BDSG neu: Bundestag beschließt neues Bundesdatenschutzgesetz

Der Bundestag hat Änderungen am Bundesdatenschutzgesetz verabschiedet, mit denen die hiesigen Regelungen an EU-Vorgaben angepasst werden sollen. Kritik kommt von Opposition und Datenschützern.

Lange hatte die Bundesregierung an ihrem umstrittenen Entwurf für ein neues Bundesdatenschutzgesetz gefeilt, mit dem die Vorgaben der EU-Datenschutzgrundverordnung und der Richtlinie zur Datenverarbeitung bei Polizei und Justiz mit nationalem Recht in Einklang gebracht werden sollen. Am 27. April wurde der Entwurf dann mit den Stimmen der Koalitionsparteien im Bundestag verabschiedet. »Frühzeitig und als erstes Land in Europa schafft Deutschland damit Rechtsklarheit«, hieß es anschließend zufrieden bei der Bundesregierung.

Die Änderungen sind allerdings umstritten, auch wenn einige kritisierte Punkte wie die deutliche Einschränkung der Informationsansprüche von Bürgern kurzfristig noch etwas entschärft wurden. Ursprünglich war geplant, dass Unternehmen die Lösch- und Auskunftsanfragen ablehnen können, wenn der Aufwand, diesen nachzukommen, für sie unverhältnismäßig hoch ist. Jetzt gibt es Ausnahmen nur noch für Unternehmen, die mit den betroffenen Bürgern ausschließlich oder überwiegend analog kommunizieren, also vor allem sehr kleine Firmen und lokale Geschäfte. Das Problem: Laut der EU-Datenschutzgrundverordnung, die zumindest an einigen Stellen kleine Spielräume lässt, sind in diesem Punkt keine nationalen Anpassungen erlaubt.

Andere stark kritisierte Punkte wurden nicht mehr verändert. So dürfen Krankenkassen und Versicherungen ihre Leistungsentscheidungen künftig automatisiert – also mit Computern und Algorithmen – treffen und müssen nicht mehr jeden Einzelfall von Mitarbeitern prüfen lassen. Auch werden die bisherigen Regelungen im Bundesdatenschutzgesetz zu besonders schützenswerten Informationen wie biometrischen Daten, Gesundheitsdaten oder Daten zur ethnischen Herkunft oder sexuellen Orientierung aufgeweicht – hier gibt es mehr Ausnahmen als bisher. Und die Kontrollmöglichkeiten für Aufsichtsbehörden bei Berufsgeheimnisträgern werden eingeschränkt. Dazu zählen nicht nur Ärzte und Anwälte, sondern auch Steuerberater, Apotheker und private Versicherungen.

Einschreiten der EU droht

Ebenfalls eingeschränkt wird die Kontrolle des Bundesdatenschutzbeauftragten über den Bundesnachrichtendienst und andere Behörden, obwohl die EU-Vorgaben hier effektive Durchsetzungsbefugnisse vorsehen. Ebenso könnte die Absenkung der Hürden für eine private Videoüberwachung öffentlich zugänglicher Bereiche noch Probleme mit der EU mit sich bringen. Hier schlägt ein Sicherheitsinteresse künftig den Datenschutz. Der Gesetzgeber nehme es sehenden Auges hin, dass der Europäische Gerichtshof die deutschen Regelungen korrigiert, warnt etwa Frank Spaeing, Vorsitzender der Deutschen Vereinigung für Datenschutz, und attestiert der Bundesregierung eine »Missachtung digitaler Grundrechte«.

Beim Bitkom heißt es, das neue Bundesdatenschutzgesetz sei inhaltlich kein großer Wurf, aber auch nicht besonders bedenklich. »Die wirklich wichtigen Fragen für die Datenverarbeitung im Unternehmen sind bereits abschließend in der EU-Verordnung geregelt, wie zum Beispiel das Gros der Rechtsgrundlagen für die Verarbeitung einschließlich der Bedingungen für die Einwilligung und auch alle Vorgaben zu Verträgen und den internen Datenschutzprozessen«, so Bitkom-Geschäftsleiterin Susanne Dehmel. Ärgerlich sei lediglich, dass die Regelung zur Datenverarbeitung im Beschäftigtenverhältnis über die formalen Anforderungen der EU-Verordnung hinausgeht und »damit eher noch bürokratische Hürden aufbaut«.

