DS-GVO – Datenschutz Checkliste für die Durchführung von Videokonferenzen

Datenschutz
Lesezeit: 3 Minuten

DS-GVO – Datenschutz für die Durchführung von datenschutzgerechten virtuellen Konferenzen empfiehlt die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Unternehmen, Behörden und anderen Organisationen, wie folgt vorzugehen:

Datenschutz Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen Für die Durchführung von datenschutzgerechten virtuellen Konferenzen empfehlen wir Unternehmen, Behörden und anderen Organisationen, wie folgt vorzugehen.

Prüfen Sie Ihren Datenschutz,

1. ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen. Diese können sehr viel leichter datenschutzgerecht durchgeführt werden.

2. ob es Ihnen mit verhältnismäßigem Aufwand möglich ist, einen eigenen Dienst mit öffentlich verfügbarer oder kommerziell erhältlicher Software bereitzustellen. Stellen Sie dabei sicher, dass die eingesetzte Software keine Daten über Ihre Beschäftigten oder deren Kommunikationspartner/-innen an den Hersteller für dessen Zwecke übermittelt.

3. ob eine der Lösungen eines Anbieters mit Sitz und Verarbeitungsort, insbesondere Server-Standort, im Europäischen Wirtschaftsraum (EWR) oder aus einem Land mit gleichwertigem Datenschutzniveau (https://ec.europa.eu/info/law/law-topic/data-protection/internationaldimension-data-protection/adequacy-decisions_en) Ihren Bedürfnissen entspricht. Der Deutsche Industrie- und Handelskammertag (DIHK) e. V. hat eine kurze Liste von Anbietern, die in Frage kommen könnten, erstellt, die über den DIHK angefordert werden kann.

Die Vertragsgestaltungen der dort genannten Anbieter konnten wir bisher allerdings noch nicht überprüfen. Prüfen Sie des Weiteren, ob der Anbieter

 a) erwarten lässt, dass er die Daten nur im zulässigen Rahmen verarbeitet und insbesondere nicht entgegen europäischem Datenschutzrecht an Dritte – einschließlich ausländische Behörden – weitergibt,

b) ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen kann und

c) Ihnen die Verschlüsselung der Datenübertragung garantiert.

Fällt die Prüfung positiv aus, dann

 d) schließen Sie einen ordnungsgemäßen Auftragsverarbeitungsvertrag mit dem Anbieter, und stellen Sie sicher, dass der Betreiber keine Angaben über Ihre Beschäftigten und deren Kommunikation oder über die Nutzung der Software für eigene Zwecke oder Zwecke Dritter verarbeitet sowie

f) Unterauftragnehmer mit Verarbeitungsort, insbesondere Server-Standort, außerhalb der EU/des EWR für die Bereitstellung des Videokonferenzdiensts nur einsetzt, wenn der Datenexport die Anforderungen des Kapitels V der Datenschutz-Grundverordnung erfüllt. Bitte beachten Sie, dass der Beschluss der EU-Kommission zur Gleichwertigkeit des Datenschutzniveaus in den USA sich ausschließlich auf Organisationen erstreckt, die sich durch Selbstzertifizierung beim US-Handelsministerium zur Einhaltung der Grundsätze des Privacy Shields verpflichtet haben.

Die Zertifizierung muss sich auch auf Personaldaten (HR) erstrecken. Sie überprüfen dies durch Einsicht in die Liste des US-Handelsministeriums unter https://www.privacyshield.gov/list.

4. Wenn Sie einen Anbieter mit Verarbeitungsort außerhalb von EU/EWR oder einem Land mit gleichwertigem Datenschutzniveau bzw. einen nicht im Rahmen des Privacy Shields für die Verarbeitung von Personaldaten zertifizierten Anbieter in den USA beauftragen wollen, dann erfüllen Sie die Bedingungen unter Ziff. 3. a) – c) und e) und schließen mit ihm zur Erfüllung der Bedingung in Ziff. 3. d) einen Vertrag gemäß den von der EU-Kommission genehmigten Standardvertragsklauseln (https://eur-lex.europa.eu/legalcontent/DE/TXT/?uri=CELEX%3A32010D0087). Eine Einschränkung der Wirkung dieser Klauseln durch anderweitige Vereinbarungen ist nicht zulässig.

