In 5 Schritten zur DS-GVO

Seit Mai 2016 ist die endgültige Fassung der Datenschutz-Grundverordnung (DS-GVO) verabschiedet und veröffentlicht. Unternehmen haben nun bis zum 25. Mai 2018 Zeit, die neuen datenschutzrechtlichen Anforderungen umzusetzen. Denn dann gilt die Verordnung unmittelbar in allen EU-Mitgliedsstaaten und löst die bisherigen nationalen Regelungen und EU-weiten Richtlinien ab. Welche Maßnahmen Unternehmen bis dahin ergreifen sollten, zeigt der folgende Beitrag.

1. Der Status quo

In einem ersten Schritt sollte eine Bestandsaufnahme der vorhandenen datenschutzrechtlich relevanten Prozesse durchgeführt werden, um zu sehen an welchen Stellen das Unternehmen überhaupt Änderungsbedarf hat. Dann kann im Rahmen dieser sogenannten GAP-Analyse geklärt werden, auf welchem Stand sich der Datenschutz im Unternehmen befindet.

Auf Grund der daraus resultierenden Feststellungen kann dann geprüft werden, inwieweit der Ist-Zustand von den Anforderungen der DS-GVO abweicht. Anschließend sollte ein geeigneter Fahrplan für die verbleibende Umsetzungszeit festgelegt werden. So lässt sich systematisch mit entsprechenden Maßnahmen nach und nach der gewünschte Soll-Zustand erreichen.

2. Verfahrensverzeichnisse aufbauen

Das Verzeichnis von Verarbeitungstätigkeiten nach der DS-GVO ist im Grundsatz nichts anderes, als das altbekannte Verfahrensverzeichnis nach §§ 4g Abs. 2, 4e BDSG. Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden.

Die Pflicht ein solches Verfahrensverzeichnis zu führen trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter. Inhaltlich werden aber geringere Anforderungen an das Verfahrensverzeichnis eines Auftragsverarbeiters gestellt. Aus Art. 30 Abs. 5 DSGVO ergeben sich auch Ausnahmen für die Erstellung eines Verfahrensverzeichnisses: Die Pflicht zur Führung gilt zum Beispiel dann nicht, wenn der Verantwortliche oder Auftragsverarbeiter weniger als 250 Beschäftigte hat und „die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt“ oder die Verarbeitung keine besonders sensiblen Datenkategorien oder strafrechtlich relevanten Daten betrifft.

3. Pflicht statt Kür – das Datenschutz-Management-System

Die DS-GVO verpflichtet Unternehmen zudem ein Datenschutz-Management-System einzuführen. Zentrale Normen sind hier Art. 5 und Art. 24 DS-GVO, aus denen sich eine Nachweis- und Rechenschaftspflicht für Unternehmen ableitet. Künftig müssen Unternehmen nämlich nicht nur sicherstellen, dass datenschutzrechtliche Vorgaben eingehalten werden, sondern sie müssen dies auch nachweisen können.

Gleiches gilt auch im Bereich Datensicherheit – denn auch hier bedarf es eines Nachweises, dass „geeignete technische und organisatorische Maßnahmen“ eingesetzt werden, die dem Schutz der betroffenen Personen dienen. Im Klartext heißt das, dass künftig Dokumentationen etwa aus den Bereichen:

  • Datenschutzorganisation und Verantwortlichkeit für Datenverarbeitungen
  • Einbindung des Datenschutzbeauftragten (Fälle, in denen Mitarbeiter sich an den Datenschutzbeauftragten wenden sollten)
  • Verzeichnis von Verarbeitungstätigkeiten (an welchen Stellen liegen personenbezogenen Daten im Unternehmen vor?)
  • Datenschutz-Folgenabschätzung, Art. 35 DS-GVO (wie Vorabkontrolle nach § 4d Abs. 5 BDSG beim Umgang mit sensiblen Daten)
  • Vertragsmanagement (welche Dienstleister werden eingesetzt?)
  • Datenschutz-Schulung und Verpflichtung auf das Datengeheimnis
  • Prozess zur Wahrnehmung von Betroffenenrechten
  • Meldung von Datenschutzverstößen
  • Nachweis der Datensicherheit (Umsetzung von technischen und organisatorischen Maßnahmen) angelegt und gepflegt werden sollten.

