Pres­se­mit­tei­lung des Thü­rin­ger Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 11.11.2019

Auf ihrer 98.Sitzung am 6. und 7. Novem­ber 2019 in Trier hat sich die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) mit viel­fäl­ti­gen The­men befasst.

Beson­de­re Bedeu­tung für die Pra­xis hat in den Augen des Thü­rin­ger Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, Dr. Lutz Has­se, das erar­bei­te­te Prüf­sche­ma zu Win­dows 10. Hier­zu äußer­te der Vor­sit­zen­de der DSK:

Im Zusam­men­hang mit der auto­ma­ti­sier­ten Über­tra­gung soge­nann­ter Tele­me­trie­da­ten bei Win­dows Betriebs­sy­stem- und Anwen­dungs­lö­sun­gen hat die Kon­fe­renz im Nach­gang auf hoch­ran­gi­ger Ebe­ne Gesprä­che mit Ver­tre­tern von Micro­soft geführt. Ziel ist es dabei, den Per­so­nen­be­zug von Nut­zungs­da­ten zu ver­min­dern bzw. deren Über­tra­gung in die Ent­schei­dung der Nut­ze­rin­nen und Nut­zer zu stel­len. In die­sem Zusam­men­hang hat die Daten­schutz­kon­fe­renz ein Prüf­sche­ma für das Betriebs­sy­stem Win­dows 10 ver­öf­fent­licht, das Ver­ant­wort­li­chen die Mög­lich­keit gibt, die daten­schutz­re­le­van­ten Fra­gen im Zusam­men­hang mit dem Ein­satz der Soft­ware, der Über­tra­gung von Tele­me­trie­da­ten sowie der Update-Kon­fi­gu­ra­ti­on zu bewer­ten.“

Dr. Lutz Has­se stellt fest: „Mit dem Prüf­sche­ma haben die Auf­sichts­be­hör­den den Ver­ant­wort­li­chen zunächst ein Instru­ment an die Hand gege­ben, mit dem sie prü­fen kön­nen, ob die erfor­der­li­chen Vor­aus­set­zun­gen für einen Ein­satz die­ses Betriebs­sy­stems gewähr­lei­stet wer­den kön­nen. Der TLf­DI wird über wei­te­re Ent­wick­lun­gen umge­hend berich­ten.“

Das Prüf­sche­ma fin­den Sie unter https://​tlf​di​.de/​m​a​m​/​t​l​f​d​i​/​g​e​s​e​t​z​e​/​o​r​i​e​n​t​i​e​r​u​n​g​s​h​i​l​f​e​n​/​b​e​s​c​h​l​u​s​s​_​z​u​_​t​o​p​_​1​3​_​w​i​n​1​0​_​p​r​u​f​s​c​h​e​m​a​.​pdf

und die Anla­ge unter https://​tlf​di​.de/​m​a​m​/​t​l​f​d​i​/​g​e​s​e​t​z​e​/​o​r​i​e​n​t​i​e​r​u​n​g​s​h​i​l​f​e​n​/​b​e​s​c​h​l​u​s​s​_​z​u​_​t​o​p​_​1​0​_​w​i​n​_​1​0​_​p​r​u​f​s​c​h​e​m​a​_​a​n​l​a​g​e​.​pdf.

P r e s s e m i t t e i l u n g vom 5. Novem­ber 2019

Am 30.Oktober 2019 hat die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit gegen die Deut­sche Woh­nen SE einen Buß­geld­be­scheid in Höhe von rund 14,5 Mil­lio­nen Euro wegen Ver­stö­ßen gegen die Daten­schutz-Grund­ver­ord­nung (DS-GVO) erlas­sen.

Bei Vor-Ort-Prü­fun­gen im Juni 2017 und im März 2019 hat die Auf­sichts­be­hör­de fest­ge­stellt, dass das Unter­neh­men für die Spei­che­rung per­so­nen­be­zo­ge­ner Daten von Mie­te­rin­nen und Mie­tern ein Archiv­sy­stem ver­wen­de­te, das kei­ne Mög­lich­keit vor­sah, nicht mehr erfor­der­li­che Daten zu ent­fer­nen. Per­so­nen­be­zo­ge­ne Daten von Mie­te­rin­nen und Mie­tern wur­den gespei­chert, ohne zu über­prü­fen, ob eine Spei­che­rung zuläs­sig oder über­haupt erfor­der­lich ist. In begut­ach­te­ten Ein­zel­fäl­len konn­ten daher teil­wei­se Jah­re alte pri­va­te Anga­ben betrof­fe­ner Mie­te­rin­nen und Mie­ter ein­ge­se­hen wer­den, ohne dass die­se noch dem Zweck ihrer ursprüng­li­chen Erhe­bung dien­ten. Es han­del­te sich dabei um Daten zu den per­sön­li­chen und finan­zi­el­len Ver­hält­nis­sen der Mie­te­rin­nen und Mie­ter, wie z. B. Gehalts­be­schei­ni­gun­gen, Selbst­aus­kunfts­for­mu­la­re, Aus­zü­ge aus Arbeits- und Aus­bil­dungs­ver­trä­gen, Steuer‑, Sozi­al- und Kran­ken­ver­si­che­rungs­da­ten sowie Kon­to­aus­zü­ge.

