikat auf Hochglanz? Gute Kurse zum Einstieg für einen DSB dauern 5 Tage. Und danach hat der DSB immer noch einen langen Weg vor sich, bis er weiß, was und wie es konkret zu tun ist!

Und wenn etwas passiert oder im Falle einer Überprüfung als Mangel festgestellt wird, die Haftung bleibt. Die bisherige Art von “Versicherung” oder zumindest die Möglichkeit zur Verringerung von Eintrittswahrscheinlichkeiten von Risiken und Mängeln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bundesrat nicht noch zur Vernunft kommt.

Der Bundesdatenschutzbeauftragte Ulrich Kelber twitterte nicht zu Unrecht:

Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein ☹️

Im Ergebnis haben kleine Unternehmen und Vereine nur wenige Möglichkeiten:

Ignoranz des Themas Datenschutz: Siehe Haftung und Bußgelder
Eigenregie und Prinzip Hoffnung: Inhaber, Geschäftsführer oder Vereinsvorstand eignen sich in ihrer eh schon knappen Zeit das notwendige Know How an, halten dieses aktuell und kümmern sich um die korrekte Umsetzung in der eigenen Organisation. Wie realistisch wird das sein?
Externes Know How zukaufen: Da das notwendige Wissen und die Möglichkeit zur Weiterbildung nicht gegeben sind, wird das Know How extern zugekauft
Internen Mitarbeiter für das Thema Datenschutz ausbilden und Aufgaben übertragen: Kosten für die Aus- und Weiterbildung, notwendige Zeitanteile müssen eingeplant werden

Übrigens sind die Varianten 3 und 4 ganz nah am externen und internen Datenschutzbeauftragten. Und ob Varianten 1 und 2 so geschickt sind, die Erfahrung muss jetzt jeder Verantwortliche für sich selbst machen. Sofern dieser in Betracht zieht, die Aufweichung zur Grenze der Bestellpflicht nach oben für die eigenen Organisation zu nutzen.

Was hätte der Gesetzgeber besser machen können?

Die Sinnhaftigkeit der Anhebung der Grenze für die Bestellpflicht eines Datenschutzbeauftragten kann man durchaus in Zweifel ziehen. Dabei hätte der Gesetzgeber — zumindest in Teilen — durchaus die Möglichkeit gehabt, für Klarheit zu sorgen. Diese wurde jedoch versäumt. So hätte der immer noch schwelende Konflikt mit dem Recht auf freie Meinungsäußerung und dem Recht auf informationelle Selbstbestimmung auch oder gerade im Rahmen journalistischer Tätigkeiten gelöst werden können. Ein paar klärende Paragraphen zu der noch immer herrschenden Unsicherheit beim Anfertigen und Nutzen von Fotografien im Konflikt mit dem KUG hätten durchaus auch Charme gehabt. Ob es zweckdienlich für das Thema Datenschutz ist, das BSI von Teilen der Betroffenenrechte zukünftig auszunehmen und die Rechenschaftspflicht hier einzuschränken, darf durchaus auch in Zweifel gezogen werden. Man hätte sich aber auch um den vom Bundesverfassungsgericht vor kurzem für ungültig erklärten § 4 Abs. 1 BDSG zur Videoüberwachung kümmern können oder zumindest klarstellen können, dass europäisches Recht hier gilt. Da kann man es auch nur noch mit einem leichten Schmunzeln zur Kenntnis nehmen, dass jetzt auch der Digitalfunk der Polizei einer 75-tägigen Vorratsdatenspeicherung unterworfen werden soll. Und das, wo die aktuelle Frist von 70 Tagen zur Zeit ausgesetzt ist und vor dem Bundesverfassungsgericht geklärt wird.

Es gibt viel Verbesserungspotential im Bereich Datenschutz, gar keine Frage. Einheitliche und praxisnahe Auslegungen seitens der Landesdatenschutzbehörden hätten enormes Potential, auch die Akzeptanz des Themas Datenschutz generell zu erhöhen. Hier kann der Gesetzgeber jedoch nicht regelnd eingreifen, außer man würde die Landesdatenschutzbehörden auflösen und in einer zentralen Organisation des Bundes zusammenfassen. Stattdessen wird nun in kleinen Schiffen und Booten der Lotse von Bord geschickt. Die Zukunft wird zeigen, ob die gewünschte Entbürokratisierung damit Einzug hält. Es steht nicht zu vermuten.