Ein DMS kann zwar bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit entfallen lassen, ist jedoch nach Art. 83 Abs. 2 d) DS-GVO zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.

4. Zulässigkeit der Datenverarbeitung

Des Weiteren ist auch zu überprüfen, ob die Verarbeitung und Nutzung personenbezogener Daten mit der erforderlichen Erlaubnis erfolgt. Daher sollten die Rechtsgrundlagen und Einwilligungen überprüft werden. In Betracht kommen die Artikel 6 bis 11 DS-GVO. Aus Art. 7 DS-GVO ergeben sich die Bedingungen, unter denen eine Einwilligung künftig rechtskonform sein wird:

  • Freie Entscheidung des Betroffenen
  • Ausführliche, erkennbare und bestimmte Information des Betroffenen
  • Schriftform der Einwilligungserklärung
  • Widerruflichkeit der Einwilligungserklärung

Eine Neuerung ergibt sich im Bereich der Einwilligung von Minderjährigen unter 16 Jahren (bzw. unter 13 Jahren wenn das nationale Recht dies vorsieht). Diese sollen generell nur wirksam sein, wenn und insoweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 DS-GVO).

5. Informationspflichten

Informationspflichten bei Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Unter der DS-GVO vervielfachen sich jedoch die von Unternehmen und Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Maßgebliche Normen sind hier Art. 13 und 14 DS-GVO. Nach Art. 13 DS-GVO sind insbesondere die folgenden Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen:

  • Identität des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszwecke und Rechtsgrundlagen
  • Berechtigtes Interesse
  • Empfänger der Daten
  • Übermittlung der Daten in Drittstaaten
  • Dauer der Speicherung
  • Betroffenenrechte
  • Widerrufbarkeit von Einwilligungen
  • Beschwerderecht bei der Aufsichtsbehörde
  • Verpflichtung zur Bereitstellung personenbezogener Daten
  • Automatisierte Entscheidungsfindung und Profiling

Aus Art. 14 DS-GVO ergibt sich, dass nahezu dieselben Informationspflichten bestehen, wenn die Daten nicht beim Betroffenen selbst erhoben werden.

Rechtzeitiges Handeln zahlt sich aus

Das eher stiefmütterlich behandelte Thema Datenschutz darf künftig nicht auf die leichte Schulter genommen werden. Denn der europäische Gesetzgeber hat sich entschieden, die Bußgelder für Datenschutzverstöße drastisch zu erhöhen, auch um dadurch eine abschreckende Wirkung zu erzielen. Während aktuell nach dem BDSG gerade mal Geldbußen von bis zu 300.000 Euro je Verstoß verhängt werden können, sieht die DS-GVO als Obergrenze 4 % des globalen Konzernumsatzes des Vorjahres vor. Wenn sich Unternehmen jetzt bereits mit den kommenden Änderungen vertraut machen, kann vieles in die richtige Richtung gelenkt werden und so späteres Nacharbeiten oder sogar wirtschaftliche Einbußen vermieden werden.

 

BEM: Datenschutzrechtliche Aspekte zur Verfahrensweise

Seit 2004 sind Arbeitgeber verpflichtet, länger erkrankten Beschäftigten ein Betriebliches Eingliederungsmanagement (kurz: BEM) anzubieten. Das BEM dient dem Erhalt der Beschäftigungsfähigkeit und ist ein Instrument, um den Folgen des demographischen Wandels wirksam zu begegnen. Gleichzeitig sichert das BEM durch frühzeitige Intervention die individuellen Chancen den Arbeitsplatz zu behalten.

Bei dem BEM nach § 84 Abs. 2 des Neunten Buchs des Sozialgesetzbuchs (SGB IX) handelt es sich um eine originäre Aufgabe der Personalverwaltung, die hinsichtlich der Verwendung der erhobenen Daten einer strengen Zweckbindung unterliegt. Dort ist festgelegt, dass ein Arbeitgeber alle Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind, ein BEM anzubieten hat. Das bedeutet, dass der Arbeitgeber klären muss, „wie die Arbeitsunfähigkeit möglichst überwunden werden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und der Arbeitsplatz erhalten werden kann.