Nach­dem die Ber­li­ner Daten­schutz­be­auf­trag­te im ersten Prüf­ter­min 2017 die drin­gen­de Emp­feh­lung aus­ge­spro­chen hat­te, das Archiv­sy­stem umzu­stel­len, konn­te das Unter­neh­men auch im März 2019, mehr als ein­ein­halb Jah­re nach dem ersten Prüf­ter­min und neun Mona­te nach Anwen­dungs­be­ginn der Daten­schutz-Grund­ver­ord­nung weder eine Berei­ni­gung ihres Daten­be­stan­des noch recht­li­che Grün­de für die fort­dau­ern­de Spei­che­rung vor­wei­sen. Zwar hat­te das Unter­neh­men Vor­be­rei­tun­gen zur Besei­ti­gung der auf­ge­fun­de­nen Miss­stän­de getrof­fen. Die­se Maß­nah­men hat­ten jedoch nicht zur Her­stel­lung eines recht­mä­ßi­gen Zustands bei der Spei­che­rung per­so­nen­be­zo­ge­ner Daten geführt. Die Ver­hän­gung eines Buß­gel­des wegen eines Ver­sto­ßes gegen Arti­kel 25 Abs. 1 DS-GVO sowie Arti­kel 5 DS-GVO für den Zeit­raum zwi­schen Mai 2018 und März 2019 war daher zwin­gend.

Die Daten­schutz-Grund­ver­ord­nung ver­pflich­tet die Auf­sichts­be­hör­den sicher­zu­stel­len, dass Buß­gel­der in jedem Ein­zel­fall nicht nur wirk­sam und ver­hält­nis­mä­ßig, son­dern auch abschreckend sind. Anknüp­fungs­punkt für die Bemes­sung von Geld­bu­ßen ist daher u. a. der welt­weit erziel­te Vor­jah­res­um­satz betrof­fe­ner Unter­neh­men. Auf­grund des im Geschäfts­be­richt der Deut­sche Woh­nen SE für 2018 aus­ge­wie­se­nen Jah­res­um­sat­zes von über einer Mil­li­ar­de Euro lag der gesetz­lich vor­ge­ge­be­ne Rah­men zur Buß­geld­be­mes­sung für den fest­ge­stell­ten Daten­schutz­ver­stoß bei ca. 28 Mil­lio­nen Euro.

Für die kon­kre­te Bestim­mung der Buß­geld­hö­he hat die Ber­li­ner Daten­schutz­be­auf­trag­te unter Berück­sich­ti­gung aller be- und ent­la­sten­den Aspek­te die gesetz­li­chen Kri­te­ri­en her­an­ge­zo­gen. Bela­stend wirk­te sich hier­bei vor allem aus, dass die Deut­sche Woh­nen SE die bean­stan­de­te Archiv­struk­tur bewusst ange­legt hat­te und die betrof­fe­nen Daten über einen lan­gen Zeit­raum in unzu­läs­si­ger Wei­se ver­ar­bei­tet wur­den. Buß­geld­mil­dernd wur­de hin­ge­gen berück­sich­tigt, dass das Unter­neh­men durch­aus erste Maß­nah­men mit dem Ziel der Berei­ni­gung des rechts­wid­ri­gen Zustan­des ergrif­fen und for­mal gut mit der Auf­sichts­be­hör­de zusam­men­ge­ar­bei­tet hat. Auch mit Blick dar­auf, dass dem Unter­neh­men kei­ne miss­bräuch­li­chen Zugrif­fe auf die unzu­läs­sig gespei­cher­ten Daten nach­ge­wie­sen wer­den konn­ten, war im Ergeb­nis ein Buß­geld im mitt­le­ren Bereich des vor­ge­ge­be­nen Buß­geld­rah­mens ange­mes­sen.

https://​www​.daten​schutz​-ber​lin​.de/​f​i​l​e​a​d​m​i​n​/​u​s​e​r​_​u​p​l​o​a​d​/​p​d​f​/​p​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​2​0​1​9​/​2​0​1​9​1​1​0​5​-​P​M​-​B​u​s​s​g​e​l​d​_​D​W​.​pdf

Genau das stimmt nicht!

