BayLDA äußert sich zur Datenschutz-Folgenabschätzung

/in /von

Eine wesentliche Neuerung der Datenschutz-Grundverordnung (DS-GVO) ist das Instrument der sog. Datenschutz-Folgenabschätzung (DSFA). Die DSFA ist ein wichtiger Bestandteil des neu eingeführten Konzepts des „risikoorientierten Ansatzes“ im Datenschutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gerade bei Verarbeitungen von personenbezogenen Daten, bei denen ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht, bewirken, dass gezielt Maßnahmen gefunden werden können, die dieses Risiko eindämmen.

Somit dient der risikoorientierte Ansatz der DS-GVO letztendlich zur Auswahl der „richtigen“ (d. h. wirksamen und geeigneten) technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Dies bedeutet im Alltag für Verantwortliche, dass durch eine Auswahl passender Maßnahmen das Risiko der Rechte und Freiheiten für die einzelnen betroffenen Personen (z. B. Kunden, Nutzer, Beschäftigte) entscheidend reduziert bzw. eingedämmt werden kann. Die Notwendigkeit einer technischen oder organisatorischen Maßnahme hängt also somit vom „Risiko-Level“ ab, d. h. von der Höhe eines möglichen Schadens für die jeweilige Person, wenn es zu einem Eintritt des Risikos bei der Verarbeitung personenbezogener Daten kommt.

Weiter geht es hier.

BMI: Unter welchen Voraussetzungen ist das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig?

/in /von

Das Bundesministerium des Innern (BMI) hat die diverse Fragen zum Verständnis der DS-GVO adressieren, auch hierzu
Stellung genommen und schildert, unter welchen Voraussetzungen das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig ist. Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat seinen Beitrag zu mehr Klarheit geleistet und setzt sich mit dieser Fragestellung in seinem Vermerk „Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus“ auseinander.

Auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg hat eine Handreichung unter dem Namen „Verarbeitung personenbezogener Daten bei Fotografien Rechtliche Anforderungen unter der DS-GVO“ veröffentlicht. Auch dort seien in den vergangenen Monaten die Anzahl an Nachfragen von Fotografen, Veranstaltern, Bloggern sowie Vertretern aus der Presse und Öffentlichkeitsarbeit zu Personenfotografien unter Geltung der DS-GVO spürbar gestiegen.

LDS Brandenburg: Wie erfülle ich als Verantwortlicher meine Informationspflichten?

/in /von

Die Einführung der Datenschutz-Grundverordnung geht mit einer bewussten Stärkung der Betroffenenrechte einher. „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ heißt es daher ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11. Hauptpfeiler der neuen Betroffenenrechte sind neben dem strengeren Haftungsregime und den neu eingeführten Einzelansprüchen vor allem die ausgeweiteten Transparenzpflichten bei der Datenverarbeitung. Art. 13 DS-GVO widmet sich den Informationspflichten bei der Direkterhebung, Art. 14 ist das Pendant bei Erhebung von Daten bei Dritten. Die betroffene Person soll die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erhalten (Art. 12 Abs. 1 Satz 1 DS-GVO) und dies stets unentgeltlich (Art. 12 Abs. 5). Am 11. April 2018 verabschiedete die Artikel-29-Datenschutzgruppe ihr WP 260 zu den Transparenzregeln der Datenschutz-Grundverordnung (DS-GVO).

Die Informationspflichten bilden die Basis für die Ausübung der Betroffenenrechte (insbesondere der Art. 15 ff. DS-GVO). Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die Informationspflichten gemäß der DS-GVO gehen daher weit über die bisherige Rechtslage hinaus und müssen beachtet werden, sofern keine Ausnahmevorschriften greifen. Die Datenschutzkonferenz hat in Form des Kurzpapiers Nr. 10
„Informationspflichten bei Dritt- und Direkterhebung“ bereits erste weitergehende Ausführungen zu diesem Thema veröffentlicht.

Aktuell hat auch die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg) eine Orientierungshilfe mit dem Titel „Wie erfülle ich als Verantwortlicher meine Informationspflichten? Rechtliche Anforderungen unter der DS-GVO“ veröffentlicht. Darin geht die LDA Brandenburg folgenden Fragen nach:

1. Was muss ich als Verantwortlicher tun, um die Informationspflichten aus Art. 13 und 14 Datenschutz-Grundverordnung (DS-
GVO) zu erfüllen?
2. Muss ich die betroffene Person schriftlich informieren oder reicht ein Verweis auf meine Webseite, auf der ich die Informationen bereitstelle?
3. Muss ich nachweisen, dass ich die Informationspflichten erfüllt habe?
4. Wer muss die Informationspflichten erfüllen, wenn es sich um gemeinsame Verantwortliche i. S. d. Art. 26 DS-GVO handelt?
5. Spezielle Fallgruppen

Abgerundet werden die einzelnen Fragen mit passenden Praxisbeispielen.

