Eine Ver­öf­fent­li­chung gemäß Mini­ster­rats­be­schluss vom 5. Juni 2018

Der Mini­ster­rat beschließt nach­fol­gen­den Baye­ri­schen Weg zu einer bür­ger­na­hen und mit­tel­stands­freund­li­chen Anwen­dung des Daten­schutz­rechts, die die Zie­le der Daten­schutz-Grund­ver­ord­nung sach­ge­recht und mit Augen­maß ver­folgt und damit auch ihre Akzep­tanz in der Bevöl­ke­rung för­dert:

  • Kein Ama­teur­sport­ver­ein, kei­ne Musik­ka­pel­le oder son­sti­ge vor allem durch ehren­amt­li­ches Enga­ge­ment getra­ge­ne Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten bestel­len.
  • Bei einem Erst­ver­stoß im Dickicht der Daten­schutz­re­geln dro­hen kei­ne Buß­gel­der; Hin­wei­se und Bera­tung haben Vor­rang vor Sank­tio­nen.
  • Wir wer­den eine Pra­xis von Abmahn­an­wäl­ten, die glau­ben bei Unter­neh­men for­mel­le Daten­schutz­ver­stö­ße rechts­miss­bräuch­lich abmah­nen und abkas­sie­ren zu kön­nen, nicht hin­neh­men.
  • Wir wer­den mit den Betrof­fe­nen wei­te­re Bestim­mun­gen im Daten­schutz­recht iden­ti­fi­zie­ren, bei deren Anwen­dung im Beson­de­ren dar­auf hin­zu­wir­ken ist, dass die Zie­le der Daten­schutz-Grund­ver­ord­nung sach­ge­recht und mit Augen­maß ver­folgt wer­den.
  • Hier­zu wer­den wir wei­te­re Gesprä­che mit Ver­ei­nen und Mit­tel­ständ­lern anbie­ten.

Quel­le: All­ge­mei­nes Mini­ste­ri­al­blatt

Eine wesent­li­che Neue­rung der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ist das Instru­ment der sog. Daten­schutz-Fol­gen­ab­schät­zung (DSFA). Die DSFA ist ein wich­ti­ger Bestand­teil des neu ein­ge­führ­ten Kon­zepts des „risi­ko­ori­en­tier­ten Ansat­zes” im Daten­schutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gera­de bei Ver­ar­bei­tun­gen von per­so­nen­be­zo­ge­nen Daten, bei denen ein hohes Risi­ko für die von der Ver­ar­bei­tung betrof­fe­nen Per­so­nen besteht, bewir­ken, dass gezielt Maß­nah­men gefun­den wer­den kön­nen, die die­ses Risi­ko ein­däm­men.

Somit dient der risi­ko­ori­en­tier­te Ansatz der DS-GVO letzt­end­lich zur Aus­wahl der „rich­ti­gen” (d. h. wirk­sa­men und geeig­ne­ten) tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten. Dies bedeu­tet im All­tag für Ver­ant­wort­li­che, dass durch eine Aus­wahl pas­sen­der Maß­nah­men das Risi­ko der Rech­te und Frei­hei­ten für die ein­zel­nen betrof­fe­nen Per­so­nen (z. B. Kun­den, Nut­zer, Beschäf­tig­te) ent­schei­dend redu­ziert bzw. ein­ge­dämmt wer­den kann. Die Not­wen­dig­keit einer tech­ni­schen oder orga­ni­sa­to­ri­schen Maß­nah­me hängt also somit vom „Risi­ko-Level” ab, d. h. von der Höhe eines mög­li­chen Scha­dens für die jewei­li­ge Per­son, wenn es zu einem Ein­tritt des Risi­kos bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kommt.

Wei­ter geht es hier.

Das Bun­des­mi­ni­ste­ri­um des Innern (BMI) hat die diver­se Fra­gen zum Ver­ständ­nis der DS-GVO adres­sie­ren, auch hier­zu
Stel­lung genom­men und schil­dert, unter wel­chen Vor­aus­set­zun­gen das Anfer­ti­gen und Ver­brei­ten per­so­nen­be­zo­ge­ner Foto­gra­fi­en künf­tig zuläs­sig ist. Auch der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat sei­nen Bei­trag zu mehr Klar­heit gelei­stet und setzt sich mit die­ser Fra­ge­stel­lung in sei­nem Ver­merk „Recht­li­che Bewer­tung von Foto­gra­fi­en einer unüber­schau­ba­ren Anzahl von Men­schen nach der DSGVO außer­halb des Jour­na­lis­mus“ aus­ein­an­der.

