BayLDA: Fragebogen „Sind Sie fit für die DS-GVO?“

Halbzeit auf dem Weg zum europäischen Datenschutzrecht

Am 25. Mai 2016 ist die Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Wirksam wird sie aber erst am 25. Mai 2018. Dies bedeutet, dass am 25. Mai 2017 die Hälfte der Vorbereitungszeit auf das neue Recht abgelaufen ist. Das Bayerische Landesamtes für Datenschutzaufsicht (BayLDA) nimmt diesen Tag zum Anlass, ca. 150 bayerischen Unternehmen unter Zugrundelegung des künftigen Rechts einen Prüffragebogen zuzuschicken, damit diese Unternehmen feststellen können, wie weit sie mit der Vorbereitung auf das neue Recht schon gekommen sind.

Die Fragen sind auf die Umsetzung der DS-GVO abgestellt und erwarten keinen Rücklauf, sondern können als Gradmesser der Umsetzung intern eingesetzt werden.

Testfragebogen des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA)

Smart City Barcelona: Die Daten gehören den Menschen

Barcelona ist in Europa Vorreiter beim Thema Smart City. Allerdings plant die Stadtverwaltung ohne große IT- und Internet-Anbieter. Francesca Bria, die verantwortliche Leiterin, will so die Privatisierung der Daten verhindern und sie vielmehr als gesellschaftliches Vermögen behalten und auswerten.

“Es gibt keine digitale Revolution ohne Demokratie”, sagte Francesca Bria, Chief Technology and Digital Innovation Officer der Stadt Barcelona, auf einer Podiumsdiskussion während der Konferenz Re:publica 17 diese Woche in Berlin. “Deshalb denken wir die Digitalisierung Barcelonas zunächst aus der Sicht der Bürger – und starten bei unseren Überlegungen ben nicht mit der Technologie und dem was theoretisch möglich wäre.”

Der spanische Staat hat die Digitalisierung der Städte beschlossen und die Richtlinien dafür vorgegeben. Doch die Verantwortung für die Umsetzung liegt bei den einzelnen Stadtverwaltungen. Gemeinsam mit ihrem Team überdenkt Bria seit ihrer Ernennung vor fast genau einem Jahr, die bisherige Smart-City-Agenda. “Wir überlegen uns, was die Bürger wirklich brauchen. Von da aus starten wir.”

Das Ziel sei es, die Infrastruktur eigenständig aufzubauen und sie selber zu betreiben. “Wenn die Plattform steht, geben wir Unternehmen aus Barcelona und der Umgebung die Möglichkeit, ihre Software und ihre Apps hier anzubieten.”

Damit sieht sie sich im Widerspruch zu den Angeboten der großen IT-Hersteller. “Smart City ist ein im Grunde ein Konzept, dass sich die Anbieter auf Grund ihrer Technologien ausgedacht haben”, erklärt Bria. Indirekt haben das die Analysten von Gartner schon vor rund zwei Jahren bestätigt.

Fazit ihrer umfasenden Smart-City-Studie war schon damals: “Die größte Erkenntnis ist, dass die meisten Investitionen in das Internet der Dinge in Städten von der Industrie und Wirtschaft kommen und nicht vom öffentlichen Sektor getätigt werden.” Dies bedeute allerdings auch, dass sich die Wirtschaftlichkeitsberechnungen an betriebswirtschaftlichen ausgerichtet werden und daher Dienstleister mit Netzwerkbetreibern zusammenarbeiten, “um die richtigen Daten, und nicht nur Massendaten, aus dem IoT zu erhalten und zügig sowie marktorientiert intelligente Dienste anzubieten.”

Hier grätscht Bria dazwischen: “Aber so denken wir nicht. Die Technologie ist ganz sicher ein Teil einer smarten Stadt. Aber wir denken, dass die Demokratie die Technologie führen soll – und nicht umgekehrt.” Damit geht sie noch über die von Gartner vor zwei Jahren aufgestellte Forderung hinaus, dass Kommunen und Stadtverwaltungen die “große Aufgabe der Governance” zufallen müsse.

Um die zu erfüllen, müüssten die Kommunen “Grundsatzentscheidungen über Datenbesitz, Identitätsmanagement von Daten, Persönlichkeitsrechten, dem Stand von Urheberrechten und Lizenzkriterien, sowie der Förderung von wissensbasierten Innovationen durch gleichberechtigten Zugriff und Verständnis von Kerndaten und Informationen” treffen.