Die Landesbeauftragte für den Datenschutz Niedersachsen hat ein Infoblatt zu dem Thema erarbeitet und stellt es zum Download bereit. Es soll als Hilfestellung bei der Datenverarbeitung im Zusammenhang mit dem BEM-Verfahren dienen.

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen

BSI: Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern

Bonn, 23.06.2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus Wirtschaft und Verwaltung. Bei dieser Angriffskampagne werden täuschend echt erscheinende Spearphishing-Mails an ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben beispielsweise vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktionalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben. Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte. Die aktuell beobachtete Kampagne richtet sich gegen Yahoo- und Gmail-Konten. Die verwendete Angriffsinfrastruktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung eingesetzt wurde.

Bereits 2016 konnte das BSI beobachten, dass Webseiten registriert wurden, die sich für Spearphishing-Angriffe gegen Kunden der deutschen Webmail-Dienstleister gmx.de und web.de eignen und die Ähnlichkeiten mit der aktuellen Angriffsinfrastruktur haben. Zwar sind diese Domains in der aktuellen Angriffskampagne noch nicht beobachtet worden, es zeigt aber, dass die Täter diese Mailprovider auch als möglichen Angriffsweg identifiziert haben.

Dazu erklärt BSI-Präsident Schönbohm: „Auch in den Regierungsnetzen hat das BSI bereits einen Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer sehr hohen Wahrscheinlichkeit detektieren. Private E-Mail-Postfächer allerdings sind außerhalb der Zuständigkeit des BSI. Auch die Parteien und Organisationen haben nur begrenzten Einfluss darauf. Dies macht private Postfächer für die Angreifer zu einem attraktiven Angriffsziel. Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes.“

Das BSI hat im Rahmen seiner Beratungstätigkeiten zu Fragen der IT-Sicherheit vor dem Hintergrund der diesjährigen Bundestagswahl auch Parteien und parteinahe Stiftungen über diese Möglichkeit von Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen. Digitaler Persönlichkeitsschutz ist die Absicherung der Aktivitäten relevanter parlamentarischer und staatlicher Funktionsträger im digitalen Raum. Dazu gehören neben dem Schutz privater E-Mail-Postfächer auch Maßnahmen wie die Verifizierung von Twitter- und Facebook-Accounts. Das BSI berät zudem zur sicheren und ggf. anonymen Nutzung des Internets und der Sozialen Netzwerke, beispielsweise über Einstellungen bzgl. Privatsphäre und Sicherheit.

Die folgenden weiteren Maßnahmenempfehlungen schützen nicht nur gegen gezielte Spearphishing-Angriffe auf Spitzenpersonal, sondern sind auch sinnvoll gegen großflächige, weniger professionelle kriminelle Phishing-Angriffe:

  • Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.
  • Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.
  • Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.
  • Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.
  • Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil der Adresse zwischen „https://“ und erstem Schrägstrich?
  • Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.
  • Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im Zweifelsfall auf der Original-Seite geändert werden.
  • Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität erfolgte, falls der Anbieter dies anzeigt.

OLG NRW: Vorratsdatenspeicherung verstößt gegen EU-Recht

Die Pflicht zur Speicherung von Verkehrs- und Standortdaten für TK-Anbieter, die ab dem 1. Juli wieder gilt, ist nach Ansicht des Oberverwaltungsgerichts Nordrhein-Westfalen nicht mit EU-Recht vereinbar.

Bereits Ende 2015 hatte die Bundesregierung eine neue Vorratsdatenspeicherung auf den Weg gebracht, die TK-Anbieter ab dem 1. Juli dieses Jahres verpflichtet, die Verkehrsdaten ihrer Kunden für zehn und die Standortdaten für vier Wochen auf Vorrat zu speichern, um sie Behörden etwa für die Strafverfolgung zur Verfügung stellen zu können. Kurz vor Beginn der Speicherpflicht hat der Provider Spacenet nun einen Sieg vor dem Oberverwaltungsgericht Nordrhein-Westfalen in Münster erzielt, der die Kritiker bestätigt: Auch das OLG sah es als erwiesen an, dass die deutsche Regelung nicht mit EU-Recht vereinbar ist.

