Aus­zug aus der WIM (Wirt­schaft in Mit­tel­fran­ken) 10/​2018 der IHK Mit­tel­fran­ken

Die Daten­schutz­grund­ver­ord­nung hat neue Spiel­re­geln gebracht. Ein Über­blick über die Aus­wir­kun­gen – von Online-Mar­ke­ting bis Bild­rech­te.

Die Daten­schutz­grund­ver­ord­nung (DSGVO) ist seit 25. Mai in Kraft, jedoch herrscht  bei deren Umset­zung wei­ter­hin gro­ße Unsi­cher­heit. Das gilt auch für Wer­bung und Mar­ke­ting: Zahl­rei­che Unter­neh­men ver­zich­ten auf wer­be­wirk­sa­me Maß­nah­men, weil sie die Aus­ein­an­der­set­zung mit daten­schutz­recht­li­chen Fra­ge­stel­lun­gen scheu­en, oder – das ande­re Extrem – die Daten­schutz­pro­ble­ma­tik wird ein­fach aus­ge­blen­det. Gera­de im Mar­ke­ting ist es jedoch uner­läss­lich, sich mit den neu­en „Spiel­re­geln“ aus­ein­an­der­zu­set­zen.

Link zum Arti­kel

Apple-Chef Tim Cook hat die Daten­schutz­grund­ver­ord­nung der Euro­päi­schen Uni­on (DS-GVO) als Basis für einen welt­um­span­nen­den Daten­schutz gelobt. »Ich bin ein gro­ßer Fan der DS-GVO. Sie stellt aber noch nicht alles dar, was gemacht wer­den muss«, sag­te er am Sonn­tag in Ber­lin der Deut­schen Pres­se-Agen­tur. »Wir wür­den es ger­ne sehen, wenn nicht nur die USA, son­dern auch vie­le ande­re Län­der der Füh­rungs­rol­le Euro­pas fol­gen und viel­leicht sogar dar­über hin­aus­ge­hen wür­den.«

Gera­de in Deutsch­land gebe es bei den Bür­gern ein pro­fun­des Wis­sen und ein aus­ge­präg­tes Bewusst­sein für den Schutz der Pri­vat­sphä­re, das nicht in allen Tei­len der Welt exi­stie­re, sag­te Cook – auch weil die Deut­schen ihrer Geschich­te »eini­ge der schänd­lich­sten Din­ge gese­hen haben, die pas­sie­ren kön­nen«.

Der Weg zu einem bes­se­ren Daten­schutz sei wie eine Rei­se, sag­te Cook. »Ich weiß nicht, wie lan­ge die dau­ern wird.« Die Men­schen erleb­ten aber fast jeden Tag Ver­let­zun­gen ihrer Pri­vat­sphä­re. »Die Men­schen sind dann schockiert über eini­ge der Din­ge, die pas­sie­ren.« Des­halb wer­de sich die Welt als Gan­zes in Rich­tung Daten­schutz bewe­gen. »Sie erken­nen das viel­leicht nicht so schnell, wie ich es möch­te, aber sie wer­den die schreck­li­chen Fol­gen erken­nen und Maß­nah­men ergrei­fen.«

Der Chef des iPho­ne-Kon­zerns wird am Mitt­woch in Brüs­sel auf der 40. Inter­na­tio­na­len Kon­fe­renz der Daten­schutz­be­auf­trag­ten auf­tre­ten, um dort eine Key­note-Anspra­che zu hal­ten.

Kurio­se Aus­wüch­se der neu­en DS-GVO? Das Namens­schild an der Tür­klin­gel könn­te plötz­lich die Pri­vat­sphä­re des Mie­ters ver­let­zen. Daten­schüt­zer hal­ten das für unsin­nig. Eigen­tü­mer-Ver­bän­de for­dern Klar­heit vom Gesetz­ge­ber.

