Bun­des­tag beschließt 2. DSAn­pUG und ändert damit die Bestell­pflicht betrieb­li­cher Daten­schutz­be­auf­trag­ter gemäß § 38 BDSG

Nach der 2017 beschlos­se­nen Novel­lie­rung des Bun­des­da­ten­schutz­ge­set­zes (BDSG) hat der Bun­des­tag nun auch das bereichs­spe­zi­fi­sche Daten­schutz­recht des Bun­des an die seit Mai 2018 gel­ten­de Daten­schutz-Grund­ver­ord­nung (DS-GVO) ange­passt.

Mit dem in den frü­hen Mor­genst­run­den des 28.06.2019 vom Bun­des­tag ver­ab­schie­de­ten zwei­ten Daten­schutz­an­pas­sungs- und Umset­zungs­ge­setz (2. DSAn­pUG) wer­den zahl­rei­che Geset­ze mit den Vor­ga­ben der DS-GVO in Ein­klang gebracht. Das Gesetz nimmt in 154 Fach­ge­set­zen fast aller Res­sorts Ände­run­gen vor. Zu den Rege­lungs­schwer­punk­ten zäh­len dabei ins­be­son­de­re Anpas­sun­gen von Begriffs­be­stim­mun­gen und von Rechts­grund­la­gen für die Daten­ver­ar­bei­tung sowie Rege­lun­gen zu den Betrof­fe­nen­rech­ten.

Zudem schafft das ver­ab­schie­de­te Gesetz auch Ände­run­gen im BDSG. Mit dem Argu­ment des Büro­kra­tie­ab­baus hat­te die Uni­ons­frak­tio­nen die For­de­rung in die Geset­zes­be­ra­tung ein­ge­bracht, die Gren­ze der Bestell­pflicht für einen betrieb­li­chen Daten­schutz­be­auf­trag­ten (§ 38) auf 50 Per­so­nen zu erhö­hen. Im Rah­men eines Kom­pro­mis­ses haben sich die Koali­ti­ons­frak­tio­nen aber schluss­end­lich doch auf eine Erhö­hung von 10 auf 20 Per­so­nen, die stän­dig per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, ver­stän­digt. Die Gesell­schaft für Daten­schutz und Daten­si­cher­heit e.V. (GDD) hat die über ein Jahr andau­ern­de Dis­kus­si­on rund um das 2. DSAn­pUG fort­lau­fend beglei­tet und dabei vor allem war­nend auf die Ent­schei­dungs­trä­ger in den Koali­ti­ons­frak­tio­nen ein­ge­wirkt, dass eine im Raum ste­hen­de Ver­än­de­rung der For­mu­lie­rung („Per­so­nen, die über­wie­gend mit der Daten­ver­ar­bei­tung befasst sind“) die Bestell­pflicht erheb­lich auf­wei­chen könn­te. Gera­de über den kon­ti­nu­ier­lich betrie­be­nen Kon­takt zu den zustän­di­gen Bericht­erstat­tern für Daten­schutz konn­ten wir über­zeu­gend dar­le­gen, dass die über­leg­te Ände­rung der For­mu­lie­rung dazu füh­ren wür­de, dass ein Beschäf­tig­ter dann mehr als 50 Pro­zent sei­ner Arbeits­zeit für die Daten­ver­ar­bei­tung auf­wen­den müss­te, um “über­wie­gend” mit der Daten­ver­ar­bei­tung befasst zu sein. Die­se Vor­aus­set­zung wür­den nur die wenig­sten Mit­ar­bei­ter in Unter­neh­men erfül­len.

Die Befrei­ung von der Bestell­pflicht eines Daten­schutz­be­auf­trag­ten im Betrieb führt jedoch nicht zu einem Weg­fall ande­rer daten­schutz­recht­li­cher Pflich­ten. Am Ende wird mit dem Weg­fall eines Daten­schutz­be­auf­trag­ten nicht Büro­kra­tie, son­dern Kom­pe­tenz und Sach­ver­stand abge­baut. Auch ohne gesetz­li­che Bestell­pflicht sind Unter­neh­men und Ein­rich­tung gut bera­ten, einen betrieb­li­chen Daten­schutz­be­auf­trag­ten zu benen­nen.

Neben tech­ni­schen Ände­run­gen am BDSG und dem Hin­zu­fü­gen des § 86 BDSG (Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Zwecke staat­li­cher Aus­zeich­nun­gen und Ehrun­gen) wird auch der für die Pra­xis so bedeut­sa­me § 26 BDSG an einer Stel­le ver­än­dert. In § 26 Abs. 2 Satz 3 BDSG ent­fällt das Schrift­form­erfor­der­nis für die Ein­wil­li­gung im Beschäf­tig­ten­ver­hält­nis und wird durch die Wör­ter „hat schrift­lich oder elek­tro­nisch zu erfol­gen“ ersetzt.