Die EU-DSGVO bedeu­tet für Unter­neh­men und Inter­net­nut­zer einen ziem­li­chen Auf­wand. Klei­ne Betrie­be wer­den nun ent­la­stet.“

Von den Pflich­ten der #DSGVO wird gera­de nicht ent­la­stet – nur von der Bestell­pflicht nach #BDSG
#fail

https://​www​.deutsch​land​funk​.de/​b​u​n​d​e​s​r​a​t​-​d​a​t​e​n​s​c​h​u​t​z​-​f​u​e​r​-​k​l​e​i​n​e​-​b​e​t​r​i​e​b​e​-​g​e​l​o​c​k​e​r​t​.​1​9​3​9​.​d​e​.​h​t​m​l​?​d​r​n​:​n​e​w​s​_​i​d​=​1​0​5​1​225

Meh­re­re tau­send Pati­en­ten­da­ten sind offen im Inter­net abruf­bar. Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) wur­de über die­sen Sach­ver­halt von IT-Sicher­heits­for­schern infor­miert und hat dar­auf­hin die betrof­fe­nen medi­zi­ni­schen Ein­rich­tun­gen anhand der ihm vor­lie­gen­den IP-Adres­sen in Kennt­nis gesetzt. In drei Fäl­len konn­te das BSI die Ein­rich­tun­gen direkt kon­tak­tie­ren, in 14 wei­te­ren Fäl­len wur­den die jewei­li­gen Inter­net-Ser­vice-Pro­vi­der gebe­ten, ihre Kun­den anhand der IP-Adres­sen zu iden­ti­fi­zie­ren und zu infor­mie­ren. Zudem hat das BSI 46 inter­na­tio­na­le Part­ner­or­ga­ni­sa­tio­nen über den Sach­ver­halt infor­miert. Das BSI darf nach der­zei­ti­ger Rechts­la­ge die­se Daten nicht abru­fen oder ana­ly­sie­ren, auch nicht um die Betrei­ber der unge­si­cher­ten Web­ser­ver zu iden­ti­fi­zie­ren. Nach Ein­schät­zung des BSI sind die Pati­en­ten­da­ten zugäng­lich, weil ein­fach­ste IT-Sicher­heits­maß­nah­men wie ein Zugriffs­schutz durch Nut­zer­na­me und Pass­wort oder Ver­schlüs­se­lung nicht umge­setzt wur­den. Dem BSI lie­gen kei­ne Infor­ma­tio­nen vor, dass die Pati­en­ten­da­ten tat­säch­lich in kri­mi­nel­ler Absicht abge­flos­sen sind.

Dazu äußert sich BSI-Prä­si­dent Arne Schön­bohm wie folgt:
„Wenn selbst bei so sen­si­blen Daten wie Rönt­gen­auf­nah­men, Mam­mo­gra­fien oder MRT-Bil­dern grund­le­gen­de IT-Sicher­heits­maß­nah­men miss­ach­tet wer­den, zeigt das, dass IT-Sicher­heit noch immer nicht den Stel­len­wert ein­nimmt, den sie ver­dient. Wir müs­sen als Gesell­schaft begrei­fen, dass die gro­ßen Digi­ta­li­sie­rungs­pro­jek­te, die uns so vie­le Vor­tei­le brin­gen kön­nen, nur gelin­gen wer­den, wenn sie von Anfang an sicher gestal­tet wer­den. Nur wenn die Bür­ge­rin­nen und Bür­ger Ver­trau­en in die Sicher­heit ihrer Daten haben, wird die Digi­ta­li­sie­rung erfolg­reich sein.“

Zur Stel­lung­nah­me: https://​www​.bsi​.bund​.de/​D​E​/​P​r​e​s​s​e​/​P​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​P​r​e​s​s​e​2​0​1​9​/​P​a​t​i​e​n​t​e​n​d​a​t​e​n​_​i​m​_​I​n​t​e​r​n​e​t​_​1​7​0​9​1​9​.​h​tml

