Das Datenschutz-Blog
datenschutzbeauftragter online – blog zu datenschutz und datensicherheit
http://https://www.datenschutzbeauftragter-online.de
IAPP: Zertifizierte Ausbildung für Datenschutzbeauftragte
[IITR – 21.9.17] Die IITR GmbH bietet in Zusammenarbeit mit der IAPP ab dem Frühjahr 2018 zertifizierte Ausbildungslehrgänge für Datenschutzbeauftragte an. Die IAPP (International Association of Privacy Professionals) ist eine internationale Vereinigung von im Bereich Datenschutz/Privacy beruflich tätigen Personen, die sich regelmäßig zu betrieblichen Datenschutzthemen austauschen. Es ist die weltweit mitgliederstärkste Organisation in diesem Bereich. Die Ausbildungs-Lehrgänge sind bei dem American National Standards Institute (ANSI) unter dem ISO Standard 17024 akkreditiert. Weitere Informationen zur Akkreditierung finden sich hier. Es werden Lehrgänge für die Zertifizierungen nach den Standards CIPP/E („Certified Information Privacy Professional/Europe“) sowie CIPM („Certified Information Privacy Manager“) angeboten. Die Ausbildung richtet sich an Personen und Unternehmen, die ihre Kenntnisse und Expertise im Bereich Datenschutz professionalisieren möchten. Bei Interesse an den Lehrgängen bitten wir um rechtzeitige Kontaktaufnahme. Weitere Informationen: Standard nach CIPP/E („Certified Information Privacy Professional/Europe“) Standard nach CIPM („Certified Information Privacy Manager“) Kontakt: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW37 2017)
[IITR – 17.9.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> US Privacy Shield Enforcement Begins >>> Google öffnet Daten-Cloud für deutsche Firmen >>> Jeder einzelne Nutzer Glied in der Kette >>> Sicherheitsbehörde Zitis >>> Mängel in Wahlsoftware >>> Mai 2018: 124 Bundesgesetze ändern). Montag, 11. September 2017 Client Alert: US Privacy Shield Enforcement Begins. The Federal Trade Commission (FTC) in the US announced on Friday the results of its first Privacy Shield enforcement. Three companies agreed to settle with the FTC charges that they misled consumers about their participation in the EU-US Privacy Shield Scheme. corderycompliance.com… *** Mittwoch, 13. September 2017 Google öffnet Daten-Cloud für deutsche Firmen. Deutsche Unternehmen können ihre Webseiten oder Apps künftig in die Google-Cloud auslagern. Das verspricht kaum erreichte Schnelligkeit und Stabilität. Kritiker äußern Datenschutz-Bedenken – Google hält dagegen. Florian Regensburger, Bayerischer Rundfunk.de… *** Donnerstag, 14. September 2017 Jeder einzelne Nutzer sollte sich selber als Glied in der Kette zum Schutz der im Unternehmen bearbeiteten Daten sehen. In jüngerer Zeit sahen wir zahlreiche spektakuläre Angriffe von Ransomware. „Wanna Cry“ im Frühjahr 2017 und keine zwei Monate später „Not Petya“ sind sicherlich jene, die am meisten Aufsehen erregten – auch deswegen, weil Firmen und Privatpersonen auf der ganzen Welt gleichermassen von Schadsoftware betroffen waren, die Daten verschlüsselte und die Betroffenen erpresste. Michael Valersi, nzz.ch… *** Freitag, 15. September 2017 Sicherheitsbehörde Zitis. Datenschutz sicherstellen. Ob die umstrittene neue Behörde die vom Bundesinnenminister erwünschte Schlagkraft bekommt, ist offen. Markus Decker, Frankfurter Rundschau.de… *** Samstag, 16. September 2017 Regierung wusste schon lange von Mängeln in Wahlsoftware. Lange vor dem Hack war Behörden bekannt, dass die Software für die Bundestagswahl unsicher ist. Viel geschah nicht, um sie zu beheben. Das ist erst nach der Wahl geplant. Kai Biermann, zeit.de… *** Sonntag, 17. September 2017 Ab Mai 2018 gelten neue EU-Datenschutzregeln. Bis dahin muss der Bund um die 124 Bundesgesetze ändern und an die neue EU-Verordnung anpassen. epochtimes.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW36 2017)
[IITR – 10.9.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Vorwand Datenschutz: Zensur >>> Digitalisierung schafft es nur ins Schlusswort >>> Kamera-Apps und Datenschutz >>> Recruiting und Beschäftigtendatenschutz >>> Unangekündigte Computerschnüffelei >>> OLG Nürnberg lässt Dashcam-Bilder zur Beweisführung zu >>> Hacker-Jackpot Equifax >>> Bundestagswahl: Neue Methoden für Wahlforscher und Wahlkämpfer). Sonntag, 3. September 2017 Die Südtiroler Landesregierung und der Generalsekretär des Landes üben unter dem Vorwand des Datenschutzes Zensur aus. www.salto.bz… *** Montag, 4. September 2017 TV-Duell MERKEL-SCHULZ: Die Digitalisierung schafft es nur ins Schlusswort. Anderthalb Stunden reichen im Fernsehduell zwischen Kanzlerin Merkel und SPD-Herausforderer Schulz nicht aus, um über das Thema Digitalisierung zu sprechen. Friedhelm Greis, Golem.de… *** Dienstag, 5. September 2017 Kamera-Apps und Daten­schutz: Yi funkt persönliche Daten nach China. Kamera-Apps können hilf­reich sein, aber auch eine Menge verraten. Wir haben untersucht, welche Daten die Software an ihre Schöpfer weitergibt. Im Test: die Apps der namhaften Kamera-Anbieter Canon, Fujifilm, Nikon, Olympus, Panasonic, Ricoh, Sony und Yi. Wir testeten jeweils Android- und iOS-Versionen. Sony und Yi machen im Hintergrund weit mehr, als manchem Fotografen lieb sein dürfte. Stiftung Warentest… *** Mittwoch, 6. September 2017 Recruiting und Beschäftigtendatenschutz. Der glä­s­erne Bewerber. Welche Informationen über Bewerber dürfen beim Recruiting eingeholt und genutzt werden? Weniger als in der Praxis üblich. Dr. Daniel Hund, lto.de… *** Unangekündigte Computerschnüffelei durch den Chef verstößt gegen die europäischen Menschenrechte. Warum das selbst dann gilt, wenn die private PC-Nutzung grundsätzlich verboten ist, erklärt Tobias Neufeld, spiegel.de… *** Donnerstag, 7. September 2017 Im Zivilprozess verwertbar OLG Nürn­berg lässt Dashcam-Bilder zur Beweis­füh­rung zu. www.lto.de… *** Freitag, 8. September 2017 Hacker-Jackpot: Credit Bureau Equifax gehackt. Kreditkarten-, Sozialversicherungs- und Ausweisnummern von mehr als Hundert Millionen US-Amerikanern sind in falsche Hände gelangt, als Equifax monatelang gehackt war. Dazu kommen weitere Opfer in Kanada und dem Vereinigten Königreich. Daniel AJ Sokolov, heise.de… *** Sonntag, 10. September 2017 IT und die Bundestagswahl: Neue Methoden für Wahlforscher und Wahlkämpfer. Obwohl der Datenschutz strenger als in den USA ist, können deutsche Parteien auf Facebook viel über potenzielle Wähler lernen. Achim Barczok, heise.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW35 2017)
