BvD: den Datenschutzbeauftragten als Kompetenz-Garant erhalten

/in /von

BvD setzt sich für bürokratische Erleichterung bei KMU ein

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. warnt vor der Abschaffung des betrieblichen Datenschutzbeauftragten bei kleinen und mittelständischen Unternehmen. „Qualifizierte Datenschutzbeauftragte gewährleisten die rechtssichere Anwendung der komplexen gesetzlichen Pflichten nach der europäischen Datenschutz-Grundverordnung (DS-GVO) und dem neuen Bundesdatenschutzgesetz. Damit schützen sie die Unternehmen vor hohen Bußgeldern und Auseinandersetzungen mit den Aufsichtsbehörden“, sagte BvD-Vorstandsvorsitzender Thomas Spaeing am Mittwoch in Berlin. Um vor allem kleine und mittlere Unternehmen (KMU) zu entlasten, solle statt dessen Bürokratie abgebaut und Verfahrenswege vereinfacht werden.

Der BvD reagierte damit auf Bestrebungen aus dem Bundeswirtschaftsministerium und auf eine Bundesratsinitiative der Länder Bayern und Baden-Württemberg, die Bestellpflicht von Datenschutzbeauftragten massiv einzuschränken – von Unternehmen mit aktuell 10 datenverarbeitenden Mitarbeitern auf Betriebe mit 50 Mitarbeitern mit datenverarbeitenden Tätigkeiten. „Datenschutz ist ein komplexes Unterfangen, wo gerade KMU ohne entsprechendes Knowhow viele Fehler unterlaufen können. Das kann schnell die Existenz bedrohen. Gleichzeitig stellen die betrieblichen Datenschutzbeauftragten die kostengünstigste Variante für Unternehmen dar, sich hier beraten zu lassen.“, mahnte Spaeing.

Die Aufgaben, ein Unternehmen datenschutzkonform aufzustellen, würde ohne Datenschutzbeauftragten direkt der Geschäftsleitung bzw. dem Vorstand zufallen. Die scheinbare Entlastung für KMU würde diesem Personenkreis dann auf die Füße fallen. „Im Interesse eines praktikablen, sinnvollen und kostenbewussten Datenschutzes ist die Verwässerung der Benennungspflicht genau das falsche Mittel.“

Statt dessen müssten kleine Handwerksbetrieben und Dienstleister sowie gemeinnützige Vereine bürokratisch entlastet werden, etwa bei der Meldepflicht von Datenpannen und bei der Risikobewertung der Datenverarbeitung, bekräftigte Spaeing. Zugleich forderte er eine staatliche Förderung insbesondere von Start-Ups zum Aufbau eines den Gesetzen entsprechenden Datenschutz-Regimes. Der BvD hat dazu in einem Positionspapier eine Reihe von sofort wirksamen Maßnahmen benannt.

Datenschutz ist ein elementares Gut, das die Glaubwürdigkeit eines Unternehmens gegenüber Kunden und Partnern garantiert. Er steht für Vertrauen und Qualität und wird von immer mehr Unternehmen weltweit als Wettbewerbsvorteil erkannt. „KMU und kleine Organisationen von der Bestellpflicht auszunehmen, bedeutet, den Wettbewerbsvorteil deutscher Unternehmen im Datenschutz durch die Aufgabe der bestehenden Benennungspflicht fahrlässig zu riskieren“, sagte Spaeing. „Schließlich seien über 70 % aller Unternehmen kleine und mittelständische Unternehmen. Die Folge wäre dann, dass bei etwa 70% aller Unternehmen in Deutschland die betriebliche Kontrolle entfällt und die Daten von Kunden und Mitarbeitern ohne Berücksichtigung der datenschutzrechtlichen Anforderungen erfolge.“

Weiterführende Informationen unter: https://www.bvdnet.de/themen/dsb/

Facebook: Nächster Daten-Supergau

/in /von

Unbekannte Hacker haben sich über Sicherheitslücken Zugang zu bis zu 90 Millionen Facebook-Konten verschafft. Die Zahl könnte aber weitaus höher liegen, zudem sind auch andere Dienste, die den Facebook-Login nutzen, potenziell davon betroffen.