Ver­stößt das Klin­gel­schild eines Mie­ters an der Haus­tür gegen die Daten­schutz­grund­ver­ord­nung? Über die­se Fra­ge ist ein hef­ti­ger Streit ent­brannt. Der Immo­bi­li­en-Eigen­tü­mer­ver­band Haus&Grund emp­fiehlt der »Bild-Zei­tung« zufol­ge aktu­ell sei­nen Mit­glie­dern, vor­sorg­lich die Namens­schil­der zu ent­fer­nen. Nur so kön­ne sicher­ge­stellt sein, dass die Pri­vat­sphä­re der Mie­ter gewähr­lei­stet und Buß­gel­der in Mil­lio­nen-Höhe für den Ver­mie­ter ver­mie­den wür­den, zitiert die Zei­tung Ver­bands-Prä­si­dent Kai Warnecke.

Müs­sen Mie­ter jetzt also ihre Klin­gel­schil­der abschrau­ben? Daten­schüt­zer hal­ten das für über­trie­ben. Die Bun­des­da­ten­schutz­be­auf­trag­te Andrea Voß­hoff emp­fiehlt Ver­bän­den und Insti­tu­tio­nen, sich vor etwai­gen öffent­li­chen Rat­schlä­gen bei den zustän­di­gen Auf­sichts­be­hör­den erst ein­mal nach der Rechts­la­ge zu erkun­di­gen. Ein Klin­gel­schild mit Namen fal­le in der Regel gar nicht in den Anwen­dungs­be­reich der DSGVO.

»Wir hal­ten die DSGVO hier nicht für anwend­bar, da es sich um kei­ne auto­ma­ti­sier­te Daten­er­fas­sung han­delt«, sagt auch Jana Schö­ne­feld, Spre­che­rin der Ber­li­ner Daten­schutz­be­auf­trag­ten Maja Smolt­c­zyk, der dpa. Das Regel­werk grei­fe nur bei auto­ma­ti­sier­ten Daten­ver­ar­bei­tun­gen und Datei­en.

»Offen­sicht­lich geht es hier ein­mal mehr dar­um, die Men­schen mit der­ar­ti­gen Absur­di­tä­ten zu ver­un­si­chern und sub­stanz­los gegen die neue EU-Daten­schutz­grund­ver­ord­nung zu wet­tern«, schätzt der netz­po­li­ti­sche Spre­cher der Grü­nen-Fak­ti­on, Kon­stan­tin von Notz. Die Behaup­tung, die Klin­gel­schil­der müss­ten abmon­tiert wer­den, »ent­behrt jeder Grund­la­ge«, da sie über­wie­gend ana­log und des­halb daten­schutz­recht­lich nicht betrof­fen sei­en. Selbst bei digi­ta­len Klin­gel­schil­dern lie­ge ein »berech­tig­tes Inter­es­se im Sin­ne von Arti­kel 6 DSGVO« vor.

Er sehe kei­ne Not­wen­dig­keit, die Namens­schil­der abzu­mon­tie­ren, sag­te dage­gen der baye­ri­sche Daten­schutz­be­auf­trag­te Tho­mas Petri. Der Ver­mie­ter sei im Regel­fall sogar ver­pflich­tet, einen Namen an die Klin­gel zu schrei­ben. Nur bei einem Wider­spruch müs­se das Schild weg. Ähn­lich sieht es auch der Prä­si­dent der baye­ri­schen Daten­schutz­auf­sicht Tho­mas Kra­nig. Die Ent­schei­dung aus Wien hal­te er für über­trie­ben, sag­te Kra­nig der »Augs­bur­ger All­ge­mei­nen«.

Auch die Ber­li­ner Daten­schutz­be­hör­de sieht kei­nen Grund zur Panik. Sie emp­fiehlt Ver­mie­tern, den Mie­tern bei Neu­ver­mie­tung eine Wahl­mög­lich­keit zu bie­ten. Alle Namens­schil­der von Alt-Mie­tern zu ent­fer­nen, wäre dage­gen »wirt­schaft­li­cher Wahn­sinn«, sag­te Schö­ne­feld. Bei mög­li­chen Kla­gen wür­de ihre Behör­de den Ver­mie­ter anschrei­ben. Die Ver­hän­gung von Buß­gel­dern hält Schö­ne­feld – zumin­dest in Ber­lin – für unwahr­schein­lich.

