Die  Euro­päi­sche  Kom­mis­si­on  hat  einen  Leit­fa­den  zum  Pri­va­cy-Shield ver­öf­fent­licht. Die­sen kön­nen Inter­es­sier­te auch in der deut­schen Über­set­zung abru­fen.

Der Leit­fa­den gibt nicht nur Ant­wor­ten auf die Fra­ge “Was ist der EU-US-Daten­schutz­schild und war­um brau­chen wir ihn?”, son­dern gibt auch eine Erklä­rung zu der Fra­ge, wie genau denn der Schutz­schild über­haupt funk­tio­niert.

Für  Betrof­fe­ne  beson­ders  inter­es­sant  dürf­ten  die  Aus­füh­run­gen  sein,  wel­che  Ver­pflich­tun­gen,  die  dem  Daten­schutz­schild  ange­schlos­se­nen  Unter­neh­men  haben  und  wel­che  Rech­te  im  Zusam­men­hang  mit  der  Ver­wen­dung  per­so­nen­be­zo­ge­nen  Daten  der  Betrof­fe­nen bestehen.

Quel­le: Euro­päi­sche Kom­mis­si­on

Auch in der DS-GVO fin­det sich eine Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung – jetzt Auf­trags­ver­ar­bei­tung genannt – wie­der. Aller­dings legt die DS-GVO den Auf­trags­ver­ar­bei­tern künf­tig mehr Ver­ant­wor­tung und Pflich­ten auf als bis­lang. Wel­che Rah­men­be­din­gun­gen beson­ders im Fokus ste­hen hat das BayL­DA in einem kur­zem Papier zusam­men­ge­fasst, das nach­fol­gend her­un­ter­ge­la­den wer­den kann.

https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​b​a​y​l​d​a​_​d​s​-​g​v​o​_​1​0​_​p​r​o​c​e​s​s​o​r​.​pdf

Zum Daten­schutz­be­auf­trag­ten kön­nen jedoch nicht Per­so­nen bestellt wer­den, die dane­ben im Unter­neh­men noch sol­che Auf­ga­ben wahr­neh­men, die zu Inter­es­sen­kon­flik­ten mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten füh­ren kön­nen. Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) hat in einem sol­chen Fall eine Geld­bu­ße gegen ein Unter­neh­men aus­ge­spro­chen.

Unter­neh­men und ande­re Stel­len müs­sen einen Daten­schutz­be­auf­trag­ten bestel­len, wenn bei ihnen min­de­stens zehn Per­so­nen mit der auto­ma­ti­sier­ten Ver­ar­bei­tung  per­so­nen­be­zo­ge­ner Daten befasst sind. Zahl­rei­che Unter­neh­men erfül­len die­se  Vor­aus­set­zun­gen. Das Gesetz stellt es Unter­neh­men und ande­ren Stel­len frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Wird ein Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten  bestellt, so darf er jedoch dane­ben  nicht  noch  für sol­che Auf­ga­ben  zustän­dig sein,  die die Gefahr von Inter­es­sen­kon­flik­ten mit sei­ner Funk­ti­on als Daten­schutz­be­auf­trag­ter mit sich brin­gen kön­nen.

Eine sol­che Inter­es­sen­kol­li­si­on lag nach Auf­fas­sung des BayL­DA im Fal­le eines Daten­schutz­be­auf­trag­ten eines baye­ri­schen Unter­neh­mens vor, der die Posi­ti­on des „IT-Mana­gers“ des Unter­neh­mens beklei­de­te. Eine  der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten. Dies lie­fe letzt­lich auf eine Daten­schutz­kon­trol­le eines der maß­geb­li­chen zu kon­trol­lie­ren­den Funk­ti­ons­trä­ger im Unter­neh­men durch sich selbst hin­aus. Eine sol­che Selbst­kon­trol­le wider­spricht der Funk­ti­on eines Daten­schutz­be­auf­trag­ten, der gera­de eine unab­hän­gi­ge Instanz sein soll, die im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hin­wirkt. Die­se Auf­ga­be kann der Daten­schutz­be­auf­trag­te nicht erfül­len, wenn er gleich­zei­tig maß­geb­li­che ope­ra­ti­ve Ver­ant­wor­tung für Daten­ver­ar­bei­tungs­pro­zes­se besitzt.