GDD: Muster zur Auftragsverarbeitung nach DS-GVO veröffentlicht

Die GDD-Praxishilfe DS-GVO IV widmet sich der Auftragsverarbeitung nach Art. 28 DS-GVO und stellt die GDD-Vertragsmuster von 2013 und 2017 gegenüber.
Zur Anpassung der Datenschutzorganisation an die neuen Anforderungen der DS-GVO gehört unter anderem die Überprüfung bestehender Vertragsverhältnisse sowie die Anpassung der Vertragsmuster für zukünftige Outsourcing-Dienstleistungen. In der vorliegenden Praxishilfe werden zunächst die GDD-Vertragsmuster von 2013 (§ 11 BDSG) und 2017 (Art. 28 DS-GVO) gegenübergestellt. Die Pflichtinhalte nach alter und künftiger Rechtslage sind dabei bemerkenswert deckungsgleich. Im Idealfall sollten Altverhältnisse auf das neue Muster umgestellt werden, da dieses spezifisch auf die gesetzlichen Erfordernisse der DS-GVO abgestimmt wurde. Sofern stattdessen am alten Vertrag festgehalten werden muss, bedarf es geringfügiger Nachbesserungen, um die gesetzlichen Mindestanforderungen zu erfüllen.

GDD-Praxishilfe DS-GVO IV – Mustervertrag zur Auftragsverarbeitung, Version 1.0, Stand März 2017.
Mustervertrag im .docx-Format.

Die Inhalte der Praxishilfe IV wurden erstellt im Rahmen des GDD-Arbeitskreises „DS-GVO-Praxis“ mit freundlicher Unterstützung der Unterarbeitsgruppen „Auftragsverarbeitung“ der GDD-Erfakreise Köln und Nürnberg.

Veritas Studie: Deutsche Unternehmen schlecht auf DSGVO vorbereitet

Vor allem kleine und mittelständische Betriebe haben noch erhebliche Defizite und scheitern schon bei der Beantwortung grundlegender Fragen der neuen Datenschutzverordnung.

48 Prozent der deutschen Unternehmen sehen sich schlecht auf die neue Datenschutzverordnung vorbereitet, die in knapp einem Jahr in Kraft tritt. Im Vergleich mit anderen europäischen Ländern liegt Deutschland damit auf dem letzten Platz, wie eine Studie des Information-Management-Spezialisten Veritas hervorgeht.

Die EU-Datenschutzgrundverordnung, kurz DSGVO oder englisch General Data Protection Regulation, GDPR, tritt am 25 2018 in Kraft. Damit sollen Datenschutz-, Aufbewahrungs- und Governance-Gesetzgebung innerhalb der Europäischen Union harmonisiert werden. In der Praxis bedeutet das, vor allem dass bei personenbezogenen Daten Unternehmen nachweisen können müssen, wo diese gespeichert sind und wer sie auf welche Weise verarbeitet. Die Verordnung gilt jedoch auch für Organisationen, die Daten von EU-Bürgern Speichern, also auch für Google, Facebook, Amazon oder aber auch kleinere Anbieter, die innerhalb der EU Services oder Produkte anbieten.

Weltweit betrachtet bezweifeln 47 Prozent, die Deadline einhalten zu können. Unternehmen, die gegen die Vorgaben verstoßen drohen im Ernstfall Strafzahlungen in Höhe von 20 Millionen Euro oder vier Prozent des Gesamtumsatzes wobei die höhere Summe angesetzt wird. Für Unternehmen erwächst hier ein neues Risiko: 18 Prozent der Unternehmen befürchten im Fall einer Strafzahlung, gänzlich vom Markt zu verschwinden. 21 Prozent befürchten andere Folgen wie etwa Stellenabbau.

Auch die Außenwirkung bereitet Unternehmen Kopfzerbrechen. Das gilt vor allem für den Fall, wenn ein Compliance-Verstoß aufgrund der Verpflichtung, Datenlecks zu melden, an die Öffentlichkeit gelangt. 19 Prozent der Befragten gehen davon aus, dass negative Berichte in Medien oder sozialen Netzwerken Kunden veranlassen könnten, zur Konkurrenz zu wechseln. In Deutschland fürchten sich sogar 24 Prozent vor schlechter Presse – der globale Spitzenwert. Weitere zwölf Prozent erwarten den Wertverfall der Unternehmensmarke, in Deutschland sind es 15 Prozent.

Wo liegen die Daten?

Schon die erste Frage, die sich im Zuge der DSGVO stellt, können viele Unternehmen nicht mehr beantworten: Wo lagern Daten, was enthalten diese und inwieweit sind sie relevant? Zusätzlich befürchten 39 Prozent, dass ihr Unternehmen Daten nicht treffsicher identifizieren und in der IT-Landschaft lokalisieren kann.