Neben dem ver­ab­schie­de­ten Gesetz for­dert die Gro­ße Koali­ti­on die Bun­des­re­gie­rung zudem auf, Art. 85 DS-GVO (Ver­ar­bei­tung zu jour­na­li­sti­schen Zwecken) auch für die Berei­che aus­zu­ge­stal­ten, die nicht Gegen­stand der Medi­en­ge­set­ze der Län­der sind. Damit etwa Blog­ger und ande­re freie Jour­na­li­sten rechts­si­cher arbei­ten kön­nen, soll die­se Rege­lungs­lücke zeit­nah geschlos­sen wer­den. Ange­sichts der Bedeu­tung und Kom­ple­xi­tät des Vor­ha­bens wird dies nun aber im Rah­men eines sepa­ra­ten Gesetz­ge­bungs­ver­fah­rens erfol­gen, um das anson­sten sehr tech­ni­sche Anpas­sungs­ge­setz mit sei­nen zahl­rei­chen Ände­rungs­ar­ti­keln nicht zu über­frach­ten.

Das 2. DSAn­pUG ist von Sei­ten des Bun­des­ra­tes zustim­mungs­be­dürf­tig und tritt am Tag nach der Ver­kün­dung im Bun­des­ge­setz­blatt in Kraft.

Sie­he hier­zu:
https://​www​.bun​des​tag​.de/​d​o​k​u​m​e​n​t​e​/​t​e​x​t​a​r​c​h​i​v​/​2​0​1​9​/​k​w​2​6​-​d​e​-​d​a​t​e​n​s​c​h​u​t​z​-​6​4​9​218

Die DSGVO ist auch nach einem Jahr Pra­xis­test wei­ter in der Dis­kus­si­on. Der Daten­schutz­be­auf­trag­te Ulrich Kel­ber warnt vor Bestre­bun­gen, gel­ten­de Rege­lun­gen zu ver­wäs­sern. Dabei gebe es noch viel zu tun.

Der Bun­des­be­auf­trag­te für den Daten­schutz Ulrich Kel­ber hat vor einer Auf­wei­chung der Vor­schrif­ten in klei­nen und mitt­le­ren Unter­neh­men gewarnt. »Das wäre Kom­pe­tenz­ab­bau, nicht Büro­kra­tie­ab­bau«, sag­te Kel­ber am Mon­tag auf dem Daten­schutz-Kon­gress DuD in Ber­lin. Der büro­kra­ti­sche Auf­wand sei immer auch »eine Art Tot­schlag­s­ar­gu­ment«. Er wür­de eher den Vor­schlag des Ham­bur­ger Daten­schutz­be­auf­trag­ten Johan­nes Cas­par auf­grei­fen und den Daten­schutz ins Grund­ge­setz auf­zu­neh­men.

Nie­der­sach­sen hat­te im April einen Antrag zur Ände­rung daten­schutz­recht­li­cher Bestim­mun­gen in den Bun­des­rat ein­ge­bracht. Auch die FDP hat­te sich wie­der­holt dafür stark­ge­macht, die Vor­ga­ben zu lockern. Unter ande­rem sehen die Vor­ga­ben vor, dass Betrie­be ab zehn Mit­ar­bei­tern einen eige­nen Daten­schutz­be­auf­trag­ten bestel­len müs­sen.

Kri­ti­ker wen­den ein, dass dies klei­ne Unter­neh­men sowie Ver­ei­ne über­pro­por­tio­nal bela­ste. »Wir tun dem Daten­schutz kei­nen Gefal­len, wenn wir den Kanu­ver­ein und den Hand­werks­be­trieb behan­deln wie Face­book oder die Schufa«, sagt etwa der stell­ver­tre­ten­de FDP-Frak­ti­ons­vor­sit­zen­de Ste­phan Tho­mae.

Kel­ber warnt hin­ge­gen vor einem Ver­wäs­sern der Vor­schrif­ten. Dies käme einer Schwä­chung des Daten­schut­zes gleich, ent­geg­ne­te Kel­ber. Er begrü­ße es des­halb sehr, dass ent­spre­chen­de For­de­run­gen auch von der Agen­da des Bun­des­ra­tes genom­men wor­den sei­en.

Nach einem Jahr Daten­schutz­grund­ver­ord­nung (DS-GVO) sei eine abschlie­ßen­de Bilanz noch nicht mög­lich, beton­te Kel­ber. Die Ver­ord­nung sei aber gewis­ser­ma­ßen aus der »Krab­bel­pha­se« her­aus. Die DS-GVO greift seit dem 25. Mai 2018. Wie vie­le Unter­neh­men und Behör­den jedoch trotz einer zwei­jäh­ri­gen Über­gangs­pha­se auf den Start nicht vor­be­rei­tet gewe­sen sei­en, sei bemer­kens­wert gewe­sen.

Nach Ein­schät­zung des Lan­des­be­auf­trag­ten in Baden-Würt­tem­berg, Ste­fan Brink, sind die mas­si­ven Sank­ti­ons­an­dro­hun­gen das effek­tiv­ste Mit­tel der DS-GVO. Damit sei­en zahl­rei­che wei­te­re Unter­neh­men mit ins Boot geholt wor­den. Mit der euro­päi­schen Grund­ver­ord­nung haben die Behör­den erst­mals die Mög­lich­keit, auch emp­find­li­che Buß­gel­der zu ver­hän­gen. Zuvor habe es nur weni­ge Buß­gel­der in Mil­lio­nen­hö­he gege­ben. Die heu­ti­gen Mit­tel sei­en nun »wirk­sam, ver­hält­nis­mä­ßig und abschreckend«. Auf euro­päi­scher Ebe­ne sei aber nun auch Anglei­chun­gen nötig, for­dert Brink. Die täg­li­che Pra­xis der Daten­schutz­be­hör­den sei in den jewei­li­gen Län­dern noch sehr unter­schied­lich.