Das BayL­DA hat­te das Unter­neh­men auf die­sen Umstand hin­ge­wie­sen und zur Bestel­lung eines Daten­schutz­be­auf­trag­ten auf­ge­for­dert, der kei­ner der­ar­ti­gen Inter­es­sen­kol­li­si­on unter­liegt. Das Unter­neh­men kün­dig­te zwar wie­der­holt an, im Zuge von Umstruk­tu­rie­run­gen auch die Funk­ti­on des Daten­schutz­be­auf­trag­ten neu zu beklei­den. Es ver­säum­te es jedoch über Mona­te, dem BayL­DA den Nach­weis für die Bestel­lung eines geeig­ne­ten Daten­schutz­be­auf­trag­ten vor­zu­le­gen. Vor  die­sem  Hin­ter­grund hat  das  BayL­DA  gegen  das  Unter­neh­men  eine Geld­bu­ße fest­ge­setzt, die inzwi­schen bestands­kräf­tig ist.

Der betrieb­li­che Daten­schutz­be­auf­trag­te ist ein Erfolgs­mo­dell und  ein  sehr  wich­ti­ges  Ele­ment der  Daten­schutz­or­ga­ni­sa­ti­on in Deutsch­land. Die Funk­ti­on des Daten­schutz­be­auf­trag­ten kann aber nicht durch eine Per­son wahr­ge­nom­men wer­den, die dane­ben im Unter­neh­men noch Auf­ga­ben inne­hat, die in einem Span­nungs­ver­hält­nis mit einer  unab­hän­gi­gen,  effek­ti­ven  inter­nen  Auf­sicht  über  den  Daten­schutz  ste­hen. Unter­neh­men,  die  gesetz­lich  zur Bestel­lung  eines  Daten­schutz­be­auf­trag­ten  ver­pflich­tet  sind, kön­nen daher  nur  eine  sol­che Per­son  zum  Daten­schutz­be­auf­trag­ten  bestel­len,  die  in der  Lage  ist,  die­se  Auf­ga­be  frei  von  sach­frem­den  Zwän­gen  aus­zu­üben.  Und wenn sie das trotz wie­der­hol­ter Auf­for­de­rung nicht machen, müs­sen sie not­falls mit Buß­geld dazu gezwun­gen wer­den.“, betont Tho­mas Kra­nig, der Prä­si­dent des BayL­DA.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​8​.​pdf

Die neue EU-Daten­schutz-Grund­ver­ord­nung (DS-GVO) und die dadurch erfor­der­li­che Anpas­sung des natio­na­len Daten­schutz­rechts stel­len Unter­neh­men und Behör­den vor gro­ße Her­aus­for­de­run­gen. Um die Sicher­heit von Kunden‑, Mit­ar­bei­ter- und Geschäfts­da­ten zu gewähr­lei­sten, müs­sen bestehen­de Manage­ment­sy­ste­me an die neu­en Anfor­de­run­gen ange­passt und regel­mä­ßig über­prüft wer­den. Hil­fe durch den Dschun­gel der neu­en Rege­lun­gen bie­tet der betrieb­li­che Daten­schutz­be­auf­trag­te. Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. stellt jetzt hier­zu ein aktua­li­sier­tes Berufs­bild vor.

Dar­in beschreibt der BvD die Anfor­de­run­gen und Auf­ga­ben für Daten­schutz­be­auf­trag­te durch die neue DS-GVO, die ab 25. Mai 2018 von Fir­men und Behör­den ange­wen­det wer­den muss. Die Selbst­ver­pflich­tung der Daten­schutz­be­auf­trag­ten auf das aktua­li­sier­te Leit­bild sichert Unter­neh­men und Behör­den ein Daten­schutz-Know­how auf höch­stem Niveau und sorgt für Repu­ta­ti­on, Glaub­wür­dig­keit und Kun­den­bin­dung.