Die Richtlinie schreibt aber Unternehmen vor, personenbezogene Daten auf Anfrage innerhalb einer sehr kurzen Frist zu lokalisieren und dem Antragsteller innerhalb von 30 Tagen eine Kopie seiner Daten zur Verfügung zu stellen oder diese, falls gewünscht, zu löschen.

32 Prozent der Befragten gaben an, keine Technologie zu besitzen, mit der Daten verwaltet werden können. Was wiederum die effektive Suche nach den Daten erschwert.

Bei 42 Prozent der befragten Unternehmen weltweit sind keine Prozess definiert, nach denen Daten klassifiziert werden. Dies ist aber notwendig, um zu entscheiden, ob Daten gespeichert oder gelöscht werden müssen. Gemäß der DSGVO steht Unternehmen auch zu, Daten zu behalten. Das ist jedoch nur dann der Fall, wenn die betroffene Person über die Gründe informiert wurde. Sind diese jedoch erfüllt, müssen die fraglichen Informationen sofort gelöscht werden.

Noch gut ein Jahr haben Organisationen Zeit, sich auf die DSGVO vorzubereiten. Deutsche Unternehmen sehen sich zu 36 Prozent vorbereitet. Im Vereinigten Königreich, den USA und Frankreich seien etwa 60 Prozent der Befragten laut eigenen Angaben in der Lage, rechtzeitig alle Regelungen erfüllen zu können. Für alle anderen werden in den nächsten Monaten noch Investitionen zukommen. Im Schnitt gehen Unternehmen von 1,3 Millionen Euro Mehrkosten durch die DSGVO aus. Deutsche Unternehmen veranschlagen im Schnitt 820.000 Euro. Allerdings könnte diese Zahl noch steigen.

“Wir stellen eine deutliche Steigerung der Beratungsanfragen fest, die sich fast ausschließlich auf die Anwendung der in nächstem Jahr wirksam werdenden Datenschutz-Grundverordnung (DSGVO) beziehen”, erklärt Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.

Laut Kranig seien es vor allem größere Unternehmen, die bereits geeignete Prozesse etwa für das Löschen von nicht mehr erforderlichen Daten installiert haben.

“Viel problematischer ist die Situation bei kleinen und mittelständischen Unternehmen, die zum Teil noch gar nicht realisiert haben, dass und welche Anforderungen in Zukunft auf sie zukommen”, warnt Kranig.

Jedoch mache es für einen Betroffenen es keinen Unterschied, ob sein Persönlichkeitsrecht durch ein großes oder kleineres Unternehmen verletzt wird. Die Verbraucher werden durch die DSGVO gestärkt die Betroffenenrechte gegenüber allen Verantwortlichen geltend machen. “Auch die Datenschutzaufsichtsbehörden stehen in den Startlöchern, um zeitnah nach Wirksamwerden der DSGVO im Mai 2018 ihre Prüfungsaktivitäten zu intensivieren. Abwarten und nichts tun, ist mehr als riskant”, warnt der Datenschutzexperte.

“Wenn geschäftliche Beziehungen zur Region existieren, gilt die DSGVO”, erklärt Andreas Bechter, Senior Product Manager bei Veritas. Ein Verdrängen der Anforderungen mache keinen Sinn. “Jetzt wäre es an der Zeit, einen Berater einzubeziehen, der den aktuellen Stand evaluiert und dem Unternehmen hilft eine Compliance-Strategie zu entwickeln. Den Kopf in den Sand zu stecken ist keine Alternative – es geht um Arbeitsplätze, Reputation und das Wohlergehen des Unternehmens.”

Für den Veritas 2017 GDPR Report wurden Anfang dieses Jahres 900 Führungskräfte in Unternehmen mit mindestens 1000 Mitarbeitern in Europa, Asien und den USA befragt .

BSI: Mindeststandards für Browser veröffentlicht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard zum Thema Sichere Web-Browser veröffentlicht. Bei einer Überprüfung fiel der Browser Microsoft Edge negativ auf.

