Warnung vor einer sogenannten Datenschutzauskunft-Zentrale. Zahlreiche Unternehmen seien von ihr per Fax aufgefordert worden, bis zum 9. Oktober ein beigefügtes Formular zum Datenschutz zu unterschreiben. Wer ein solches Schreiben erhalten habe, solle es auf keinen Fall bearbeiten. Grund: Im Kleingedruckten lauern versteckte Kosten.
Der Berufsverband der Datenschutzbeauftragten Deutschlands fordert Nachbesserungen bei der Datenschutz-Grundverordnung (DS-GVO) und beim Bundesdatenschutzgesetz (BDSG).
Das Ziel: Eine deutliche Entlastung von kleinen und mittelständischen Unternehmen.
Speziell kleine und mittelständische Unternehmen (KMU) sowie ehrenamtlich geführte Vereine fühlen sich von der DS-GVO überfordert. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. stellt sich an ihre Seite. Thomas Spaeing, Vorstandsvorsitzender des BvD: „Wir brauchen mehr Klarheit in den Prozessen und weniger Bürokratie für KMU“.
Lesen Sie dazu auch die BvD-Pressemeldung.
Unter der neu geschaffenen Rubrik „Fragen & Antworten“ nimmt das BayLDA ausführlich Stellung zu verschiedenen Fragestellungen des Datenschutzes. Um die gegebenen Antworten einzuordnen, wird jede Frage/Antwort zusätzlich mit nützlichen Stichworten und Normen versehen.
Das Bayrische Landesamt für Datenschutzaufsicht hat seine Reihe „FAQ zur DS-GVO“ um die Beantwortung einer weiteren Praxisfrage ergänzt. Die aktuellste Frage der FAQ-Sammlung beschäftigt sich mit den Art. 4 Nr. 8, 28 DS-GVO. Darin versucht das BayLDA anhand konkreter Fallbeispiele zu zeigen, bei welcher Art von Datenverarbeitung eine Auftragsverarbeitung anzunehmen ist und wann nicht.
Auftragsverarbeitung im datenschutzrechtlichen Sinne liege nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt werde, so das BayLDA. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund stehe bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmache, stelle keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.
Als Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DS-GVO werden (u.a.) bspw. folgende Verarbeitungen gesehen:
DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
Keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DS-GVO (sondern eigene Verantwortlichkeit) sei (u.a.) z. B. regelmäßig:
a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen
• Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Inkassobüros mit Forderungsübertragung,
• Bankinstitute für den Geldtransfer
b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftragsziele auf eine andere Tätigkeit:
• vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten,
• Sachverständige zur Begutachtung eines Kfz-Schadens,
• Personenbeförderung, Krankentransportleistungen
Das BayLDA weist jedoch darauf hin, dass, je nach Sachverhalt, vom Verantwortlichen ggfls. Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen sein kann.
Eine Veröffentlichung gemäß Ministerratsbeschluss vom 5. Juni 2018
Der Ministerrat beschließt nachfolgenden Bayerischen Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung des Datenschutzrechts, die die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt und damit auch ihre Akzeptanz in der Bevölkerung fördert:
Quelle: Allgemeines Ministerialblatt
Eine wesentliche Neuerung der Datenschutz-Grundverordnung (DS-GVO) ist das Instrument der sog. Datenschutz-Folgenabschätzung (DSFA). Die DSFA ist ein wichtiger Bestandteil des neu eingeführten Konzepts des „risikoorientierten Ansatzes“ im Datenschutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gerade bei Verarbeitungen von personenbezogenen Daten, bei denen ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht, bewirken, dass gezielt Maßnahmen gefunden werden können, die dieses Risiko eindämmen.
Somit dient der risikoorientierte Ansatz der DS-GVO letztendlich zur Auswahl der „richtigen“ (d. h. wirksamen und geeigneten) technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Dies bedeutet im Alltag für Verantwortliche, dass durch eine Auswahl passender Maßnahmen das Risiko der Rechte und Freiheiten für die einzelnen betroffenen Personen (z. B. Kunden, Nutzer, Beschäftigte) entscheidend reduziert bzw. eingedämmt werden kann. Die Notwendigkeit einer technischen oder organisatorischen Maßnahme hängt also somit vom „Risiko-Level“ ab, d. h. von der Höhe eines möglichen Schadens für die jeweilige Person, wenn es zu einem Eintritt des Risikos bei der Verarbeitung personenbezogener Daten kommt.
Weiter geht es hier.