Im Kern obliegt dem Daten­schutz­be­auf­trag­ten die Auf­ga­be, ein funk­tio­nie­ren­des Daten­schutz­ma­nage­ment zu ent­wickeln und Unter­neh­men zu unter­stüt­zen, bestehen­de Syste­me an die neu­en Anfor­de­run­gen anzu­pas­sen. Er berät die Unter­neh­mens­lei­tung und unter­stützt bei der recht­lich ein­wand­frei­en Daten­ver­ar­bei­tung sowie der Doku­men­ta­ti­on von Daten­schutz­maß­nah­men und Daten­ver­ar­bei­tungs­pro­zes­sen. Zudem schult er Mit­ar­bei­ter und Betriebs­rä­te, um sie für den siche­ren Umgang mit Daten zu sen­si­bi­li­sie­ren.

Inter­es­sier­te kön­nen das neue Berufs­bild auf den Inter­net­sei­ten des BvD unter https://​www​.bvd​net​.de/​b​e​r​u​f​s​b​i​l​d​.​h​tml down­loa­den.

Bür­ge­rin­nen und Bür­ger euro­pa­weit durch unter­schied­li­che Aktio­nen für einen sicher­heits­be­wuss­ten Umgang mit dem Inter­net zu sen­si­bi­li­sie­ren, ist das Ziel des Euro­pean Cyber Secu­ri­ty Mon­th (ECSM). Aus die­sem Anlass infor­miert das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) im Okto­ber zu vier ver­schie­de­nen The­men­schwer­punk­ten aus dem Bereich der IT- und Inter­net­si­cher­heit. Den Auf­takt macht die Akti­ons­wo­che “Sicher online bezah­len”.

Mit dem orts- und zeit­un­ab­hän­gi­gen Ein­kauf im Inter­net ist das Leben von Mil­lio­nen von Men­schen ein­fa­cher und beque­mer gewor­den. Ein sicher­heits­re­le­van­ter Aspekt dabei ist die Bezah­lung. Vie­le gän­gi­ge Metho­den zur Bezah­lung in Online-Shops erfor­dern die Über­mitt­lung sen­si­bler Infor­ma­tio­nen wie Kre­dit­kar­ten- oder Kon­to­da­ten. Die­se soll­ten stets ver­schlüs­selt über­tra­gen wer­den. Ver­brau­che­rin­nen und Ver­brau­cher erken­nen dies an dem Kür­zel “htt­ps” und einem klei­nen Vor­hän­ge­schloss-Sym­bol in der Adress­zei­le des Brow­sers. Es bedeu­tet, dass der Anbie­ter der Inter­net­sei­te nach der Über­prü­fung durch eine unab­hän­gi­ge Stel­le ein gül­ti­ges Zer­ti­fi­kat vor­wei­sen kann, das sei­ne Iden­ti­tät bestä­tigt. Ein beson­ders hohes Maß an Ver­läss­lich­keit bie­ten soge­nann­te Exten­ded-Vali­da­ti­on-Zer­ti­fi­ka­te (EV-Zer­ti­fi­kat), da Antrag­stel­ler dafür erwei­ter­te Sicher­heits­kri­te­ri­en erfül­len müs­sen. Zu erken­nen ist ein EV-Zer­ti­fi­kat meist an einer grün gefärb­ten Adress­zei­le im Brow­ser.

Alter­na­tiv kön­nen Online-Shop­per auf Online-Bezahl­dien­ste zurück­grei­fen. Dort wer­den die Kon­to­da­ten ein­ma­lig hin­ter­legt. Beim Bezahl­vor­gang wird der Kun­de dann vom Inter­net-Shop auf die gesi­cher­te Sei­te des Dienst­lei­sters oder die Umge­bung der kon­to­füh­ren­den Bank wei­ter­ge­lei­tet, wo die Zah­lung aus­ge­führt wird. Eine Wei­ter­ga­be von sen­si­blen Kon­to­da­ten über das Inter­net an Drit­te ist dadurch nicht not­wen­dig.