Pres­se­mit­tei­lung Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht: Klin­gel­schild und Daten­schutz vom 18.10.18

BvD setzt sich für büro­kra­ti­sche Erleich­te­rung bei KMU ein

Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. warnt vor der Abschaf­fung des betrieb­li­chen Daten­schutz­be­auf­trag­ten bei klei­nen und mit­tel­stän­di­schen Unter­neh­men. „Qua­li­fi­zier­te Daten­schutz­be­auf­trag­te gewähr­lei­sten die rechts­si­che­re Anwen­dung der kom­ple­xen gesetz­li­chen Pflich­ten nach der euro­päi­schen Daten­schutz-Grund­ver­ord­nung (DS-GVO) und dem neu­en Bun­des­da­ten­schutz­ge­setz. Damit schüt­zen sie die Unter­neh­men vor hohen Buß­gel­dern und Aus­ein­an­der­set­zun­gen mit den Auf­sichts­be­hör­den“, sag­te BvD-Vor­stands­vor­sit­zen­der Tho­mas Spa­eing am Mitt­woch in Ber­lin. Um vor allem klei­ne und mitt­le­re Unter­neh­men (KMU) zu ent­la­sten, sol­le statt des­sen Büro­kra­tie abge­baut und Ver­fah­rens­we­ge ver­ein­facht wer­den.

Der BvD reagier­te damit auf Bestre­bun­gen aus dem Bun­des­wirt­schafts­mi­ni­ste­ri­um und auf eine Bun­des­rats­in­itia­ti­ve der Län­der Bay­ern und Baden-Würt­tem­berg, die Bestell­pflicht von Daten­schutz­be­auf­trag­ten mas­siv ein­zu­schrän­ken – von Unter­neh­men mit aktu­ell 10 daten­ver­ar­bei­ten­den Mit­ar­bei­tern auf Betrie­be mit 50 Mit­ar­bei­tern mit daten­ver­ar­bei­ten­den Tätig­kei­ten. „Daten­schutz ist ein kom­ple­xes Unter­fan­gen, wo gera­de KMU ohne ent­spre­chen­des Know­how vie­le Feh­ler unter­lau­fen kön­nen. Das kann schnell die Exi­stenz bedro­hen. Gleich­zei­tig stel­len die betrieb­li­chen Daten­schutz­be­auf­trag­ten die kosten­gün­stig­ste Vari­an­te für Unter­neh­men dar, sich hier bera­ten zu las­sen.“, mahn­te Spa­eing.

Die Auf­ga­ben, ein Unter­neh­men daten­schutz­kon­form auf­zu­stel­len, wür­de ohne Daten­schutz­be­auf­trag­ten direkt der Geschäfts­lei­tung bzw. dem Vor­stand zufal­len. Die schein­ba­re Ent­la­stung für KMU wür­de die­sem Per­so­nen­kreis dann auf die Füße fal­len. „Im Inter­es­se eines prak­ti­ka­blen, sinn­vol­len und kosten­be­wuss­ten Daten­schut­zes ist die Ver­wäs­se­rung der Benen­nungs­pflicht genau das fal­sche Mit­tel.“

Statt des­sen müss­ten klei­ne Hand­werks­be­trie­ben und Dienst­lei­ster sowie gemein­nüt­zi­ge Ver­ei­ne büro­kra­tisch ent­la­stet wer­den, etwa bei der Mel­de­pflicht von Daten­pan­nen und bei der Risi­ko­be­wer­tung der Daten­ver­ar­bei­tung, bekräf­tig­te Spa­eing. Zugleich for­der­te er eine staat­li­che För­de­rung ins­be­son­de­re von Start-Ups zum Auf­bau eines den Geset­zen ent­spre­chen­den Daten­schutz-Regimes. Der BvD hat dazu in einem Posi­ti­ons­pa­pier eine Rei­he von sofort wirk­sa­men Maß­nah­men benannt.