In der Rück­schau nach einem Jahr DS-GVO hät­ten sich vie­le Befürch­tun­gen wie etwa eine dro­hen­de Abmahn­wel­le nicht bewahr­hei­tet, beton­te Kel­ber. »Es gab vie­le War­nun­gen von Men­schen, die wenig Ahnung hat­ten.« Auch heu­te noch wer­de von Abmahn­wel­len gespro­chen. »In mei­ner Behör­de sind 17.000 Beschwer­den ein­ge­gan­gen, fünf davon betra­fen eine Abmah­nung.« Auch angeb­lich exi­stenz­be­droh­te Leh­rer, die Bil­der ihrer Schü­ler gemacht haben, gebe es nicht. Daten­schutz sei dage­gen zum Export­schla­ger gewor­den und habe end­gül­tig die Klein­staa­te­rei in Euro­pa been­det.

Zugleich gebe es aber auch wei­ter­hin »erkenn­ba­re Schwä­chen«, räum­te Kel­ber ein und warb um Geduld. Auch der »ewi­ge Land­frie­de« gegen mit­tel­al­ter­li­che Feh­den sei vor 500 Jah­ren eine revo­lu­tio­nä­re Idee gewe­sen, die erst ihre Zeit gebraucht habe, um sich effek­tiv durch­zu­set­zen. So müss­ten etwa Her­stel­ler noch stär­ker in Sachen Daten­schutz in die Ver­ant­wor­tung genom­men wer­den. Auch Ver­fah­ren der Künst­li­chen Intel­li­genz gehör­ten auf den Prüf­stand. So lie­ßen sich etwa mit Algo­rith­men für die Pro­fil­bil­dung von Nut­zern nicht nur Anzei­gen ziel­ge­rich­te­ter platz­ie­ren, son­dern auch Ver­hal­ten vor­her­sa­gen. Auch der Staat kön­ne in Ver­su­chung kom­men, Ide­en davon zu über­neh­men.

Seit­dem die Daten­schutz­grund­ver­ord­nung (DS-GVO) ver­gan­ge­nen Mai EU-weit zur Anwen­dung kam, sind bei den zustän­di­gen Behör­den knapp 150.000 Beschwer­den über Ver­stö­ße gegen die neu­en Daten­schutz­re­geln ein­ge­gan­gen.

Bei­trag auf spie­gel-online: https://​www​.spie​gel​.de/​n​e​t​z​w​e​l​t​/​n​e​t​z​p​o​l​i​t​i​k​/​d​s​g​v​o​-​j​a​h​r​e​s​b​i​l​a​n​z​-​f​a​s​t​-​150 – 000-beschwerden-wegen-datenschutzverstoessen-a-1268745.html

In einem für die Bun­des­tags­frak­ti­on der Grü­nen erstell­ten Gut­ach­ten (PDF) gehen der frü­he­re Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar und der frü­he­re Ber­li­ner Lan­des­da­ten­schutz­be­auf­trag­te Alex­an­der Dix hart mit der Bun­des­re­gie­rung und den Lan­des­re­gie­run­gen ins Gericht. Sie hät­ten sich »nur sehr begrenzt um eine Klä­rung offe­ner Rechts­fra­gen und um die Ver­mitt­lung von Kennt­nis­sen über den neu­en euro­päi­schen Rechts­rah­men zum Daten­schutz bemüht«, schrei­ben sie. Dabei sei das gera­de in Deutsch­land wich­tig gewe­sen, weil die Rechts­un­si­cher­heit hier­zu­lan­de durch Spe­zi­al­re­ge­lun­gen beson­ders aus­ge­prägt gewe­sen sei. Statt­des­sen sei es bei den Gesetz­ge­bungs­ak­ti­vi­tä­ten als auch in der Öffent­lich­keits­ar­beit dar­um gegan­gen, »die Posi­ti­on der daten­ver­ar­bei­ten­den öffent­li­chen Stel­len und der Unter­neh­men zu stär­ken«. Als Bei­spiel füh­ren die bei­den Daten­schüt­zer die für Digi­ta­les zustän­di­ge Staats­mi­ni­ste­rin Doro­thee Bär an, die für eine »smar­te Daten­kul­tur« plä­diert und beklagt hat­te, in Deutsch­land exi­stie­re ein »ein Daten­schutz wie im 18. Jahr­hun­dert«. Es sei der Ein­druck erzeugt wor­den, Daten­schutz bedro­he den Wohl­stand, ver­hin­de­re sinn­vol­le IT-Pro­jek­te und erschwe­re das Leben von Ver­ei­nen und klei­nen Unter­neh­men.

Die bei­den ehe­ma­li­gen Daten­schutz­be­auf­trag­ten Peter Schaar und Alex­an­der Dix wer­fen der Bun­des­re­gie­rung vor, sie habe gegen die DS-GVO gear­bei­tet, statt sich um die Klä­rung offe­ner Rechts­fra­gen und die Wis­sens­ver­mitt­lung zu küm­mern. Die Umset­zung und Anwen­dung der Ver­ord­nung sei unam­bi­tio­niert erfolgt.