Das Bundesministerium des Innern (BMI) hat die diverse Fragen zum Verständnis der DS-GVO adressieren, auch hierzu
Stellung genommen und schildert, unter welchen Voraussetzungen das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig ist. Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat seinen Beitrag zu mehr Klarheit geleistet und setzt sich mit dieser Fragestellung in seinem Vermerk „Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus“ auseinander.
Auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg hat eine Handreichung unter dem Namen „Verarbeitung personenbezogener Daten bei Fotografien Rechtliche Anforderungen unter der DS-GVO“ veröffentlicht. Auch dort seien in den vergangenen Monaten die Anzahl an Nachfragen von Fotografen, Veranstaltern, Bloggern sowie Vertretern aus der Presse und Öffentlichkeitsarbeit zu Personenfotografien unter Geltung der DS-GVO spürbar gestiegen.
Die Einführung der Datenschutz-Grundverordnung geht mit einer bewussten Stärkung der Betroffenenrechte einher. „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ heißt es daher ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11. Hauptpfeiler der neuen Betroffenenrechte sind neben dem strengeren Haftungsregime und den neu eingeführten Einzelansprüchen vor allem die ausgeweiteten Transparenzpflichten bei der Datenverarbeitung. Art. 13 DS-GVO widmet sich den Informationspflichten bei der Direkterhebung, Art. 14 ist das Pendant bei Erhebung von Daten bei Dritten. Die betroffene Person soll die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erhalten (Art. 12 Abs. 1 Satz 1 DS-GVO) und dies stets unentgeltlich (Art. 12 Abs. 5). Am 11. April 2018 verabschiedete die Artikel-29-Datenschutzgruppe ihr WP 260 zu den Transparenzregeln der Datenschutz-Grundverordnung (DS-GVO).
Die Informationspflichten bilden die Basis für die Ausübung der Betroffenenrechte (insbesondere der Art. 15 ff. DS-GVO). Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die Informationspflichten gemäß der DS-GVO gehen daher weit über die bisherige Rechtslage hinaus und müssen beachtet werden, sofern keine Ausnahmevorschriften greifen. Die Datenschutzkonferenz hat in Form des Kurzpapiers Nr. 10
„Informationspflichten bei Dritt- und Direkterhebung“ bereits erste weitergehende Ausführungen zu diesem Thema veröffentlicht.
Aktuell hat auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg) eine Orientierungshilfe mit dem Titel „Wie erfülle ich als Verantwortlicher meine Informationspflichten? Rechtliche Anforderungen unter der DS-GVO“ veröffentlicht. Darin geht die LDA Brandenburg folgenden Fragen nach:
1. Was muss ich als Verantwortlicher tun, um die Informationspflichten aus Art. 13 und 14 Datenschutz-Grundverordnung (DS-
GVO) zu erfüllen?
2. Muss ich die betroffene Person schriftlich informieren oder reicht ein Verweis auf meine Webseite, auf der ich die Informationen bereitstelle?
3. Muss ich nachweisen, dass ich die Informationspflichten erfüllt habe?
4. Wer muss die Informationspflichten erfüllen, wenn es sich um gemeinsame Verantwortliche i. S. d. Art. 26 DS-GVO handelt?
5. Spezielle Fallgruppen
Abgerundet werden die einzelnen Fragen mit passenden Praxisbeispielen.
Quelle: LDA Brandenburg
In bestimmten Fällen ist bei der Überwachung von Räumen laut der kürzlich in Kraft getretenen Datenschutzgrundverordnung eine Datenschutz-Folgenabschätzung erforderlich.
Die kürzlich in Kraft getretene Datenschutzgrundverordnung (DS-GVO) regelt die Überwachung von Räumen und Plätzen mittels Videoüberwachung nur am Rande geregelt. Vielmehr sollen die einzelnen Mitgliedsstaaten selbst Vorschriften für die elektronische Überwachung erlassen. In Artikel 35, Absatz 3 lit. c) schreibt die DS-GVO allerdings vor, dass bei »einer systematischen umfangreichen Überwachung öffentlich zugänglicher Räume« eine Datenschutz-Folgenabschätzung nötig und erforderlich ist.