Auch die Lan­des­be­auf­trag­te für den Daten­schutz und für das Recht auf Akten­ein­sicht Bran­den­burg hat eine Hand­rei­chung unter dem Namen „Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten bei Foto­gra­fi­en Recht­li­che Anfor­de­run­gen unter der DS-GVO“ ver­öf­fent­licht. Auch dort sei­en in den ver­gan­ge­nen Mona­ten die Anzahl an Nach­fra­gen von Foto­gra­fen, Ver­an­stal­tern, Blog­gern sowie Ver­tre­tern aus der Pres­se und Öffent­lich­keits­ar­beit zu Per­so­nen­fo­to­gra­fi­en unter Gel­tung der DS-GVO spür­bar gestie­gen.

Die Ein­füh­rung der Daten­schutz-Grund­ver­ord­nung geht mit einer bewuss­ten Stär­kung der Betrof­fe­nen­rech­te ein­her. „Ein uni­ons­wei­ter wirk­sa­mer Schutz per­so­nen­be­zo­ge­ner Daten erfor­dert die Stär­kung und prä­zi­se Fest­le­gung der Rech­te der betrof­fe­nen Per­so­nen“ heißt es daher aus­drück­lich in Erwä­gungs­grund (Erw­Gr) Nr. 11. Haupt­pfei­ler der neu­en Betrof­fe­nen­rech­te sind neben dem stren­ge­ren Haf­tungs­re­gime und den neu ein­ge­führ­ten Ein­zel­an­sprü­chen vor allem die aus­ge­wei­te­ten Trans­pa­renz­pflich­ten bei der Daten­ver­ar­bei­tung. Art. 13 DS-GVO wid­met sich den Infor­ma­ti­ons­pflich­ten bei der Direkt­er­he­bung, Art. 14 ist das Pen­dant bei Erhe­bung von Daten bei Drit­ten. Die betrof­fe­ne Per­son soll die Infor­ma­tio­nen in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form in einer kla­ren und ein­fa­chen Spra­che erhal­ten (Art. 12 Abs. 1 Satz 1 DS-GVO) und dies stets unent­gelt­lich (Art. 12 Abs. 5). Am 11. April 2018 ver­ab­schie­de­te die Arti­kel-29-Daten­schutz­grup­pe ihr WP 260 zu den Trans­pa­renz­re­geln der Daten­schutz-Grund­ver­ord­nung (DS-GVO).

Die Infor­ma­ti­ons­pflich­ten bil­den die Basis für die Aus­übung der Betrof­fe­nen­rech­te (ins­be­son­de­re der Art. 15 ff. DS-GVO). Nur wenn die betrof­fe­ne Per­son weiß, dass per­so­nen­be­zo­ge­ne Daten über sie ver­ar­bei­tet wer­den, kann sie die­se Rech­te auch aus­üben. Die Infor­ma­ti­ons­pflich­ten gemäß der DS-GVO gehen daher weit über die bis­he­ri­ge Rechts­la­ge hin­aus und müs­sen beach­tet wer­den, sofern kei­ne Aus­nah­me­vor­schrif­ten grei­fen. Die Daten­schutz­kon­fe­renz hat in Form des Kurz­pa­piers Nr. 10
„Infor­ma­ti­ons­pflich­ten bei Dritt- und Direkt­er­he­bung“ bereits erste wei­ter­ge­hen­de Aus­füh­run­gen zu die­sem The­ma ver­öf­fent­licht.

Aktu­ell hat auch die Lan­des­be­auf­trag­te für den Daten­schutz und für das Recht auf Akten­ein­sicht Bran­den­burg (LDA Bran­den­burg) eine Ori­en­tie­rungs­hil­fe mit dem Titel „Wie erfül­le ich als Ver­ant­wort­li­cher mei­ne Infor­ma­ti­ons­pflich­ten? Recht­li­che Anfor­de­run­gen unter der DS-GVO“ ver­öf­fent­licht. Dar­in geht die LDA Bran­den­burg fol­gen­den Fra­gen nach:

1. Was muss ich als Ver­ant­wort­li­cher tun, um die Infor­ma­ti­ons­pflich­ten aus Art. 13 und 14 Daten­schutz-Grund­ver­ord­nung (DS-
GVO) zu erfül­len?
2. Muss ich die betrof­fe­ne Per­son schrift­lich infor­mie­ren oder reicht ein Ver­weis auf mei­ne Web­sei­te, auf der ich die Infor­ma­tio­nen bereit­stel­le?
3. Muss ich nach­wei­sen, dass ich die Infor­ma­ti­ons­pflich­ten erfüllt habe?
4. Wer muss die Infor­ma­ti­ons­pflich­ten erfül­len, wenn es sich um gemein­sa­me Ver­ant­wort­li­che i. S. d. Art. 26 DS-GVO han­delt?
5. Spe­zi­el­le Fall­grup­pen

Abge­run­det wer­den die ein­zel­nen Fra­gen mit pas­sen­den Pra­xis­bei­spie­len.

Quel­le: LDA Bran­den­burg

In bestimm­ten Fäl­len ist bei der Über­wa­chung von Räu­men laut der kürz­lich in Kraft getre­te­nen Daten­schutz­grund­ver­ord­nung eine Daten­schutz-Fol­gen­ab­schät­zung erfor­der­lich.

Die kürz­lich in Kraft getre­te­ne Daten­schutz­grund­ver­ord­nung (DS-GVO) regelt die Über­wa­chung von Räu­men und Plät­zen mit­tels Video­über­wa­chung nur am Ran­de gere­gelt. Viel­mehr sol­len die ein­zel­nen Mit­glieds­staa­ten selbst Vor­schrif­ten für die elek­tro­ni­sche Über­wa­chung erlas­sen. In Arti­kel 35, Absatz 3 lit. c) schreibt die DS-GVO aller­dings vor, dass bei »einer syste­ma­ti­schen umfang­rei­chen Über­wa­chung öffent­lich zugäng­li­cher Räu­me« eine Daten­schutz-Fol­gen­ab­schät­zung nötig und erfor­der­lich ist.

Hier­zu­lan­de ist die Video­über­wa­chung in §4 Bun­des­da­ten­schutz­ge­setz (BDSG) gere­gelt. In Absatz 1 befin­det sich die Ände­rung zu bis­lang gel­ten­den Rege­lung: Hier ist fest­ge­legt, dass öffent­lich zugäng­li­che groß­flä­chi­ge Anla­gen oder Ein­rich­tun­gen wie öffent­li­che Ver­kehrs­mit­tel, Bahn­hö­fe sowie Ein­kaufs­zen­tren, Sport­stät­ten und Ver­an­stal­tungs­or­te zum Schutz der Men­schen über­wacht wer­den dür­fen. Der Schutz von Per­so­nen, die sich dort auf­hal­ten, muss jedoch beson­ders beach­tet wer­den. Der deut­sche Gesetz­ge­ber stellt also die Sicher­heits­be­lan­ge und den Schutz von Leben, Gesund­heit oder Frei­heit die­ser Per­so­nen als ein beson­ders wich­ti­ges Inter­es­se dar.

Die Über­wa­chung von öffent­li­chen Räu­men ist grund­sätz­lich nur dann erlaubt, wenn ihr kei­ne schutz­wür­di­gen Inter­es­sen der Betrof­fe­nen ent­ge­gen­ste­hen. Auch dann dür­fen Orte nur über­wacht wer­den, wenn das zur Auf­ga­ben­er­fül­lung öffent­li­cher Stel­len, zur Wahr­neh­mung des Haus­rechts und zur Daten­ge­win­nung für einen kon­kret fest­ge­leg­ten Zweck und zur Wahr­neh­mung berech­tig­ter Inter­es­sen erfor­der­lich ist. Laut §4 Absatz 2 BDSG muss die Tat­sa­che, dass eine Beob­ach­tung durch­ge­führt wird, durch geeig­ne­te Maß­nah­men gekenn­zeich­net und die Über­wa­chung ver­ant­wort­li­che Stel­le benannt wer­den muss. Die gewon­ne­nen Daten dür­fen dann nur zur Abwehr von Gefah­ren sowie zur Ver­fol­gung von Straf­ta­ten genutzt wer­den. Ist der Zweck erreicht oder ste­hen schutz­wür­di­ge Inter­es­sen der Betrof­fe­nen einer wei­te­ren Spei­che­rung ent­ge­gen, müs­sen die Daten sofort gelöscht wer­den.