Dies gilt für jede Art von zusätzlichen Bedingungen und Einschränkungen für die Pflichten und Rechte aus den Standardvertragsklauseln. Die Erfüllung der Ziff. 3. a) bis 3. f) sowie ggf. Ziff. 4. bzw. im Fall von selbst betriebenen Lösungen Ziff. 2 Satz 2 ist in der Regel zwingende Voraussetzung für die Rechtmäßigkeit der Nutzung der jeweiligen Lösung.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit weisen darauf hin, dass einige verbreitet eingesetzte Anbieter zu Redaktionsschluss (22. Mai 2020) nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen, darunter gängige Produkte von Microsoft, Skype Communications und Zoom Video Communications.

Nicht datenschutzgerechte Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen von Ihrer Institution kurzfristig eingesetzt wurden, sollten so bald wie möglich abgelöst bzw. so nachgebessert werden, dass sie den datenschutzrechtlichen Anforderungen entsprechen. Hinweis: Wir planen, für unserer Aufsicht unterliegende Verantwortliche in Kürze eine ausführlichere Übersicht mit detaillierteren Angaben zu verschiedenen gängigen Anbietern von Videokonferenz-Diensten zu erstellen.

Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit

DS-GVO – Bitkom zieht durchwachsene Bilanz

Datenschutz
Lesezeit: 2 Minuten

DS-GVO – 8 von 10 Unternehmen sehen Datenschutz als größte Hürde für Einsatz neuer Technologien

DS-GVO – Seit knapp zwei Jahren gilt die EU-Datenschutz-Grundverordnung. Unternehmen und Organisation haben dadurch u.a. erweiterte Informationspflichten, müssen Verarbeitungsverzeichnisse für Personendaten erstellen sowie Datenschutz schon in Produktionsprozessen berücksichtigen.

Dazu erklärt Bitkom-Präsident Achim Berg:

„Die Corona-Krise zeigt, welche herausragende Bedeutung der Datenschutz in Deutschland inzwischen hat. Dabei dominiert der Datenschutz selbst in dieser Krisensituation viele weitere Rechte wie das Recht auf körperliche Unversehrtheit, Versammlungsfreiheit, Gewerbefreiheit oder den Zugang zu schulischer Bildung. So werden einerseits weitgehende Einschränkungen von Grundrechten akzeptiert, gleichzeitig scheiterte die Veröffentlichung einer von vielen Einschränkungen befreienden Tracing-App an Datenschutzbedenken. Schulen können ihren Unterrichtsbetrieb nicht wieder aufnehmen und verlieren zu vielen Schülern einen funktionierenden Kontakt, gleichzeitig wird Lehrern der Einsatz vieler gut funktionierender Videoplattformen mit Hinweisen auf Datenschutzprobleme kategorisch verboten. Offenkundig ist das bislang gut ausbalancierte System an Freiheits- und Schutzrechten mit der DS-GVO aus den Fugen geraten.

DS-GVO – Das Gesetzgebungsverfahren zur Datenschutz-Grundverordnung war eines der aufwändigsten in der Geschichte der Europäischen Union. Die Bilanz der DS-GVO ist hingegen bestenfalls bescheiden. Das allgemeine Bewusstsein für das Thema Datenschutz hat stark zugenommen, und das ist in jedem Fall positiv. Von einem EU-weit einheitlichen Datenschutzniveau sind wir in der Praxis aber noch weit entfernt – dafür ist die Auslegung in den Mitgliedsstaaten zu unterschiedlich. Auch zwei Jahre nach Geltungsbeginn der DS-GVO haben viele Unternehmen noch nicht alle Anforderungen umgesetzt. Nicht wenige sind der Meinung, eine komplette Umsetzung der DS-GVO sei nicht möglich. Die Aufsichtsbehörden sind ihrerseits mit einer nicht zu bewältigenden Flut an Anfragen konfrontiert. Im Ergebnis stehen auf allen Seiten hohe personelle und finanzielle Aufwände.