Dop­pel­ter Nach­weis beim Bezah­len

Um dem Miss­brauch gestoh­le­ner Kon­to- oder Kre­dit­kar­ten­da­ten vor­zu­beu­gen, exi­stie­ren Ver­fah­ren mit Zwei-Fak­tor-Authen­ti­fi­zie­rung. Dabei genügt es nicht, beim Bezahl­vor­gang ledig­lich die not­wen­di­gen Kon­to- oder Kar­ten­in­for­ma­tio­nen ein­zu­ge­ben. Viel­mehr muss der Nut­zer in einer der Kate­go­rien Wis­sen, Besitz oder Inhä­renz den Nach­weis erbrin­gen, dass er tat­säch­lich der recht­mä­ßi­ge Besit­zer des Kon­tos oder der Bezahl­kar­te ist. Zu den mög­li­chen Authen­ti­fi­zie­rungs­we­gen gehö­ren ein Pass­wort (Wis­sen), eine beim Bezahl­vor­gang an das Han­dy geschick­te TAN (Besitz) oder die Über­tra­gung des gescann­ten Fin­ger­ab­drucks (Inhä­renz). Die­ser Nach­weis macht die Kre­dit­kar­ten- und EC-Kar­ten-Zah­lung im Inter­net siche­rer und hilft dabei, Schä­den durch Betrugs­fäl­le zu redu­zie­ren.

Wei­te­re Infor­ma­tio­nen zum The­ma sowie ein pas­sen­des Video sind abruf­bar unter: https://​www​.bsi​-fuer​-bue​r​ger​.de/​B​S​I​F​B​/​D​E​/​S​e​r​v​i​c​e​/​A​k​t​u​e​l​l​/​I​n​f​o​r​m​a​t​i​o​n​e​n​/​A​r​t​i​k​e​l​/​s​i​c​h​e​r​_​o​n​l​i​n​e​_​b​e​z​a​h​l​e​n​_​0​5​1​0​2​0​1​6​.​h​tml

Über den ECSM

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) unter­stützt und koor­di­niert im Okto­ber den Euro­pean Cyber Secu­ri­ty Mon­th (ECSM) in Deutsch­land. Unter dem Mot­to “Ins Inter­net – mit Sicher­heit” infor­miert das BSI wäh­rend des Akti­ons­mo­nats über die all­täg­li­chen Gefähr­dun­gen in der Cyber-Welt und sen­si­bi­li­siert Bür­ge­rin­nen und Bür­ger sowie Orga­ni­sa­tio­nen für einen umsich­ti­gen und ver­ant­wor­tungs­be­wuss­ten Umgang mit dem Inter­net. Neben dem BSI mit sei­nen Akti­vi­tä­ten betei­li­gen sich über 50 wei­te­re Part­ner mit eige­nen Aktio­nen am ECSM.

Quel­le: BSI Pres­se­mit­tei­lung

​Der Düs­sel­dor­fer Kreis hat in einem Beschluss vom 13./14. Sep­tem­ber 2016 mit­ge­teilt, dass bis­her erteil­te Ein­wil­li­gun­gen unter der Daten­schutz-Grund­ver­ord­nung fort­gel­ten, sofern sie der Art nach den Bedin­gun­gen der DS-GVO ent­spre­chen. Somit erfül­len bis­her rechts­wirk­sa­me Ein­wil­li­gun­gen grund­sätz­lich die­se Bedin­gun­gen. Der Beschluss kann hier her­un­ter­ge­la­den wer­den.

​(hmbbfdi, 27.9.2016) Der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat eine Ver­wal­tungs­an­ord­nung erlas­sen, die es Face­book ab sofort unter­sagt, Daten von deut­schen Whats­App-Nut­zern zu erhe­ben und zu spei­chern. Face­book wird fer­ner auf­ge­ge­ben, bereits durch Whats­App an das Unter­neh­men über­mit­tel­te Daten zu löschen.

Face­book und Whats­App sind selbst­stän­di­ge Unter­neh­men, die die Daten ihrer jewei­li­gen Nut­zer auf Grund­la­ge ihrer eige­nen Nut­zungs- und Daten­schutz­be­din­gun­gen ver­ar­bei­ten. Nach dem Erwerb von Whats­App durch Face­book vor zwei Jah­ren haben sie öffent­lich zuge­si­chert, dass die Daten der Nut­zer nicht mit­ein­an­der aus­ge­tauscht wer­den. Dass dies nun doch geschieht, ist nicht nur eine Irre­füh­rung der Nut­zer und der Öffent­lich­keit, son­dern stellt auch einen Ver­stoß gegen das natio­na­le Daten­schutz­recht dar. Denn ein sol­cher Aus­tausch ist nur dann zuläs­sig, wenn sowohl auf Sei­ten des Unter­neh­mens, das Daten lie­fert (Whats­App) als auch bei dem emp­fan­gen­den Unter­neh­men (Face­book) eine Rechts­grund­la­ge dafür vor­liegt. Face­book hat aller­dings weder eine wirk­sa­me Ein­wil­li­gung von den Nut­zern von Whats­App ein­ge­holt, noch ist eine gesetz­li­che Grund­la­ge für den Daten­emp­fang vor­han­den.