[IITR – 3.9.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Untersuchung nach Entzug der G20-Akkreditierungen >>> Informationsschutz in der Cloud >>> Millionen rechtswidrige Daten in BKA-Datei? >>> Social Engineering: Pflichten der Geschäftsführung und des Betriebsrats >>> Bundestagswahl 2017 >>> BKA: Datensätze zu politischen Delikten womöglich teilweise unrechtmäßig gespeichert). Sonntag, 27. August 2017 Untersuchung nach Entzug der G20-Akkreditierungen. Stuttgart (dpa/lsw) Baden-Württembergs Datenschutzbeauftragter Stefan Brink hat wegen möglicher Rechtsverstöße beim Entzug von Journalisten-Akkreditierungen beim G20-Gipfel eine Untersuchung angeordnet. stimme.de… *** Dienstag, 29. August 2017 Informationsschutz in der Cloud. Einen erfolgreichen Angriff auf Unternehmenssysteme und -anwendungen kann keine IT-Sicherheitstechnologie ausschließen. Eine Verschlüsselung von sensiblen Daten verhindert jedoch im schlimmsten Fall, dass gestohlene oder unberechtigt veröffentlichte Informationen verwertet werden können. Vor allem bei der Auslagerung von Anwendungen in die Cloud ist eine Absicherung unerlässlich. Elmar Eperiesi-Beck, informatik-aktuell.de… *** Mittwoch, 30. August 2017 Millionen rechtswidrige Daten in BKA-Datei? Der Skandal um den Entzug von Akkreditierungen für Journalisten beim G20-Gipfel ist nur die Spitze des Eisbergs. Auch zahlreiche weitere BKA-Auskünfte, die dem ARD-Hauptstadtstudio exklusiv vorliegen, belegen fehlerhafte und rechtswidrige Einträge. Datenschützer und Verfassungsrechtler warnen schon lange und fordern Konsequenzen. Arnd Henze, ARD-Hauptstadtstudio… *** Donnerstag, 31. August 2017 Social Engineering: Pflichten der Geschäftsführung und des Betriebsrats. Auch das beste IT-Sicherheitsmanagement kann keinen 100%igen Schutz gegen Angriffe auf die Sicherheitslücke Mensch bieten. Wie wir bereits berichteten, sind unterschiedliche Angriffsszenarien auf Unternehmen und deren Personal kein potentielles Zukunftsszenario mehr, sondern ein imminenter Risikofaktor für Ihre Betriebsgeheimnisse mit hohem finanziellen Schadenspotential. Stefanie Wojak, www.datenschutz-notizen.de… *** Freitag, 1. September 2017 Bundestagswahl 2017: Wen macht der Datenreichtum wirklich reich? Friedhelm Greis, Golem.de… *** Samstag, 2. September 2017 Eigene Dateien? Beim BKA sind aktuell mehr als eine Million Datensätze zu politischen Delikten womöglich teilweise unrechtmäßig gespeichert. Beim G-20-Gipfel wurde mehreren Journalisten wegen fehlerhafter BKA-Daten die Akkreditierung entzogen. Das sorgte für heftige Kritik an der Datenspeicherung des Amtes. Jetzt gibt BKA-Chef Münch Fehler zu – und wehrt sich. faz.net… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
IAPP München KnowledgeNet: Audit-Fragebogen EU-Datenschutz-Grundverordnung
[IITR – 31.8.17] IAPP München organisiert am 25.9.17 nachmittags ein „KnowledgeNet“ mit Herrn Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht in Bayern. Herr Kranig wird im Rahmen der Veranstaltung den fiktiven Fragebogen für ein potentielles Audit unter der EU-Datenschutz-Grundverordnung erläutern, den sein Haus vor kurzem veröffentlicht hat. Die IAPP (International Association of Privacy Professionals) ist eine internationale Vereinigung von im Bereich Datenschutz/Privacy beruflich tätigen Personen, die sich regelmäßig zu betrieblichen Datenschutzthemen austauschen. Weitere Informationen: Fiktiver Audit-Fragebogen in deutscher Fassung (PDF) Fiktiver Audit-Fragebogen in englischer Fassung (PDF) Webseite der IAPP Portrait von Herrn Thomas Kranig Webseite des Bayerischen Landesamtes für Datenschutzaufsicht in Bayern Kontakt: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW34 2017)
[IITR – 27.8.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Mehrere Apps erkennen angeblich IMSI-Catcher >>> Massive Kritik am geplanten Sicherheitspaket >>> Section Control neue Form der Tempomessung >>> Gesichtserkennung soll unterbrochen werden >>> Indiens oberstes Gericht: Privatsphäre ist Grundrecht >>> Britische Regierung: Zusammenarbeit bei Datenschutz). Montag, 21. August 2017 Mehrere Apps erkennen angeblich, wenn Smartphones mit gefälschten Mobilfunkmasten – sogenannten IMSI-Catchern – überwacht werden. Doch auch sie lassen sich täuschen. Andreas Kraft, zeit.de… *** Dienstag, 22. August 2017 Österreich. Massive Kritik am geplanten Sicherheitspaket. Nicht nur Datenschützer kritisieren die geplanten Überwachungsmaßnahmen, sondern auch das Österreichische Rote Kreuz, die Wirtschaftskammer und der Oberste Gerichtshof. Barbara Wimmer auf futurezone.at… *** Mittwoch, 23. August 2017 Section Control: Auch Polizei Köln plädiert für neue Form der Tempomessung. „Noch ganz am Anfang ihrer Überlegungen“ stehe die Stadt, was den Einsatz von so genannten Abschnittskontrollen zur Überwachung der Höchstgeschwindigkeit auf Kölns Straßen angeht. „Die Technik kann grundsätzlich sinnvoll sein“, sagt Stephan Keller. „Es muss aber genau geprüft werden, wo sie in der Stadt eingesetzt werden könnte.“ yahoo.nachrichten.de… *** Donnerstag, 24. August 2017 Gesichtserkennung in Berlin soll unterbrochen werden. Die Bundesdatenschutzbeauftragte Voßhoff teilte in Berlin mit, für das Experiment fehle eine ausreichende Rechtsgrundlage. Deutschlandfunk.de… *** Indiens oberstes Gericht überstimmt sich selbst: Privatsphäre ist doch ein Grundrecht. Martin Holland, heise.de… *** Freitag, 25. August 2017 London dpa Die britische Regierung will beim Thema Datenschutz auch weiterhin eng mit der EU zusammenarbeiten. In einem heute vorgestellten Positionspapier heißt es, noch im Herbst solle ein Gesetz zum Datenschutz ins Parlament eingebracht werden, das die jüngsten EU-Regeln in nationales Recht überführe. schwäbische.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Landesdatenschutzbeauftragte Bremen: Spitze Impulse aus dem Norden
[IITR – 23.8.17] „Ein Miniland kann nicht alles allein machen“, sagt die Verwaltungsjuristin Imke Sommer. Seit 2009 ist sie Bremer Landesdatenschutzbeauftragte und wurde Mitte Juni diesen Jahres von der Bremischen Bürgerschaft einstimmig im Amt bestätigt. Sommer hat sich in ihrem Studium auch mit Verfassungsrecht und Rechtsphilosophie befasst und wie der Hamburgische Datenschutzbeauftragte Johannes Caspar bei Ralf Dreier promoviert. In ihrer Promotion beschäftigte sie sich mit feministischer Rechtstheorie. Danach war sie als Referentin der SPD-Landtagsfraktion in Schleswig- Holstein tätig, danach wurde sie Referentin der Senatorin für Finanzen der Freien Hansestadt Bremen. Die Wiedergewinnung von Steuerungsmöglichkeiten Das Grundrecht auf informationelle Selbstbestimmung drückt sich für Sommer in der „Wiedergewinnung von Steuerungsmöglichkeiten“ aus. „Es ist ein kommunikatives Grundrecht: Ich will meine Kommunikation gezielt steuern, will, dass nur bestimmte Personen etwas von mir wissen und andere nicht.