Nach der geplanten Evaluierung der Datenschutzregeln muss die EU den grundsätzlichen Geburtsfehler beseitigen: Die DS-GVO reglementiert jeden einzelnen Datenverarbeitungsvorgang und jede Datenerhebung. Vereine, Startups und Großkonzerne werden über denselben Kamm geschoren und nicht differenziert behandelt. Die in der DS-GVO vorgesehenen Ausnahmen für kleinere Unternehmen kommen in der Praxis so gut wie nie zum Tragen. Dabei sollten Art und Umfang der Datenverarbeitungen ausschlaggebend für die Verpflichtungen sein, auch sollte man die Regeln grundsätzlich vereinfachen. In der Forschung sollten der Datennutzung weniger Hürden in den Weg gestellt werden – insbesondere für EU-weite Projekte im Gesundheitsbereich.“

Die Wirtschaft nimmt Datenschutzregeln zunehmend als Herausforderung war. So sehen derzeit acht von zehn Unternehmen (79 Prozent) Datenschutzanforderungen als die größte Hürde beim Einsatz neuer Technologien. Im Vorjahr sagten dies erst drei Viertel (74 Prozent), im Jahr 2018 nicht einmal zwei Drittel (63 Prozent). Das ist das Ergebnis einer repräsentativen Bitkom-Unternehmensbefragung aus dem April 2020.

Zur geplanten Evaluierung der DS-GVO durch die EU-Kommission hat Bitkom Empfehlungen erarbeitet. Aus Bitkom-Sicht sollte es vor allem eine beschleunigte Abstimmung auf EU-Ebene geben, um die Auslegung der DS-GVO stärker zu harmonisieren. Die Bitkom-Empfehlungen sind zum Download verfügbar unter https://www.bitkom.org/Recommendations-EU-Data-Protection-Framework

Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die Bitkom Research im Auftrag des Digitalverband Bitkom durchgeführt hat. Dabei wurden 603 Unternehmen mit 20 und mehr Beschäftigten telefonisch befragt. Die Umfrage ist repräsentativ für die Gesamtwirtschaft.

Quelle: Bitkom

Datenschutz – EDSA aktualisiert Leitlinien zur Einwilligung bei Internetseiten

Datenschutz
Lesezeit: < 1 Minute

Datenschutz – Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert. Der EDSA stellt klar, dass der Zugang zu einem Web-Service nicht abhängig von der Erlaubnis in das Setzen von sogenannten Cookies sein darf. Auch die bloße Weiternutzung einer Seite wird nicht als wirksame Einwilligung angesehen.

Datenschutz – Als Mitglied des EDSA befürwortet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber die Aktualisierung: Es gibt immer noch Internetseiten, die durch Ihren Aufbau den Nutzenden Tracking aufdrängen. Die aktualisierten Leitlinien machen erneut deutlich, dass Einwilligungen nicht erzwungen werden können. Die meisten Cookie-Walls und die Annahme, dass das Weitersurfen eine Einwilligung bedeutet, widersprechen dem Aspekt der Freiwilligkeit und verstoßen gegen die Datenschutz-Grundverordnung. Ich wünsche mir, dass Verantwortliche daraus die richtigen Schlüsse ziehen und endlich datenschutzfreundliche Alternativen anbieten.

Als „Cookie-Wall“ wird ein Verfahren bezeichnet, das von Nutzenden eines Online-Angebots einfordert Cookies zu akzeptieren, um das Angebot nutzen zu können. Ausnahmsweise sind Cookie-Walls dann zulässig, wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als bezahlter Dienst.

Das bloße Scrollen oder Weitersurfen auf einer Internetseite stellt dagegen in keinem Fall eine Einwilligung dar. Hier fehlt es gemäß den Leitlinien des EDSA an einer eindeutig bestätigenden Handlung.