Dass Face­book die Rege­lun­gen des deut­schen Daten­schutz­rechts respek­tie­ren muss, ist klar, nach­dem im Juli der EuGH in einem Urteil bestä­tigt hat, dass natio­na­les Daten­schutz­recht anwend­bar ist, wenn ein Unter­neh­men im Zusam­men­hang mit einer natio­na­len Nie­der­las­sung Daten ver­ar­bei­tet. Dies tut Face­book in Deutsch­land durch sei­ne Nie­der­las­sung in Ham­burg, die das deutsch­spra­chi­ge Wer­be­ge­schäft betreibt.

Hier­zu der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit, Johan­nes Cas­par:

Die Anord­nung schützt die Daten der ca. 35 Mil­lio­nen Whats­App-Nut­zer in Deutsch­land. Es muss ihre jewei­li­ge Ent­schei­dung sein, ob sie eine Ver­bin­dung ihres Kon­tos mit Face­book wün­schen. Dazu muss Face­book sie vor­ab um Erlaub­nis fra­gen. Dies ist nicht gesche­hen.

Dazu kom­men noch vie­le Mil­lio­nen Per­so­nen, deren Kon­takt­da­ten aus den Adress­bü­chern der Nut­zer zu Whats­App hoch­ge­la­den wur­den, ohne dass die­se etwas mit Face­book oder Whats­App zu tun haben müs­sen. Die­se gigan­ti­sche Men­ge von Daten hat Face­book zwar nach eige­nem Bekun­den noch nicht erho­ben. Die Ant­wort von Face­book, dass dies ledig­lich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sor­ge, dass das Aus­maß des Daten­ver­sto­ßes noch mas­si­ve­re Aus­wir­kun­gen nach sich zie­hen wird.“

https://​www​.daten​schutz​.de/​w​p​-​c​o​n​t​e​n​t​/​u​p​l​o​a​d​s​/​k​a​l​i​n​s​-​p​d​f​/​s​i​n​g​l​e​s​/​a​n​o​r​d​n​u​n​g​-​g​e​g​e​n​-​m​a​s​s​e​n​d​a​t​e​n​a​b​g​l​e​i​c​h​-​z​w​i​s​c​h​e​n​-​w​h​a​t​s​a​p​p​-​u​n​d​-​f​a​c​e​b​o​o​k​.​pdf

Wenn sen­si­ble Daten im Unter­neh­men abhan­den­kom­men, dro­hen meist schwer zu kal­ku­lie­ren­de Aus­wir­kun­gen – vom Ver­trau­ens­ver­lust bei Kun­den, Image-Schä­den gegen­über Geschäfts­part­nern bis hin zu gro­ßen finan­zi­el­len Ein­bu­ßen, die sich auf das Jah­res­er­geb­nis nie­der­schla­gen kön­nen. Schon heu­te zeigt sich, dass eine akti­ve und umfas­sen­de Zusam­men­ar­beit mit der Auf­sichts­be­hör­de nicht nur die Schä­den hier­bei bes­ser ein­zu­gren­zen hilft, son­dern auch geeig­net ist, um die Betrof­fe­nen fach­ge­recht zu infor­mie­ren. Wel­che neu­en Anfor­de­run­gen an die Mel­dung von Daten­pan­nen in der Grund­ver­ord­nung ver­an­kert sind, hat das BayL­DA in einem neu­en kur­zen Papier zusam­men­ge­fasst. Das Doku­ment kann nach­fol­gend her­un­ter­ge­la­den wer­den.

WiM – Wirt­schaft in Mit­tel­fran­ken, Aus­ga­be 09|2016, Sei­te 20

​Die Daten­schutz-Grund­ver­ord­nung regelt ab 2018 die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten. Unter­neh­men soll­ten sich schon jetzt vor­be­rei­ten.