“ Die Hauptmotivation für die Datenschutzgrundverordnung sei für die europäischen Akteure gewesen, das Vertrauen in das Internet wieder zu erhöhen. „Das kann aber nur gelingen, wenn die Rechte der Menschen tatsächlich geschützt werden. Immerhin besteht das gegenwärtig vorhandene Misstrauen ja zu Recht“, betont Sommer. „Dass der Anbieter der Plattform, derer ich mich bediene, mehr mit den Informationen macht, als ich will, und ich nur nach der Friss-Vogel-Oder-Stirb-Logik meine vermeintliche Zustimmung geben konnte, ist nicht Ausdruck meine Selbstbestimmung!“, stellt Sommer fest. „Wenn etwas bei der Datenverarbeitung schiefgeht, liegt es also vor allem an denjenigen, die die Daten ohne hinreichende Rechtsgrundlage verwenden! Und auch daran“, fügt sie hinzu, „dass es uns Aufsichtsbehörden gegenwärtig noch nicht gelingen kann, die Rechtmäßigkeit der Dienste flächendeckend sicherzustellen.“ Sommer „freut sich“ deshalb auf „die drastischen Bußgelder, die wir ab Mai 2018 verhängen dürfen und darüber, dass sich Firmen, die mit den Daten der Menschen in Europa Geld verdienen wollen, an europäisches Recht halten müssen.“ Landesdatenschutzbeauftragte Bremen: Dr. Imke Sommer. Diskussion um die „Datensouveränität“ Den aktuellen Versuch, die Weite des Grundrechts auf informationelle Selbstbestimmung durch das Prinzip der Datensouveränität zu ersetzen, hält sie im Übrigen für einen Verstoß gegen Grundgesetz und Europäische Grundrechtecharta. „Das Grundrecht auf informationelle Selbstbestimmung hat einen weiten Schutzbereich. Eingegriffen wird darin schon, wenn die Menschen das diffuse Gefühl des Beobachtetseins haben, das das Bundesverfassungsgericht im Vorratsdatenspeicherungsurteil ins Spiel gebracht hat. Sogar dann, wenn uns unser Gefühl trügt und uns tatsächlich niemand beobachtet, sind wir also schon in unserer Grundrechtsausübung beeinträchtigt. Schon wenn ich im Parkhaus deshalb nicht in der Nase bohre, weil ich glaube, dass es sich bei der Kamera-Attrappe um eine echte Kamera handelt, hat das etwas mit dem Grundrecht zu tun. Das heißt noch nicht, dass die Attrappe rechtswidrig ist. Aber weil schon der Anschein der Beobachtung bei uns Verhaltensänderungen bewirkt, müssen auch die Gründe, Attrappen aufzuhängen, rechtlich tragen.“ Die jetzt geführte Diskussion um die so genannte Datensouveränität definiert laut Sommer aber die informationelle Selbstbestimmung in ein Recht mit einem viel kleineren Umfang um: „Das ist nichts als eine pauschale Rettungsaktion für alle nur denkbaren Big-Data-Geschäftsmodelle. Darüber, wie wir die Kollision zwischen der gesellschaftlich gewollten Digitalisierung und der informationellen Selbstbestimmung der Einzelnen lösen wollen, müssen wir alle gemeinsam diskutieren, bevor der Gesetzgeber für uns entscheidet. Probleme können nicht gelöst werden, indem sie einfach wegdefiniert werden.“ Die in dieser Diskussion diabolisierte Datenminimierung gehöre nach der Datenschutzgrundverordnung zu den unhintergehbaren Grundsätzen. Sommer: „Wenn eine Firma gegen diesen Grundsatz verstößt, muss sie mit Bußgeldern bis zu 4 Prozent ihres weltweit erzielten Jahresumsatzes rechnen. Das steht mit Erlass der Datenschutzgrundverordnung fest.“ Daran könnten die nationalen Gesetzgeber nicht rütteln, so gerne sie es vielleicht wollten. Die Messlatte, an der sich die Rechtmäßigkeit der Big-Data-Anwendungen bestimmen lässt, ist für Sommer die Wiedergewinnung von Steuerungsmöglichkeiten. Dafür sei zu allererst die Transparenz über die eingesetzten Algorithmen erforderlich: „Um entscheiden zu können, welche Nutzung unserer Daten in Ordnung ist und welche nicht, müssen wir die wesentlichen Eigenschaften der vermeintlich smarten Scorings kennen, welche die überall über uns zusammengesammelten Daten interpretieren.“ Es reiche nicht, dass der Bundesgerichtshof den Menschen das Recht attestiert hat, zu wissen, welche ihrer Daten in die Algorithmen eingehen. Sommer fordert: „Wir müssen zusätzlich erfahren dürfen, ob wir eine Wohnung nicht mieten dürfen, weil wir in einer bestimmten Gegend wohnen, ob wir einen Kleinkredit nicht bekommen, weil wir bestimmte Menschen kennen, und ob wir einen hohen Preis für Güter bezahlen müssen, weil wir bestimmte Angewohnheiten haben. Nur, wenn wir unzulässige Verknüpfungen kennen, können wir sie zurückweisen.“ Dies reflektiere auch die Datenschutzgrundverordnung mit der Forderung nach aussagekräftigen Informationen über die involvierte Logik der Algorithmen. „Aufsichtsbehördliche Maßnahmen wirken“ Sommer ist der festen Überzeugung, dass sich die aufsichtsbehördliche Arbeit auszahlt: „Ein großer Teil der im aktuellen Tätigkeitsbericht aufgelisteten Beispiele dokumentiert Fälle, in denen es gut ausgegangen ist für die informationelle Selbstbestimmung: Die Videokamera im Großraumbüro ist abgebaut, der Zugriff auf den digitalen Ordner mit den Personalvorgängen beschränkt und die automatisierte Weiterleitung von Unfalldaten an die allgemeine Datenbank der Versicherungswirtschaft gestoppt.“ Für die Menschen lohne es sich, rechtswidrige Datenverarbeitungen nicht einfach hinzunehmen, meint Sommer: „Manchmal hilft den Datenverarbeitern schon ein Brief mit dem Logo der Landesbeauftragten für Datenschutz auf die Sprünge.“ Gelegentlich gehe die Wirkung ihrer Aufsichtspraxis über das kleine Land Bremen hinaus. So verkaufe das Norddeutsche Apothekenrechenzentrum Abrechnungsdaten jetzt nur noch ohne die Daten der Patientinnen, Apotheker und Ärztinnen. „Aufsichtsbehördliche Maßnahmen wirken“, sagt Sommer – und die Aufsichtsbehörden könnten viele gemeinsame Erfolgsbeispiele vorweisen. Dazu gehöre, dass es in Europa keine Gesichtserkennung bei Facebook gebe. Der Hamburgische Datenschutzbeauftragte Johanes Caspar hatte eine Anordnung geschrieben, die wie die bremische auch einige andere deutsche Aufsichtsbehörden gerade als Muster für ihre Länder verwenden wollten, als Facebook einen Tag vor dem Ende der Rechtsbehelfsfristen die Gesichtserkennungsdatenbanken für ganz Europa löschte. Sommer: „Facebook merkte, dass das nicht durchzuhalten war. Das Recht am eigenen Bild ist in Europa stark verinnerlicht. Es war klar, dass die Menschen das nicht wollten.“ Über ihr Selbstverständnis als Behördenleiterin sagt sie: „Ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung ist nicht in jedem Fall eine Verletzung, er lässt sich einmal mit Einwilligungen rechtfertigen oder der Gesetzgeber kann als Akt der kollektiven informationellen Selbstbestimmung für uns entscheiden, dass der Eingriff gerechtfertigt ist. Wir Datenschutzbeauftragten müssen deshalb alles in Bewegung setzen, den Gesetzgeber vorher richtig zu beraten. Das verabschiedete Ergebnis müssen wir dann aber – jedenfalls bis zur eventuellen Aufhebung durch das Bundesverfassungsgericht oder den Europäischen Gerichtshof – akzeptieren.