Der EDSA hat die aktualisierten Leitlinien bereits in englischer Sprache veröffentlicht.

Quelle: BfDI

DSGVO – Wettbewerbsnachteil

Datenschutz
Lesezeit: 2 Minuten

DSGVO – Die Europäische Datenschutz-Grundverordnung, kurz DSGVO, schützt seit einiger Zeit die Daten von europäischen Bürgern. Für die Unternehmen ist die Regelung vor allem mit viel Aufwand verbunden – und mit Nachteilen im internationalen Wettbewerb, wie eine neue Studie des Instituts der deutschen Wirtschaft (IW) zeigt.

THEMEN:DIGITALISIERUNG ·UNTERNEHMEN ·VERBRAUCHERSCHUTZ

Rund ein Drittel der Unternehmen in Deutschland hat nach eigenen Angaben Wettbewerbsnachteile durch die DSGVO. Vor allem im Konkurrenzkampf mit internationalen Firmen, die sich außerhalb der EU nicht an die DSGVO halten müssen, ist das spürbar, zeigt eine IW-Studie, für die 862 Unternehmen befragt wurden. Besonders Industriedienstleister haben mit der DSGVO zu kämpfen: 37 Prozent von ihnen fühlen sich nach eigenen Angaben benachteiligt. Firmen aus dem Handwerk scheinen weniger Probleme mit dem Gesetz zu haben, hier berichten nur 29 Prozent von Nachteilen.

Strengere Regeln, drakonische Strafen

BARBARA ENGELS Economist für Industrieökonomik und Wettbewerb
DR. MARC SCHEUFEN Economist in der Forschungsgruppe Big Data Analytics

Unternehmen kritisieren vor allem den hohen Aufwand, der nötig ist, um die Verordnung umzusetzen und einzuhalten, außerdem enthält sie zum Teil strengere Regelungen als das Bundesdatenschutzgesetz. Bemerkbar macht sich das beispielsweise im Marketing: Für personalisierte Onlinewerbung müssen die Unternehmen in der Regel erst die Einwilligung der Kunden einholen. Ein weiterer Nachteil sind die potenziell drakonischen Strafen, die bei vielen Unternehmen zu Rechtsunsicherheit führen.

Digitale Unternehmen sehen Vorteile

Immerhin: Fünf Prozent der Unternehmen sehen auch Vorteile in der DSGVO. Am häufigsten nannten die Unternehmen die Chance auf mehr Gewinn. Denn Kunden, für die der Datenschutz besonders wichtig ist, könnten sich nun eher für ein Unternehmen entscheiden, das sich an die DSGVO und damit an hohe Datenschutzstandards halten muss. Auffällig ist, dass digitalisierte und innovative Unternehmen die DSGVO eher als vorteilhaft empfinden, obwohl sie gleichzeitig den Aufwand der Umsetzung als höher einschätzen. „Diese zukunftsgerichteten Unternehmen sind eher vom positiven Charakter der DSGVO überzeugt. Das zeigt, dass ein hohes Datenschutzniveau auch aus wirtschaftlicher Perspektive wichtig und richtig ist“, so Studienautorin Barbara Engels.
Um Wettbewerbsnachteile zu verringern, sollte das Modell DSGVO auch außerhalb der EU gelten. „Die Politik sollte versuchen, die DSGVO als internationalen Standard zu etablieren“, sagt Co-Autor Marc Scheufen. Kalifornien hat sich beispielsweise schon an der europäischen Regelung orientiert: 2018 hat der US-Bundestaat ein Gesetz beschlossen, das die DSGVO als Vorbild hat.

Quelle: IW Köln

DSGVO – Ein Jahr EU-Datenschutz-Grundverordnung

Lesezeit: 3 Minuten

DSGVO – Seit fast einem Jahr ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.

Doch laut aktueller Umfrage* der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG), entsprechen noch immer nicht alle Unternehmen der Verordnung. Lediglich 12 Prozent (Oktober 2017: 4 Prozent) der befragten Unternehmen sollen bisher vollständig die Anforderungen der Verordnung erfüllt haben.