Daten­schutz ist ein ele­men­ta­res Gut, das die Glaub­wür­dig­keit eines Unter­neh­mens gegen­über Kun­den und Part­nern garan­tiert. Er steht für Ver­trau­en und Qua­li­tät und wird von immer mehr Unter­neh­men welt­weit als Wett­be­werbs­vor­teil erkannt. „KMU und klei­ne Orga­ni­sa­tio­nen von der Bestell­pflicht aus­zu­neh­men, bedeu­tet, den Wett­be­werbs­vor­teil deut­scher Unter­neh­men im Daten­schutz durch die Auf­ga­be der bestehen­den Benen­nungs­pflicht fahr­läs­sig zu ris­kie­ren“, sag­te Spa­eing. „Schließ­lich sei­en über 70 % aller Unter­neh­men klei­ne und mit­tel­stän­di­sche Unter­neh­men. Die Fol­ge wäre dann, dass bei etwa 70% aller Unter­neh­men in Deutsch­land die betrieb­li­che Kon­trol­le ent­fällt und die Daten von Kun­den und Mit­ar­bei­tern ohne Berück­sich­ti­gung der daten­schutz­recht­li­chen Anfor­de­run­gen erfol­ge.“

Wei­ter­füh­ren­de Infor­ma­tio­nen unter: https://​www​.bvd​net​.de/​t​h​e​m​e​n​/​d​sb/

Unbe­kann­te Hacker haben sich über Sicher­heits­lücken Zugang zu bis zu 90 Mil­lio­nen Face­book-Kon­ten ver­schafft. Die Zahl könn­te aber weit­aus höher lie­gen, zudem sind auch ande­re Dien­ste, die den Face­book-Log­in nut­zen, poten­zi­ell davon betrof­fen.

Kaum ist der Daten­skan­dal um Cam­bridge Ana­ly­tics – auch dank der gebets­müh­len­ar­ti­gen Bes­se­rungs­ge­löb­nis­se und einer breit­ge­streu­ten Wer­be­kam­pa­gne sei­tens Face­book – für die Öffent­lich­keit wie­der in Ver­ges­sen­heit gera­ten, kommt nun schon der näch­ste Ham­mer. Wie jetzt bekannt wur­de, konn­ten Hacker sich über Sicher­heits­lücken unbe­rech­tigt Zugriff auf Mil­lio­nen von Nut­zer­kon­ten ver­schaf­fen. In einer ersten Reak­ti­on spricht der Kon­zern selbst von 50 Mil­lio­nen sicher und wei­te­ren etwa 40 Mil­lio­nen poten­zi­ell betrof­fe­nen Usern. Ange­sichts der Umstän­de des Angriffs und der der­zei­ti­gen Erkennt­nis­la­ge gehen Sicher­heits­ex­per­ten aller­dings davon aus, dass sich die­se Zahl noch deut­lich erhö­hen könn­te. Immer­hin weiß Face­book selbst noch nicht ein­mal, seit wann genau die Angrif­fe lau­fen.

Die­se erfolg­ten über drei zusam­men­hän­gen­de Schwach­stel­len, auf­grund derer sich die Hacker soge­nann­te »Access Tokens« für jeden gewünsch­ten Face­book-Account gene­rie­ren konn­ten. Im Nor­mal­fall die­nen die­se Datei­en dazu, berech­tig­ten Nut­zern nach einem erfolg­rei­chen Log­in künf­tig den direk­ten Zugang ohne neue Pass­wort­ein­ga­be zu ermög­li­chen. Somit konn­ten die Angrei­fer mit ihnen alle direkt ein­seh­ba­ren Nut­zer­da­ten wie Name und Wohn­ort eines Kon­tos ein­se­hen und haben die­se offen­bar auch kopiert. Inwie­weit das auch für Ele­men­te wie Zeit­lei­sten und Kon­ver­sa­tio­nen gilt, ist noch nicht bekannt. Theo­re­tisch hät­ten sie damit sogar Aktio­nen wie Postings durch­füh­ren kön­nen. Dafür sieht Face­book der­zeit aller­dings kei­ne Hin­wei­se und betont, dass immer­hin kei­ne kri­ti­schen Daten wie Kre­dit­kar­ten­num­mern abhan­den­ge­kom­men sei­en.

Wie Face­book wei­ter erklärt, haben sich die Lücken bereits vor über einem Jahr ein­ge­schli­chen, wur­den aber inzwi­schen geschlos­sen. Eine Ände­rung des Pass­worts sei nicht not­wen­dig, da die Lücke kei­ne Ände­run­gen der Pass­wör­ter zur Über­nah­me der Accounts erlaubt. Weil die betrof­fe­nen 90 Mil­lio­nen Tokens gelöscht wur­den, müs­sen sich die betrof­fe­nen Nut­zer bei ihrem näch­sten Besuch nun ein­fach auf allen ihren Gerä­ten jeweils ein­mal neu ein­log­gen. Inso­fern lässt sich für die Nut­zer auch leicht erken­nen, ob Face­book den eige­nen Account mög­li­cher­wei­se für betrof­fen hält.