Kaum ist der Datenskandal um Cambridge Analytics – auch dank der gebetsmühlenartigen Besserungsgelöbnisse und einer breitgestreuten Werbekampagne seitens Facebook – für die Öffentlichkeit wieder in Vergessenheit geraten, kommt nun schon der nächste Hammer. Wie jetzt bekannt wurde, konnten Hacker sich über Sicherheitslücken unberechtigt Zugriff auf Millionen von Nutzerkonten verschaffen. In einer ersten Reaktion spricht der Konzern selbst von 50 Millionen sicher und weiteren etwa 40 Millionen potenziell betroffenen Usern. Angesichts der Umstände des Angriffs und der derzeitigen Erkenntnislage gehen Sicherheitsexperten allerdings davon aus, dass sich diese Zahl noch deutlich erhöhen könnte. Immerhin weiß Facebook selbst noch nicht einmal, seit wann genau die Angriffe laufen.

Diese erfolgten über drei zusammenhängende Schwachstellen, aufgrund derer sich die Hacker sogenannte »Access Tokens« für jeden gewünschten Facebook-Account generieren konnten. Im Normalfall dienen diese Dateien dazu, berechtigten Nutzern nach einem erfolgreichen Login künftig den direkten Zugang ohne neue Passworteingabe zu ermöglichen. Somit konnten die Angreifer mit ihnen alle direkt einsehbaren Nutzerdaten wie Name und Wohnort eines Kontos einsehen und haben diese offenbar auch kopiert. Inwieweit das auch für Elemente wie Zeitleisten und Konversationen gilt, ist noch nicht bekannt. Theoretisch hätten sie damit sogar Aktionen wie Postings durchführen können. Dafür sieht Facebook derzeit allerdings keine Hinweise und betont, dass immerhin keine kritischen Daten wie Kreditkartennummern abhandengekommen seien.

Wie Facebook weiter erklärt, haben sich die Lücken bereits vor über einem Jahr eingeschlichen, wurden aber inzwischen geschlossen. Eine Änderung des Passworts sei nicht notwendig, da die Lücke keine Änderungen der Passwörter zur Übernahme der Accounts erlaubt. Weil die betroffenen 90 Millionen Tokens gelöscht wurden, müssen sich die betroffenen Nutzer bei ihrem nächsten Besuch nun einfach auf allen ihren Geräten jeweils einmal neu einloggen. Insofern lässt sich für die Nutzer auch leicht erkennen, ob Facebook den eigenen Account möglicherweise für betroffen hält.

Aufgefallen war das Problem erst vor wenigen Tagen, da Facebook selbst seit Mitte September plötzlich eine auffallend große Zahl unüblicher Aktivitäten auf vielen Konten registrierte und daraufhin Nachforschungen begonnen hatte. Ob dieser Zeitpunkt allerdings tatsächlich gleichbedeutend mit dem Anfang der Angriffe ist, kann derzeit noch niemand sagen. Möglich ist etwa auch, dass die Hacker ihre Aktivitäten im letzten Monat einfach nur merklich ausgeweitet haben, oder dass die Hintertüre in cyberkriminellen Kreisen die Runde gemacht hat und deshalb plötzlich weitaus häufiger ausgenutzt wurde.

Damit hätten die Hacker theoretisch also sogar Zugang zu allen rund zwei Milliarden Nutzerkonnten bekommen können. Doch damit nicht genug. Da der Facebook-Login inzwischen auch bei zahlreichen anderen Diensten wie Instagram, Tinder oder Spotify genutzt werden kann, könnten diese genauso betroffen sein. Auch hier hätten sich die Angreifer zumindest die direkt hinterlegten Accountdaten kopieren können. Bis der gesamte Schaden offensichtlich wird, könnte es also eine Zeit dauern. Um genaueres dazu herauszufinden, kooperiert Facebook bei seinen Ermittlungen unter anderem mit dem FBI.