Das hat sicher jeder von uns selbst erlebt. Die Stil­blü­ten um die Ein­ho­lung von neu­en Ein­wil­li­gun­gen zur DS-GVO. Vie­les wäre dabei schon recht­lich frag­wür­dig (wenn eine Ein­wil­li­gung vor­liegt, brau­che ich kei­ne wei­te­re, wenn nicht, dann darf nich nicht danach fra­gen), unnö­tig (natür­lich darf man zur Ver­trags­an­bah­nung oder -abwick­lung per­sön­li­che Anspra­chen von bei­te­lig­ten Per­so­nen ver­wen­den) und im schlimm­sten Fall dann auch nicht recht­lich bin­dend. Ich möch­te hier zwei Links zu dem News­let­ter der inter­soft con­sul­ting ser­vices AG geben:

Übri­gens, der News­let­ter ren­tiert sich alle­ma­le.

Die Bun­des­re­gie­rung hat in der heu­ti­gen Sit­zung des EU-Mini­ster­rats ihre Posi­tio­nie­rung gegen­über der ePri­va­cy-Ver­ord­nung vor­ge­stellt. Die Ver­hand­lun­gen im EU-Rat kön­nen damit vor­an­schrei­ten, so dass das Gesetz noch vor der EU-Par­la­ments­wahl im Früh­jahr 2019 beschlos­sen wer­den könn­te. Klaus Mül­ler, Vor­stand des vzbv, for­dert eine ver­brau­cher­freund­li­che und star­ke Regu­lie­rung der digi­ta­len Kom­mu­ni­ka­ti­on:

Der vzbv begrüßt, dass sich die Bun­des­re­gie­rung end­lich auf eine Posi­ti­on zur ePri­va­cy-Ver­ord­nung fest­ge­legt hat. Posi­tiv ist, dass es Tele­kom­mu­ni­ka­ti­ons­dien­sten nur mit Ein­wil­li­gung oder zu sta­ti­sti­schen Zwecken erlaubt wer­den soll, Kom­mu­ni­ka­ti­ons­me­ta­da­ten, wie bei­spiels­wei­se Stand­ort­da­ten zu ver­ar­bei­ten. Dabei müss­ten sie geeig­ne­te Schutz­maß­nah­men tref­fen und die Daten­schutz­grund­ver­ord­nung beach­ten. Dies ist ein annehm­ba­rer Kom­pro­miss.

Coo­kies und ähn­li­che Tech­no­lo­gi­en, mit denen Unter­neh­men das Ver­hal­ten und die Inter­es­sen von Ver­brau­chern online aus­wer­ten, sol­len eben­falls nur mit deren Ein­ver­ständ­nis oder zu eng defi­nier­ten Zwecken ein­ge­setzt wer­den dürf­ten. Für Sur­fer ist das ein Fort­schritt.

Die Bun­des­re­gie­rung möch­te Anbie­tern jedoch erlau­ben, die Nut­zung ihrer Ange­bo­te von einer sol­chen Ein­wil­li­gung abhän­gig zu machen. Das ist nicht akzep­ta­bel. Damit unter­läuft sie die Daten­schutz­grund­ver­ord­nung und spielt gro­ßen Unter­neh­men wie Goog­le und Face­book in die Hän­de. Denn den Kon­zer­nen wür­de es auf­grund ihrer Markt­macht leich­ter als klei­ne­ren Anbie­tern fal­len, ihren Nut­zern eine sol­che Ein­wil­li­gung abzu­rin­gen. Bedau­er­lich ist außer­dem, dass sich die Bun­des­re­gie­rung nicht für daten­schutz­freund­li­che Vor­ein­stel­lun­gen von Web­brow­sern ein­setzt.“

Fak­ten­blatt des vzbv

Mit dem Start der Daten­schutz-Grund­ver­ord­nung heu­te am Frei­tag, 25. Mai beginnt in Euro­pa eine neue Zeit­rech­nung für den Daten­schutz. Doch in eini­gen Punk­ten fehlt Unter­neh­men, Selb­stän­di­gen und auch den Auf­sichts­be­hör­den noch Rechts­si­cher­heit. „Die neu­en Regeln wer­den uns noch lan­ge über den 25. Mai hin­aus beschäf­ti­gen“, sagt BvD-Vor­stand Tho­mas Spa­eing.