Sen­si­ble Daten soll­ten nicht in die Hän­de Unbe­fug­ter gera­ten. Des­halb hat es sich das BSI als natio­na­le Cyber-Sicher­heits­be­hör­de zur Auf­ga­be gemacht, Stan­dards für den digi­ta­len Ver­brau­cher­schutz zu eta­blie­ren: https://​www​.bsi​-fuer​-bue​r​ger​.de/​B​S​I​F​B​/​D​E​/​D​i​g​i​t​a​l​e​G​e​s​e​l​l​s​c​h​a​f​t​/​d​i​g​i​t​a​l​e​r​_​V​e​r​b​r​a​u​c​h​e​r​s​c​h​u​t​z​/​d​i​g​i​t​a​l​e​r​_​V​e​r​b​r​a​u​s​c​h​e​r​s​c​h​u​t​z​_​n​o​d​e​.​h​tml

Auch inter­es­sant: Kryp­to­gra­fi­sche Ver­fah­ren im Gesund­heits­we­sen – die elek­tro­ni­sche Gesund­heits­kar­te: https://​www​.bsi​-fuer​-bue​r​ger​.de/​B​S​I​F​B​/​D​E​/​E​m​p​f​e​h​l​u​n​g​e​n​/​V​e​r​s​c​h​l​u​e​s​s​e​l​u​n​g​/​V​e​r​s​c​h​l​u​e​s​s​e​l​t​k​o​m​m​u​n​i​z​i​e​r​e​n​/​G​e​s​u​n​d​h​e​i​t​s​k​a​r​t​e​/​e​l​e​k​t​r​o​n​i​s​c​h​e​_​g​e​s​u​n​d​h​e​i​t​s​k​a​r​t​e​_​n​o​d​e​.​h​tml

Zur Mel­dung von faz​.net: Rönt­gen­bil­der waren wohl unge­schützt online ein­seh­bar: https://​www​.faz​.net/​a​k​t​u​e​l​l​/​w​i​r​t​s​c​h​a​f​t​/​d​i​g​i​n​o​m​i​c​s​/​d​a​t​e​n​l​e​c​k​-​r​o​e​n​t​g​e​n​b​i​l​d​e​r​-​w​a​r​e​n​-​w​o​h​l​-​u​n​g​e​s​c​h​u​e​t​z​t​-​o​n​l​i​n​e​-​e​i​n​s​e​h​b​a​r​-​1​6​3​8​8​6​4​6​.​h​tml

Rund 90.000 Daten­sät­ze von Nut­ze­rin­nen und Nut­zern des Master­card-Bonus­pro­gramms “Pri­celess Spe­cials” waren in einem Online-Forum ein­seh­bar. Grund dafür war ein Daten­leck, wie Spie­gel Online schreibt. Ein­seh­bar waren Infor­ma­tio­nen wie E‑Mail-Adres­sen, Tele­fon­num­mern und auch Tei­le der Kar­ten­num­mern. Das Unter­neh­men hat die Platt­form des Bonus­pro­gramms in Deutsch­land vor­erst geschlos­sen.

Öffent­lich ein­seh­ba­re E‑Mail-Adres­sen sind ein begehr­ter Start­punkt für Phis­hing-Attacken durch Betrü­ger im Inter­net. Wie Bür­ge­rin­nen und Bür­ger sich vor Phis­hing schüt­zen kön­nen, erklärt BSI für Bür­ger in Text und Video: https://​www​.bsi​-fuer​-bue​r​ger​.de/​B​S​I​F​B​/​D​E​/​R​i​s​i​k​e​n​/​S​p​a​m​P​h​i​s​h​i​n​g​C​o​/​P​h​i​s​h​i​n​g​/​p​h​i​s​h​i​n​g​.​h​tml

Zur Mel­dung von Spie­gel Online: Daten­leck bei Master­card-Bonus­pro­gramm: https://​www​.spie​gel​.de/​n​e​t​z​w​e​l​t​/​w​e​b​/​m​a​s​t​e​r​c​a​r​d​-​d​a​t​e​n​l​e​c​k​-​b​e​i​-​b​o​n​u​s​p​r​o​g​r​a​m​m​-​a​-​1​2​8​2​6​9​7​.​h​tml

Pres­se­mit­tei­lung des Thü­rin­ger Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 30.07.2019