Gewal­ti­ge Lob­by-Schlach­ten sind wegen der Daten­schutz-Grund­ver­ord­nung (DS-GVO) geführt wor­den. Sie wur­de nun am 4. Mai 2016 im Amts­blatt der Euro­päi­schen Uni­on ver­öf­fent­licht und regelt ins­be­son­de­re die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. In Kraft tre­ten wird sie zwar erst am 25. Mai 2018, aber die­se zwei­jäh­ri­ge Über­gangs­zeit soll­ten alle Unter­neh­men inten­siv für die Vor­be­rei­tung nut­zen.

Auch nach dem Abschluss des Gesetz­ge­bungs­ver­fah­rens wird kon­tro­vers über Aus­ge­stal­tung und Bedeu­tung des Regel­werks dis­ku­tiert, das fol­gen­de amt­li­che Bezeich­nung trägt: „Ver­ord­nung (EU) 2016/​679 des Euro­päi­schen Par­la­ments und des Rates vom 27. April 2016 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum frei­en Daten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/​46/​EG (Daten­schutz Grund­ord­nung)“. Die­se sper­ri­ge Bezeich­nung könn­te sym­bo­lisch ste­hen für die Unsi­cher­heit, mit der Unter­neh­men, Behör­den, Ver­ei­ne, Ver­bän­de und Frei­be­ruf­ler den künf­ti­gen Vor­schrif­ten gegen­über­ste­hen. Denn dar­über, wie die neu­en Nor­men im Detail wirk­lich zu ver­ste­hen bzw. zu voll­zie­hen sein wer­den, wird viel­fach spe­ku­liert. Für mehr Klar­heit sor­gen dürf­ten in den näch­sten Mona­ten Ver­laut­ba­run­gen und Leit­li­ni­en der deut­schen Auf­sichts­be­hör­den und des neu geschaf­fe­nen Euro­päi­schen Daten­schutz­aus­schus­ses. Daten­schutz-Exper­ten sind sich aber einig, dass abschlie­ßen­de Klar­heit in ein­zel­nen Fra­gen – etwa bei den erheb­lich geän­der­ten Nor­men im Bereich der Daten­si­cher­heit – wohl erst im Lau­fe der näch­sten Jah­re durch die Recht­spre­chung des Euro­päi­schen Gerichts­hofs geschaf­fen wer­den wird.

Dies bedeu­tet aber nicht, dass Unter­neh­men erst ein­mal abwar­ten soll­ten. Viel­mehr soll­ten sie schon jetzt ana­ly­sie­ren, in wel­chen Berei­chen sie durch die DS-GVO betrof­fen sein könn­ten. Denn die wesent­li­chen Bestim­mun­gen lie­gen fest: Die DS-GVO regelt vor allem die Art und Wei­se, wie jeg­li­che per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den dür­fen. „Ver­ar­bei­tung“ ist der neue Ein­heits­be­griff, der die bis­he­ri­gen dif­fe­ren­zier­ten Begrif­fe umfasst („Daten erhe­ben, spei­chern, ver­än­dern, über­mit­teln, sper­ren, löschen oder nut­zen“). Als per­so­nen­be­zo­ge­ne Daten gel­ten alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen. Iden­ti­fi­ziert wer­den kann eine Per­son laut DS-GVO, wenn ihr direkt oder indi­rekt ein Name, eine Kenn­num­mer (z.B. Steu­er­num­mer), Stand­ort­da­ten, eine Online-Ken­nung (E‑Mail-Adres­se) oder ein oder meh­re­re cha­rak­te­ri­sti­sche Merk­ma­le zuge­ord­net wer­den kön­nen. Die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten muss nicht zwin­gend in der EU selbst statt­fin­den. Viel­mehr erfasst die DS-GVO auch die Daten­ver­ar­bei­tung außer­halb der EU, wenn sie durch einen Ver­ant­wort­li­chen oder einen Auf­trags­ver­ar­bei­ter mit Sitz in der EU erfolgt.

Wie das bis­he­ri­ge Daten­schutz­recht geht auch die DS-GVO davon aus, dass mit per­so­nen­be­zo­ge­nen Daten nur dann umge­gan­gen wer­den darf, wenn eine Ein­wil­li­gung des Betrof­fe­nen vor­liegt oder wenn eine Rechts­grund­la­ge dies erlaubt oder anord­net.