Im vergangenen Dezember hatte der Europäische Gerichtshof noch einmal klargestellt, dass nicht pauschal die Daten der elektronischen Kommunikation fast aller Telefon- und Internet-Nutzer erfasst werden dürfen. Es müsse vorab ein beschränkter Personenkreis definiert werden, der im Zusammenhang mit schweren Straftaten oder einer Gefahr für die öffentliche Sicherheit stehe. Anlasslos alle Daten zu speichern und dann nur bei der Verfolgung von Straftaten oder Terroranschlägen darauf zuzugreifen, sei nicht zulässig.

Mit seinem Beschluss hat das OLG eine Entscheidung des Verwaltungsgerichts Köln kassiert. Dort hatte Spacenet, unterstützt vom Verband der Internetwirtschaft eco, einen Antrag auf Erlass einer einstweiligen Anordnung eingereicht, mit dem Ziel, die Speicherverpflichtung auszusetzen, bis über eine gleichzeitig eingereichte Klage entschieden ist. Diesen Antrag hatte das VG zu Jahresbeginn abgelehnt, doch das OLG gab der Beschwerde nun statt. Der Beschluss ist nicht anfechtbar. Damit haben die Gegner der Vorratsdatenspeicherung ein wichtiges Etappenziel erreicht, ihr Hauptanliegen bleibt jedoch, die Speicherpflicht durch eine Grundsatzentscheidung des Bundesverfassungsgerichts oder des Europäischen Gerichtshofs endgültig zu stoppen.

»Es ist schön zu sehen, dass wir mit unserer Klage und dem Eilantrag den richtigen Weg gegangen sind. Auch wenn das Gericht formal zunächst nur über den Eilantrag entschieden hat, findet sich in der Urteilsbegründung einiges, was den Ausgang der Sache zu Gunsten der Position der Spacenet AG präjudiziert«, erklärte Spacenet-Vorstand Sebastian von Bomhard. »Das Gesetz zur Vorratsdatenspeicherung verpflichtet uns, alle Verbindungsdaten unserer Kunden zu speichern und gegebenenfalls Polizei, Staatsanwaltschaft oder Verfassungsschutz darüber Auskunft zu geben. Das ist ein Vertrauensbruch, zu dem wir genötigt werden sollen und dem wir freiwillig niemals zustimmen werden.«

Was ist mit anderen TK-Anbietern?

Allerdings gilt der Beschluss des OLG derzeit nur für Spacenet – alle anderen TK-Anbieter sind weiterhin verpflichtet, die Vorratsdatenspeicherung umzusetzen. Die dafür notwendigen Investitionen wären allerdings umsonst, sollte das Gesetz wie von den Gegnern geplant, gestoppt werden. Dementsprechend betont etwa Matthias Bäcker, Universitätsprofessor für Öffentliches Recht und Verfasser der Klageschrift: »Das Oberverwaltungsgericht hat ausdrücklich ausgeführt, dass die Vorratsdatenspeicherung generell europarechtswidrig ist. Jetzt sollte die Bundesnetzagentur gegenüber allen Telekommunikationsunternehmen klarstellen, dass sie die Daten nicht speichern müssen, bis über die Klage endgültig entschieden ist.«

Ähnlich sieht es eco-Vorstand Oliver Süme: »Die Entscheidung des Oberverwaltungsgerichts Nordrhein-Westfalen ist der erste Schritt in die richtige Richtung. Aber jetzt ist es an der Zeit für eine Grundsatzentscheidung, um die Vorratsdatenspeicherung endgültig zu stoppen, andernfalls laufen die Unternehmen Gefahr, ein europarechts- und verfassungswidriges Gesetz umsetzen zu müssen und damit Gelder in Millionenhöhe in den Sand zu setzen.«

Bitkom: Jedes fünfte IT-Unternehmen ignoriert bislang Datenschutzgrundverordnung

  • Erst jedes dritte IT- und Digitalunternehmen hat erste Maßnahmen zur Umsetzung der DSGVO begonnen
  • Ab 25. Mai 2018 drohen bei Datenschutz-Verstößen empfindliche Bußgelder