Unbe­grün­de­te Behaup­tun­gen und zwei­fel­haf­te Rechts­aus­le­gun­gen haben dem Gut­ach­ten zufol­ge dazu geführt, dass die DS-GVO als inno­va­ti­ons­brem­se und Büro­kra­tie­mon­ster wahr­ge­nom­men wur­de. So sei zum Bei­spiel der Ein­druck erweckt wor­den, für jede Daten­ver­ar­bei­tung sei die Ein­wil­li­gung der Betrof­fe­nen erfor­der­lich. Dabei erfol­ge die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Unter­neh­men zumeist im Zusam­men­hang von Ver­trags­ver­hält­nis­sen und zu deren Erfül­lung sei die Ver­ar­bei­tung natür­lich recht­mä­ßig – auch ohne zusätz­li­che Ein­wil­li­gungs­er­klä­rung.

Zudem habe das Neben­ein­an­der von ePri­va­cy-Richt­li­nie und DS-GVO im Zusam­men­spiel mit der »lang anhal­ten­den Arbeits­ver­wei­ge­rung der Bun­des­re­gie­rung« zu erheb­li­cher Unsi­cher­heit geführt. Im Tele­me­di­en­ge­setz sei­en die Vor­ga­ben zur Ver­wen­dung von Coo­kies und ähn­li­chen Tracking-Metho­den nicht nach­voll­zo­gen wor­den – das Tracking zu Wer­be­zwecken sei »ent­ge­gen der kla­ren euro­pa­recht­li­chen Vor­ga­be« auch ohne Ein­wil­li­gung wei­ter­hin erlaubt. Die ein­zi­ge Lösung sei eine Neu­fas­sung des TMG, doch die Bun­des­re­gie­rung las­se »kei­ner­lei Absicht erken­nen, hier tätig zu wer­den.«

Auch die her­auf­be­schwo­re­ne Abmahn­wel­le im Zusam­men­hang mit der DS-GVO ist laut den Schaar und Dix aus­ge­blie­ben. Dage­gen habe sich der Ein­druck auf­ge­drängt, dass in den Medi­en eine Kam­pa­gne gegen Daten­schutz gefah­ren wur­de – bei­spiel­haft nen­nen die bei­den Exper­ten hier die Schlag­zei­len rund um Pro­ble­me mit Namen auf Klin­gel­schil­dern, der Nut­zung von Visi­ten­kar­ten oder die Anre­de von Kun­den mit Namen. In all die­sen Fäl­len habe sich durch die DS-GVO die Rechts­la­ge nicht geän­dert, heißt es in dem Gut­ach­ten. Auch die Behaup­tung, mit der DS-GVO wür­de für Unter­neh­men und Ver­ei­ne die unver­hält­nis­mä­ßi­ge Ver­pflich­tung ein­ge­führt, einen Daten­schutz­be­auf­trag­ten zu bestel­len, sei irre­füh­ren – die habe es auch vor­her schon gege­ben.

Die Zwi­schen­bi­lanz zur Umset­zung und Anwen­dung der DS-GVO in Deutsch­land fällt in dem Gut­ach­ten »über­wie­gend nega­tiv« aus. Bund und Län­der hät­ten die Öff­nungs­klau­seln »teil­wei­se über­stra­pa­ziert« und teil­wei­se »Bestim­mun­gen unter Ver­stoß gegen das uni­ons­recht­li­che Wie­der­ho­lungs­ver­bot schlicht in das deut­sche Recht über­nom­men«. Zum Teil sei­en die Gesetz­ge­bungs­auf­trä­ge schlicht nicht erfüllt wor­den.

»Das Haupt­an­lie­gen des Bun­des­ge­setz­ge­bers war und ist es offen­bar, den recht­li­chen Sta­tus quo in Sachen Daten­schutz in Deutsch­land auch nach dem Inkraft­tre­ten der Grund­ver­ord­nung soweit wie mög­lich unver­än­dert zu las­sen. Die­sem unam­bi­tio­nier­ten Bei­spiel sind die Lan­des­ge­setz­ge­ber weit­ge­hend gefolgt«, schrei­ben Schaar und Dix, die aller­dings auch Kri­tik an der DS-GVO selbst üben. Dort sei­en bei­spiels­wei­se die auto­ma­ti­sier­te Ent­schei­dungs­fin­dung und das Pro­filing nur unzu­rei­chend regelt. Sie for­dern etwa eine »Pflicht zur Auf­klä­rung über die invol­vier­te Logik bei Syste­men der künst­li­chen Intel­li­genz und des maschi­nel­len Ler­nens« und dass »der­ar­ti­ge Syste­me nicht ein­ge­setzt wer­den dür­fen, wenn der Ver­ant­wort­li­che die invol­vier­te Logik selbst nicht ver­steht und sie des­halb der betrof­fe­nen Per­son nicht erklä­ren kann«. Zudem mache auch der zuneh­men­de Ein­satz von Sen­so­rik etwa im Inter­net der Din­ge und die wach­sen­de Bedeu­tung von Big-Data-Anwen­dun­gen eine Über­ar­bei­tung der DS-GVO not­wen­dig, weil sie die garan­tier­ten Grund­sät­ze des Daten­schut­zes aus­zu­höh­len droh­ten.

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) spricht sich gegen eine Abschaf­fung oder Ver­wäs­se­rung der die Daten­schutz­grund­ver­ord­nung ergän­zen­den natio­na­len Rege­lun­gen der Pflicht zur Benen­nung einer oder eines Daten­schutz­be­auf­trag­ten aus. 