Hierzulande ist die Videoüberwachung in §4 Bundesdatenschutzgesetz (BDSG) geregelt. In Absatz 1 befindet sich die Änderung zu bislang geltenden Regelung: Hier ist festgelegt, dass öffentlich zugängliche großflächige Anlagen oder Einrichtungen wie öffentliche Verkehrsmittel, Bahnhöfe sowie Einkaufszentren, Sportstätten und Veranstaltungsorte zum Schutz der Menschen überwacht werden dürfen. Der Schutz von Personen, die sich dort aufhalten, muss jedoch besonders beachtet werden. Der deutsche Gesetzgeber stellt also die Sicherheitsbelange und den Schutz von Leben, Gesundheit oder Freiheit dieser Personen als ein besonders wichtiges Interesse dar.
Die Überwachung von öffentlichen Räumen ist grundsätzlich nur dann erlaubt, wenn ihr keine schutzwürdigen Interessen der Betroffenen entgegenstehen. Auch dann dürfen Orte nur überwacht werden, wenn das zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts und zur Datengewinnung für einen konkret festgelegten Zweck und zur Wahrnehmung berechtigter Interessen erforderlich ist. Laut §4 Absatz 2 BDSG muss die Tatsache, dass eine Beobachtung durchgeführt wird, durch geeignete Maßnahmen gekennzeichnet und die Überwachung verantwortliche Stelle benannt werden muss. Die gewonnenen Daten dürfen dann nur zur Abwehr von Gefahren sowie zur Verfolgung von Straftaten genutzt werden. Ist der Zweck erreicht oder stehen schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegen, müssen die Daten sofort gelöscht werden.
Das hat sicher jeder von uns selbst erlebt. Die Stilblüten um die Einholung von neuen Einwilligungen zur DS-GVO. Vieles wäre dabei schon rechtlich fragwürdig (wenn eine Einwilligung vorliegt, brauche ich keine weitere, wenn nicht, dann darf nich nicht danach fragen), unnötig (natürlich darf man zur Vertragsanbahnung oder -abwicklung persönliche Ansprachen von beiteligten Personen verwenden) und im schlimmsten Fall dann auch nicht rechtlich bindend. Ich möchte hier zwei Links zu dem Newsletter der intersoft consulting services AG geben:
Übrigens, der Newsletter rentiert sich allemale.
Die Bundesregierung hat in der heutigen Sitzung des EU-Ministerrats ihre Positionierung gegenüber der ePrivacy-Verordnung vorgestellt. Die Verhandlungen im EU-Rat können damit voranschreiten, so dass das Gesetz noch vor der EU-Parlamentswahl im Frühjahr 2019 beschlossen werden könnte. Klaus Müller, Vorstand des vzbv, fordert eine verbraucherfreundliche und starke Regulierung der digitalen Kommunikation:
„Der vzbv begrüßt, dass sich die Bundesregierung endlich auf eine Position zur ePrivacy-Verordnung festgelegt hat. Positiv ist, dass es Telekommunikationsdiensten nur mit Einwilligung oder zu statistischen Zwecken erlaubt werden soll, Kommunikationsmetadaten, wie beispielsweise Standortdaten zu verarbeiten. Dabei müssten sie geeignete Schutzmaßnahmen treffen und die Datenschutzgrundverordnung beachten. Dies ist ein annehmbarer Kompromiss.
Cookies und ähnliche Technologien, mit denen Unternehmen das Verhalten und die Interessen von Verbrauchern online auswerten, sollen ebenfalls nur mit deren Einverständnis oder zu eng definierten Zwecken eingesetzt werden dürften. Für Surfer ist das ein Fortschritt.
Die Bundesregierung möchte Anbietern jedoch erlauben, die Nutzung ihrer Angebote von einer solchen Einwilligung abhängig zu machen. Das ist nicht akzeptabel. Damit unterläuft sie die Datenschutzgrundverordnung und spielt großen Unternehmen wie Google und Facebook in die Hände. Denn den Konzernen würde es aufgrund ihrer Marktmacht leichter als kleineren Anbietern fallen, ihren Nutzern eine solche Einwilligung abzuringen. Bedauerlich ist außerdem, dass sich die Bundesregierung nicht für datenschutzfreundliche Voreinstellungen von Webbrowsern einsetzt.“
BayLDAUm den Blog als RSS-Feed zu abonieren, nutzen Sie bitte den Link
https://buscon.de/feed/
Jürgen Schmidt
Hohe Eichen 10
91207 Lauf
T: 09123-789630
* Datenschutz
* Informationssicherheit
* Externer Datenschutzbeauftragter
* Datenschutzaudits
* Risiko-Check nach DIN SPEC 27076
* TISAX Beratung und Audits
* ISMS-Beauftragter nach ISO 27001
* ISMS-Auditor nach ISO 27001