Bereits das Urteil des Euro­päi­schen Gerichts­hofs (EuGH) zum (Weiter-)Betrieb von Face­book-Fan­pages vom 5. Juni 2018 bestä­tig­te die lang­jäh­ri­ge Rechts­auf­fas­sung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK). In ihrem Beschluss vom 5. Sep­tem­ber 2018 wies die DSK dar­auf hin, dass Fan­page-Betrei­ber gemein­sam mit Face­book für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ver­ant­wort­lich sind. Die Recht­mä­ßig­keit der Daten­ver­ar­bei­tung und die Ein­hal­tung der Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus Art. 5 Abs. 1 DS-GVO müs­sen Fan-Page­be­trei­ber zusam­men mit Face­book nach­wei­sen kön­nen. In sei­nem gest­ri­gen Urteil ent­schied der EuGH nun, dass die Betrei­ber, die einen „Gefällt-mir“- Knopf (Like-But­ton) auf ihrer Web­sei­te ein­bin­den, für die damit ver­knüpf­te Daten­über­tra­gung mit­ver­ant­wort­lich sind. Allein der Auf­ruf einer Web­sei­te, die die­se Schalt­flä­che hat, macht es mög­lich, Ihr Surf­ver­hal­ten an Face­book zu über­tra­gen, selbst dann, wenn Sie kein Face­book-Kon­to besit­zen. Das ist gefähr­lich! Ins­be­son­de­re des­halb, weil anhand nur weni­ger Likes ein Per­sön­lich­keits­pro­fil und Ihr Ver­hal­ten pro­gno­sti­ziert wer­den kann. Allein zehn Likes genü­gen dafür, dass Face­book Sie bes­ser kennt als Ihre Arbeits­kol­le­gen. Und der­ar­ti­ge Pro­fi­le wer­den auch gern gekauft – von wem und zu wel­chem Zweck auch immer. Künf­tig müs­sen Sie als Nut­zer soge­nann­ter Like-But­tons nun zuvor Social-Media-Dien­ste expli­zit mit einem wei­te­ren But­ton akti­vie­ren und damit zustim­men, dass Daten an die Betrei­ber der sozia­len Netz­wer­ke über­tra­gen wer­den. Dr. Lutz Has­se meint dazu: „Natür­lich ist die expli­zi­te Akti­vie­rung ner­vig – soll auch so sein! Denn jetzt müs­sen Sie bewusst ent­schei­den, ob Sie Ihre Pri­vat­sphä­re von Face­book ver­hö­kern las­sen wol­len.“

Die Pres­se­mit­tei­lun­gen des Thü­rin­ger Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen wer­den.

Pres­se­mit­tei­lung des Thü­rin­ger Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 19.07.2019

Nie­mand möch­te gern bloß­ge­stellt wer­den und sein Gesicht ver­lie­ren, doch jeder, der Face­App nutzt, ris­kiert genau dies.

Face­App erlebt gera­de ein Hype und ist auf Platz 1 der App-Store Charts. Doch Vor­sicht ist gebo­ten:

Nicht nur, dass jedes Foto, wel­ches ver­än­dert wer­den soll, auf die Ser­ver des rus­si­schen Anbie­ters zur Bear­bei­tung hoch­ge­la­den wird. Zudem möch­te die App, soweit bis­her fest­stell­bar, Zugriff auch auf alle Bil­der des End­ge­räts neh­men… :-((

Kom­men auch KI-Algo­rith­men zum Ein­satz, die anhand der bio­me­tri­schen Merk­ma­le des Gesichts Per­sön­lich­keits­pro­fi­le und damit auch Ver­hal­tens­pro­gno­sen erstel­len? Der App-Her­stel­ler lässt sich jeden­falls umfang­rei­che Rech­te am über­tra­ge­nen User-Con­tent ein­räu­men und User-Con­tent ist weit­aus mehr als nur das Bild.

Wer­den die Bil­der und ihre Fol­ge­nut­zun­gen bei Bedarf gelöscht? Frag­lich, jeden­falls nicht vor Ort kon­trol­lier­bar…

Das eige­ne Gesicht mit Face­App altern zu las­sen oder ander­wei­tig zu ver­än­dern mag noch lustig sein. Doch spä­te­stens, wenn Bil­der von ande­ren Per­so­nen, Ex-Part­nern, Geschäfts­part­nern, Kon­kur­ren­ten ver­än­dert und anschlie­ßend z.B. über sozia­le Medi­en geteilt wer­den, hört der Spaß auf und die Rechts­pro­ble­me begin­nen!

Dr. Lutz Has­se (TLf­DI): „Das biss­chen Spaß kann die Nut­zer in vie­ler­lei Hin­sicht teu­er zu ste­hen kom­men. Die App ist auch nicht kosten­los – alle Nut­zer zah­len in gro­ßem Umfang mit ihren bio­me­tri­schen (!!) Daten, die zu Zwecken genutzt wer­den dür­fen, von denen die Nut­zer lei­der oft kei­ne Vor­stel­lung haben. Viel­leicht ein­fach mal Ver­zicht üben und auf die Pri­vat­sphä­re ach­ten.“

Die Pres­se­mit­tei­lun­gen des Thü­rin­ger Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen wer­den.