“ Dieses Bewusstsein der Wertschätzung des demokratisch legitimierten Gesetzgebers schlägt sich auch direkt auf der Website der Bremer Datenschutzbeauftragten nieder: So wird hier nicht nur der jährlich Ende März veröffentlichte Tätigkeitsbericht verlinkt, sondern auch die darauf bis Ende August erfolgende Stellungnahmen des Senats sowie den abschließenden Bericht des zuständigen Ausschusses der Bremischen Bürgerschaft. „Oft kann man dann sehen, dass sich bis Herbst schon einige Kritikpunkte erledigt haben. Was übrig bleibt, wird dann wieder im nächsten Tätigkeitsbericht aufgegriffen,“ erzählt Sommer und sagt: „Diese Art von Dokumentation ist für mich ein wichtiges Steuerungsinstrument.“ Der Staat soll seine Software selbst entwickeln – Stichwort Dataport Die Hansestadt Bremen lässt sich ihren Sonderstatus als Bundesland etwas kosten: Mit knapp 13 laut Landeshaushalt zugestandenen Personalstellen ist ihre Datenschutzbehörde gleichauf mit dem Saarland. Doch wie im Saarland köchelt die Behörden seit ihrem Bestehen auf Sparflamme. Kooperation mit den anderen ist daher groß angesagt. In Bremen sind das traditionell die anderen Nordländer, wobei sich die Kommunikation in Sachen Datenschutz oftmals rund um Dataport dreht. Dataport ist der öffentlich-rechtliche Informations- und Kommunikations-Dienstleister, den sich die öffentlichen Verwaltungen der vier Länder Schleswig-Holstein, Hamburg, Bremen, Sachsen-Anhalt gemeinsam mit den Steuerverwaltungen in Mecklenburg-Vorpommern und Niedersachsen leisten. Rund 2.500 Mitarbeiter hat die Anstalt öffentlichen Rechts, im vergangenen Jahr erzielte sie einen Umsatz von rund 500 Mio. Euro. Dort treffen die Landesdatenschutzbeauftragten mit Johann Bizer auf einen Vorstandsvorsitzenden, der als früherer stellvertretender Leiter des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein und ehemaliger Mitherausgeber der Datenschutzzeitschrift DUD als ausgemachter Datenschutzexperte gilt. „Die Argumentation beginnt auf einem ganz anderen Niveau“, sagt Sommer. „Wenn wir mit Dataport Kriterien der Mandantentrennung diskutieren, können wir gleich zur Sache kommen. Das heißt aber leider nicht, dass wir immer einer Meinung wären. Gerade die Frage, ob die Kriterien tatsächlich eingehalten werden, beantworten wir häufig genauso wie andere datenschutzrechtliche Fragen ganz anders als Dataport und die Trägerländer.“ Sommer hat ab 2004 den Beitritt Bremens zu Dataport aus dem IT-Referat der Senatorin für Finanzen der Freien Hansestadt Bremen heraus begleitet. Was die Rechtsform der Anstalt öffentlichen Rechts anbelangt, zeigt sich die Bremer Datenschutzbeauftragte als regelrechter Dataport-Fan: „Allein die Tatsache, dass es ein nach öffentlichem Recht funktionierender Anbieter ist, der dem Prinzip der Gesetzmäßigkeit der Verwaltung unterliegt, ist ein Qualitätsgewinn für den Datenschutz. Das Unternehmen wird sowohl über Verträge als auch über Verwaltungsrat und Träger-Versammlung gesteuert, die Vorgaben machen kann. Wenn es uns als Datenschutzbeauftragten gelingt, unsere Länder dazu zu bringen, dass sie hohe Sicherheitsanforderungen stellen, wird es einfacher für Dataport, weil die Anforderungen einheitlich sind. Und für die Länder wird es dadurch wieder insgesamt günstiger.“ Ganz rund läuft es aber mit der Einbindung der Datenschutzbeauftragten nicht: So richteten die Länder Bremen, Hamburg und Schleswig-Holstein eben erst ein gemeinsames „Data Center Polizei“ bei Dataport ein. Eine strikte Mandantentrennung wurde vor rund zwei Jahren vereinbart. Außerdem sollte ein „Gremium der Auftraggeber“ gebildet werden, „das dauerhaft die Aufgabe eines gemeinsamen Datenschutz- und IT- Sicherheitsmanagements für das Data Center Polizei wahrnimmt“. Es soll auch für die Beauftragung von gemeinsamen Sicherheitsmaßnahmen und die Kontrolle ihrer Umsetzung verantwortlich sein. Erst auf Nachfrage der Autorin beim Hamburgischen Datenschutzbeauftragten stellte sich heraus, dass die Polizei inzwischen das Data Center in Betrieb genommen hat – ohne aber die Landesdatenschutzbeauftragten ausdrücklich über die Inbetriebnahme zu informieren. Rein rechtlich sind sie dazu auch nicht verpflichtet. Bei einer auch atmosphärisch guten Zusammenarbeit hätte man jedoch zumindest von einer kurzen Benachrichtigung ausgehen können. Auf Nachfrage erfuhr Imke Sommer, dass inzwischen zwei Gremien gebildet wurden: Die AG ISMDCP, ein Zusammenschluss der IT-Sicherheitsbeauftragten der Dataport-Trägerländer sowie das KG DCP, ein Koordinierungsgremium, in dem sich die „UA IUK“- Gremienmitglieder der Dataport-Trägerländer zusammengeschlossen haben. Die Landesbeauftragten der Länder gehören den Gremien jeweils nicht an. Eine stichprobenartige Prüfung fand zuletzt im Jahr 2015 statt. Auf die Frage, wann dann die nächste Prüfung stattfinden soll, antwortet sie lieber nicht. Sparsame Prüfpraxis Die Bremer Aufsichtsbehörde führt aus Kapazitätsgründen nur wenige anlasslose Prüfungen durch. Sommer glaubt, dass ein Großteil der Missstände durch die Bearbeitung der Bürgereingaben ans Licht kommt. Bremen hat sich an der gemeinsamen Prüfaktion von zehn Bundesländern zu grenzüberschreitenden Datenübermittlungen beteiligt. In Bremen sollen deshalb jetzt 16 weitere Unternehmen die Fragen zu grenzüberschreitenden Datenübermittlungen von Kundendaten und Beschäftigtendaten beantworten, nachdem im Anschluss an das Urteil des Europäischen Gerichtshofs im Mai 2016 bereits 29 in Bremen ansässige Unternehmen zu transatlantischen Datenübermittlungen befragt worden waren. Als problematisch empfindet Imke Sommer den Personalabbau in der öffentlichen Verwaltung in den letzten Jahren: „Da ging viel Know-How verloren. Teilweise können gesetzliche Aufgaben nicht mehr erfüllt werden, wie etwa die Erstellung von Datenschutzkonzepten.“ Deshalb ist sie auch froh, dass zumindest in ihrer Behörde das Personal mit 13 Vollzeitäquivalenten bzw. 16 Köpfen in etwa stabil blieb. „Aber selbst das Halten des Status Quo ist in einem Haushaltsnotlageland jedes Mal ein riesiger Kraftakt,“ sagt sie.   Der Personalstand ist seit 2001 stabil auf niedrigem Niveau. Bremen unterhält unter anderem ein IT-Team mit fünf Personen, die sich zum Teil sowohl mit Technik und als auch mit Recht befassen. Sommer: „Eine doppelte Qualifikation ist wichtig, weil fast alle Datenschutzprobleme einen rechtlichen und einen technischen Aspekt aufweisen. Wir haben zwar kein eigenes IT-Labor, aber wir können selbst Daten vor Ort sicherstellen.