Daten­ver­ar­bei­tung doku­men­tie­ren

Die Kennt­nis die­ser Rege­lun­gen der DS-GVO reicht für die Unter­neh­men aus, um sich schon jetzt an die wich­tig­sten Vor­be­rei­tungs­ar­bei­ten zu machen. Sie bil­den die Basis, um spä­ter beur­tei­len zu kön­nen, ob der Betrieb die Vor­schrif­ten der DS-GVO ein­hält. Jedes Unter­neh­men soll­te jetzt sehr genau prü­fen, wel­che per­so­nen­be­zo­ge­nen Daten von Mit­ar­bei­tern, Kun­den oder son­sti­gen Geschäfts­part­nern ver­ar­bei­tet wer­den, auf wel­cher Rechts­grund­la­ge die­se Ver­ar­bei­tung erfolgt, zu wel­chem Zweck dies geschieht, an wen Daten über­mit­telt und wann die­se Daten gelöscht wer­den. Eigent­lich sind die ver­ant­wort­li­chen Stel­len auf­grund des gel­ten­den Bun­des­da­ten­schutz­ge­set­zes schon jetzt ver­pflich­tet, ent­spre­chen­de Ver­fah­rens­ver­zeich­nis­se zu erstel­len und zu füh­ren. Aus der Prüf­pra­xis des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht ergibt sich, dass dies von vie­len Unter­neh­men eher als eine lästi­ge For­ma­lie ange­se­hen wird und des­halb als Doku­men­ta­ti­on über die Daten­ver­ar­bei­tung im Unter­neh­men häu­fig nicht aus­rei­chend ist. Nur wer eine der­ar­ti­ge Ver­ar­bei­tungs­über­sicht hat und Daten­be­stand und Daten­flüs­se im eige­nen Unter­neh­men iden­ti­fi­zie­ren kann, wird in der Lage sein, die daten­schutz­recht­li­chen Vor­ga­ben zu erfül­len. Ernst wird es spä­te­stens mit der DS-GVO: Sie ver­pflich­tet die Daten­ver­ar­bei­ter eben­falls, der­ar­ti­ge Ver­fah­rens­über­sich­ten zu füh­ren und die Fol­gen bestimm­ter Maß­nah­men (z. B. Video­über­wa­chung) für den Daten­schutz abzu­schät­zen und zu doku­men­tie­ren. Ver­stö­ße dage­gen unter­lie­gen extrem hohen Sank­tio­nen.

Alle Unter­neh­men soll­ten des­halb für Trans­pa­renz über die Daten­ver­ar­bei­tung im eige­nen Unter­neh­men sor­gen. Nur wenn man weiß, wel­che Daten auf wel­che Art und Wei­se ver­ar­bei­tet wer­den, wird man prü­fen kön­nen, ob die­se Ver­ar­bei­tung in Zukunft unter den Vor­aus­set­zun­gen der DS-GVO noch so mög­lich ist bzw. was gege­be­nen­falls geän­dert wer­den muss. Die zwei­jäh­ri­ge Über­gangs­pha­se bis zum Inkraft­tre­ten der Grund­ver­ord­nung soll­te inten­siv genutzt wer­den. Die­se Zeit­span­ne wer­den vie­le Unter­neh­men brau­chen, um ihre Pro­zes­se anzu­pas­sen und umzu­stel­len. Eine wei­te­re Über­gangs­pha­se nach dem 25. Mai 2018 bzw. eine Schon­frist bei der Prü­fung durch die Auf­sichts­be­hör­den wird es jeden­falls nicht geben.

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht infor­miert über alle Fra­gen zu den Vor­schrif­ten der neu­en DS-GVO. Das Lan­des­amt und alle ande­ren Auf­sichts­be­hör­den sowie die Kam­mern und Ver­bän­de sind dank­bar für Hin­wei­se auf unkla­re Rege­lun­gen oder Umset­zungs­pro­ble­me. Sie hel­fen den Auf­sichts­be­hör­den, offe­ne Fra­gen und unge­lö­ste Pro­blem­fel­der zu erken­nen und – auch in Zusam­men­ar­beit mit den ande­ren zustän­di­gen Behör­den auf deut­scher und euro­päi­scher Ebe­ne – Klar­stel­lun­gen vor­zu­neh­men.