Nach § 38 Bun­des­da­ten­schutz­ge­setz müs­sen z. B. Unter­neh­men und Ver­ei­ne Daten­schutz­be­auf­trag­te benen­nen, soweit sie in der Regel min­de­stens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen. Die­se Pflicht hat sich seit vie­len Jah­ren bewährt und ist des­halb auch bei der Daten­schutz­re­form im deut­schen Recht bei­be­hal­ten wor­den. 

Die Daten­schutz­be­auf­trag­ten sor­gen für eine kom­pe­ten­te daten­schutz­recht­li­che Bera­tung, um Daten­schutz­ver­stö­ße schon im Vor­feld zu ver­mei­den und das Sank­ti­ons­ri­si­ko gering zu hal­ten. Dies hat sich ganz beson­ders bei der Umstel­lung auf die Daten­schutz-Grund­ver­ord­nung bewährt. 

Auch beim Weg­fall der natio­na­len Benen­nungs­pflicht von Daten­schutz­be­auf­trag­ten blei­ben die Pflich­ten des Daten­schutz­rechts bestehen. Ver­ant­wort­li­che ver­lie­ren jedoch inter­ne Bera­te­rin­nen und Bera­ter zu Fra­gen des Daten­schut­zes. Der Weg­fall mag kurz­fri­stig als Ent­la­stung emp­fun­den wer­den. Mit­tel­fri­stig geht inter­ne Kom­pe­tenz ver­lo­ren. 

Eine Auf­wei­chung die­ser Benen­nungs­pflicht, ins­be­son­de­re für klei­ne­re Unter­neh­men und Ver­ei­ne, wird die­se daher nicht ent­la­sten, son­dern ihnen mit­tel­fri­stig scha­den. 

Zur Mel­dung DSK

Pres­se­mit­tei­lung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht vom 22.03.2019

Der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig, stell­te am Frei­tag, dem 22. März 2019 in den neu­en Räu­men des BayL­DA den Tätig­keits­be­richt für die Jah­re 2017 und 2018 vor.

Prä­si­dent Kra­nig stell­te den 150-sei­ti­gen Tätig­keits­be­richt für die ver­gan­ge­nen bei­den Jah­re vor und wies zunächst dar­auf hin, dass man kon­kre­te Fäl­le aus dem Zeit­raum vor Anwend­bar­keit der Daten­schutz-Grund­ver­ord­nung (DS-GVO), d.h. vor dem 25. Mai 2018 nur dann in dem Bericht dar­ge­stellt habe, wenn sie auch noch für den neu­en Rechts­rah­men Bedeu­tung haben.

Tätig­keits­be­richt nur noch digi­tal und in Zukunft jähr­lich
Er wies fer­ner dar­auf hin, dass das BayL­DA erst­mals dar­auf ver­zich­tet habe, den Tätig­keits­be­richt als Buch her­aus­zu­ge­ben. Rück­fra­gen bei den Adres­sa­ten der ver­schick­ten Tätig­keits­be­rich­te hät­ten erge­ben, dass die­se nach Erhalt des Buches eigent­lich nur noch mit der digi­ta­len Ver­si­on gear­bei­tet hät­ten. Der vor­ge­leg­te Tätig­keits­be­richt ist der letz­te mit einem zwei­jäh­ri­gen Berichts­zeit­raum, da die Daten­schutz-Grund­ver­ord­nung die Auf­sichts­be­hör­den ver­pflich­tet, in Zukunft jähr­lich ihren Bericht vor­zu­le­gen.

Bera­tung, Bera­tung, Bera­tung
Wie nicht anders zu erwar­ten, ist das BayL­DA – wie ande­re Auf­sichts­be­hör­den auch – mit Anfra­gen über­häuft wor­den, wie die Vor­schrif­ten der DS-GVO im Ein­zel­fall aus­zu­le­gen sind. Gro­ße Unter­neh­men hat­ten in aller Regel die zwei­jäh­ri­ge Über­gangs­frist vom Inkraft­tre­ten der Daten­schutz-Grund­ver­ord­nung am 25. Mai 2016 bis zur Anwend­bar­keit am 25. Mai 2018 genutzt, um sich dar­auf vor­zu­be­rei­ten und ihre Ver­ar­bei­tungs­pro­zes­se anzu­pas­sen. Vie­le klei­ne und mitt­le­re Unter­neh­men, ins­be­son­de­re aber auch Ver­ei­ne, wur­den von dem neu­en Recht über­rascht und durch irre­füh­ren­de Pres­se­be­rich­te (Klin­gel­schil­der, Ver­bie­tung von Kin­der­bil­dern) zusätz­lich ver­un­si­chert. Die Anstren­gun­gen, die gera­de in die­sem Bereich, für den die DS-GVO rela­tiv wenig neue Anfor­de­rung gebracht hat, erfor­der­lich waren, um die bestehen­de Ver­un­si­che­rung zu besei­ti­gen, waren unvor­stell­bar. Tat­sa­che ist jedoch, dass auch heu­te knapp ein Jahr nach Anwend­bar­keit der DS-GVO das Bedürf­nis nach Bera­tung und Rechts­si­cher­heit noch lan­ge nicht befrie­digt ist.