Auf­ge­fal­len war das Pro­blem erst vor weni­gen Tagen, da Face­book selbst seit Mit­te Sep­tem­ber plötz­lich eine auf­fal­lend gro­ße Zahl unüb­li­cher Akti­vi­tä­ten auf vie­len Kon­ten regi­strier­te und dar­auf­hin Nach­for­schun­gen begon­nen hat­te. Ob die­ser Zeit­punkt aller­dings tat­säch­lich gleich­be­deu­tend mit dem Anfang der Angrif­fe ist, kann der­zeit noch nie­mand sagen. Mög­lich ist etwa auch, dass die Hacker ihre Akti­vi­tä­ten im letz­ten Monat ein­fach nur merk­lich aus­ge­wei­tet haben, oder dass die Hin­ter­tü­re in cyber­kri­mi­nel­len Krei­sen die Run­de gemacht hat und des­halb plötz­lich weit­aus häu­fi­ger aus­ge­nutzt wur­de.

Damit hät­ten die Hacker theo­re­tisch also sogar Zugang zu allen rund zwei Mil­li­ar­den Nut­zer­konn­ten bekom­men kön­nen. Doch damit nicht genug. Da der Face­book-Log­in inzwi­schen auch bei zahl­rei­chen ande­ren Dien­sten wie Insta­gram, Tin­der oder Spo­ti­fy genutzt wer­den kann, könn­ten die­se genau­so betrof­fen sein. Auch hier hät­ten sich die Angrei­fer zumin­dest die direkt hin­ter­leg­ten Account­da­ten kopie­ren kön­nen. Bis der gesam­te Scha­den offen­sicht­lich wird, könn­te es also eine Zeit dau­ern. Um genaue­res dazu her­aus­zu­fin­den, koope­riert Face­book bei sei­nen Ermitt­lun­gen unter ande­rem mit dem FBI.

Völ­lig unklar ist der­zeit noch, wer hin­ter den Angrif­fen steckt und was die Hacker mit den erbeu­te­ten Daten anfan­gen wol­len. Von einer geziel­ten Rache­ak­ti­on gegen Face­book über poli­tisch moti­vier­te Angrif­fe gegen Amts­trä­ger oder Erpres­sungs­ver­su­che bis hin zu Kopi­en der Nut­zer­sei­ten für diver­se Betrugs­ma­schen ist alles mög­lich. Sehr wahr­schein­lich ist auf jeden Fall, dass die Infor­ma­tio­nen in den näch­sten Mona­ten ver­stärkt bei Phis­hing-Attacken ein­ge­setzt wer­den, mit denen wei­te­re Zugangs­da­ten und Infor­ma­tio­nen erbeu­tet wer­den sol­len.

War­nung vor einer soge­nann­ten Daten­schutz­aus­kunft-Zen­tra­le. Zahl­rei­che Unter­neh­men sei­en von ihr per Fax auf­ge­for­dert wor­den, bis zum 9. Okto­ber ein bei­gefüg­tes For­mu­lar zum Daten­schutz zu unter­schrei­ben. Wer ein sol­ches Schrei­ben erhal­ten habe, sol­le es auf kei­nen Fall bear­bei­ten. Grund: Im Klein­ge­druck­ten lau­ern ver­steck­te Kosten.

Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands for­dert Nach­bes­se­run­gen bei der Daten­schutz-Grund­ver­ord­nung (DS-GVO) und beim Bun­des­da­ten­schutz­ge­setz (BDSG).

Das Ziel: Eine deut­li­che Ent­la­stung von klei­nen und mit­tel­stän­di­schen Unter­neh­men.