Quelle: LDA Brandenburg

Videoüberwachung: das ist zu beachten

/in /von

In bestimmten Fällen ist bei der Überwachung von Räumen laut der kürzlich in Kraft getretenen Datenschutzgrundverordnung eine Datenschutz-Folgenabschätzung erforderlich.

Die kürzlich in Kraft getretene Datenschutzgrundverordnung (DS-GVO) regelt die Überwachung von Räumen und Plätzen mittels Videoüberwachung nur am Rande geregelt. Vielmehr sollen die einzelnen Mitgliedsstaaten selbst Vorschriften für die elektronische Überwachung erlassen. In Artikel 35, Absatz 3 lit. c) schreibt die DS-GVO allerdings vor, dass bei »einer systematischen umfangreichen Überwachung öffentlich zugänglicher Räume« eine Datenschutz-Folgenabschätzung nötig und erforderlich ist.

Hierzulande ist die Videoüberwachung in §4 Bundesdatenschutzgesetz (BDSG) geregelt. In Absatz 1 befindet sich die Änderung zu bislang geltenden Regelung: Hier ist festgelegt, dass öffentlich zugängliche großflächige Anlagen oder Einrichtungen wie öffentliche Verkehrsmittel, Bahnhöfe sowie Einkaufszentren, Sportstätten und Veranstaltungsorte zum Schutz der Menschen überwacht werden dürfen. Der Schutz von Personen, die sich dort aufhalten, muss jedoch besonders beachtet werden. Der deutsche Gesetzgeber stellt also die Sicherheitsbelange und den Schutz von Leben, Gesundheit oder Freiheit dieser Personen als ein besonders wichtiges Interesse dar.

Die Überwachung von öffentlichen Räumen ist grundsätzlich nur dann erlaubt, wenn ihr keine schutzwürdigen Interessen der Betroffenen entgegenstehen. Auch dann dürfen Orte nur überwacht werden, wenn das zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts und zur Datengewinnung für einen konkret festgelegten Zweck und zur Wahrnehmung berechtigter Interessen erforderlich ist. Laut §4 Absatz 2 BDSG muss die Tatsache, dass eine Beobachtung durchgeführt wird, durch geeignete Maßnahmen gekennzeichnet und die Überwachung verantwortliche Stelle benannt werden muss. Die gewonnenen Daten dürfen dann nur zur Abwehr von Gefahren sowie zur Verfolgung von Straftaten genutzt werden. Ist der Zweck erreicht oder stehen schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegen, müssen die Daten sofort gelöscht werden.

Die Hysterie um Einwilligungen hach der DS-GVO

/in /von

Das hat sicher jeder von uns selbst erlebt. Die Stilblüten um die Einholung von neuen Einwilligungen zur DS-GVO. Vieles wäre dabei schon rechtlich fragwürdig (wenn eine Einwilligung vorliegt, brauche ich keine weitere, wenn nicht, dann darf nich nicht danach fragen), unnötig (natürlich darf man zur Vertragsanbahnung oder -abwicklung persönliche Ansprachen von beiteligten Personen verwenden) und im schlimmsten Fall dann auch nicht rechtlich bindend. Ich möchte hier zwei Links zu dem Newsletter der intersoft consulting services AG geben:

Übrigens, der Newsletter rentiert sich allemale.

vzbv: Privatsphäre muss es auch in der digitalen Kommunikation geben

/in /von

Die Bundesregierung hat in der heutigen Sitzung des EU-Ministerrats ihre Positionierung gegenüber der ePrivacy-Verordnung vorgestellt. Die Verhandlungen im EU-Rat können damit voranschreiten, so dass das Gesetz noch vor der EU-Parlamentswahl im Frühjahr 2019 beschlossen werden könnte. Klaus Müller, Vorstand des vzbv, fordert eine verbraucherfreundliche und starke Regulierung der digitalen Kommunikation:

„Der vzbv begrüßt, dass sich die Bundesregierung endlich auf eine Position zur ePrivacy-Verordnung festgelegt hat. Positiv ist, dass es Telekommunikationsdiensten nur mit Einwilligung oder zu statistischen Zwecken erlaubt werden soll, Kommunikationsmetadaten, wie beispielsweise Standortdaten zu verarbeiten. Dabei müssten sie geeignete Schutzmaßnahmen treffen und die Datenschutzgrundverordnung beachten. Dies ist ein annehmbarer Kompromiss.

Cookies und ähnliche Technologien, mit denen Unternehmen das Verhalten und die Interessen von Verbrauchern online auswerten, sollen ebenfalls nur mit deren Einverständnis oder zu eng definierten Zwecken eingesetzt werden dürften. Für Surfer ist das ein Fortschritt.