Berlin, 16. Juni 2017 – In weniger als einem Jahr drohen IT-Unternehmen in Deutschland Millionen-Bußgelder, wenn sie die europäische Datenschutz-Grundverordnung (DSGVO) nicht umgesetzt haben. Doch immer noch gibt jedes fünfte IT- und Digitalunternehmen (19 Prozent) an, sich noch gar nicht mit dem Thema beschäftigt zu haben. Und nur jedes Dritte (34 Prozent) hat zumindest bereits erste Maßnahmen angefangen oder sogar schon umgesetzt. Vier von zehn Unternehmen (42 Prozent) beschäftigen sich aktuell mit dem Thema, haben aber noch keine Maßnahmen begonnen, und 5 Prozent wollten oder konnten keine Angaben machen. Das ist das Ergebnis einer aktuellen Umfrage unter mehr als 200 IT- und Digitalunternehmen im Auftrag des Bitkom. Im vergangenen Herbst hatten in einer Bitkom-Umfrage 32 Prozent der Unternehmen mit mehr als 20 Mitarbeitern aus allen Branchen angegeben, sich noch nicht mit der DSGVO beschäftigt zu haben, 12 Prozent war das Thema überhaupt nicht bekannt.

Mit der Verordnung werden zahlreiche neue Informations- und Dokumentationspflichten eingeführt, die von den IT-Unternehmen umgesetzt werden müssen. Völlig neu sind gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) oder die Durchführung einer Datenschutz-Folgenabschätzung. Von den IT- und Digitalunternehmen, die aktuell bereits erste Maßnahmen begonnen haben, hat jedes Dritte (31 Prozent) nach eigener Einschätzung gerade einmal höchstens 20 Prozent der notwendigen Arbeiten erledigt. „Allmählich wird die Zeit knapp, um die Vorgaben der Datenschutz-Grundverordnung umzusetzen. Die Übergangsfrist bis Mai 2018 war dafür gedacht, dass die IT-Unternehmen bis dahin die teilweise aufwändigen Vorarbeiten leisten können – dies setzt aber eine aktive Beschäftigung mit dem Thema voraus“, sagt Susanne Dehmel, Geschäftsleiterin Vertrauen und Sicherheit beim Digitalverband Bitkom. „IT-Unternehmen, die bis jetzt die Vorgaben der DSGVO ignoriert haben, sollten sich dringend überlegen, wie sie das Thema schnellstmöglich aufarbeiten können.“

Für den Einstieg hat Bitkom „Fragen und Antworten“ (FAQs) zur Datenschutz-Grundverordnung veröffentlicht, die einen ersten Überblick über die Veränderungen zur heutigen Rechtslage geben. Wie verschiedene Verpflichtungen aus der Verordnung praktisch umgesetzt werden können ergibt sich aus den Praxisleitfäden „Verarbeitungsverzeichnis“, „Risk Assessment und Datenschutzfolgenschutzabschätzung“ sowie der „Mustervertragsanlage zur Auftragsverarbeitung“. Alle Leitfäden stehen auf der Bitkom Webseite zum kostenlosen Download bereit: https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/Inhaltsseite-2.html

Die Datenschutz-Grundverordnung ist bereits am 25. Mai 2016 offiziell in Kraft getreten. Die Frist bis zur tatsächlichen Anwendung der Verordnung wurde mit zwei Jahren festgelegt, Stichtag ist somit der 25. Mai 2018. Die IT-Unternehmen müssen bis dahin die Umsetzung in die Praxis abgeschlossen haben. Nach dem Stichtag können die Datenschutzbehörden Bußgelder in Höhe von bis zu 4 Prozent des weltweiten Umsatzes verhängen.

Um die EU-Datenschutzgrundverordnung geht es auch am 19. September 2017 auf der internationalen Privacy Conference in Berlin. Mehr als 200 Datenschutzexperten aus Unternehmen, Politik und Forschung kommen zusammen, um praktische Lösungen für die Umsetzung von Datenschutzregelungen zu diskutieren. Alle Informationen zu Programm und Anmeldung unter https://www.privacy-conference.com/

Hinweis zur Methodik: Grundlage der Angaben ist eine von Bitkom Research durchgeführte Umfrage unter 228 IT- und Digitalunternehmen.