Spe­zi­ell klei­ne und mit­tel­stän­di­sche Unter­neh­men (KMU) sowie ehren­amt­lich geführ­te Ver­ei­ne füh­len sich von der DS-GVO über­for­dert. Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. stellt sich an ihre Sei­te. Tho­mas Spa­eing, Vor­stands­vor­sit­zen­der des BvD: „Wir brau­chen mehr Klar­heit in den Pro­zes­sen und weni­ger Büro­kra­tie für KMU“.

Lesen Sie dazu auch die BvD-Pres­se­mel­dung.

Unter der neu geschaf­fe­nen Rubrik “Fra­gen & Ant­wor­ten” nimmt das BayL­DA aus­führ­lich Stel­lung zu ver­schie­de­nen Fra­ge­stel­lun­gen des Daten­schut­zes. Um die gege­be­nen Ant­wor­ten ein­zu­ord­nen, wird jede Frage/​Antwort zusätz­lich mit nütz­li­chen Stich­wor­ten und Nor­men ver­se­hen.

Das Bay­ri­sche Lan­des­amt für Daten­schutz­auf­sicht hat sei­ne Rei­he “FAQ zur DS-GVO” um die Beant­wor­tung einer wei­te­ren Pra­xis­fra­ge ergänzt. Die aktu­ell­ste Fra­ge der FAQ-Samm­lung beschäf­tigt sich mit den Art. 4 Nr. 8, 28 DS-GVO. Dar­in ver­sucht das BayL­DA anhand kon­kre­ter Fall­bei­spie­le zu zei­gen, bei wel­cher Art von Daten­ver­ar­bei­tung eine Auf­trags­ver­ar­bei­tung anzu­neh­men ist und wann nicht.

Auf­trags­ver­ar­bei­tung im daten­schutz­recht­li­chen Sin­ne lie­ge nur in Fäl­len vor, in denen eine Stel­le von einer ande­ren Stel­le im Schwer­punkt mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beauf­tragt wer­de, so das BayL­DA. Die Beauf­tra­gung mit fach­li­chen Dienst­lei­stun­gen ande­rer Art, d. h., mit Dienst­lei­stun­gen, bei denen nicht die Daten­ver­ar­bei­tung im Vor­der­grund ste­he bzw. bei denen die Daten­ver­ar­bei­tung nicht zumin­dest einen wich­ti­gen (Kern-)Bestandteil aus­ma­che, stel­le kei­ne Auf­trags­ver­ar­bei­tung im daten­schutz­recht­li­chen Sin­ne dar.

Als Auf­trags­ver­ar­bei­tung im Sin­ne von Art. 4 Nr. 8 DS-GVO wer­den (u.a.) bspw. fol­gen­de Ver­ar­bei­tun­gen gese­hen:

DV-tech­ni­sche Arbei­ten für die Lohn- und Gehalts­ab­rech­nung oder die Finanz­buch­hal­tung durch Rechen­zen­tren,
Out­sour­cing per­so­nen­be­zo­ge­ner Daten­ver­ar­bei­tung im Rah­men von Cloud-Com­pu­ting, ohne dass ein inhalt­li­cher Daten­zu­griff des Cloud-Betrei­bers erfor­der­lich ist,

Kei­ne Auf­trags­ver­ar­bei­tung im Sin­ne von Art. 4 Nr. 8 DS-GVO (son­dern eige­ne Ver­ant­wort­lich­keit) sei (u.a.) z. B. regel­mä­ßig:

 

a) Inan­spruch­nah­me frem­der Fach­lei­stun­gen bei einem eigen­stän­dig Ver­ant­wort­li­chen
• Tätig­kei­ten der Berufs­ge­heim­nis­trä­ger (Steu­er­be­ra­ter, Rechts­an­wäl­te, exter­ne Betriebs­ärz­te, Wirt­schafts­prü­fer),
• Inkas­so­bü­ros mit For­de­rungs­über­tra­gung,
• Bank­in­sti­tu­te für den Geld­trans­fer

b) im Kern kei­ne beauf­trag­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, son­dern der Auf­trags­zie­le auf eine ande­re Tätig­keit:
• vom Ver­mie­ter beauf­trag­te Hand­wer­ker, die dazu die nöti­gen Mie­ter­da­ten erhal­ten,
• Sach­ver­stän­di­ge zur Begut­ach­tung eines Kfz-Scha­dens,
• Per­so­nen­be­för­de­rung, Kran­ken­trans­port­lei­stun­gen

Das BayL­DA weist jedoch dar­auf hin, dass, je nach Sach­ver­halt, vom Ver­ant­wort­li­chen ggfls. Zweck­bin­dung und Ver­trau­lich­keit zu den dabei berühr­ten per­so­nen­be­zo­ge­nen Daten fest­zu­le­gen sein kann.