Übrigens ein Schelm, wer Böses dabei denkt: Der Passus zur Anhebung der Grenze von 10 auf 20 Mitarbeiter wurde erst Montag, den 24.06.2019 — also sehr kurzfristig vor der Verabschiedung am Freitag im Bundestag — (wieder) eingefügt.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Verfallsdatum von Einwilligungen

von Sascha Kuhrau
4. Juni 201915. Oktober 2023

Unterliegen Einwilligungen einem Verfallsdatum?

Eine Frage, die immer wieder an uns gestellt wird: “Wie lange ist eine ein mal erteilte Einwilligungen z.B. für einen Newsletter-Empfang denn gültig?” Wir haben uns mal auf die Suche nach belastbaren Aussagen dazu gemacht. Denn nicht erst seit der DSGVO ist dieses Thema immer wieder Gegenstand von Anfragen bei uns.

Beschränkt die DSGVO die Gültigkeitsdauer von Einwilligungen?

Erste Anlaufstelle ist natürlich stets das Gesetz. Die DSGVO äußert sich zum Thema Einwilligungen in Art. 7 Bedingungen für die Einwilligung (externer Link). Den einzigen Anhaltspunkt zur Gültigkeitsdauer einer Einwilligung finden wir in Abs. 3:

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Somit sind Einwilligungen wohl bis auf Widerruf gültig und der Widerruf dann auch nur für die Zukunft möglich. Auch der Zweckbindungsgrundsatz aus Art. 5 DSGVO steht dieser Auslegung nicht entgegen, sofern keine grundsätzliche Zweckänderung vorliegt. In diesem Fall sollte die Gültigkeit von Einwilligungen auf jeden Fall stets überprüft werden.

Neben der datenschutzrechtlichen Einwilligung ist bei einer Einwilligung zu Werbezwecken auch das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) (externer Link) zu berücksichtigen. So schreibt § 7 Abs. 2 Nr. 3 UWG (externer Link) eine Einwilligung zu Werbezwecken im Sinne des UWG für Werbung per Email vor. Von einem Ablaufdatum ist hier jedoch keine konkrete Rede.

Was sagen die Gerichte zum Thema Gültigkeitsdauer von Einwilligungen?

Hier wird es nun etwas widersprüchlich. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Aktenzeichen 104 C 227/15 (externer Link) wird konkret für den Fall von Werbe-Mails ein Verfall der Gültigkeit von 4 Jahren genannt. Dem entgegen steht ein Urteil des Bundesgerichtshof vom 01.02.2018 mit dem Aktenzeichen III ZR 196/17 (externer Link), nach dem ein Newsletter Opt-In nicht allein durch Zeitablauf erlischt (Seiten 15, 16; Randnummern 30–32).

Ja was denn nun? Ablauf der Gültigkeit einer Einwilligung oder nicht?

Aktuell sprechen wohl mehr Argumente dafür, dass es kein Ablaufdatum für gültige Einwilligungen gibt. Dennoch sollten weitere Urteile zu dem Thema konkret beobachtet und im Zweifel herangezogen werden. Eine gute Übersicht über die Argumente pro und kontra Verfall von Einwilligungen finden Sie auch auf unserem Partnerblog (externer Link).

Email-Werbung ohne schriftliche Einwilligung — geht das überhaupt?

von Sascha Kuhrau
5. September 2017
1 Kommentar

Keine Email-Werbung ohne Einwilligung

Oft werden wir als Datenschutzbeauftragte gefragt, ob für Email-Werbung oder Werbung per SMS eine schriftliche Einwilligung wirklich notwendig ist. Dabei wird übersehen, dass hier das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) der erste Spielverderber ist. Das allgemeine Datenschutzrecht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Nummer 3 des UWG wird Email-Werbung zusammen mit SMS- und Telefax-Werbung grundsätzlich als unzumutbare Belästigung im Sinne des UWG eingestuft. Daher ist Email-Werbung nur mit ausdrücklicher (vorheriger schriftlicher) Einwilligung der betroffenen Person erlaubt. Mit der wettbewerbsrechtlichen Zulässigkeit steht und fällt zugleich auch die datenschutzrechtliche Zulässigkeit.