Down­load Face­App – Da bleibt einem das Lachen im Hal­se stecken als PDF

Bun­des­tag beschließt 2. DSAn­pUG und ändert damit die Bestell­pflicht betrieb­li­cher Daten­schutz­be­auf­trag­ter gemäß § 38 BDSG

Nach der 2017 beschlos­se­nen Novel­lie­rung des Bun­des­da­ten­schutz­ge­set­zes (BDSG) hat der Bun­des­tag nun auch das bereichs­spe­zi­fi­sche Daten­schutz­recht des Bun­des an die seit Mai 2018 gel­ten­de Daten­schutz-Grund­ver­ord­nung (DS-GVO) ange­passt.

Mit dem in den frü­hen Mor­genst­run­den des 28.06.2019 vom Bun­des­tag ver­ab­schie­de­ten zwei­ten Daten­schutz­an­pas­sungs- und Umset­zungs­ge­setz (2. DSAn­pUG) wer­den zahl­rei­che Geset­ze mit den Vor­ga­ben der DS-GVO in Ein­klang gebracht. Das Gesetz nimmt in 154 Fach­ge­set­zen fast aller Res­sorts Ände­run­gen vor. Zu den Rege­lungs­schwer­punk­ten zäh­len dabei ins­be­son­de­re Anpas­sun­gen von Begriffs­be­stim­mun­gen und von Rechts­grund­la­gen für die Daten­ver­ar­bei­tung sowie Rege­lun­gen zu den Betrof­fe­nen­rech­ten.

Zudem schafft das ver­ab­schie­de­te Gesetz auch Ände­run­gen im BDSG. Mit dem Argu­ment des Büro­kra­tie­ab­baus hat­te die Uni­ons­frak­tio­nen die For­de­rung in die Geset­zes­be­ra­tung ein­ge­bracht, die Gren­ze der Bestell­pflicht für einen betrieb­li­chen Daten­schutz­be­auf­trag­ten (§ 38) auf 50 Per­so­nen zu erhö­hen. Im Rah­men eines Kom­pro­mis­ses haben sich die Koali­ti­ons­frak­tio­nen aber schluss­end­lich doch auf eine Erhö­hung von 10 auf 20 Per­so­nen, die stän­dig per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, ver­stän­digt. Die Gesell­schaft für Daten­schutz und Daten­si­cher­heit e.V. (GDD) hat die über ein Jahr andau­ern­de Dis­kus­si­on rund um das 2. DSAn­pUG fort­lau­fend beglei­tet und dabei vor allem war­nend auf die Ent­schei­dungs­trä­ger in den Koali­ti­ons­frak­tio­nen ein­ge­wirkt, dass eine im Raum ste­hen­de Ver­än­de­rung der For­mu­lie­rung („Per­so­nen, die über­wie­gend mit der Daten­ver­ar­bei­tung befasst sind“) die Bestell­pflicht erheb­lich auf­wei­chen könn­te. Gera­de über den kon­ti­nu­ier­lich betrie­be­nen Kon­takt zu den zustän­di­gen Bericht­erstat­tern für Daten­schutz konn­ten wir über­zeu­gend dar­le­gen, dass die über­leg­te Ände­rung der For­mu­lie­rung dazu füh­ren wür­de, dass ein Beschäf­tig­ter dann mehr als 50 Pro­zent sei­ner Arbeits­zeit für die Daten­ver­ar­bei­tung auf­wen­den müss­te, um “über­wie­gend” mit der Daten­ver­ar­bei­tung befasst zu sein. Die­se Vor­aus­set­zung wür­den nur die wenig­sten Mit­ar­bei­ter in Unter­neh­men erfül­len.

Die Befrei­ung von der Bestell­pflicht eines Daten­schutz­be­auf­trag­ten im Betrieb führt jedoch nicht zu einem Weg­fall ande­rer daten­schutz­recht­li­cher Pflich­ten. Am Ende wird mit dem Weg­fall eines Daten­schutz­be­auf­trag­ten nicht Büro­kra­tie, son­dern Kom­pe­tenz und Sach­ver­stand abge­baut. Auch ohne gesetz­li­che Bestell­pflicht sind Unter­neh­men und Ein­rich­tung gut bera­ten, einen betrieb­li­chen Daten­schutz­be­auf­trag­ten zu benen­nen.