BayLDA: Fragebogen „Sind Sie fit für die DS-GVO?“

Halbzeit auf dem Weg zum europäischen Datenschutzrecht

Am 25. Mai 2016 ist die Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Wirksam wird sie aber erst am 25. Mai 2018. Dies bedeutet, dass am 25. Mai 2017 die Hälfte der Vorbereitungszeit auf das neue Recht abgelaufen ist. Das Bayerische Landesamtes für Datenschutzaufsicht (BayLDA) nimmt diesen Tag zum Anlass, ca. 150 bayerischen Unternehmen unter Zugrundelegung des künftigen Rechts einen Prüffragebogen zuzuschicken, damit diese Unternehmen feststellen können, wie weit sie mit der Vorbereitung auf das neue Recht schon gekommen sind.

Die Fragen sind auf die Umsetzung der DS-GVO abgestellt und erwarten keinen Rücklauf, sondern können als Gradmesser der Umsetzung intern eingesetzt werden.

Testfragebogen des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA)

Smart City Barcelona: Die Daten gehören den Menschen

Barcelona ist in Europa Vorreiter beim Thema Smart City. Allerdings plant die Stadtverwaltung ohne große IT- und Internet-Anbieter. Francesca Bria, die verantwortliche Leiterin, will so die Privatisierung der Daten verhindern und sie vielmehr als gesellschaftliches Vermögen behalten und auswerten.

“Es gibt keine digitale Revolution ohne Demokratie”, sagte Francesca Bria, Chief Technology and Digital Innovation Officer der Stadt Barcelona, auf einer Podiumsdiskussion während der Konferenz Re:publica 17 diese Woche in Berlin. “Deshalb denken wir die Digitalisierung Barcelonas zunächst aus der Sicht der Bürger – und starten bei unseren Überlegungen ben nicht mit der Technologie und dem was theoretisch möglich wäre.”

Der spanische Staat hat die Digitalisierung der Städte beschlossen und die Richtlinien dafür vorgegeben. Doch die Verantwortung für die Umsetzung liegt bei den einzelnen Stadtverwaltungen. Gemeinsam mit ihrem Team überdenkt Bria seit ihrer Ernennung vor fast genau einem Jahr, die bisherige Smart-City-Agenda. “Wir überlegen uns, was die Bürger wirklich brauchen. Von da aus starten wir.”

Das Ziel sei es, die Infrastruktur eigenständig aufzubauen und sie selber zu betreiben. “Wenn die Plattform steht, geben wir Unternehmen aus Barcelona und der Umgebung die Möglichkeit, ihre Software und ihre Apps hier anzubieten.”

Damit sieht sie sich im Widerspruch zu den Angeboten der großen IT-Hersteller. “Smart City ist ein im Grunde ein Konzept, dass sich die Anbieter auf Grund ihrer Technologien ausgedacht haben”, erklärt Bria. Indirekt haben das die Analysten von Gartner schon vor rund zwei Jahren bestätigt.

Fazit ihrer umfasenden Smart-City-Studie war schon damals: “Die größte Erkenntnis ist, dass die meisten Investitionen in das Internet der Dinge in Städten von der Industrie und Wirtschaft kommen und nicht vom öffentlichen Sektor getätigt werden.” Dies bedeute allerdings auch, dass sich die Wirtschaftlichkeitsberechnungen an betriebswirtschaftlichen ausgerichtet werden und daher Dienstleister mit Netzwerkbetreibern zusammenarbeiten, “um die richtigen Daten, und nicht nur Massendaten, aus dem IoT zu erhalten und zügig sowie marktorientiert intelligente Dienste anzubieten.”

Hier grätscht Bria dazwischen: “Aber so denken wir nicht. Die Technologie ist ganz sicher ein Teil einer smarten Stadt. Aber wir denken, dass die Demokratie die Technologie führen soll – und nicht umgekehrt.” Damit geht sie noch über die von Gartner vor zwei Jahren aufgestellte Forderung hinaus, dass Kommunen und Stadtverwaltungen die “große Aufgabe der Governance” zufallen müsse.