“ Die Höhe der tatsächlich eingenommenen Bußgelder steht in keiner Relation zur Zahl der Eingaben. Insgesamt hat die Behörde seit 2011 30 Bußgeldbescheide erlassen, von denen 9 durch das Amtsgericht und 2 von der Behörde selbst wegen Vermögenslosigkeit eingestellt wurden. Über vier Einsprüche ist noch nicht gerichtlich entschieden worden. In Bremen stieg die Zahl der Bürgereingaben um rund 25 Prozent in den letzten fünf Jahren an, wobei sich die Eingaben zur Videoüberwachung in den letzten fünf Jahren fast verdoppelt haben. Impulsgeberin für Safe Harbor-Debatte Typisch für die Bremer Aufsichtsbehörde ist, dass sie von ihren Ressourcen her zwar relativ wenige Unternehmen beraten und prüfen kann, aber wie jedes andere Bundesland für eine definierte Verwaltungsstruktur zuständig ist. Imke Sommer sagt, dass sie noch immer von der Zeit profitiert, als Bremen den Vorsitz in der Datenschutzkonferenz hatte. In dieser Zeit kamen die ersten Snowden-Enthüllungen und Sommer reagierte damals rasch: In einer gemeinsamen Pressemitteilung stellte sie gemeinsam mit den anderen Datenschutzaufsichtsbehörden fest, dass Safe Harbor nicht mehr Grundlage für den transatlantischen Datenverkehr sein könne. Dieser Standpunkt wurde vom LIBE-Ausschuss im Europäischen Parlament aufgegriffen und Sommer hatte danach viele Anrufe von US-Journalisten. Noch in der Zeit des Konferenzvorsitzes hat sie in Bremen ein Verfahren gegen ein Unternehmen in Gang gesetzt, das „Safe Harbor“ als Grundlage für seinen Datenverkehr hatte. Letztlich kam es jedoch zu keinem Verbot des Transfers, da im Oktober der Europäische Gerichtshof in dem von Max Schrems angestrengten Verfahren „Safe Harbor“ für nichtig erklärte und das betroffene Bremer Unternehmen bereits einen Tag nach der Urteilsverkündung auf die EU-Standardvertragsklauseln umgeschwenkt hatte. Diese Lösung hält Sommer für noch immer besser als jede Angemessenheitsentscheidung der Kommission, da die Vertragspartner „dafür immerhin schon mal miteinander über den Schutz personenbezogener Daten reden müssen“. Sommer betont, dass es keine Rolle spiele, welcher Partei eine Datenschutzbeauftragte angehört: „Wenn eine Juristin datenschutzrechtliche Probleme durch die Verfassungsbrille sieht, und genau das ist ja unser Job, ist es unmöglich zu anderen Positionen zu kommen, dann gibt es zwischen uns nur noch marginale Unterschiede.“ Für die Bund-Länder-Kooperation sei nicht das Parteibuch entscheidend, sondern die richtige Organisation. Das sei auch in der Vergangenheit in Sachen Safe Harbor gut umgesetzt worden. So hatten die Bundesdatenschutzbeauftragte Andrea Voßhoff und der Hamburgische Landesdatenschützer Johannes Caspar darauf bestanden, dass sie für die Verhandlungen in Brüssel vorformulierte Mandate erhalten, die auch einem dynamischem Verhandlungsverlauf Stand halten würden. Damals wurde ein Abstimmungsverfahren unter den Aufsichtsbehörden etabliert, bei dem diese sich auf eine Position und damit auf das Mandat verständigen. Dieses kommt jetzt in der Datenschutzkonferenz zur Anwendung, wenn diese Positionen für die Unterarbeitsgruppen der Artikel-29-Gruppe fortentwickelt. Autorin: Christiane Schulzki-Haddouti Kontakt: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW33 2017)
[IITR – 20.8.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Großbritannien will Zollunion auf Zeit >>> EU-Datenschutz-Grundverordnung: Achtung bei Asset Deals >>> DSGVO und die neue Rolle des Data Protection Officer >>> Versicherungswirtschaft und Autohersteller streiten um Daten >>> Chinas Zentralregierung: Informationssicherheit und Datenschutz). Mittwoch, 16. August 2017 Großbritannien will Zollunion auf Zeit. London fordert, dass auch nach dem EU-Ausstieg erst einmal auf Handelsschranken verzichtet wird. Brüssel ist skeptisch. taz.de… *** Donnerstag, 17. August 2017 EU-Datenschutz-Grundverordnung – Achtung bei Asset Deals. Kundendaten sind bei Unternehmensübernahmen oft ein wesentlicher Faktor für die Bestimmung des Unternehmenswerts. Schon bisher sahen Datenschützer die Übernahme von Kundendaten aber dann kritisch, wenn diese im Zuge eines Unternehmenserwerbs (Asset Deals) den Eigentümer wechselten. Karin Bruchbacher/Lisa Urbas auf boerse-express.com… *** Freitag, 18. August 2017 DSGVO und die neue Rolle des Data Protection Officer. it-daily-net… *** Samstag, 19. August 2017 Versicherungswirtschaft und Autohersteller streiten um Daten. Mirko Wenig, versicherungsbote.de… *** Sonntag, 20. August 2017 Chinas Zentralregierung macht es sich leicht mit der Informationssicherheit und dem Datenschutz: Im Zweifelsfall werden die Firmen oder die Nutzer zur Verantwortung gezogen – niemals jedoch staatliche Stellen. Gerade erst leitete die nationale Digitalbehörde auf Grundlage des seit Juni geltenden Cybergesetzes eine Untersuchung gegen Chinas drei führende IT-Unternehmen ein. Sie hätten „illegale Informationen“ nicht ausreichend kontrolliert. Kristin Shi-Kupfer, George G. Chen, zeit.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW32 2017)
[IITR – 13.8.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Privatsphäre nicht mehr in eigener Hand >>> Datenschutzfolgenabschätzung >>> EU-Ministerrat erwägt Möglichkeiten Telekommunikationsdaten zu nutzen >>> Städte- und Gemeindebund: Digitalkapitalismus >>> Mediennutzung Minderjähriger: Aufsichtspflicht der Eltern >>> Psychiater: Smartphone-Nutzung muss für Kinder nicht schädlich sein >>> Vorratsdatenspeicherung bringt kleine Provider in Not >>> Judge Rules Against Google on Overseas Data). Montag, 7. August 2017 Privatsphäre nicht mehr in eigener Hand. Wer soziale Netzwerke nutzt, gibt nicht nur eigene private Daten preis. Ein Forscher der ETH Zürich hat nachgewiesen, dass sich aus dem Archiv einer sozialen Plattform auch Informationen über Nichtnutzer ziehen und „Schattenprofile“ erstellen lassen. LuzernerZeitung.ch… *** Dienstag, 8. August 2017 Mit der am 25.5.2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) wird unter anderem die Datenschutzfolgenabschätzung eingeführt. Die Artikel-29-Datenschutzgruppe hat hierzu Hinweise veröffentlicht. Zudem bietet es sich an, das von den Aufsichtsbehörden entwickelte Standard-Datenschutzmodell; sowie die ISO-Normen 29100 und 29134 bei der Datenschutzfolgenabschätzung zu Grunde zu legen. computerwoche.de… *** Mittwoch, 9. August 2017 EU-Ministerrat erwägt Möglichkeiten Telekommunikationsdaten zu nutzen. Die Vorratsdatenspeicherung ist wieder aktuell. Nachdem das Europäische Gerichtshof und das Bundesverfassungsgericht entschieden haben, dass die Vorratsdatenspeicherung gegen Grundrechte verstößt, möchte der EU-Ministerrat eine Möglichkeit finden, bestehende Daten für die Bekämpfung schwerer Straftaten einzusetzen. Ob das gelingen wird, ist fraglich. datenschutzbeauftragter-info.de… *** Donnerstag, 10. August 2017 Gemeindebund warnt vor „Digitalkapitalismus“ Stuttgart (dpa/lsw) Der Städte- und Gemeindebund fordert ein Regelwerk zur Nutzung von Daten. „Wir brauchen ein Digitalgesetzbuch, am besten ein europäisches. Darin muss geordnet sein, wem welche Daten gehören, wer daran welche Rechte hat und wie der Datenschutz gesichert ist“, sagte Hauptgeschäftsführer Gerd Landsberg der Deutschen Presse-Agentur in Stuttgart. Google und Apple etwa verschafften sich bereits Zugriffe auf lukrative Daten. „Das kann zu einem Digitalkapitalismus führen. Den müssen wir verhindern.