Völlig unklar ist derzeit noch, wer hinter den Angriffen steckt und was die Hacker mit den erbeuteten Daten anfangen wollen. Von einer gezielten Racheaktion gegen Facebook über politisch motivierte Angriffe gegen Amtsträger oder Erpressungsversuche bis hin zu Kopien der Nutzerseiten für diverse Betrugsmaschen ist alles möglich. Sehr wahrscheinlich ist auf jeden Fall, dass die Informationen in den nächsten Monaten verstärkt bei Phishing-Attacken eingesetzt werden, mit denen weitere Zugangsdaten und Informationen erbeutet werden sollen.

Eilmeldung: Warnung vor aktuellen Faxmeldungen der Datenschutz-Auskunftszentrale

/in /von

Warnung vor einer sogenannten Datenschutzauskunft-Zentrale. Zahlreiche Unternehmen seien von ihr per Fax aufgefordert worden, bis zum 9. Oktober ein beigefügtes Formular zum Datenschutz zu unterschreiben. Wer ein solches Schreiben erhalten habe, solle es auf keinen Fall bearbeiten. Grund: Im Kleingedruckten lauern versteckte Kosten.

BvD: Datenschutzbeauftragte fordern Entlastung von Unternehmen

/in /von

Der Berufsverband der Datenschutzbeauftragten Deutschlands fordert Nachbesserungen bei der Datenschutz-Grundverordnung (DS-GVO) und beim Bundesdatenschutzgesetz (BDSG).

Das Ziel: Eine deutliche Entlastung von kleinen und mittelständischen Unternehmen.

Speziell kleine und mittelständische Unternehmen (KMU) sowie ehrenamtlich geführte Vereine fühlen sich von der DS-GVO überfordert. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. stellt sich an ihre Seite. Thomas Spaeing, Vorstandsvorsitzender des BvD: „Wir brauchen mehr Klarheit in den Prozessen und weniger Bürokratie für KMU“.

Lesen Sie dazu auch die BvD-Pressemeldung.

Auftragsverarbeitung nach der DS-GVO – Abgrenzung der Verarbeitungstätigkeiten

/in /von

Unter der neu geschaffenen Rubrik „Fragen & Antworten“ nimmt das BayLDA ausführlich Stellung zu verschiedenen Fragestellungen des Datenschutzes. Um die gegebenen Antworten einzuordnen, wird jede Frage/Antwort zusätzlich mit nützlichen Stichworten und Normen versehen.

Das Bayrische Landesamt für Datenschutzaufsicht hat seine Reihe „FAQ zur DS-GVO“ um die Beantwortung einer weiteren Praxisfrage ergänzt. Die aktuellste Frage der FAQ-Sammlung beschäftigt sich mit den Art. 4 Nr. 8, 28 DS-GVO. Darin versucht das BayLDA anhand konkreter Fallbeispiele zu zeigen, bei welcher Art von Datenverarbeitung eine Auftragsverarbeitung anzunehmen ist und wann nicht.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liege nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt werde, so das BayLDA. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund stehe bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmache, stelle keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Als Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DS-GVO werden (u.a.) bspw. folgende Verarbeitungen gesehen:

DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,

Keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DS-GVO (sondern eigene Verantwortlichkeit) sei (u.a.) z. B. regelmäßig:

 

a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen
• Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Inkassobüros mit Forderungsübertragung,
• Bankinstitute für den Geldtransfer

b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftragsziele auf eine andere Tätigkeit:
• vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten,
• Sachverständige zur Begutachtung eines Kfz-Schadens,
• Personenbeförderung, Krankentransportleistungen

Das BayLDA weist jedoch darauf hin, dass, je nach Sachverhalt, vom Verantwortlichen ggfls. Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen sein kann.