DSGVO
© DSAG – DSGVO

Knapp 83 Prozent (Oktober 2017: 66 Prozent) der befragten DSAG-Mitglieder haben einige Vorbereitungen getroffen, sind aber noch nicht komplett EU-DSGVO-konform. Für Ralf Peters, DSAG-Fachvorstand Anwendungsportfolio, ist das Ergebnis ein Jahr nach Inkrafttreten der EU-DSGVO keine Überraschung: „Wir wissen, dass sich viele unserer Mitgliedsunternehmen schon vor längerer Zeit auf den Weg gemacht haben, sich datenschutzkonform aufzustellen. Einige haben ein- oder zweijährige Projekte durchgeführt, um die EU-DSGVO zu implementieren.“ Erfolgsmeldungen seien aber vor allem von Großunternehmen zu hören, die entsprechende Mittel besäßen. Daher schätzt Ralf Peters, dass diese Unternehmen das Gros der zwölf Prozent (Oktober 2017: 4 Prozent) ausmachen, die inzwischen EU-DSGVO-konform sind.

Insgesamt hält der DSAG-Fachvorstand die Zahl der Unternehmen, die vollständig der Verordnung entsprechen, aber für deutlich zu niedrig. Insbesondere vor dem Hintergrund, dass sich die Voraussetzungen, unter denen Daten verarbeitet werden dürfen, durch die EU-DSGVO eigentlich kaum verändert hätten. „Lediglich zwei Aspekte sind neu. Erstens müssen Unternehmen jetzt für alle in der Grundverordnung vorgesehenen Verarbeitungen von Daten die geforderten Voraussetzungen nachweisen und diese umsetzen. Die Dokumentationspflichten sind gewachsen“, erläutert Ralf Peters. Zweitens habe die umfangreiche mediale Berichterstattung zur Einführung der EU-DSGVO speziell die Auskunftsrechte in den Vordergrund gerückt. Das führe zu vermehrten Anfragen zu diesem Thema und seitens der Unternehmen zu einem entsprechend erhöhten Aufwand, um der Informationspflicht gerecht zu werden.

Investitionsbereitschaft hoch

DSGVO
© DSAG – DSGVO

Insgesamt 77 Prozent der Befragten (Oktober 2017: 43 Prozent) haben zusätzliche Investitionen getätigt, um die EU-Datenschutz-Grundverordnung umzusetzen. 82 Prozent (Oktober 2017: 54 Prozent) der Unternehmen, die investiert haben, steckten laut Umfrage zusätzlich Geld in die IT-Beratung. Zudem haben etwa 50 Prozent (Oktober 2017: 40 Prozent) in Non-IT-Beratung investiert, knapp 27 Prozent in IT-Lizenzen (Oktober 2017: 14 Prozent) und etwa 17 Prozent (Oktober 2017: 18 Prozent) in sonstige Bereiche wie Hardware, Datenschutzsoftware oder Personal.

Auch in Zukunft stehen bei 72 Prozent der befragten Unternehmen weitere Investitionen in IT-Beratung, bei 39 Prozent in Non-IT-Beratung und bei 18 Prozent in IT-Lizenzen an. „Die Investitionsbereitschaft ist nach wie vor hoch. Daraus lässt sich schließen, dass das Schreckgespenst EU-DSGVO für viele noch nicht gebannt und die Angst vor Abmahnungen und Sanktionen durchaus in den Köpfen ist“, ordnet Ralf Peters ein.