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Ja, Email-Werbung ohne vorherige schriftliche Einwilligung kann in einer einzigen Ausnahme möglich sein. Diese Ausnahme beschreibt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Verbraucher, aber auch Werbetreibende können sich in dem frei verfügbaren und aktualisierten Merkblatt „Was Sie gegen unerwünschte Werbung tun können” (Stand 10. Mai 2017) informieren.

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?

Nach Auffassung des Landesbeauftragten ist Email-Werbung ohne (vorherige) schriftliche Einwilligung möglich nach § 7 Absatz 3 UWG, wenn der Werbetreibende (also das Unternehmen) schriftlich alle nachfolgenden Voraussetzungen nachweisen kann (Original-Zitat aus dem Merkblatt):

Er hat die elektronische Postadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten,
er verwendet die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen,
der Kunde hat der Verwendung nicht widersprochen und
der Kunde wurde bei Erhebung der Email-Adresse und wird bei jeder Verwendung klar und deutlich darauf hingewiesen, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen (in der Regel ist hiermit ein Abmeldelink gemeint).

Verbraucher können zur Wahrnehmung ihrer Rechte bei unzulässiger Werbung konkrete Handlungsanweisungen zur Abwehr und Reaktion gegen das werbende Unternehmen aus dem Merkblatt entnehmen. Werbetreibenden ist diese Übersicht sehr zu empfehlen. Sie können damit prüfen, ob die eigenen Gepflogenheiten dem aktuellen Recht entsprechen oder eventuell Abmahnung, Bußgelder und weiteres Ungemach drohen. Das die Datenschutzbehörden hier keinen Spaß mehr verstehen, haben Sie bereits früher klar zum Ausdruck gebracht — siehe früheren Blog-Beitrag.

Bitte beachten Sie: Wir beziehen uns hier auf die Aussagen in dem verlinkten Merkblatt und führen selbst keine Rechtsberatung zum UWG durch. Sollten die Inhalte des Merkblatts nicht korrekt (wiedergegeben) sein, übernehmen wir keine Haftung.

Personalausweis einfach kopieren — einfach rechtswidrig

von Sascha Kuhrau
18. August 2017

Personalausweis als Pfand, Personalausweis-Kopie als Beleg — üblich, aber verboten

Usus, Rechtsverstoß inklusive. Der Personalausweis wird als Pfand hinterlegt, eine Kopie zur Identifikation im Vertragsordner abgelegt oder als Scan ins Dokumenten-Management-System gespeichert. Branchenübergreifend üblich, vom Fitness-Studio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. November 2010 wird nur noch der neue Personalausweis herausgegeben, gerne auch als „ePerso“ bezeichnet. Im Zuge der Umstellung hat das Personalausweisgesetz (PAuswG) einige Änderungen erfahren. Zahlreiche Kommentierungen und Begründungen begleiten den neuen Ausweis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bisher üblichen Ausweisfunktion beinhaltet der „ePerso“ nun auch die Möglichkeit zu Signatur und zur Authentisierung. Zum Schutz dieser Funktionen schreibt unsere Regierung in ihrer Begründung zur Neuregelung: “Die Erhebung und Verwendung personenbezogener Daten aus oder mithilfe des Ausweises darf künftig nur über die dafür vorgesehenen Wege erfolgen. (.) Weitere Verfahren z.B. über die optoelektronische Erfassung (“scannen”) von Ausweisdaten oder dem maschinenlesbaren Bereich sollen ausdrücklich ausgeschlossen werden.” In den Auslegungen hierzu wird deutlich davon gesprochen, weder Kopien des Personalausweises zuzulassen, noch diesen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Personalausweis aufgrund dessen Gestaltung noch eine sog. Berechtigungsnummer trägt, weist das Bundesinnenministerium auf einen zusätzlichen Sachverhalt hin. Die Berechtigungsnummer soll nämlich lediglich dem Ausweisinhaber bekannt sein. Eine Kopie oder ein Scan stehen diesem Umstand jedoch entgegen.

Der alte Personalausweis darf aber kopiert werden?