DS-GVO: der Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung

/in /von

Eine Veröffentlichung gemäß Ministerratsbeschluss vom 5. Juni 2018

Der Ministerrat beschließt nachfolgenden Bayerischen Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung des Datenschutzrechts, die die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt und damit auch ihre Akzeptanz in der Bevölkerung fördert:

  • Kein Amateursportverein, keine Musikkapelle oder sonstige vor allem durch ehrenamtliches Engagement getragene Vereine müssen einen Datenschutzbeauftragten bestellen.
  • Bei einem Erstverstoß im Dickicht der Datenschutzregeln drohen keine Bußgelder; Hinweise und Beratung haben Vorrang vor Sanktionen.
  • Wir werden eine Praxis von Abmahnanwälten, die glauben bei Unternehmen formelle Datenschutzverstöße rechtsmissbräuchlich abmahnen und abkassieren zu können, nicht hinnehmen.
  • Wir werden mit den Betroffenen weitere Bestimmungen im Datenschutzrecht identifizieren, bei deren Anwendung im Besonderen darauf hinzuwirken ist, dass die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt werden.
  • Hierzu werden wir weitere Gespräche mit Vereinen und Mittelständlern anbieten.

Quelle: Allgemeines Ministerialblatt

BayLDA äußert sich zur Datenschutz-Folgenabschätzung

/in /von

Eine wesentliche Neuerung der Datenschutz-Grundverordnung (DS-GVO) ist das Instrument der sog. Datenschutz-Folgenabschätzung (DSFA). Die DSFA ist ein wichtiger Bestandteil des neu eingeführten Konzepts des „risikoorientierten Ansatzes“ im Datenschutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gerade bei Verarbeitungen von personenbezogenen Daten, bei denen ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht, bewirken, dass gezielt Maßnahmen gefunden werden können, die dieses Risiko eindämmen.

Somit dient der risikoorientierte Ansatz der DS-GVO letztendlich zur Auswahl der „richtigen“ (d. h. wirksamen und geeigneten) technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Dies bedeutet im Alltag für Verantwortliche, dass durch eine Auswahl passender Maßnahmen das Risiko der Rechte und Freiheiten für die einzelnen betroffenen Personen (z. B. Kunden, Nutzer, Beschäftigte) entscheidend reduziert bzw. eingedämmt werden kann. Die Notwendigkeit einer technischen oder organisatorischen Maßnahme hängt also somit vom „Risiko-Level“ ab, d. h. von der Höhe eines möglichen Schadens für die jeweilige Person, wenn es zu einem Eintritt des Risikos bei der Verarbeitung personenbezogener Daten kommt.

Weiter geht es hier.

BMI: Unter welchen Voraussetzungen ist das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig?

/in /von

Das Bundesministerium des Innern (BMI) hat die diverse Fragen zum Verständnis der DS-GVO adressieren, auch hierzu
Stellung genommen und schildert, unter welchen Voraussetzungen das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig ist. Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat seinen Beitrag zu mehr Klarheit geleistet und setzt sich mit dieser Fragestellung in seinem Vermerk „Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus“ auseinander.

Auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg hat eine Handreichung unter dem Namen „Verarbeitung personenbezogener Daten bei Fotografien Rechtliche Anforderungen unter der DS-GVO“ veröffentlicht. Auch dort seien in den vergangenen Monaten die Anzahl an Nachfragen von Fotografen, Veranstaltern, Bloggern sowie Vertretern aus der Presse und Öffentlichkeitsarbeit zu Personenfotografien unter Geltung der DS-GVO spürbar gestiegen.

LDS Brandenburg: Wie erfülle ich als Verantwortlicher meine Informationspflichten?

/in /von

Die Einführung der Datenschutz-Grundverordnung geht mit einer bewussten Stärkung der Betroffenenrechte einher. „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ heißt es daher ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11. Hauptpfeiler der neuen Betroffenenrechte sind neben dem strengeren Haftungsregime und den neu eingeführten Einzelansprüchen vor allem die ausgeweiteten Transparenzpflichten bei der Datenverarbeitung. Art. 13 DS-GVO widmet sich den Informationspflichten bei der Direkterhebung, Art. 14 ist das Pendant bei Erhebung von Daten bei Dritten. Die betroffene Person soll die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erhalten (Art. 12 Abs. 1 Satz 1 DS-GVO) und dies stets unentgeltlich (Art. 12 Abs. 5). Am 11. April 2018 verabschiedete die Artikel-29-Datenschutzgruppe ihr WP 260 zu den Transparenzregeln der Datenschutz-Grundverordnung (DS-GVO).