Neben tech­ni­schen Ände­run­gen am BDSG und dem Hin­zu­fü­gen des § 86 BDSG (Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Zwecke staat­li­cher Aus­zeich­nun­gen und Ehrun­gen) wird auch der für die Pra­xis so bedeut­sa­me § 26 BDSG an einer Stel­le ver­än­dert. In § 26 Abs. 2 Satz 3 BDSG ent­fällt das Schrift­form­erfor­der­nis für die Ein­wil­li­gung im Beschäf­tig­ten­ver­hält­nis und wird durch die Wör­ter „hat schrift­lich oder elek­tro­nisch zu erfol­gen“ ersetzt.

Neben dem ver­ab­schie­de­ten Gesetz for­dert die Gro­ße Koali­ti­on die Bun­des­re­gie­rung zudem auf, Art. 85 DS-GVO (Ver­ar­bei­tung zu jour­na­li­sti­schen Zwecken) auch für die Berei­che aus­zu­ge­stal­ten, die nicht Gegen­stand der Medi­en­ge­set­ze der Län­der sind. Damit etwa Blog­ger und ande­re freie Jour­na­li­sten rechts­si­cher arbei­ten kön­nen, soll die­se Rege­lungs­lücke zeit­nah geschlos­sen wer­den. Ange­sichts der Bedeu­tung und Kom­ple­xi­tät des Vor­ha­bens wird dies nun aber im Rah­men eines sepa­ra­ten Gesetz­ge­bungs­ver­fah­rens erfol­gen, um das anson­sten sehr tech­ni­sche Anpas­sungs­ge­setz mit sei­nen zahl­rei­chen Ände­rungs­ar­ti­keln nicht zu über­frach­ten.

Das 2. DSAn­pUG ist von Sei­ten des Bun­des­ra­tes zustim­mungs­be­dürf­tig und tritt am Tag nach der Ver­kün­dung im Bun­des­ge­setz­blatt in Kraft.

Sie­he hier­zu:
https://​www​.bun​des​tag​.de/​d​o​k​u​m​e​n​t​e​/​t​e​x​t​a​r​c​h​i​v​/​2​0​1​9​/​k​w​2​6​-​d​e​-​d​a​t​e​n​s​c​h​u​t​z​-​6​4​9​218

Die DSGVO ist auch nach einem Jahr Pra­xis­test wei­ter in der Dis­kus­si­on. Der Daten­schutz­be­auf­trag­te Ulrich Kel­ber warnt vor Bestre­bun­gen, gel­ten­de Rege­lun­gen zu ver­wäs­sern. Dabei gebe es noch viel zu tun.

Der Bun­des­be­auf­trag­te für den Daten­schutz Ulrich Kel­ber hat vor einer Auf­wei­chung der Vor­schrif­ten in klei­nen und mitt­le­ren Unter­neh­men gewarnt. »Das wäre Kom­pe­tenz­ab­bau, nicht Büro­kra­tie­ab­bau«, sag­te Kel­ber am Mon­tag auf dem Daten­schutz-Kon­gress DuD in Ber­lin. Der büro­kra­ti­sche Auf­wand sei immer auch »eine Art Tot­schlag­s­ar­gu­ment«. Er wür­de eher den Vor­schlag des Ham­bur­ger Daten­schutz­be­auf­trag­ten Johan­nes Cas­par auf­grei­fen und den Daten­schutz ins Grund­ge­setz auf­zu­neh­men.

Nie­der­sach­sen hat­te im April einen Antrag zur Ände­rung daten­schutz­recht­li­cher Bestim­mun­gen in den Bun­des­rat ein­ge­bracht. Auch die FDP hat­te sich wie­der­holt dafür stark­ge­macht, die Vor­ga­ben zu lockern. Unter ande­rem sehen die Vor­ga­ben vor, dass Betrie­be ab zehn Mit­ar­bei­tern einen eige­nen Daten­schutz­be­auf­trag­ten bestel­len müs­sen.

Kri­ti­ker wen­den ein, dass dies klei­ne Unter­neh­men sowie Ver­ei­ne über­pro­por­tio­nal bela­ste. »Wir tun dem Daten­schutz kei­nen Gefal­len, wenn wir den Kanu­ver­ein und den Hand­werks­be­trieb behan­deln wie Face­book oder die Schufa«, sagt etwa der stell­ver­tre­ten­de FDP-Frak­ti­ons­vor­sit­zen­de Ste­phan Tho­mae.

Kel­ber warnt hin­ge­gen vor einem Ver­wäs­sern der Vor­schrif­ten. Dies käme einer Schwä­chung des Daten­schut­zes gleich, ent­geg­ne­te Kel­ber. Er begrü­ße es des­halb sehr, dass ent­spre­chen­de For­de­run­gen auch von der Agen­da des Bun­des­ra­tes genom­men wor­den sei­en.