“ stimme.de… *** Freitag, 11. August 2017 Aufsichtspflicht der Eltern bei Mediennutzung Minderjähriger. In einem Verfahren vor dem Amtsgericht Bad Hersfeld zum Az. F 120/17 war insbesondere die Mediennutzung Gegenstand des Verfahrens. Anwalt.de… *** Psychiater: Gelassen mit Smartphones umgehen. Smartphone-Nutzung muss für Kinder nicht schädlich sein. Das hat ein Psychologe erklärt, der dramatischen Warnungen seiner Kollegen wenig abgewinnen kann. pro-medienmagazin.de… *** Samstag, 12. August 2017 Vorratsdatenspeicherung bringt kleine Provider in Not. „Wer nichts zu verbergen hat, der hat nichts zu befürchten.“ Mit Parolen wie dieser machen jene mobil, die den Bürgern ganz genau auf die Finger sehen wollen. Christoph Faisst, Südwestpresse.de… *** Sonntag, 13. August 2017 First District Judge Rules Against Google on Overseas Data. A U.S. district court judge for the District of Columbia has ordered Google Inc. to turn over emails stored on a foreign server, becoming the first judge at that level to explicitly reject a landmark appeals court ruling limiting law enforcement access to overseas data. TheRecorder.com… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW31 2017)
[IITR – 6.8.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Überwachungskameras >>> Absicherung Dienstreisen >>> Leitfaden für die Industrie 4.0 >>> Software-Update Autohersteller: Datenschutz könnte das verhindern >>> EU-Pläne: zentrale Datenstelle für alle Bürger >>> Mit DSGVO wird Privacy by Design und by Default zur Pflicht). Sonntag, 30. Juli 2017 Wir sehen dich überall! Mit Überwachungskameras Gesichter von Terroristen erkennen – das wäre toll, sagt die Polizei. Ein Test in Berlin soll klären, ob das funktioniert. Andreas Rabenstein, Sächsiche Zeitung.de… *** Montag, 31. Juli 2017 Wie Pharma-Riese Boehringer Dienstreisende absichert. gloobi.de… *** Mittwoch, 2. August 2017 Leitfaden für die Industrie 4.0. Sicherheit und Datenschutz spielen in einer digital vernetzten Produktion eine große Rolle. DARMSTADT – In der Grundlagenforschung arbeiten Wissenschaftler in der Regel erstmal drauflos, ohne sich über die Anwendung Gedanken zu machen. Bei dem nationalen Referenzprojekt „IT-Sicherheit in der Industrie 4.0 (IUNO)“ werden Forschungsergebnisse auf reale Situationen in der Praxis angewendet. „Ende 2018 soll eine Art Leitfaden zur Verfügung stehen“, erklärt Reiner Anderl, Professor am Fachbereich Maschinenbau der TU Darmstadt und Mitbegründer des Referenzprojekts. echo-online.de… *** Donnerstag, 3. August 2017 Autohersteller hatten ein freiwilliges Software-Update für die betroffenen Diesel-Wagen angeboten. Datenschutz könnte das verhindern. Morgenpost.de… *** Freitag, 4. August 2017 EU-Pläne: Gibt es bald eine zentrale Datenstelle für alle Bürger? Mit dem Once-only-Prinzip will die EU erreichen, dass Bürger im digitalen Binnenmarkt ihre Daten bei Behörden nur noch einmal angeben müssen. Die bürokratische Erleichterung könnte allerdings auch Probleme in Sachen Privatsphärenschutz mit sich bringen, meint der EU-Datenschutzbeauftragte Giovanni Buttarelli. wired.de… *** Samstag, 5. August 2017 Mit DSGVO wird Privacy by Design und by Default zur Pflicht. Die Geräte im Smart Home werden immer intelligenter und sammeln immer mehr Daten. Doch was darf der Hersteller mit ihnen machen? An Dritte weitergeben, wie es Staubsaugerhersteller iRobot praktizieren will? Wir zeigen, wie es um Privatsphäre und Datenschutz im Smart Home bestellt ist. www.computerwoche.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
International Compliance Field Guide: Globaler Überblick über geltende Datenschutz-Standards
[IITR – 31.7.17] Aktuell ist im Beck-Verlag der „International Compliance Field Guide“ von Professor Dr. Lothar Determann erschienen. Das Werk ist eine überarbeitete und nun ins Deutsche übersetze Weiterentwicklung des „Determann’s Field Guide to Data Privacy Law“. Es gibt den Lesern einen praxisnahen Einstieg in das internationale Datenschutzrecht. Gedacht für Leiter und Mitarbeiter von Rechtsabteilungen, Datenschutzverantwortliche/Datenschutzbeauftragte und Compliance-Verantwortliche in international tätigen Unternehmen sowie externe Datenschutzberater/Wirtschaftsprüfer mit international tätigen Mandanten, dient das Buch dem Praktiker als idealer Einstieg, in einem Unternehmen ein so genanntes „Compliance-Programm“ aufzusetzen. Die Ausführungen haben stets praktischen Bezug und bieten dem Leser Empfehlungen, wie er die rechtlichen Vorgaben konkret im Unternehmen umsetzen kann. Der „International Compliance Field Guide“ gliedert sich hierbei wie folgt: 1. Kapitel: Datenschutzprogramm einrichten 2. Kapitel: Internationale Datenübermittlung 3. Kapitel: Dokumentation 4. Kapitel: Wartung und Prüfung von Datenschutzprogrammen 5. Kapitel: Datenschutz von A bis Z Die Ausführungen schließen mit einer Checkliste, welche die bei der Einführung eines Compliance-Programmes zu berücksichtigenden Aspekte übersichtlich zusammenfasst. Weitere Informationen: „International Compliance Field Guide“: Beck-Verlag „International Compliance Field Guide“: Amazon Kontakt: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW30 2017)
[IITR – 30.7.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Schutz User-Identität >>> Chinas neues Cyber-Gesetz >>> Identifikation: Firma will Mitarbeitern Chips einsetzen >>> Wahlkompass Digitales >>> Abkommen zwischen Kanada und EU >>> Frankreich: Geldstrafe für Datenpanne). Sonntag, 23. Juli 2017 Konzerne wie Facebook und Google, die mit dem Sammeln persönlicher Daten Milliardengewinne einfahren, müssen viel Kritik einstecken. Dass man vorhandene Daten für sinnvolle Dienste und Anwendungen auch so verwenden kann, dass die Identität von Usern komplett geschützt bleibt, wollen heimische Start-ups in Zusammenarbeit mit A1 beweisen. futurezone.at… *** Montag, 24. Juli 2017 Chinas neues Cyber-Gesetz nimmt ausländischen Unternehmen die Macht über ihre eigenen Daten: Es verbietet die Speicherung sensibler Daten im Ausland. Damit wird Wissen nicht mehr aus China abtransportierbar sein. epochtimes.de… *** Chip-Implantat zur Identifikation: Firma will Mitarbeitern Chips einsetzen. Ein Chip zwischen Daumen und Zeigefinger soll Angestellten einer US-Firma Türen und Computer öffnen, und als Zahlungsmethode dienen. Später soll jedermann mitmachen, vom Fitnessstudio-Kunden bis zum Gefängnisinsassen. Daniel AJ Sokolov, heise.de… *** Welche Partei nimmt den Datenschutz ernst? Thema und Parteien auswählen, der „Wahlkompass Digitales“ spuckt die entsprechenden Auszüge aus den jeweiligen Wahlprogrammen aus: Das Berliner Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) hat ein interaktives Angebot ins Netz gestellt, mit dem sich die Absichtserklärungen der sechs Parteien mit Chancen auf Einzug in den Bundestag in Sachen Netzpolitik vergleichen lassen. Florian Regensburger, www.br.de… **** Mittwoch, 26. Juli 2017 Das geplante Abkommen zwischen Kanada und der EU über die Übermittlung von Fluggastdaten verstößt gegen den Datenschutz und kann in seiner jetzigen Form nicht geschlossen werden. Dies geht aus einem Gutachten des Europäischen Gerichtshofs hervor. donaukurier.de… *** Freitag, 28. Juli 2017 Frankreich: Datenschutzbehörde verhängt erstmals Geldstrafe für Datenpanne, Stefan Krempl, heise.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Datenschutzbeauftragte Brandenburg: Zäh, aber kompromissbereit