Der Mindeststandard beschreibt Sicherheitsanforderungen an Web-Browser, die auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden. Diese Anforderungen sind zum Erreichen eines Mindestmaßes an Informationssicherheit einzuhalten. Als nationale Cyber-Sicherheitsbehörde nimmt das BSI mit diesem Mindeststandard seine gesetzliche Aufgabe nach Paragraf 8 Abs. 1 BSIG wahr, die Informationssicherheit der Informationstechnik des Bundes präventiv weiter zu stärken. Der Mindeststandard richtet sich hauptsächlich an IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Fachkräfte in der Bundesverwaltung. Darüber hinaus können aber auch Wirtschaft und Gesellschaft, sowie Länder und Kommunen diese Empfehlungen heranziehen.

Web-Browser gehören heute zur Standardausstattung von Arbeitsplatzrechnern. Durch ihre Funktionsvielfalt erreichen sie oft die Mächtigkeit moderner Betriebssysteme. Diese Komplexität und das damit verbundene Potenzial für Schwachstellen sowie ihre weite Verbreitung macht Browser zu einem beliebten Ziel für Cyber-Angreifer.

Sind bereits bei der Entwicklung des Web Browsers entsprechende Sicherheitsmechanismen implementiert worden, kann vielen dieser Risiken in der Betriebsphase zuverlässig begegnet werden. Der Mindeststandard umfasst daher sowohl funktionale Mindestanforderungen, die Anwender bei der Produktauswahl unterstützen, als auch darauf aufbauende Sicherheitsanforderungen, die den sicheren Betrieb des Web-Browsers regeln.

Der Mindeststandard für sichere Web-Browser sowie ein Abgleich gängiger Web-Browser mit den Anforderungen des Mindeststandards sind auf der Webseite des BSI abrufbar. Überprüft wurden die Browser Firefox, Chrome, Internet Explorer und Microsoft Edge. Eine Tabelle zeigt das Resultat der Überprüfung der vom BSI festgelegten Sicherheitsaspekte bei den einzelnen Browsern. Viele Anforderungen werden von den aktuellen Browser-Versionen erfüllt. Allerdings fand das BSI bei jedem der untersuchten Programme kleinere Mängel, die sich aber über Plug-ins umgehen lassen. Einen besonderen Mangel stellte das BSI bei Microsoft Edge (Version 38.14393.0.0) fest: Dieser Browser zeigt nicht klar an, mit welchem Standard die Kommunikation zum Server verschlüsselt wird.

 

Verbraucherschützer warnen vor gefälschten USB-Sticks auf Online-Marktplätzen

Kingston hatte im Januar USB-Sticks mit einer Kapazität von 2 TByte auf den Markt gebracht hat. Die kosten aktuell je nach Anbieter zwischen 1579 (Alternate) und 3620 Euro (Amazon). Für 20 bis 50 Euro sind Speicher-Sticks mit der Kapazität dagegen trotz anderslautender Angebote auf Onlinemarktplätzen nicht zu haben.

DEKRA: Fit für die europäische Datenschutz-Grundverordnung (EU-DSGVO)? Die Zeit läuft!

Ab dem 25. Mai 2018 tritt die EU Datenschutz Grundverordnung (EU-DSGVO) in Kraft und ersetzt somit das Bundesdatenschutzgesetz. Folglich haben alle Unternehmen die personenbezogene Daten erheben, verarbeiten, nutzen und speichern bis Mai 2018 Zeit, ihre Datenverarbeitungsprozesse an die neuen gesetzlichen Rahmenbedingungen anzupassen. Aufgrund der vielen neuen Regelungen und Anforderungen sowie der stark erhöhten Bußgeldandrohungen (bis zu 20 Mill. €) müssen Unternehmen schnellstens beginnen, sich mit den kommenden Veränderungen im Umgang mit personenbezogenen Daten vertraut zu machen, um die Übergangszeit konstruktiv zu nutzen.

Außerdem ist Datenschutz nicht länger nur eine Option, sondern vielmehr ein Muss. Denn Versäumnisse in diesem Bereich können sich nicht nur in finanzieller Hinsicht negativ auf ein Unternehmen auswirken, sondern auch das Vertrauen von Kunden, Partnern und Dienstleistern nachhaltig erschüttern. Ein angemessenes und umgesetztes Datenschutzsystem ist somit ein sehr guter Schutz für das Unternehmen um folgende Risiken zu minimieren bzw. auszuschließen:

Lesen Sie hier weiter.

 

LDI NRW: Auf dem Weg zur EU-Datenschutz-Grundverordnung – Anregungen für Unternehmen

Bis zur Geltung der DS-GVO ab 25. Mai 2018 verbleibt den Unternehmen in der EU nicht viel Zeit, ihre Datenschutzorganisation an die neuen Anforderungen der DS-GVO anzupassen. Ab diesem Zeitpunkt wird das Funktionieren des Datenschutzmanagements nach DS-GVO ohne weitere Übergangsfrist erwartet.