Nach einem Jahr Daten­schutz­grund­ver­ord­nung (DS-GVO) sei eine abschlie­ßen­de Bilanz noch nicht mög­lich, beton­te Kel­ber. Die Ver­ord­nung sei aber gewis­ser­ma­ßen aus der »Krab­bel­pha­se« her­aus. Die DS-GVO greift seit dem 25. Mai 2018. Wie vie­le Unter­neh­men und Behör­den jedoch trotz einer zwei­jäh­ri­gen Über­gangs­pha­se auf den Start nicht vor­be­rei­tet gewe­sen sei­en, sei bemer­kens­wert gewe­sen.

Nach Ein­schät­zung des Lan­des­be­auf­trag­ten in Baden-Würt­tem­berg, Ste­fan Brink, sind die mas­si­ven Sank­ti­ons­an­dro­hun­gen das effek­tiv­ste Mit­tel der DS-GVO. Damit sei­en zahl­rei­che wei­te­re Unter­neh­men mit ins Boot geholt wor­den. Mit der euro­päi­schen Grund­ver­ord­nung haben die Behör­den erst­mals die Mög­lich­keit, auch emp­find­li­che Buß­gel­der zu ver­hän­gen. Zuvor habe es nur weni­ge Buß­gel­der in Mil­lio­nen­hö­he gege­ben. Die heu­ti­gen Mit­tel sei­en nun »wirk­sam, ver­hält­nis­mä­ßig und abschreckend«. Auf euro­päi­scher Ebe­ne sei aber nun auch Anglei­chun­gen nötig, for­dert Brink. Die täg­li­che Pra­xis der Daten­schutz­be­hör­den sei in den jewei­li­gen Län­dern noch sehr unter­schied­lich.

In der Rück­schau nach einem Jahr DS-GVO hät­ten sich vie­le Befürch­tun­gen wie etwa eine dro­hen­de Abmahn­wel­le nicht bewahr­hei­tet, beton­te Kel­ber. »Es gab vie­le War­nun­gen von Men­schen, die wenig Ahnung hat­ten.« Auch heu­te noch wer­de von Abmahn­wel­len gespro­chen. »In mei­ner Behör­de sind 17.000 Beschwer­den ein­ge­gan­gen, fünf davon betra­fen eine Abmah­nung.« Auch angeb­lich exi­stenz­be­droh­te Leh­rer, die Bil­der ihrer Schü­ler gemacht haben, gebe es nicht. Daten­schutz sei dage­gen zum Export­schla­ger gewor­den und habe end­gül­tig die Klein­staa­te­rei in Euro­pa been­det.

Zugleich gebe es aber auch wei­ter­hin »erkenn­ba­re Schwä­chen«, räum­te Kel­ber ein und warb um Geduld. Auch der »ewi­ge Land­frie­de« gegen mit­tel­al­ter­li­che Feh­den sei vor 500 Jah­ren eine revo­lu­tio­nä­re Idee gewe­sen, die erst ihre Zeit gebraucht habe, um sich effek­tiv durch­zu­set­zen. So müss­ten etwa Her­stel­ler noch stär­ker in Sachen Daten­schutz in die Ver­ant­wor­tung genom­men wer­den. Auch Ver­fah­ren der Künst­li­chen Intel­li­genz gehör­ten auf den Prüf­stand. So lie­ßen sich etwa mit Algo­rith­men für die Pro­fil­bil­dung von Nut­zern nicht nur Anzei­gen ziel­ge­rich­te­ter platz­ie­ren, son­dern auch Ver­hal­ten vor­her­sa­gen. Auch der Staat kön­ne in Ver­su­chung kom­men, Ideen davon zu über­neh­men.

Seit­dem die Daten­schutz­grund­ver­ord­nung (DS-GVO) ver­gan­ge­nen Mai EU-weit zur Anwen­dung kam, sind bei den zustän­di­gen Behör­den knapp 150.000 Beschwer­den über Ver­stö­ße gegen die neu­en Daten­schutz­re­geln ein­ge­gan­gen.

Bei­trag auf spie­gel-online: https://​www​.spie​gel​.de/​n​e​t​z​w​e​l​t​/​n​e​t​z​p​o​l​i​t​i​k​/​d​s​g​v​o​-​j​a​h​r​e​s​b​i​l​a​n​z​-​f​a​s​t​-​150 – 000-beschwerden-wegen-datenschutzverstoessen-a-1268745.html