Die Informationspflichten bilden die Basis für die Ausübung der Betroffenenrechte (insbesondere der Art. 15 ff. DS-GVO). Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die Informationspflichten gemäß der DS-GVO gehen daher weit über die bisherige Rechtslage hinaus und müssen beachtet werden, sofern keine Ausnahmevorschriften greifen. Die Datenschutzkonferenz hat in Form des Kurzpapiers Nr. 10
„Informationspflichten bei Dritt- und Direkterhebung“ bereits erste weitergehende Ausführungen zu diesem Thema veröffentlicht.

Aktuell hat auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg) eine Orientierungshilfe mit dem Titel „Wie erfülle ich als Verantwortlicher meine Informationspflichten? Rechtliche Anforderungen unter der DS-GVO“ veröffentlicht. Darin geht die LDA Brandenburg folgenden Fragen nach:

1. Was muss ich als Verantwortlicher tun, um die Informationspflichten aus Art. 13 und 14 Datenschutz-Grundverordnung (DS-
GVO) zu erfüllen?
2. Muss ich die betroffene Person schriftlich informieren oder reicht ein Verweis auf meine Webseite, auf der ich die Informationen bereitstelle?
3. Muss ich nachweisen, dass ich die Informationspflichten erfüllt habe?
4. Wer muss die Informationspflichten erfüllen, wenn es sich um gemeinsame Verantwortliche i. S. d. Art. 26 DS-GVO handelt?
5. Spezielle Fallgruppen

Abgerundet werden die einzelnen Fragen mit passenden Praxisbeispielen.

Quelle: LDA Brandenburg

Videoüberwachung: das ist zu beachten

/in /von

In bestimmten Fällen ist bei der Überwachung von Räumen laut der kürzlich in Kraft getretenen Datenschutzgrundverordnung eine Datenschutz-Folgenabschätzung erforderlich.

Die kürzlich in Kraft getretene Datenschutzgrundverordnung (DS-GVO) regelt die Überwachung von Räumen und Plätzen mittels Videoüberwachung nur am Rande geregelt. Vielmehr sollen die einzelnen Mitgliedsstaaten selbst Vorschriften für die elektronische Überwachung erlassen. In Artikel 35, Absatz 3 lit. c) schreibt die DS-GVO allerdings vor, dass bei »einer systematischen umfangreichen Überwachung öffentlich zugänglicher Räume« eine Datenschutz-Folgenabschätzung nötig und erforderlich ist.

Hierzulande ist die Videoüberwachung in §4 Bundesdatenschutzgesetz (BDSG) geregelt. In Absatz 1 befindet sich die Änderung zu bislang geltenden Regelung: Hier ist festgelegt, dass öffentlich zugängliche großflächige Anlagen oder Einrichtungen wie öffentliche Verkehrsmittel, Bahnhöfe sowie Einkaufszentren, Sportstätten und Veranstaltungsorte zum Schutz der Menschen überwacht werden dürfen. Der Schutz von Personen, die sich dort aufhalten, muss jedoch besonders beachtet werden. Der deutsche Gesetzgeber stellt also die Sicherheitsbelange und den Schutz von Leben, Gesundheit oder Freiheit dieser Personen als ein besonders wichtiges Interesse dar.

Die Überwachung von öffentlichen Räumen ist grundsätzlich nur dann erlaubt, wenn ihr keine schutzwürdigen Interessen der Betroffenen entgegenstehen. Auch dann dürfen Orte nur überwacht werden, wenn das zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts und zur Datengewinnung für einen konkret festgelegten Zweck und zur Wahrnehmung berechtigter Interessen erforderlich ist. Laut §4 Absatz 2 BDSG muss die Tatsache, dass eine Beobachtung durchgeführt wird, durch geeignete Maßnahmen gekennzeichnet und die Überwachung verantwortliche Stelle benannt werden muss. Die gewonnenen Daten dürfen dann nur zur Abwehr von Gefahren sowie zur Verfolgung von Straftaten genutzt werden. Ist der Zweck erreicht oder stehen schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegen, müssen die Daten sofort gelöscht werden.