Trägt dieser zwar nicht die elektronischen Merkmale seines Nachfolgers so ist eine Kopie hier nur sehr schwer als datenschutzrechtlich erforderlich zu begründen. Subjektive Maßstäbe hierüber sind ausgeschlossen. So sollte auch hier auf eine Kopie verzichtet werden. Notieren Sie die erforderlichen Daten. Vorteil: Sie ersparen sich das vorgeschriebene Ausschwärzen nicht erforderlicher Daten und müssen später im Rahmen der Aufbewahrungs– und Löschfristen nicht in Aktenstapeln oder EDV Systemen nach den zu löschenden Dokumenten fahnden.

Dann nehmen wir den Personalausweis eben als Pfand

Hier spricht das PAuswG eine klare Sprache § 1 Abs. 1. S. 3+4 PAuswG — für beide Ausweisformen: „Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben. Dies gilt nicht für zur Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung.” Ihre Organisation wird schwerlich als berechtigte Behörde anzusehen sein, Ausnahmen bestätigen die Regel.

Ausnahmen vom Kopierverbot und Pfandverbot für Personalausweise?

Ja, u.a. § 8 Geldwäschegesetz oder § 95 TKG (z.B. für Handy-Verträge). Trifft das auf Ihr Unternehmen zu? Ihr Datenschutzbeauftragter klärt Sie gerne über den Sachverhalt auf. Sie haben keinen? Dann sprechen Sie uns an. Wir unterstützen Sie als externe Datenschutzbeauftragte und externe Informationssicherheitsbeauftragte.

Der Hype um das (private) Whatsapp-Abmahnrisiko

von Sascha Kuhrau
28. Juni 201715. Oktober 2023
1 Kommentar

Kaum hat das Amtsgericht Bad Hersfeld sein Urteil gefällt und die Begründung veröffentlicht, grassiert ein medialer Hype um ein angebliches Abmahnrisiko für private Whatsapp-Nutzer durch das Netz. Doch was steckt dahinter?

Etwas Aufklärung zur privaten Nutzung von Whatsapp

Das Amtsgericht Bad Hersfeld, wohlgemerkt ein Amtsgericht, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risiko eines privaten Whatsapp-Nutzers, aufgrund der nicht eingewilligten Datenübermittlung der Kontakte in dessen Adressbuch durch den automatisierten Abgleich mit den Whatsapp-Servern durch die Kontakte selbst auf Unterlassung in Anspruch genommen zu werden. Selbst eine kostenpflichtige Abmahnung wird nicht ausgeschlossen. Kaum war die erste Nachricht hierzu im Web lanciert, ging der Copy & Paste — Mechanismus des Boulevardjournalismus inklusive der sozialen Netzwerke los. Angst und Panik für Quote und Klicks lautet die Devise.

Was davon zu halten ist, können Sie unter anderem im Blog des Anwalts Dr. Carsten Ulbricht nachlesen, der zu diesem Thema kein Unbekannter ist.

Whatsapp und geschäftliche oder dienstliche Nutzung?

Nutzt ein Unternehmen oder eine Behörde nun Whatsapp sieht die Rechtslage etwas unbequemer aus. Das Bundesdatenschutzgesetz schreibt für die betriebliche Nutzung personenbezogener Daten die Auswahl geeigneter technischer und organisatorischer Schutzmaßnahmen vor. Bedient man sich bei der Umsetzung eines Dritten (in diesem Fall des Betreibers von Whatsapp), so ist dieser nach § 11 Bundesdatenschutzgesetz (BDSG), aber auch nach EU-Datenschutzrecht vorab auf ausreichende Schutzmaßnahmen zu prüfen und zusätzlich eine Vereinbarung zur Auftragsdatenverarbeitung zu schließen. Die Umsetzung wird sich in der Praxis als unmöglich herausstellen.

Zumindest könnte man Whatsapp aufgrund der nun seit einiger Zeit aktivierten Ende-zu-Ende-Verschlüsselung bei den technischen Schutzmaßnahmen ein technisches Schutzniveau im positiven Sinne unterstellen. Ein Mitlesen der Nachrichten auf dem Transportweg ist dadurch ja ausgeschlossen.

Dann steht der betrieblichen Nutzung ja nichts im Wege?