Anwender fordern mehr Unterstützung von SAP

Bei fast 67 Prozent der befragten Unternehmen sind die Wege für die Auskunft und Benachrichtigung der betroffenen natürlichen Personen festgelegt und bereits betriebliche Übung. Und lediglich 13 Prozent haben in ihrem Unternehmen eine Datenschutzverletzung entdeckt und der Aufsichtsbehörde gemeldet. „Das zeigt, dass die Unternehmen, wenngleich sie vielleicht noch nicht alle zu 100 Prozent konform sind, doch auf einem guten Weg sind“, sagt Ralf Peters. Dazu habe auch die DSAG ihren Teil beigetragen und werde dies auch künftig weiterhin tun. Beispielsweise mit einem Informationstag am 05.06.2019 zum Thema „Datenschutz mit SAP: 1 Jahr EU-DSGVO“ in St. Leon-Rot, der mit Unterstützung von SAP in St. Leon-Rot ausgerichtet wird. „Laut Umfrage-Ergebnis fühlen sich derzeit knapp 49 Prozent der Befragten bei diesem Thema von der DSAG ausreichend begleitet. Hier möchten wir ansetzen und weiter für Aufklärung sorgen“, erläutert der DSAG-Fachvorstand.

DSGVO
© DSAG – DSGVO

Weniger positiv fällt das Ergebnis hinsichtlich der Unterstützung von SAP aus. Hier sehen die Mitglieder weiterhin Nachholbedarf. Während nur etwa 17 Prozent (Oktober 2017: 11 Prozent) der Befragten mit der Unterstützung durch SAP sehr zufrieden oder zufrieden sind, erwarten etwa 69 Prozent (Oktober 2017: 72 Prozent) mehr. Sie sind nur mäßig oder gar nicht zufrieden mit dem, was SAP bezogen auf die Umsetzung der Datenschutz-Grundverordnung im SAP-System bietet. DSAG und SAP führen bei diesem Thema ihre bewährte Partnerschaft fort. In verschiedenen DSAG-Gremien werden die Anforderungen der Mitglieder an die SAP-Lösungen diskutiert und in konstruktiv-kritischem Dialog erörtert.

*Erhebungsgrundlage der Umfrage

Die DSAG hat im März 2019 eine Online-Umfrage bei 105 Mitgliedspersonen durchgeführt. Zum Vergleich wurde im Oktober 2017 eine Online-Umfrage bei 158 Mitgliedspersonen durchgeführt.

Quelle: DSAG

Über DSAG

Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) ist einer der einflussreichsten Anwenderverbände der Welt. Mehr als 60.000 Mitglieder aus über 3.500 Unternehmen bilden ein starkes Netzwerk, das sich vom Mittelstand bis zum DAX-Konzern und über alle wirtschaftlichen Branchen in Deutschland, Österreich und der Schweiz (DACH) erstreckt. Auf Basis dieser Reichweite gewinnt der Industrieverband fundierte Einblicke in die digitalen Herausforderungen im DACH-Markt. Die DSAG nutzt diesen Wissensvorsprung, um die Interessen der SAP-Anwender zu vertreten und ihren Mitgliedern den Weg in die Digitalisierung zu ebnen. Weitere Informationen finden Sie unter: www.dsag.dewww.dsag.atwww.dsag-ev.ch

DSGVO – Europäischer Datenschutzausschuss verabschiedet Leitlinien zur Interpretation des Art. 6 Abs. 1 b

Lesezeit: < 1 Minute

Mit den gestern beschlossenen „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen“ beschränkt der Europäische Datenschutzausschuss die Möglichkeit für Unternehmen, die Verarbeitung von Daten der Nutzerinnen und Nutzer auf die Rechtsgrundlage „Vertragserfüllung“ zu stützen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßt die Annahme der Leitlinien ausdrücklich: Die DSGVO stellt zu Recht strenge Voraussetzungen an die Zulässigkeit einer Einwilligung auf. Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, dies zu umgehen, indem sie Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in den Vertragstext mit aufnehmen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürgerinnen und Bürger.

Nach Art. 6 Abs. 1 b DSGVO ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Vertragserfüllung erforderlich ist. In den neuen Leitlinien wird klargestellt, dass es zur Beurteilung dessen, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein darauf ankommt, was im Vertrag vereinbart wurde. Vielmehr ist eine wertende Entscheidung unter Berücksichtigung der in Art. 5 DSGVO niedergelegten Datenschutzgrundsätze wie Sparsamkeit, Fairness und Transparenz notwendig. Beispielsweise kann eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung danach grundsätzlich nicht auf die Rechtsgrundlage „Vertragserfüllung“ gestützt werden.