Eine Ver­öf­fent­li­chung gemäß Mini­ster­rats­be­schluss vom 5. Juni 2018

Der Mini­ster­rat beschließt nach­fol­gen­den Baye­ri­schen Weg zu einer bür­ger­na­hen und mit­tel­stands­freund­li­chen Anwen­dung des Daten­schutz­rechts, die die Zie­le der Daten­schutz-Grund­ver­ord­nung sach­ge­recht und mit Augen­maß ver­folgt und damit auch ihre Akzep­tanz in der Bevöl­ke­rung för­dert:

  • Kein Ama­teur­sport­ver­ein, kei­ne Musik­ka­pel­le oder son­sti­ge vor allem durch ehren­amt­li­ches Enga­ge­ment getra­ge­ne Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten bestel­len.
  • Bei einem Erst­ver­stoß im Dickicht der Daten­schutz­re­geln dro­hen kei­ne Buß­gel­der; Hin­wei­se und Bera­tung haben Vor­rang vor Sank­tio­nen.
  • Wir wer­den eine Pra­xis von Abmahn­an­wäl­ten, die glau­ben bei Unter­neh­men for­mel­le Daten­schutz­ver­stö­ße rechts­miss­bräuch­lich abmah­nen und abkas­sie­ren zu kön­nen, nicht hin­neh­men.
  • Wir wer­den mit den Betrof­fe­nen wei­te­re Bestim­mun­gen im Daten­schutz­recht iden­ti­fi­zie­ren, bei deren Anwen­dung im Beson­de­ren dar­auf hin­zu­wir­ken ist, dass die Zie­le der Daten­schutz-Grund­ver­ord­nung sach­ge­recht und mit Augen­maß ver­folgt wer­den.
  • Hier­zu wer­den wir wei­te­re Gesprä­che mit Ver­ei­nen und Mit­tel­ständ­lern anbie­ten.

Quel­le: All­ge­mei­nes Mini­ste­ri­al­blatt

Eine wesent­li­che Neue­rung der Daten­schutz-Grund­ver­ord­nung (DS-GVO) ist das Instru­ment der sog. Daten­schutz-Fol­gen­ab­schät­zung (DSFA). Die DSFA ist ein wich­ti­ger Bestand­teil des neu ein­ge­führ­ten Kon­zepts des „risi­ko­ori­en­tier­ten Ansat­zes” im Daten­schutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gera­de bei Ver­ar­bei­tun­gen von per­so­nen­be­zo­ge­nen Daten, bei denen ein hohes Risi­ko für die von der Ver­ar­bei­tung betrof­fe­nen Per­so­nen besteht, bewir­ken, dass gezielt Maß­nah­men gefun­den wer­den kön­nen, die die­ses Risi­ko ein­däm­men.

Somit dient der risi­ko­ori­en­tier­te Ansatz der DS-GVO letzt­end­lich zur Aus­wahl der „rich­ti­gen” (d. h. wirk­sa­men und geeig­ne­ten) tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten. Dies bedeu­tet im All­tag für Ver­ant­wort­li­che, dass durch eine Aus­wahl pas­sen­der Maß­nah­men das Risi­ko der Rech­te und Frei­hei­ten für die ein­zel­nen betrof­fe­nen Per­so­nen (z. B. Kun­den, Nut­zer, Beschäf­tig­te) ent­schei­dend redu­ziert bzw. ein­ge­dämmt wer­den kann. Die Not­wen­dig­keit einer tech­ni­schen oder orga­ni­sa­to­ri­schen Maß­nah­me hängt also somit vom „Risi­ko-Level” ab, d. h. von der Höhe eines mög­li­chen Scha­dens für die jewei­li­ge Per­son, wenn es zu einem Ein­tritt des Risi­kos bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kommt.

Wei­ter geht es hier.