Um die zu erfüllen, müüssten die Kommunen “Grundsatzentscheidungen über Datenbesitz, Identitätsmanagement von Daten, Persönlichkeitsrechten, dem Stand von Urheberrechten und Lizenzkriterien, sowie der Förderung von wissensbasierten Innovationen durch gleichberechtigten Zugriff und Verständnis von Kerndaten und Informationen” treffen.

Diese Grundsatzentscheidungen hat Barcelona offenbar bereits getroffen: Die Provider seien als Partner der Stadt herzlich willkommen, erklärt Bria. “Aber wir werden uns nicht von den Providern abhängig machen. Oder uns von ihnen die Regeln diktieren lassen.”

Die Entscheidung in Barcelona sei, dass sich die Politik gegen die Disruption der Stadt und für eine “technische Souveränität” ausgesprochen habe. “Wir wollen Nachhaltigkeit, soziales Wohnen, schlaue Verkehrsteuerung”, betont Bria. “Deshalb werden wir nicht mit Plattformen wie Uber oder AirBnB arbeiten und damit die Daten der Stadt an Unternehmen herausgeben.” Denn sie sei der Überzeugung, dass die Daten der Stadt den Menschen gehören: “Daten dürfen nicht privatisiert werden!”

vzbv: Schluss mit lästigen Werbeanrufen

Nach Bundesratsbeschluss: vzbv fordert rasches Handeln

  • Bundesrat beschließt Gesetzesinitiative, um unerlaubte Telefonwerbung zu bekämpfen.
  • Das Unterschieben von Verträgen soll endlich ein Ende haben.
  • vzbv fordert von Politik, rasch und konsequent zu handeln.

Verbraucherinnen und Verbraucher beschweren sich immer häufiger über unerlaubte Werbeanrufe. Am 12. Mai 2017 hat der Bundesrat beschlossen, einen Gesetzentwurf zur Stärkung des Verbraucherschutzes bei Telefonwerbung beim Deutschen Bundestag einzubringen. Die Länder wollen lästigen Werbeanrufen durch Entzug des wirtschaftlichen Anreizes ein Ende setzen. Der vzbv begrüßt diese Initiative und fordert die Bundesregierung und den Bundestag auf, die vorgeschlagenen Regelungen noch in dieser Legislaturperiode umzusetzen.

„Konsequentes gesetzliches Handeln bei unerlaubter Telefonwerbung ist überfällig“, sagt Heike Schulze, Referentin für Recht und Handel beim Verbraucherzentrale Bundesverband (vzbv). „Es ist nach wie vor ein großes Problem, dass Verbraucher durch unerwünschte Werbeanrufe belästigt und ihnen auf diesem Wege Verträge untergeschoben werden. Das muss endlich unterbunden werden. Nun können Regierung und Abgeordnete zeigen, ob ihnen der Schutz der Verbraucher vor solch üblen Maschen wirklich wichtig ist.“

Wirtschaftlichen Anreiz entziehen

Werbeanrufe ohne vorherige Einwilligung des Verbrauchers sind seit 2009 verboten. Die bei solchen Telefonaten mündlich geschlossenen Verträge sind aber trotzdem in den meisten Fällen gültig. „Für unseriöse Unternehmen besteht bislang ein wirtschaftlicher Anreiz, Verbraucher mit unerbetenen Werbeanrufen zu überrumpeln und ihnen dabei nicht erwünschte Verträge unterzuschieben“, so Schulze. Hier setzt die nun auf den Weg gebrachte Gesetzesinitiative an. Sie sieht vor, dass die bei Werbeanrufen geschlossenen Verträge nur wirksam sind, wenn Verbraucher das anschließend bereitgestellte Angebot in Textform, beispielsweise per Mail, genehmigen. Von Verbrauchern ausgehende telefonische Bestellungen wären weiterhin ohne eine solche Genehmigung möglich.