Zah­len und Fak­ten
Eine grö­ße­re Anzahl von Auf­sichts­be­hör­den hat sich dar­auf ver­stän­digt, in einem Kapi­tel „Zah­len und Fak­ten“ sta­ti­sti­sche Anga­ben in einem ein­heit­li­chen For­mat dar­zu­stel­len. Wir haben uns bemüht, dies erst­mals umzu­set­zen. Bes­ser gewor­den sind die Zah­len dadurch jedoch nicht.

Um die gestie­ge­ne Bela­stung für jede ein­zel­ne Mit­ar­bei­te­rin oder Mit­ar­bei­ter trans­pa­rent zu machen, wur­de ermit­telt, wie vie­le Bera­tungs­an­fra­gen, Beschwer­den und Bear­bei­tung von Daten­mit­tei­lung über Daten­schutz­ver­let­zun­gen auf jeweils eine Per­son fal­len. Fie­len auf eine Per­son im Jahr 2014 noch 176 Bera­tungs­an­fra­gen, waren dies im Jahr 2018 schon 384. Die Zahl der Beschwer­den stieg von 60 auf 152 und die Zahl der Bear­bei­tung von Daten­schutz­ver­let­zun­gen von einem Fall auf 103 Fäl­le. Wich­tig ist in die­sem Zusam­men­hang aber dar­auf hin­zu­wei­sen, dass es dar­über hin­aus noch eine gan­ze Men­ge ande­rer Arbei­ten wie die Teil­nah­me an Sit­zun­gen der Auf­sichts­be­hör­den, Vor­trags­ver­an­stal­tun­gen, Erar­bei­tung von Inhal­ten für die Home­page, von Papie­ren für die Daten­schutz­kon­fe­renz oder den euro­päi­schen Daten­schutz­aus­schuss usw. gibt.

Per­so­nal­ent­wick­lung
Aus heu­ti­ger Sicht besteht die begrün­de­te Erwar­tung, dass nach Abschluss des der­zeit lau­fen­den Ver­fah­rens zur Ver­ab­schie­dung des Dop­pel­haus­halts für die Jah­re 2019 und 2020 wir nicht die bean­trag­te Per­so­nal­auf­stockung um 10 Stel­len, aber den­noch eine gewis­se Per­so­nal­ver­stär­kung bekom­men wer­den.

Rele­van­te Ein­zel­the­men
Das neue euro­päi­sche Daten­schutz­recht in Form einer Ver­ord­nung, d. h. einer Rechts­norm die unmit­tel­bar in allen Mit­glied­staa­ten der Euro­päi­schen Uni­on anwend­bar ist, stellt uns vor beson­de­re Her­aus­for­de­run­gen bei der Inter­pre­ta­ti­on. Einer­seits wün­schen vie­le Ver­ant­wort­li­che, wie in der Daten­schutz-Grund­ver­ord­nung die­je­ni­gen genannt wer­den, die mit per­so­nen­be­zo­ge­nen Daten von ande­ren umge­hen, Infor­ma­tio­nen dar­über, wie bestimm­te Vor­schrif­ten zu ver­ste­hen sind. Ande­rer­seits könn­te eine rechts­si­che­re Aus­kunft nur dann erteilt wer­den, wenn die euro­päi­schen Auf­sichts­be­hör­den dar­über ein ein­heit­li­ches Ver­ständ­nis erzielt haben. Dies ist aber ein schwie­ri­ger und zäher Pro­zess.

Wir haben uns des­halb ent­schie­den, sehr früh unse­re Stand­punk­te trans­pa­rent zu machen, in Kurz­pa­pie­ren zu ver­öf­fent­li­chen und auch bei Bera­tun­gen oder Ver­an­stal­tun­gen zu ver­tre­ten. Wir haben dabei immer ver­sucht, dar­auf hin­zu­wei­sen, dass dies eine erste vor­läu­fi­ge Ein­schät­zung ist, die dann kei­nen Bestand mehr hat, wenn sich ent­we­der die Gesamt­heit der deut­schen und/​oder euro­päi­schen Auf­sichts­be­hör­den auf ein ande­res Ver­ständ­nis geei­nigt hat oder wenn der Euro­päi­sche Gerichts­hof eine ver­bind­li­che Aus­le­gung getrof­fen hat.

Die größ­ten Unsi­cher­hei­ten und häu­fig­sten Anfra­gen und auch Aus­sa­gen von uns, bezo­gen sich auf die Infor­ma­ti­ons­pflich­ten, d. h. dar­auf, in wel­cher Art und Wei­se und in wel­chem Umfang Betrof­fe­ne Per­so­nen dar­über infor­miert wer­den müs­sen, wie mit ihren Daten umge­gan­gen wird. Etwa eben­so häu­fig waren Fra­gen nach den Rechts­vor­aus­set­zun­gen für die Ver­öf­fent­li­chung von Bil­dern von Ver­eins­fe­sten, Mit­ar­bei­ter­zei­tun­gen, Berich­te über Ver­an­stal­tun­gen, Erstel­len von Chro­ni­ken usw.

In 19 von 24 Kapi­teln des Tätig­keits­be­richts haben wir aus allen Berei­chen, vom Daten­schutz im Inter­net, über Wer­bung, Ver­si­che­rungs­wirt­schaft, Gesund­heit, Video­über­wa­chung bis zum tech­ni­schen Daten­schutz und der Infor­ma­ti­ons­si­cher­heit Ein­zel­fäl­le dar­ge­stellt und unse­re Bewer­tung trans­pa­rent gemacht.