[IITR – 26.7.17] Die brandenburgische Landesdatenschutzbeauftragte Dagmar Hartge ist Ende Juni zum zweiten Mal wiedergewählt worden und tritt nun ihre dritte Amtsperiode an. Hartge ist es „wichtig, dass wir für die Betroffenen die Rechte besser durchsetzen können.“ Wenn große Unternehmen wie Facebook unverständliche Dinge in Einwilligungen verlangen, die kaum einer lese, müsse es darum gehen, eine faire Unterrichtung zu erreichen. Auch müssten die Nutzer über Wahlmöglichkeiten verfügen. Hartge: „Meine große Hoffnung ist, dass die Unternehmen ein Nein akzeptieren. Diejenigen, die sich gerne bewerben lassen, sind dann wohl auch gute Partner. Aber gegen meinen Willen beworben zu werden, ist nicht gut.“ Zäh in Berlin Die Juristin Dagmar Hartge ist seit 1994 in Sachen Datenschutz unterwegs. Damals bewarb sie sich auf eine Stellenausschreibung beim Berliner Datenschutzbeauftragten, „weil die Themenauswahl Justiz, Wirtschaft, Verkehr und Finanzen so vielfältig war.“ In Berlin befasste sie sich später auch mit Fragen der Inneren Sicherheit. So prüfte sie beispielsweise 1994 drei Wochen lang die JVA Tegel. Die Mängel waren dermaßen umfangreich und tiefgreifend, dass die Verwaltung erst zehn Jahre später die letzten Kritikpunkte beseitigen konnte. Auch befasste sich Hartge damals schon früh mit Themen wie dem Verbrechensbekämpfungsgesetz oder Vorratsdatenspeicherung, zu denen später Verfassungsbeschwerden eingereicht wurden. In den 1990er Jahren war die Kommunikation mit der Berliner Polizei alles andere als einfach, wie die damalige Behördenmitarbeiterin Claudia Schmid in einem Beitrag in dem von Helmut Bäumler herausgegebenen Band „Polizei und Datenschutz“ 1999 eindrucksvoll illustrierte. Hartge erzählt: „Wir brauchten gute Arbeitskontakte in den Behörden. Die schriftliche Kommunikation war sehr zäh, aber nach Jahren haben wir auch etwas erreichen können.“ Ihre Strategie: „Man muss dranbleiben, darf nicht aufgeben, auch Kompromisse schließen, um zu einer Zwischenlösung zu kommen.“ „Wir möchten nicht vor dem Bundesverfassungsgericht landen“ Als Hartge 2005 als Nachfolgerin von Alexander Dix nach Brandenburg kam – Dix wechselte zeitgleich nach Berlin – erlebte sie eine ganz andere, leichtgängigere Verwaltung. Denn während sie es in Berlin mit jahrzehntelang eingespielten Ablaufverfahren zu tun hatte, war die Verwaltung in Brandenburg erst in den 1990er Jahren völlig neu aufgesetzt worden. Hartge: „Ich habe heute ein Gegenüber, das auf Verfassungsgemäßheit bedacht ist. Allen Beteiligten ist klar: Wir möchten nicht vor dem Bundesverfassungsgericht landen. Wie kriegen wir das hin, dass das klappt.“ Als Beispiel dafür zitiert sie die Kennzeichenfahndungsregelung im Polizeigesetz, welche das Bundesverfassungsgericht in seiner Entscheidung vom 11. März 2008 zu den hessischen und schleswig-holsteinischen Vorschriften zur Erfassung von KFZ-Kennzeichen als zulässig zitiert hatte. Im Portrait: Dagmar Hartge. „Privacy by Design“ Motivierend findet Hartge die Handlungsmöglichkeiten einer Datenschutzbehörde, im Vorfeld beratend und auch prüfend tätig zu sein. Als Prüfbehörde könne sie zudem vor Ort sein und zum anderen auch noch nachträglich beraten.“ Die geprüften Stellen könnten eine Prüfung somit am Ende durch die sich anschließende Beratung auch als Gewinn wahrnehmen. Gleichwohl legt Hartge Wert darauf, bereits im Vorfeld eines Vorhabens präsent zu sein: „Wenn wir in den einschlägigen Arbeitsgremien der Landesregierung sitzen, sehen wir, was sich entwickelt und können unsere Vorstellungen viel früher einbringen.“ Sie habe „immer wieder erlebt, dass gesagt wurde, wir haben für die Umsetzung kein Geld. Doch man muss begreifen, dass eine Investition am Anfang einfacher und günstiger ist.“ In der brandenburgischen Datenschutzbehörde sollen sich die Mitarbeiter aus dem technischen Bereich künftig verstärkt mit „Privacy by Design and Default“ und den Bereichen Akkreditierung und Zertifizierung befassen. Für Hartge ist klar, dass mit einer qualitativ hochwertigen Zertifizierung diejenigen entlastet werden, die auf eine Auftragsdatenverarbeitung setzen: „Das ist besonders wichtig, da die Auftraggeber heute oft nicht in der Lage sind, den Auftragnehmer ordnungsgemäß zu kontrollieren und die Zertifizierung sie in Zukunft entlasten kann.“ Außerdem war Hartges Behörde im Zertifizierungsprojekt des Bundesministeriums für Wirtschaft und Energie „Trusted Cloud“ dabei. Ihr Mitarbeiter führte dabei zusammen mit einem Co-Prüfer Kontrollprüfungen der Pilotzertifizierungsprüfungen durch. Hartge: „Das ist spannend, weil bei der Trusted-Cloud-Zertifizierung akkreditierte Zertifizierungsstellen Zertifizierungsprodukte datenschutzrechtlich prüfen – es ist ja ein Datenschutzzertifikat – und für mich als Aufsichtsbehörde ist es interessant zu sehen, ob es bei den zu prüfenden Punkten qualitative Unterschiede zu einer Prüfung durch eine Datenschutzaufsichtsbehörde gibt. In Sachen „Privacy by Design“ beschränkt Hartge ihr Wirken nicht auf Brandenburg: In Hamburg ist sie im Beirat eines Projekts der Universität Eppendorf, das in der Gefäßchirurgie untersucht, welche Behandlungsmethode besser ist: „Bei diesem Projekt spielen Fragen der Anonymisierung und Pseudonymisierung, also auch Fragen von Privacy by Design eine entscheidende Rolle. Ich sehe dabei auch die Chance, dass wir durch die Projektteilnahme auch für unsere Beratungs- und Prüftätigkeit in Brandenburg profitieren können.“ Das SDM nach Europa bringen Nur einen kleinen Gedankenschritt entfernt ist für Hartge das Handbuch zum Standard-Datenschutz-Modell (SDM), das die Datenschutzbeauftragten von Bund und Ländern seit Herbst als Prüfmethode erproben: „Wenn wir ein gemeinsames Prüfmodell für alle Datenschutzbeauftragten haben, ist das für die datenverarbeitenden Stellen, die wir prüfen, transparent. Wir testen das Standard-Datenschutz-Modell derzeit in der Anwendung, um Probleme, die sich erst in einer praktischen Anwendung zeigen, beheben zu können. Später soll das Standard-Datenschutzmodell den datenverarbeitenden Stellen auch als Modell für die Datenschutz-Folgenabschätzung der Europäischen Datenschutz Grundverordnung dienen.