Diese Grundsatzentscheidungen hat Barcelona offenbar bereits getroffen: Die Provider seien als Partner der Stadt herzlich willkommen, erklärt Bria. “Aber wir werden uns nicht von den Providern abhängig machen. Oder uns von ihnen die Regeln diktieren lassen.”

Die Entscheidung in Barcelona sei, dass sich die Politik gegen die Disruption der Stadt und für eine “technische Souveränität” ausgesprochen habe. “Wir wollen Nachhaltigkeit, soziales Wohnen, schlaue Verkehrsteuerung”, betont Bria. “Deshalb werden wir nicht mit Plattformen wie Uber oder AirBnB arbeiten und damit die Daten der Stadt an Unternehmen herausgeben.” Denn sie sei der Überzeugung, dass die Daten der Stadt den Menschen gehören: “Daten dürfen nicht privatisiert werden!”

vzbv: Schluss mit lästigen Werbeanrufen

Nach Bundesratsbeschluss: vzbv fordert rasches Handeln

  • Bundesrat beschließt Gesetzesinitiative, um unerlaubte Telefonwerbung zu bekämpfen.
  • Das Unterschieben von Verträgen soll endlich ein Ende haben.
  • vzbv fordert von Politik, rasch und konsequent zu handeln.

Verbraucherinnen und Verbraucher beschweren sich immer häufiger über unerlaubte Werbeanrufe. Am 12. Mai 2017 hat der Bundesrat beschlossen, einen Gesetzentwurf zur Stärkung des Verbraucherschutzes bei Telefonwerbung beim Deutschen Bundestag einzubringen. Die Länder wollen lästigen Werbeanrufen durch Entzug des wirtschaftlichen Anreizes ein Ende setzen. Der vzbv begrüßt diese Initiative und fordert die Bundesregierung und den Bundestag auf, die vorgeschlagenen Regelungen noch in dieser Legislaturperiode umzusetzen.

„Konsequentes gesetzliches Handeln bei unerlaubter Telefonwerbung ist überfällig“, sagt Heike Schulze, Referentin für Recht und Handel beim Verbraucherzentrale Bundesverband (vzbv). „Es ist nach wie vor ein großes Problem, dass Verbraucher durch unerwünschte Werbeanrufe belästigt und ihnen auf diesem Wege Verträge untergeschoben werden. Das muss endlich unterbunden werden. Nun können Regierung und Abgeordnete zeigen, ob ihnen der Schutz der Verbraucher vor solch üblen Maschen wirklich wichtig ist.“

Wirtschaftlichen Anreiz entziehen

Werbeanrufe ohne vorherige Einwilligung des Verbrauchers sind seit 2009 verboten. Die bei solchen Telefonaten mündlich geschlossenen Verträge sind aber trotzdem in den meisten Fällen gültig. „Für unseriöse Unternehmen besteht bislang ein wirtschaftlicher Anreiz, Verbraucher mit unerbetenen Werbeanrufen zu überrumpeln und ihnen dabei nicht erwünschte Verträge unterzuschieben“, so Schulze. Hier setzt die nun auf den Weg gebrachte Gesetzesinitiative an. Sie sieht vor, dass die bei Werbeanrufen geschlossenen Verträge nur wirksam sind, wenn Verbraucher das anschließend bereitgestellte Angebot in Textform, beispielsweise per Mail, genehmigen. Von Verbrauchern ausgehende telefonische Bestellungen wären weiterhin ohne eine solche Genehmigung möglich.

Zahlen belegen Handlungsbedarf

Neue Zahlen bestätigten die Notwendigkeit, endlich konsequent zu handeln. Die Ende März veröffentlichte Evaluation des Gesetzes gegen unseriöse Geschäftspraktiken zeige, dass jährlich rund 25.000 Beschwerdefälle wegen unerwünschter Telefonwerbung eingegangen seien. Für das Jahr 2016 verzeichnete die Bundesnetzagentur sogar einen Anstieg auf mehr als 29.000 Fälle. Dabei sei von einer hohen Dunkelziffer auszugehen. Die Zahlen zeigten auch, dass bisherige Maßnahmen keinen durchschlagenden Erfolg gebracht hätten.

Politik jetzt in der Pflicht

„Mit der Initiative stehen die Bundesregierung und der Deutsche Bundestag nun in der Pflicht, endlich verbraucherschützend einzugreifen. Der vzbv fordert schon seit mehr als zehn Jahren, die wirtschaftliche Attraktivität solcher Vorgehensweisen zu beseitigen. Nur so ist eine Besserung der Lage zu erwarten“, so Schulze. Die neue Möglichkeit müsse genutzt werden. Der Bundestag sollte daher das Gesetz noch in der laufenden Legislaturperiode verabschieden.

vzbv: Bundesrat verabschiedet Gesetz zum Datenschutz – Europarechtliche Zweifel bleiben bestehen

Der Bundesrat hat seine Zustimmung für ein Gesetz zum Datenschutz gegeben, mit dem das nationale Recht an die europäische Datenschutzgrundverordnung (DSGVO) angepasst werden soll („Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“).