Autor:
Tho­mas Kra­nig (Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach (www​.lda​.bay​ern​.de).

Im Rah­men der Alli­anz für Cyber-Sicher­heit initi­iert das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in Koope­ra­ti­on mit dem Bun­des­ver­band Infor­ma­ti­ons­wirt­schaft, Tele­kom­mu­ni­ka­ti­on und neue Medi­en (Bit­kom), der Gesell­schaft für Infor­ma­tik e.V. (GI), dem Bun­des­ver­band der Deut­schen Indu­strie (BDI), dem Ver­band Deut­scher Maschi­nen- und Anla­gen­bau (VDMA), dem Bun­des­ver­band der IT-Anwen­der (VOICE) und dem Zen­tral­ver­band Elek­tro­tech­nik- und Elek­tronik­in­du­strie (ZVEI) die Cyber-Sicher­heits-Umfra­ge 2016. Das BSI und die betei­lig­ten Ver­bän­de rufen die IT-Sicher­heits­ver­ant­wort­li­chen deut­scher Unter­neh­men, Behör­den und ande­rer Insti­tu­tio­nen auf, sich an der anony­men Umfra­ge zu betei­li­gen.

Ziel der Umfra­ge ist es, Infor­ma­tio­nen zur tat­säch­li­chen Betrof­fen­heit durch Cyber-Angrif­fe, der sub­jek­ti­ven Gefähr­dungs­la­ge und dem Umset­zungs­stand von Schutz­maß­nah­men aus Sicht von Unter­neh­men, Behör­den und ande­ren Insti­tu­tio­nen zu erhal­ten. Aus den Ergeb­nis­sen der Umfra­ge las­sen sich unter ande­rem pra­xis­be­zo­ge­ne Lösungs­an­sät­ze und Emp­feh­lun­gen sowie Bera­tungs­schwer­punk­te ablei­ten, die das BSI im Rah­men der Alli­anz für Cyber-Sicher­heit ein­brin­gen und auch ande­ren Unter­neh­men und Insti­tu­tio­nen zur Ver­fü­gung stel­len kann. Zudem flie­ßen die Ergeb­nis­se der Umfra­ge als wei­te­rer Bau­stein in die Erstel­lung und kon­ti­nu­ier­li­che Pfle­ge eines Lage­bilds der Cyber-Sicher­heit in Deutsch­land ein.
Teil­nah­me bis 7. Okto­ber 2016 mög­lich /​ Ergeb­nis­se im Okto­ber 2016

Die Teil­nah­me an der Umfra­ge ist online ab sofort bis zum 7. Okto­ber 2016 mög­lich. Die Ergeb­nis­se wer­den im Okto­ber 2016 ver­öf­fent­licht. Die Ergeb­nis­se der Umfra­gen aus den Vor­jah­ren sind auf der Web­sei­te der Alli­anz für Cyber-Sicher­heit ver­füg­bar.

Über die Alli­anz für Cyber-Sicher­heit

Die Alli­anz für Cyber-Sicher­heit ist eine Initia­ti­ve des BSI, die 2012 in Zusam­men­ar­beit mit dem Bun­des­ver­band Infor­ma­ti­ons­wirt­schaft, Tele­kom­mu­ni­ka­ti­on und neue Medi­en e.V. (BITKOM) gegrün­det wur­de. Die Alli­anz hat das Ziel, die Cyber-Sicher­heit in Deutsch­land zu erhö­hen und die Wider­stands­fä­hig­keit des Stand­or­tes Deutsch­land gegen­über Cyber-Angrif­fen zu stär­ken. Sie rich­tet sich vor­ran­gig an Unter­neh­men und Behör­den, dar­über hin­aus aber auch an son­sti­ge Insti­tu­tio­nen und Orga­ni­sa­tio­nen in Deutsch­land. Inter­es­sen­ten haben die Mög­lich­keit, sich in ver­schie­de­nen Rol­len als Teil­neh­mer, Part­ner oder Mul­ti­pli­ka­tor an der Alli­anz betei­li­gen. Wei­te­re Infor­ma­tio­nen zur Alli­anz für Cyber-Sicher­heit sowie zur Umfra­ge ste­hen unter https://​www​.alli​anz​-fuer​-cyber​si​cher​heit​.de zur Ver­fü­gung.