Die Aufsichtsbehörden sind aktuell bemüht, durch intensive Abstimmungsrunden eine einheitliche Sichtweise der neu geregelten Grundlagen und Anforderungen an den Datenschutz auf europäischer Ebene zu erzielen. Das BayLDA veröffentlicht in regelmäßigen Abständen ein kurzes Papier zu einem ausgewählten Schwerpunkt der DS-GVO.

Nun hat auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in 10 Punkten Anregungen für Unternehmen mit Sitz in NRW zusammengestellt. Das Vorgehen unterteilt die LDI NRW wie folgt:
1. Sensibilisierung durchführen
2. Bestandsaufnahme machen
3. Rechtsgrundlage prüfen
4. Personenbezogene Daten von Kindern besonders prüfen
5. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umsetzen
6. Verträge checken
7. Datenschutzfolgeabschätzung implementieren
8. Melde- und Konsultationspflichten organisieren
9. Betroffenenrechte und Informationspflichten umsetzen
10. Dokumentation organisieren

Quelle: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

HmbBfDI: Hinweise des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Google Analytic

Aufgrund der Entscheidung des EuGH vom 06.10.2015 (Rechtssache C-362/14-Schrems) hatte der HmbBfDI gemeinsam mit anderen deutschen Aufsichtsbehörden den Einsatz von Google Analytics datenschutzrechtlich überprüft. Die Prüfung bezog sich vorrangig auf eine Klausel im Auftragsdatenverarbeitungsvertrag, die Bezug zu der aufgehobenen Safe-Harbor-Entscheidung nimmt. Mittlerweile hat die Google Inc. die Zertifizierung nach dem aktuellen EU-US-Privacy Shield durchgeführt (siehe https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und damit die rechtlichen Voraussetzungen für die Angemessenheit des Datenschutzniveaus gemäß § 4 b BDSG auch für die Erbringung des Dienstes Google Analytics im Wege der Auftragsverarbeitung geschaffen. Über eine In-Product-Notice am 27.09.2016 wurden
Verwender des Dienstes auf die Zertifizierung hingewiesen.

Nach Abschluss der formalen Prüfung stellt der HmbBfDI für seinen Zuständigkeitsbereich fest, dass ein beanstandungsfreier Einsatz des Dienstes Google Analytics weiterhin möglich ist, soweit bestimmte Voraussetzungen erfüllt sind.

Link zur Mitteilung

vzbv: Verbraucherorganisationen fordern von G20 die digitalen Verbraucherrechte zu stärken

Verbraucherorganisationen weltweit rufen die G20 auf, sich für die Stärkung digitaler Verbraucherrechte einzusetzen. Sie fordern, Anreize und Leitlinien zu entwickeln, so dass alle Menschen von der digitalen Wirtschaft profitieren können. Höchste Standards bei Online-Sicherheit und Datenschutz müssten gewährleistet werden.

Während die Digitalisierung immer mehr Lebensbereiche betrifft, sind viele Verbraucherinnen und Verbraucher besorgt, dass ihre Rechte dabei auf der Strecke bleiben. Consumers International (CI), der Dachverband von über 200 Verbraucherorganisationen weltweit, und der Verbraucherzentrale Bundesverband (vzbv) haben zehn Empfehlungen entwickelt, um dieses Problem anzugehen.

Die Empfehlungen zum Schutz der Verbraucher in der digitalen Welt werden auf dem G20 Consumer Summit an Gerd Billen, Staatssekretär im Bundesministerium der Justiz und für Verbraucherschutz (BMJV), übergeben.

Weiter zur Pressemeldung geht es hier

BayLDA: 7. Tätigkeitsbericht für die Jahre 2015 und 2016 der Öffentlichkeit vorgestellt

Tätigkeitsberichte des BayLDA

Gemäß § 38 Abs. 1 Satz 7 des Bundesdatenschutzgesetzes (BDSG) hat das BayLDA als Aufsichtsbehörde regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht zu veröffentlichen. In den Tätigkeitsberichten wird die Öffentlichkeit über die Schwerpunkte dieser Arbeit informiert. Bisher sind sechs Tätigkeitsberichte veröffentlicht, die Sie hier gerne als PDF-Dokumente herunterladen können.

Der letzte Tätigkeitsbericht für die Jahre 2015 und 2016 wurde am 3. März 2017 der Öffentlichkeit vorgestellt.