Leider doch. Denn Whatsapp überträgt die Kontaktdaten aus dem Adressbuch des Geräts auf die Server des Betreibers in den USA. Diese Datenübermittlung ist im Datenschutzrecht nur zulässig, wenn von dem Betroffenen, auf den sich die jeweiligen Kontaktdaten beziehen, eine (schriftliche) Einwilligung vorliegt. Diese kann nach geltender Meinung auch nicht pauschal angenommen werden nach dem Motto “Whatsapp nutzt ja heutzutage jeder.”

Eine fehlende Einwilligung bedeutet eine unrechtmäßige Datenübermittlung. Damit drohen Bußgelder und im Zweifel weitere Auflagen durch die Landesdatenschutzbehörde(n).

Dies gilt übrigens sowohl für die betriebliche / dienstliche Nutzung des Smartphones als auch eine möglicherweise zulässige Privatnutzung.

Wer es nicht glauben mag, hier ein Beitrag unter vielen zu diesem Thema, in diesem Fall von Dr. Hans Markus Wulf, Fachanwalt für IT-Recht.

Von daher kann das Fazit zur Whatsapp-Nutzung im geschäftlichen oder behördlichen Umfeld nur lauten: Finger weg! Aber das ist nun auch nichts Neues.

Externer behördlicher Datenschutzbeauftragter (Bayerische Kommunen)

von Sascha Kuhrau
24. April 201715. Oktober 2023
1 Kommentar

DIE EU-DSGVO macht es möglich – der externe Datenschutzbeauftragte für bayerische Kommunen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) macht es für bayerische Kommunen möglich, was in anderen Bundesländern schon länger geübte Praxis ist: Die Bestellung eines externen behördlichen Datenschutzbeauftragten. Sah das Bayerische Landesdatenschutzgesetz (BayDSG) bisher eine externe Bestellmöglichkeit eines Datenschutzbeauftragten für bayerische Kommunaleinrichtungen nicht vor, so ändert sich dies zum 25.05.2018 einheitlich. Ab diesem Zeitpunkt können und dürfen bayerische Kommunen endlich einen externen Datenschutzbeauftragten zum behördlichen Datenschutzbeauftragten bestellen.

Entlastung für kleinere Kommunen

Gerade kleinere Kommunen haben sich mit der Bestellung eines Datenschutzbeauftragten stets schwer getan. Neben den vielfältigen Aufgaben einer Verwaltung und den nicht gerade üppig vorhandenen Personalressourcen war meist wenig „Luft“ für die Bestellung eines internen Datenschutzbeauftragten. Und selbst wenn es zu einer internen Bestellung kam, so wurde die Funktion nicht selten mit wenig bis keinem Leben erfüllt. Hinzu kamen gravierende Nachteile eines mit wenig Zeit und Ressourcen ausgestatteten internen Datenschutzbeauftragten. Nämlich der viel zu geringe zeitliche Spielraum zur Ausübung der Tätigkeit, das fehlende Know-How (meist keine Ausbildung zum DSB vorhanden) und damit einhergehend die fehlende Übung im Umgang mit den alltäglichen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Entlastung und Unterstützung für bayerische Kommunen. Ab dem 25.05.2018 können diese nun einen Datenschutzbeauftragten auch extern bestellen.

Vorteile der externen Bestellung eines Datenschutzbeauftragten für bayerische Kommunen

Die Vorteile eines externen Datenschutzbeauftragten für Kommunen liegen klar auf der Hand

Transparenz in Zeit und Kosten
Stets aktuelles Know-How durch Grundausbildung, Fort- und Weiterbildung des externen Datenschutzbeauftragten (nicht zu Lasten der Kommune)
Sofort im Thema: Der externe Datenschutzbeauftragte kennt sich mit Theorie und Praxis im Datenschutzrecht und Datenschutzalltag bestens aus und kann sofort loslegen
Gemeinsame Bestellung möglich: Mehrere Kommunen im Landkreis können sich im Rahmen der Interkommunalen Zusammenarbeit zeit und Kosten für einen externen Datenschutzbeauftragten teilen

Übergangslösung durch externe Beratung zum 25.05.2018

Nichts ist schlimmer, als nichts zu tun. Daher empfehlen wir, nicht bis zum 25.05.2018 abzuwarten. Holen Sie bereits heute einen versierten Datenschutzberater an Bord, der Ihre Kommune fit für den Datenschutz und die Anforderungen der EU-Datenschutzgrundverordnung macht. Damit legen Sie erfolgreich den Grundstein für die erfolgreiche Tätigkeit des externen Datenschutzbeauftragten für (bayerische) Kommunen ab dem 25.05.2018.