Hierzu Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv):

„Der vzbv begrüßt, dass im Laufe des parlamentarischen Prozesses die Entwürfe des Bundesministeriums des Innern sowie der Bundesregierung in wesentlichen Punkten nachgebessert wurden. Anders als im Referentenentwurf vorgesehen, können Unternehmen den Nutzungszweck von erhobenen Daten nicht über die Vorgaben der Datenschutzgrundverordnung hinaus ändern. Außerdem wurden die bisherigen verbraucherschützenden Regelungen zum Kreditscoring in das neue Gesetz überführt.

Aber dass Unternehmen Verbraucherrechte einschränken können, ist aus Sicht des vzbv inakzeptabel. Dazu gehört, dass sie unter bestimmten Bedingungen Daten von Verbrauchern verarbeiten können, ohne sie darüber informieren zu müssen. In manchen Fällen dürfen sie gar davon absehen, Daten zu löschen. Es ist mehr als fraglich, ob solche Einschränkungen überhaupt mit Europarecht vereinbar sind. Leider gelingt es dem Gesetzgeber somit nicht, Rechtssicherheit für alle Beteiligten zu schaffen.“

 

GDD: Praxishilfe DS-GVO V – Verzeichnis von Verarbeitungstätigkeiten

GDD veröffentlich Praxishilfe DS-GVO V. Sowohl Verantwortliche als auch Auftragsverarbeiter sowie deren Vertreter in der EU müssen nach jeweils ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO führen.

Aus dem Verfahrensverzeichnis bzw. der Verarbeitungsübersicht gemäß der §§ 4e und 4g BDSG/Artt. 18, 19 RL 95/46/EG wird künftig das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO. Nach Erwägungsgrund 82 der DS-GVO soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ das Verzeichnis von Verarbeitungstätigkeiten führen. Weiterhin kann die zuständige Aufsichtsbehörde die Vorlage verlangen, um die betreffenden Stellen hoheitlich zu kontrollieren. Bestehende Verarbeitungsübersichten nach den §§ 4e und 4g BDSG sind eine gute Grundlage für das VVT – müssen aber unter der DS-GVO angepasst werden.

Die Inhalte dieser Praxishilfe wurden im Rahmen des GDD-Erfakreises Köln, Unterarbeitsgruppe „VVT“ erstellt, mit freundlicher Unterstützung des GDD-Arbeitskreises „DS-GVO Praxis“.

GDD-Praxishilfe DS-GVO V – Verzeichis von Verarbeitungstätigkeiten, Version 1.0, Stand April 2017 (Muster einzeln als .docx)

BDSG neu: Bundestag beschließt neues Bundesdatenschutzgesetz

Der Bundestag hat Änderungen am Bundesdatenschutzgesetz verabschiedet, mit denen die hiesigen Regelungen an EU-Vorgaben angepasst werden sollen. Kritik kommt von Opposition und Datenschützern.

Lange hatte die Bundesregierung an ihrem umstrittenen Entwurf für ein neues Bundesdatenschutzgesetz gefeilt, mit dem die Vorgaben der EU-Datenschutzgrundverordnung und der Richtlinie zur Datenverarbeitung bei Polizei und Justiz mit nationalem Recht in Einklang gebracht werden sollen. Am 27. April wurde der Entwurf dann mit den Stimmen der Koalitionsparteien im Bundestag verabschiedet. »Frühzeitig und als erstes Land in Europa schafft Deutschland damit Rechtsklarheit«, hieß es anschließend zufrieden bei der Bundesregierung.

Die Änderungen sind allerdings umstritten, auch wenn einige kritisierte Punkte wie die deutliche Einschränkung der Informationsansprüche von Bürgern kurzfristig noch etwas entschärft wurden. Ursprünglich war geplant, dass Unternehmen die Lösch- und Auskunftsanfragen ablehnen können, wenn der Aufwand, diesen nachzukommen, für sie unverhältnismäßig hoch ist. Jetzt gibt es Ausnahmen nur noch für Unternehmen, die mit den betroffenen Bürgern ausschließlich oder überwiegend analog kommunizieren, also vor allem sehr kleine Firmen und lokale Geschäfte. Das Problem: Laut der EU-Datenschutzgrundverordnung, die zumindest an einigen Stellen kleine Spielräume lässt, sind in diesem Punkt keine nationalen Anpassungen erlaubt.