Sinn und Zweck des Tätig­keits­be­richts
Die Auf­sichts­be­hör­den sind ver­pflich­tet, einen Tätig­keits­be­richt zu erstel­len. Unser Ansatz dabei war, zum einen durch eine mög­lichst detail­lier­te sta­ti­sti­sche Auf­be­rei­tung Trans­pa­renz in unse­re Arbeit zu brin­gen. Erfah­rungs­ge­mäß wird er am mei­sten von Daten­schutz­be­auf­trag­ten gele­sen, die sich dar­über ori­en­tie­ren wol­len, wel­che Rechts­auf­fas­sung ihre Auf­sichts­be­hör­de zu bestimm­ten The­men hat. Wir wün­schen uns auch, dass Bür­ger, die kei­ne Sach­ver­stän­di­gen für Daten­schutz sind, mit dem Tätig­keits­be­richt etwas anfan­gen kön­nen. Wir haben uns des­halb bemüht, die Tex­te so zu for­mu­lie­ren, dass sie auch für Nicht­sach­ver­stän­di­ge ver­ständ­lich sind, ande­rer­seits aber auch durch Anga­be der ent­spre­chen­den Rechts­grund­la­gen Daten­schutz­fach­leu­ten eine Ori­en­tie­rung geben.

Fund­stel­le des Tätig­keits­be­richts
Der Tätig­keits­be­richt für die Jah­re 2017 und 2018 ist unter fol­gen­dem Link erreich­bar: https://​www​.lda​.bay​ern​.de/​d​e​/​t​a​e​t​i​g​k​e​i​t​s​b​e​r​i​c​h​t​e​.​h​tml

Die Pres­se­mit­tei­lun­gen des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht kön­nen hier abge­ru­fen wer­den.

Pres­se­mit­tei­lung des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 21.03.2019

Der aktu­el­le Skan­dal belegt, dass Face­book das The­ma Daten­schutz immer noch stief­müt­ter­lich behan­delt. Gera­de weil die Face­book-Zugangs­da­ten auch für vie­le ande­re Dien­ste als Authen­ti­fi­zie­rungs­mög­lich­keit genutzt wer­den kön­nen, soll­ten Nut­zer des sozia­len Netz­werks unbe­dingt ihre Pass­wör­ter ändern.

Bei Ulrich Kel­ber, dem Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, hat der erneu­te Skan­dal vor allem Kopf­schüt­teln aus­ge­löst: „Es ist zwar trau­rig, aber ein Daten­schutz­vor­fall bei Face­book ist mitt­ler­wei­le lei­der kei­ne gro­ße Über­ra­schung mehr. Skan­da­lös ist aller­dings, dass einer der welt­weit größ­ten IT-Kon­zer­ne offen­sicht­lich nicht weiß, wie Kun­den­pass­wör­ter gespei­chert wer­den müs­sen. Damit setzt Face­book sei­ne Kun­den einem unnö­ti­gen Risi­ko aus. Das ist in etwa so, wie wenn sich Fahr­gä­ste in einem Taxi nicht anschnal­len kön­nen, weil der Fah­rer nicht weiß, wie ein Sicher­heits­gurt funk­tio­niert.“

Da Unter­neh­men beim Anmel­de­pro­zess ledig­lich über­prü­fen müs­sen, ob Zugangs­ken­nung und Pass­wort zuein­an­der pas­sen, ist es Stand der Tech­nik, Pass­wör­ter regel­mä­ßig nur in ver­schlüs­sel­ter Form zu spei­chern, bei­spiels­wei­se als Hash­wert. Bei einem ähn­lich gela­ger­ten Fall hat­te der Lan­des­da­ten­schutz­be­auf­trag­te in Baden-Würt­tem­berg vor eini­gen Mona­ten aus die­sem Grund ein deut­sches Unter­neh­men mit einer Geld­bu­ße belegt.

Der BfDI ist sich daher sicher, dass auch der vor­lie­gen­de Fall peni­bel von den Daten­schutz­auf­sichts­be­hör­den unter­sucht wer­den wird: „Zum einen muss geklärt wer­den, ob Face­book vor­lie­gend gegen Mel­de­vor­schrif­ten nach der Daten­schutz-Grund­ver­ord­nung ver­sto­ßen hat. Das Pro­blem scheint ja bereits seit Janu­ar bekannt gewe­sen zu sein. Unab­hän­gig davon wird die in Euro­pa zustän­di­ge Iri­sche Daten­schutz­be­auf­trag­te sicher­lich die Ein­lei­tung eines Buß­geld­ver­fah­rens prü­fen. Und schließ­lich wer­den wir auch im Euro­päi­schen Daten­schutz­aus­schuss über den Fall dis­ku­tie­ren.“

Face­book hat­te heu­te bekannt gege­ben, dass über Jah­re hin­weg die Pass­wör­ter von hun­der­ten Mil­lio­nen Kun­den unver­schlüs­selt auf inter­nen Ser­vern lagen und so für mehr als 20.000 Mit­ar­bei­ter zugäng­lich waren. Beson­ders kri­tisch ist der Fall, weil die­se Daten nicht nur für den Zugang zum sozia­len Netz­werk selbst, son­dern auch als soge­nann­tes Sin­gle Sign-On genutzt wer­den kön­nen. Vie­le wei­te­re Apps oder Online-Dien­ste ermög­li­chen es, sich mit den Face­book-Zugangs­da­ten bei ihnen anzu­mel­den. So gewäh­ren die Daten poten­ti­ell auch den Zugriff auf wei­te­re gege­be­nen­falls sehr sen­si­ble Daten, etwa aus Gesund­heits-Apps. Face­book-Nut­zer soll­ten daher drin­gend ihr Pass­wort ändern. Tipps für siche­re Pass­wör­ter fin­den sich bei­spiels­wei­se auf der Web­site des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik.