Die externen Datenschutzbeauftragten von a.s.k. Datenschutz für bayerische Kommunen

Speziell für bayerische Kommunen stehen die ausgebildeten Berater und späteren externen Datenschutzbeauftragten von a.s.k. Datenschutz bereit. Mit dem Thema Datenschutz zumeist bereits seit Jahren befasst, haben unsere Mitarbeiter die Datenschutz-Kurse der Bayerischen Verwaltungsschule (BVS) erfolgreich absolviert oder sich in anderen geeigneten Maßnahmen für den Einsatz in öffentlichen und nicht-öffentlichen Stellen qualifiziert. Zusätzlich sind unsere Mitarbeiter zertifizierte Informationssicherheitsbeauftragte (BVS) und können Ihren Bezirk, Ihr Landratsamt, Ihre Stadt oder Ihre Gemeinde vollumfänglich unterstützen. Sollten Sie einen externen Informationssicherheitsbeauftragten für bayerische Kommunen benötigen, stehen wir Ihnen damit ebenfalls zur Verfügung.

Angebot für einen externen behördlichen Datenschutzbeauftragten für bayerische Kommunen anfordern

Sie wünschen ein Angebot für einen externen behördlichen Datenschutzbeauftragten für Ihre Kommune? Nutzen Sie einfach das Formular aus unserem Flyer (Download am Ende des Beitrags) oder schreiben Sie uns eine Email.

[wpfilebase tag=file path=‘flyer/1703ask_Flyer_Ext_DSB_DIN-A4_DD.pdf’ /]

Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?

von Sascha Kuhrau
14. März 201719. Mai 2022
1 Kommentar

Letzte Woche haben wir diese Frage in unserem Blog zur Informationssicherheit behandelt: “Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?”, diese Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, telefonisch und per Mail an uns herangetragen. Und die Antwort ist ganz einfach: Ja, steht so im Gesetz.

1
2
3
…
6
Weiter »

Recht

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Was kos­tet es Sie auf jeden Fall …

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Daten­schutz-Defi­ni­ti­on

Rechts­grund­la­gen im Daten­schutz

Norm­ge­bungen

Daten­schutz im Bewusst­sein

Daten­schutz prak­tisch gelebt

.. eine ech­te Errun­gen­schaft

Was sind die Auf­ga­ben des exter­nen Datenschutzbeauftragten?

Als exter­ne Daten­schutz­be­auf­trag­te kann und darf man durch­aus noch etwas mehr an Auf­ga­ben übernehmen

Was ein Daten­schutz­be­auf­trag­ter nicht leis­ten kann?

Inter­es­se an einem exter­nen Daten­schutz­be­auf­trag­ten geweckt?

Daten­schutz-Anpas­sungs­ge­setz 2019 und die Folgen

Weg­fall des Daten­schutz­be­auf­trag­ten bedeu­tet weni­ger Datenschutz-Bürokratie?

“Ja, aber jetzt müs­sen klei­ne Unter­neh­men und Ver­ei­ne für den Daten­schutz nichts mehr tun!”

Daten­schutz­ver­stö­ße und Buß­gel­der wer­den zunehmen

Was hät­te der Gesetz­ge­ber bes­ser machen können?

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Unter­lie­gen Ein­wil­li­gun­gen einem Verfallsdatum?

Beschränkt die DSGVO die Gül­tig­keits­dau­er von Einwilligungen?

Was sagen die Gerich­te zum The­ma Gül­tig­keits­dau­er von Einwilligungen?

Ja was denn nun? Ablauf der Gül­tig­keit einer Ein­wil­li­gung oder nicht?

Kei­ne Email-Wer­bung ohne Einwilligung

Aus­nahms­wei­se doch Email-Wer­bung ohne Einwilligung?

Wie lau­tet die­se Aus­nah­me für Email-Wer­bung ohne Einwilligung?

Per­so­nal­aus­weis als Pfand, Per­so­nal­aus­weis-Kopie als Beleg — üblich, aber verboten