Das Papier kann in den nächsten Wochen von interessierten Stellen im Rahmen einer öffentlichen Konsultation kommentiert werden.

Quelle: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Person Name

Beratung DSGVO Löschkonzepte im SAP Umfeld

+1787770800

DSGVO – Datenschutz Folgenabschätzung bei bayerischen Behörden

Lesezeit: 2 Minuten

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht die “Bayerische Blacklist” zur Datenschutz-Folgenabschätzung mit umfangreichem Begleitmaterial.

Mit Einführung der Datenschutz-Grundverordnung – DSGVO wurde das für die Tätigkeit der bayerischen Behörden maßgebliche Datenschutzrecht 2018 grundlegend reformiert. Bekannte und bewährte Regelungen des alten Rechts stehen seither neben noch ungewohnten Bestimmungen, die in der Verwaltungspraxis erst einmal “ankommen” müssen – auch, weil Arbeitsabläufe anzupassen und Erfahrungen neu zu gewinnen sind.

DSGVO – Die Datenschutz-Folgenabschätzung gab es im alten Recht nicht. Schon vor der Datenschutzreform 2018 waren Behörden, die personenbezogene Daten verarbeiten, aber verpflichtet, für ein ausreichendes Maß an Datensicherheit zu sorgen. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, muss der für sie Verantwortliche nach dem neuen Recht nun eine Datenschutz-Folgenabschätzung durchführen. DSGVO – Dabei erarbeitet er strukturiert eine Beschreibung der Risiken und setzt ihnen geeignete technische und organisatorische Maßnahmen entgegen.

DSGVO – Bayerische Behörden sind für zahllose Datenverarbeitungen verantwortlich. Darunter können sich auch solche Verarbeitungen befinden, die einer Datenschutz-Folgenabschätzung bedürfen. Um die Identifizierung dieser “Hochrisiko-Verarbeitungen” zu erleichtern, habe ich heute die “Bayerische Blacklist” veröffentlicht, welche die wichtigsten Fälle aufzählt. Dazu bin ich nach der Datenschutz-Grundverordnung im Übrigen verpflichtet. DSGVO – Zur Unterstützung der bayerischen Behörden habe ich außerdem meine bereits Mitte Mai 2018 veröffentlichte Orientierungshilfe “Datenschutz-Folgenabschätzung” überarbeitet und um ein neues, ausführliches Arbeitspapier zur Methodik ergänzt. Eine Fallstudie zeigt hier beispielhaft, wie eine Datenschutz-Folgenabschätzung IT-gestützt effektiv und effizient erarbeitet werden kann. Sie illustriert zugleich den Nutzen, den dieses Instrument im Rahmen eines geordneten Risikomanagements hat.

DSGVO – Die “Bayerische Blacklist”, die aktualisierte Orientierungshilfe mit dem zugehörigen neuen Arbeitspapier sowie die im Rahmen der Fallstudie eingesetzte Software – eine deutsche Version des bewährten, von der französischen Datenschutz-Aufsichtsbehörde herausgegebenen PIA-Tools – stehen seit heute auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik “Datenschutzreform 2018” zum kostenlosen Download bereit. Prof. Dr. Thomas Petri: “Die Datenschutz-Folgenabschätzung ist ein wichtiges Instrument, um die Rechte und Freiheiten natürlicher Personen bei Datenverarbeitungen mit voraussichtlich hohem Risiko zu schützen. Meine Beratungspraxis hat allerdings gezeigt, dass bei vielen bayerischen öffentlichen Stellen immer noch große Unsicherheiten bestehen, wann und wie eine Datenschutz-Folgenabschätzung genau durchzuführen ist. Mit der ‚Bayerischen Blacklist‘ und dem umfangreichen Begleitmaterial möchte ich hier Hilfe und Orientierung für die behördliche Praxis bieten.”

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.

Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)