Die Pres­se­mit­tei­lun­gen des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen wer­den.

Einem Bericht zufol­ge konn­ten Jour­na­li­sten Daten von 460.000 Nut­zern eines schwe­di­schen Kick­scoo­ter­ver­lei­hers ein­se­hen: Namen, Mail­adres­sen und Mobil­funk­num­mern. Von einem „gra­vie­ren­den Vor­fall“ spricht Ste­fan Brink, der Lan­des­be­auf­trag­te für Daten­schutz in Baden-Würt­tem­berg: „Da wür­de ich grund­sätz­lich schon von einem hohen Risi­ko aus­ge­hen, weil man mit sol­chen Daten zum Bei­spiel so etwas wie einen Iden­ti­täts­dieb­stahl bege­hen kann.“

https://​www​.br​.de/​n​a​c​h​r​i​c​h​t​e​n​/​n​e​t​z​w​e​l​t​/​d​a​t​e​n​p​a​n​n​e​-​b​e​i​-​s​t​a​r​t​-​u​p​-​v​o​i​,​R​L​5​H​b5R

Das sozia­le Netz­werk Myspace hat bei einem Ser­ver­um­zug aus Ver­se­hen mehr als 50 Mil­lio­nen Fotos, Vide­os und Musik­stücke unwie­der­bring­lich gelöscht.

Immer wie­der war­nen Exper­ten davor, dass das Inter­net nichts ver­gisst. Wenn der hoch­se­riö­se Arbeit­ge­ber einen beim Bewer­bungs­ge­spräch plötz­lich auf die Voll­rausch­fo­tos aus dem Strip­club beim Jung­ge­sel­len­ab­schied abspricht, kann das mehr als pein­lich sein. Aber auch der umge­kehr­te Fall ist nicht immer unbe­dingt ange­nehm, wie jetzt eine gigan­ti­sche Pan­ne beim sozia­len Netz­werk Myspace zeigt. Bei einem Umzug auf neue Ser­ver wur­den über 50 Mil­lio­nen alte Datei­en ver­se­hent­lich so kor­rum­piert, dass sie nicht mehr nutz- und wie­der­her­stell­bar sind. Von dem Daten­un­fall betrof­fen ist ein gro­ßer Teil der Medi­en­da­tei­en wie Fotos, Vide­os und vor allem Musik­stücke, die zwi­schen 2003 und 2015 auf Myspace ver­öf­fent­licht wur­den.

Das ist für die Nut­zer und das Netz­werk glei­cher­ma­ßen ärger­lich. Zwar hat die 2003 gegrün­de­te Platt­form ihren Zenit längst über­schrit­ten und hat Gigan­ten wie Face­book mit ihren zuletzt noch rund 10 bis 15 Mil­lio­nen monat­lich akti­ven Nut­zern kaum noch etwas ent­ge­gen zu set­zen. Aber gera­de bei noch wenig bekann­ten Künst­lern und ins­be­son­de­re Musi­kern ist die Platt­form noch immer beliebt, um neue Wer­ke zu ver­öf­fent­li­chen und sich dar­über ein Publi­kum zu erschlie­ßen. Immer­hin war Myspace vor dem gro­ßen Auf­schwung von You­tube bis fast 2010 unan­ge­foch­te­ner Spit­zen­rei­ter für sol­che Zwecke. Manch ein Back­up-Fau­ler die­ser Musi­ker könn­te damit nun einen Teil sei­ner Wer­ke für immer ver­lo­ren haben. Und das Netz­werk selbst dürf­te durch den Repu­ta­ti­ons­ver­lust sei­nen eige­nen Nie­der­gang noch­mals beschleu­nigt haben.

Der Lan­des­da­ten­schutz­be­auf­trag­te für den Daten­schutz, Dr. Ste­fan Brink, sieht das „Poten­zi­al für eine Kla­ge­wel­le“. Fir­men und Beschäf­tig­ten sei oft noch nicht bewusst, wie umfas­send das Aus­kunfts­recht sei; es müs­se „im Prin­zip alles“ her­aus­ge­ge­ben wer­den.

https://​www​.stutt​gar​ter​-zei​tung​.de/​i​n​h​a​l​t​.​u​r​t​e​i​l​-​d​e​s​-​l​a​n​d​e​a​r​b​e​i​t​s​g​e​r​i​c​h​t​s​-​d​a​t​e​n​s​c​h​u​t​z​-​f​i​r​m​e​n​-​d​r​o​h​t​-​p​r​o​z​e​s​s​w​e​l​l​e​.​8​3​1​6​a​d​b​5​-​1​c​e​0​-​4​7​2​b​-​9​6​3​e​-​2​e​d​8​7​6​8​2​f​4​c​d​.​h​tml