Rechts­un­klar­heit besteht unter ande­rem beim Beschäf­tig­ten­da­ten­schutz und in der Abstim­mung mit der ePri­va­cy-Ver­ord­nung, die aller Vor­aus­sicht erst Ende 2019 an die DS-GVO ange­passt wird. Ein viel­fach dis­ku­tier­tes The­ma ist auch der Medi­en­bruch bei den Infor­ma­ti­ons­pflich­ten, z. B. bei der Video­über­wa­chung oder auch der ein­fa­chen Kon­takt­auf­nah­me im Geschäfts­le­ben.

Die Hoff­nung besteht, dass die Auf­sichts­be­hör­den mit dem Start der DS-GVO zunächst „mit Augen­maß“ Unter­neh­men bei der Umset­zung der Richt­li­ni­en beglei­ten wer­den. „Auch die Auf­sichts­be­hör­den wis­sen um die vie­len Fra­gen, die noch unge­klärt sind“, sag­te Spa­eing. „Des­halb soll­ten Unter­neh­men sie nicht als Geg­ner, son­dern als Part­ner ver­ste­hen“. Wich­tig sei aller­dings, dass die Unter­neh­men auch die Bereit­schaft zeig­ten, das neue Regel­werk umzu­set­zen.

Nach Art. 37 Abs. 7 DS-GVO hat ein Ver­ant­wort­li­cher oder ein Auf­trags­ver­ar­bei­ter die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten (DSB) nicht nur zu ver­öf­fent­li­chen, son­dern auch der Auf­sichts­be­hör­de mit­zu­tei­len. Das BayL­DA ent­wickelt der­zeit einen neu­en Online-Ser­vice, der es Ver­ant­wort­li­chen ermög­licht, die hier­zu erfor­der­li­chen DSB-Mel­dun­gen für den nicht-öffent­li­chen Bereich in Bay­ern ein­fach und bequem online durch­zu­füh­ren. Die­ses befin­det sich in der fina­len Test­pha­se, wird aber wohl erst (kurz) nach dem 25.05.2018 ver­füg­bar sein.

Aus die­sem Grund und weil den Ver­ant­wort­li­chen aus­rei­chend Zeit zur Mel­dung ein­ge­räu­met wer­den soll, ver­län­gert das BayL­DA die Mel­de­frist bis zum 31. August 2018. Bis zu die­sem Ter­min wird das BayL­DA dann selbst­ver­ständ­lich eine noch nicht erfolg­te Mel­dung nicht bemän­geln und auch dies­be­züg­lich kein Ord­nungs­wid­rig­keits­ver­fah­ren ein­lei­ten.

Von einer Mel­dung in Papier­form ist abzu­se­hen, da die­se dem BayL­DA unnö­ti­gen büro­kra­ti­schen Auf­wand ver­ur­sacht – die vor­han­de­nen Kapa­zi­tä­ten sol­len statt­des­sen lie­ber wie bis­her in die Bereit­stel­lung von Infor­ma­tio­nen ver­wen­det wer­den.

Zur­zeit kur­sie­ren vie­le Mails, in denen Unter­neh­men neue Nut­zungs­be­din­gun­gen vor­stel­len und dar­um bit­ten, die­se zu bestä­ti­gen. Hin­ter­grund ist das Inkraft­tre­ten der neu­en EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) zum 25. Mai 2018. Lei­der nut­zen Betrü­ger dies auch, um mit gefälsch­ten Mails Per­so­nen zu schä­di­gen. Sie ver­sen­den unter ande­rem im Namen von Online-Shops wie Ama­zon, eBay und Paypal wie auch von nam­haf­ten Ban­ken Phis­hing-E-Mails, in denen sie auf um die Ein­ga­be von sen­si­blen Infor­ma­tio­nen bit­ten. Es sind sogar schon Fäl­le auf­ge­tre­ten, in denen Opfer dazu gebracht wur­den, Aus­wei­se ein­zu­scan­nen und an den Absen­der zu ver­sen­den. Eine sol­che Vor­ge­hens­wei­se wür­den seriö­se Unter­neh­men nie­mals anwen­den. Des­halb soll­ten Sie sol­che E-Mails immer direkt löschen.

Um sich vor Phis­hing-Betrü­gern zu schüt­zen, über­prü­fen Sie Ihre E-Mails am besten immer kri­tisch hin­sicht­lich Absen­der, Inhalt und Links. Wor­auf Sie dabei kon­kret ach­ten soll­ten, hat das BSI für Bür­ger zusam­men­ge­stellt.

Zur Mel­dung der Ver​brau​cher​zen​tra​le​.NRW: Betrü­ger miss­brau­chen die DSGVO für Phis­hing-Mails.