Zahlen belegen Handlungsbedarf

Neue Zahlen bestätigten die Notwendigkeit, endlich konsequent zu handeln. Die Ende März veröffentlichte Evaluation des Gesetzes gegen unseriöse Geschäftspraktiken zeige, dass jährlich rund 25.000 Beschwerdefälle wegen unerwünschter Telefonwerbung eingegangen seien. Für das Jahr 2016 verzeichnete die Bundesnetzagentur sogar einen Anstieg auf mehr als 29.000 Fälle. Dabei sei von einer hohen Dunkelziffer auszugehen. Die Zahlen zeigten auch, dass bisherige Maßnahmen keinen durchschlagenden Erfolg gebracht hätten.

Politik jetzt in der Pflicht

„Mit der Initiative stehen die Bundesregierung und der Deutsche Bundestag nun in der Pflicht, endlich verbraucherschützend einzugreifen. Der vzbv fordert schon seit mehr als zehn Jahren, die wirtschaftliche Attraktivität solcher Vorgehensweisen zu beseitigen. Nur so ist eine Besserung der Lage zu erwarten“, so Schulze. Die neue Möglichkeit müsse genutzt werden. Der Bundestag sollte daher das Gesetz noch in der laufenden Legislaturperiode verabschieden.

vzbv: Bundesrat verabschiedet Gesetz zum Datenschutz – Europarechtliche Zweifel bleiben bestehen

Der Bundesrat hat seine Zustimmung für ein Gesetz zum Datenschutz gegeben, mit dem das nationale Recht an die europäische Datenschutzgrundverordnung (DSGVO) angepasst werden soll („Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“).

Hierzu Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv):

„Der vzbv begrüßt, dass im Laufe des parlamentarischen Prozesses die Entwürfe des Bundesministeriums des Innern sowie der Bundesregierung in wesentlichen Punkten nachgebessert wurden. Anders als im Referentenentwurf vorgesehen, können Unternehmen den Nutzungszweck von erhobenen Daten nicht über die Vorgaben der Datenschutzgrundverordnung hinaus ändern. Außerdem wurden die bisherigen verbraucherschützenden Regelungen zum Kreditscoring in das neue Gesetz überführt.

Aber dass Unternehmen Verbraucherrechte einschränken können, ist aus Sicht des vzbv inakzeptabel. Dazu gehört, dass sie unter bestimmten Bedingungen Daten von Verbrauchern verarbeiten können, ohne sie darüber informieren zu müssen. In manchen Fällen dürfen sie gar davon absehen, Daten zu löschen. Es ist mehr als fraglich, ob solche Einschränkungen überhaupt mit Europarecht vereinbar sind. Leider gelingt es dem Gesetzgeber somit nicht, Rechtssicherheit für alle Beteiligten zu schaffen.“

 

GDD: Praxishilfe DS-GVO V – Verzeichnis von Verarbeitungstätigkeiten

GDD veröffentlich Praxishilfe DS-GVO V. Sowohl Verantwortliche als auch Auftragsverarbeiter sowie deren Vertreter in der EU müssen nach jeweils ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO führen.

Aus dem Verfahrensverzeichnis bzw. der Verarbeitungsübersicht gemäß der §§ 4e und 4g BDSG/Artt. 18, 19 RL 95/46/EG wird künftig das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO. Nach Erwägungsgrund 82 der DS-GVO soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ das Verzeichnis von Verarbeitungstätigkeiten führen. Weiterhin kann die zuständige Aufsichtsbehörde die Vorlage verlangen, um die betreffenden Stellen hoheitlich zu kontrollieren. Bestehende Verarbeitungsübersichten nach den §§ 4e und 4g BDSG sind eine gute Grundlage für das VVT – müssen aber unter der DS-GVO angepasst werden.

Die Inhalte dieser Praxishilfe wurden im Rahmen des GDD-Erfakreises Köln, Unterarbeitsgruppe „VVT“ erstellt, mit freundlicher Unterstützung des GDD-Arbeitskreises „DS-GVO Praxis“.

GDD-Praxishilfe DS-GVO V – Verzeichis von Verarbeitungstätigkeiten, Version 1.0, Stand April 2017 (Muster einzeln als .docx)