Andere stark kritisierte Punkte wurden nicht mehr verändert. So dürfen Krankenkassen und Versicherungen ihre Leistungsentscheidungen künftig automatisiert – also mit Computern und Algorithmen – treffen und müssen nicht mehr jeden Einzelfall von Mitarbeitern prüfen lassen. Auch werden die bisherigen Regelungen im Bundesdatenschutzgesetz zu besonders schützenswerten Informationen wie biometrischen Daten, Gesundheitsdaten oder Daten zur ethnischen Herkunft oder sexuellen Orientierung aufgeweicht – hier gibt es mehr Ausnahmen als bisher. Und die Kontrollmöglichkeiten für Aufsichtsbehörden bei Berufsgeheimnisträgern werden eingeschränkt. Dazu zählen nicht nur Ärzte und Anwälte, sondern auch Steuerberater, Apotheker und private Versicherungen.

Einschreiten der EU droht

Ebenfalls eingeschränkt wird die Kontrolle des Bundesdatenschutzbeauftragten über den Bundesnachrichtendienst und andere Behörden, obwohl die EU-Vorgaben hier effektive Durchsetzungsbefugnisse vorsehen. Ebenso könnte die Absenkung der Hürden für eine private Videoüberwachung öffentlich zugänglicher Bereiche noch Probleme mit der EU mit sich bringen. Hier schlägt ein Sicherheitsinteresse künftig den Datenschutz. Der Gesetzgeber nehme es sehenden Auges hin, dass der Europäische Gerichtshof die deutschen Regelungen korrigiert, warnt etwa Frank Spaeing, Vorsitzender der Deutschen Vereinigung für Datenschutz, und attestiert der Bundesregierung eine »Missachtung digitaler Grundrechte«.

Beim Bitkom heißt es, das neue Bundesdatenschutzgesetz sei inhaltlich kein großer Wurf, aber auch nicht besonders bedenklich. »Die wirklich wichtigen Fragen für die Datenverarbeitung im Unternehmen sind bereits abschließend in der EU-Verordnung geregelt, wie zum Beispiel das Gros der Rechtsgrundlagen für die Verarbeitung einschließlich der Bedingungen für die Einwilligung und auch alle Vorgaben zu Verträgen und den internen Datenschutzprozessen«, so Bitkom-Geschäftsleiterin Susanne Dehmel. Ärgerlich sei lediglich, dass die Regelung zur Datenverarbeitung im Beschäftigtenverhältnis über die formalen Anforderungen der EU-Verordnung hinausgeht und »damit eher noch bürokratische Hürden aufbaut«.

GDD: Muster zur Auftragsverarbeitung nach DS-GVO veröffentlicht

Die GDD-Praxishilfe DS-GVO IV widmet sich der Auftragsverarbeitung nach Art. 28 DS-GVO und stellt die GDD-Vertragsmuster von 2013 und 2017 gegenüber.
Zur Anpassung der Datenschutzorganisation an die neuen Anforderungen der DS-GVO gehört unter anderem die Überprüfung bestehender Vertragsverhältnisse sowie die Anpassung der Vertragsmuster für zukünftige Outsourcing-Dienstleistungen. In der vorliegenden Praxishilfe werden zunächst die GDD-Vertragsmuster von 2013 (§ 11 BDSG) und 2017 (Art. 28 DS-GVO) gegenübergestellt. Die Pflichtinhalte nach alter und künftiger Rechtslage sind dabei bemerkenswert deckungsgleich. Im Idealfall sollten Altverhältnisse auf das neue Muster umgestellt werden, da dieses spezifisch auf die gesetzlichen Erfordernisse der DS-GVO abgestimmt wurde. Sofern stattdessen am alten Vertrag festgehalten werden muss, bedarf es geringfügiger Nachbesserungen, um die gesetzlichen Mindestanforderungen zu erfüllen.

GDD-Praxishilfe DS-GVO IV – Mustervertrag zur Auftragsverarbeitung, Version 1.0, Stand März 2017.
Mustervertrag im .docx-Format.

Die Inhalte der Praxishilfe IV wurden erstellt im Rahmen des GDD-Arbeitskreises „DS-GVO-Praxis“ mit freundlicher Unterstützung der Unterarbeitsgruppen „Auftragsverarbeitung“ der GDD-Erfakreise Köln und Nürnberg.