Die Bundesregierung möchte Anbietern jedoch erlauben, die Nutzung ihrer Angebote von einer solchen Einwilligung abhängig zu machen. Das ist nicht akzeptabel. Damit unterläuft sie die Datenschutzgrundverordnung und spielt großen Unternehmen wie Google und Facebook in die Hände. Denn den Konzernen würde es aufgrund ihrer Marktmacht leichter als kleineren Anbietern fallen, ihren Nutzern eine solche Einwilligung abzuringen. Bedauerlich ist außerdem, dass sich die Bundesregierung nicht für datenschutzfreundliche Voreinstellungen von Webbrowsern einsetzt.“

Faktenblatt des vzbv

DS-GVO: Das neue Gesetz wird uns noch lange beschäftigen

/in /von

Mit dem Start der Datenschutz-Grundverordnung heute am Freitag, 25. Mai beginnt in Europa eine neue Zeitrechnung für den Datenschutz. Doch in einigen Punkten fehlt Unternehmen, Selbständigen und auch den Aufsichtsbehörden noch Rechtssicherheit. „Die neuen Regeln werden uns noch lange über den 25. Mai hinaus beschäftigen“, sagt BvD-Vorstand Thomas Spaeing.

Rechtsunklarheit besteht unter anderem beim Beschäftigtendatenschutz und in der Abstimmung mit der ePrivacy-Verordnung, die aller Voraussicht erst Ende 2019 an die DS-GVO angepasst wird. Ein vielfach diskutiertes Thema ist auch der Medienbruch bei den Informationspflichten, z. B. bei der Videoüberwachung oder auch der einfachen Kontaktaufnahme im Geschäftsleben.

Die Hoffnung besteht, dass die Aufsichtsbehörden mit dem Start der DS-GVO zunächst „mit Augenmaß“ Unternehmen bei der Umsetzung der Richtlinien begleiten werden. „Auch die Aufsichtsbehörden wissen um die vielen Fragen, die noch ungeklärt sind“, sagte Spaeing. „Deshalb sollten Unternehmen sie nicht als Gegner, sondern als Partner verstehen“. Wichtig sei allerdings, dass die Unternehmen auch die Bereitschaft zeigten, das neue Regelwerk umzusetzen.

BayLDA: DSB-Meldung noch nicht am Start

/in /von

Nach Art. 37 Abs. 7 DS-GVO hat ein Verantwortlicher oder ein Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten (DSB) nicht nur zu veröffentlichen, sondern auch der Aufsichtsbehörde mitzuteilen. Das BayLDA entwickelt derzeit einen neuen Online-Service, der es Verantwortlichen ermöglicht, die hierzu erforderlichen DSB-Meldungen für den nicht-öffentlichen Bereich in Bayern einfach und bequem online durchzuführen. Dieses befindet sich in der finalen Testphase, wird aber wohl erst (kurz) nach dem 25.05.2018 verfügbar sein.

Aus diesem Grund und weil den Verantwortlichen ausreichend Zeit zur Meldung eingeräumet werden soll, verlängert das BayLDA die Meldefrist bis zum 31. August 2018. Bis zu diesem Termin wird das BayLDA dann selbstverständlich eine noch nicht erfolgte Meldung nicht bemängeln und auch diesbezüglich kein Ordnungswidrigkeitsverfahren einleiten.

Von einer Meldung in Papierform ist abzusehen, da diese dem BayLDA unnötigen bürokratischen Aufwand verursacht – die vorhandenen Kapazitäten sollen stattdessen lieber wie bisher in die Bereitstellung von Informationen verwendet werden.

BSI: Phishing – Augen auf bei E-Mails zur DSGVO

/in /von

Zurzeit kursieren viele Mails, in denen Unternehmen neue Nutzungsbedingungen vorstellen und darum bitten, diese zu bestätigen. Hintergrund ist das Inkrafttreten der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25. Mai 2018. Leider nutzen Betrüger dies auch, um mit gefälschten Mails Personen zu schädigen. Sie versenden unter anderem im Namen von Online-Shops wie Amazon, eBay und Paypal wie auch von namhaften Banken Phishing-E-Mails, in denen sie auf um die Eingabe von sensiblen Informationen bitten. Es sind sogar schon Fälle aufgetreten, in denen Opfer dazu gebracht wurden, Ausweise einzuscannen und an den Absender zu versenden. Eine solche Vorgehensweise würden seriöse Unternehmen niemals anwenden. Deshalb sollten Sie solche E-Mails immer direkt löschen.

Um sich vor Phishing-Betrügern zu schützen, überprüfen Sie Ihre E-Mails am besten immer kritisch hinsichtlich Absender, Inhalt und Links. Worauf Sie dabei konkret achten sollten, hat das BSI für Bürger zusammengestellt.

Zur Meldung der Verbraucherzentrale.NRW: Betrüger missbrauchen die DSGVO für Phishing-Mails.

BvD News: Aktuelle Infos zur Mitteilungspflicht des Datenschutzbeauftragten nach Art 37 Abs. 7 DS-GVO

/in /von

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat bezüglich dieses Themas recheriert und die aktuelle Siluation bei den einzelnen Landesbehörden zusammengestellt. Der Link zum Artikel.