“ Außerdem könne das SDM den expliziten Grundrechtsschutz nach vorne bringen und somit auch helfen, „Privacy by Design“ eventuell besser umzusetzen als heute. Nach der Erprobungsphase müssten, so betont Hartge, die Datenschutzbeauftragten von Bund und Ländern sich rasch dafür einsetzen, das SDM möglichst europäisch zu etablieren. „Die Franzosen wollen ihren Ansatz nach vorne bringen. Deshalb ist der Nachweis wichtig, dass sich das SDM in der Praxis bewährt hat und besser ist,“ mahnt Hartge und kündigt an: „Wir werden dort nachjustieren, wo dies nötig sein sollte.“ Der Maßnahmenkatalog zum Standard-Datenschutz-Modell müsse noch weiterentwickelt werden. Derzeit würden den Aufsichtsbehörden viele Fragen zur Umsetzung gestellt, die noch nicht beantwortet werden könnten. Der Europäische Datenschutzausschuss, und jetzt noch die Art. 29 Gruppe, sei das Gremium, das Leitlinien für die Umsetzung der DS-GVO erarbeite und dies gehe nur nach und nach und leider nicht ganz so schnell wie sich das viele wünschen würden. „Man erwartet von uns Lösungen, die wir aber noch nicht geben können.“ Auf der Arbeitsebene der deutschen Datenschutzbehörden müsse die Zusammenarbeit zwischen deutschen Subgroup-Mitarbeitern in der Artikel-29-Gruppe und den dort nicht aktiven Mitarbeitern in den Behörden noch weiter verbessert werden, um rascher fundierten Feedback und Rückhalt aus den Aufsichtsbehörden geben zu können. „Das ist etwas, was ich in meiner Dienststelle etwas pushen möchte“, verspricht Hartge. Zwar seien alle derzeit damit beschäftigt, die eigene Behörde für die Grundverordnung fit zu machen, „aber es haben ja nicht alle Personal bekommen, deshalb ist dies auch nicht für alle Aufsichtsbehörden so einfach.“ Strukturverbesserungen mit Blick auf die Datenschutz-Grundverordnung Für 2017 hat die Behörde bereits sechs neue Stellen bekommen, die für die Erfüllung der neuen Aufgaben der Datenschutz Grundverordnung und Strukturverbesserungen eingesetzt werden. Damit folgte der Landtag teilweise den Empfehlungen des Gutachtens von Hans Peter Bull, welches das Präsidium des Landtags in Auftrag gegeben hatte. 2018 sollen zwei weitere Stellen folgen. Insgesamt wird die Behörde dann auf 32 Stellen kommen. Im bundesweiten Vergleich sieht der Zuwachs der Personalstellen in der Brandenburger Behörde passabel aus: Seit 2008 hat sich die Zahl der Stellen von ursprünglich 18 auf 32 im Jahr 2018 fast verdoppelt. Das gilt aber auch für die Zahl der bearbeiteten Vorgänge: Musste die Behörde vor zehn Jahren noch 685 Vorgänge bearbeiten, sollen es im Jahr 2017 bereits 1237 Vorgänge sein (Hochrechnung der Autorin). Die Aufstockung des Personals in 2017 und 2018 um insgesamt acht Stellen soll die Anforderungen der europäischen Grundverordnung reflektieren, dürfte aber in der Praxis gerade einmal die gestiegene Arbeitslast ohne die Grundverordnung abfangen. Die Zuwächse der Personal- und Sachmittel folgen in den letzten Jahren der gestiegenen Arbeitsbelastung. Unter anderem will Hartge mit den neuen Stellen die Zusammenarbeit mit anderen europäischen Datenschutzbehörden intensivieren. In der Vergangenheit habe sie etwa bei den niederländischen Kollegen bemerkt, dass diese „etwas forscher sind, was Prüfungen angeht, und sie eine andere Arbeitsorganisation bei der Fallbearbeitung haben“. Bei den amerikanischen Kollegen von der FTC habe sie hingegen gelernt, dass die Kommunikation erst auf Chefebene erfolgreich war – der erste Kontaktversuch auf Referentenebene war ignoriert worden. Hartge: „Wir haben gelernt, wie wir wahrgenommen werden. Künftig wird es vielleicht leichter auf der unteren Arbeitsebene sein. Aber das muss man erst mal testen.“ Hartge erwartet, dass die Bereitschaft von Behörden und Unternehmen sich in Sachen Datenschutz besser aufzustellen, mit der Umsetzung der Europäischen Datenschutzgrundverordnung im nächsten Jahr wachsen wird. Wesentlich sei, dass der Sanktionskatalog dann größer sei. Und sie kündigt ehrgeizig an: „Wir werden verstärkt prüfen, wir werden verstärkt sanktionieren, wenn dies nötig ist.“ Übersicht der Bußgelder. Hartge will künftig öfter die Ergebnisse von Prüfungen nach außen bringen, damit andere davon profitieren können. Die Presseresonanz sei gleichwohl verhalten, da die Journalisten gerne wissen wollen, wo denn beispielsweise ein Hausbesitzer seine Webcams auf das Nachbargrundstück gerichtet hat. Oder welche Kommune ihr Schwimmbad mit 40 Videokameras ausgestattet hatte. „Wir haben vielleicht mit der leiseren Arbeit mehr Erfolg“, meint Hartge: „Wir haben unsere Bußgeldverfahren durchgezogen und die Betroffenen nicht namentlich genannt, weil sie mit uns kooperierten.“ Themenschwerpunkte Ihre Themenschwerpunkte sieht Hartge zu etwa 20 Prozent im Gesundheitsbereich, zu 20 Prozent in den Kommunen und zu 20 Prozent im Bereich der Personaldatenverarbeitung. Weil Brandenburg eine sich gut entwickelnde Gesundheitswirtschaft hat, will Hartge auf diesen Bereich künftig verstärkt ein Auge werfen: „Telemedizin ist für uns ein großes Thema sowie Krankenkassen/-versicherungen und Unternehmen, die Entwicklungen mit Datenschutz betreiben.“ Ein Mitarbeiter aus dem technischen Bereich soll verstärkt die technische Realisierung eines geplanten Telemedizin-Projekts der AOK Nordost ansehen. Brandenburg hat bei der kooperativen Wearables-Prüfung mitgemacht, die vom Bayerischen Landesamt für Datenschutzaufsicht konzipiert wurde. Die gemeinsamen Prüfungen hält Hartge für zukunftsträchtig. Doch selbst neue Prüfkonzepte zu entwickeln liegt für sie vorerst in der Ferne: „Wir sind anders als die bayerische Datenschutzaufsicht in die Gesetzgebungsprozesse im öffentlichen Bereich eingebunden. Wegen der Umstellung auf die Datenschutzgrundverordnung sind wir außerdem gerade ganz schön mit uns selbst beschäftigt.“ Nur eingeschränkte Durchgriffskraft sieht Hartge im Bereich der Kommunen, obwohl, wie sie sagt, deren Datenverarbeitung die Bürger in alltäglichen Bereichen betrifft. Sie setzt Schwerpunkte über Projektarbeit: „Mitarbeiter gehen in besonderen Projekte hinein, um sie datenschutzgerecht und für andere übertragbar zu machen.“ Mit dieser Strategie komme man Stück für Stück voran, dennoch könnten nicht alle Bereiche erreicht werden. Ein weiteres Thema für Hartge ist die Personaldatenverarbeitung in den Verwaltungen und Unternehmen wie eBay, Paypal, Zalando und Amazon. „Mitarbeiterüberwachung ist zusammen mit Videoüberwachung ein Riesenthema“, sagt Hartge. Immer mehr anonyme Hinweise von Mitarbeitern gingen dazu in ihrer Behörde ein. Insbesondere nach Firmenaufkäufen durch Unternehmen aus nicht-europäischen Ländern werde oft Videoüberwachung installiert. Hartge kooperiert mit den Betriebsräten im Vorfeld und sieht sich in einer Art Feuerwehrfunktion: „Wir kommen, wenn die Betriebsräte nicht weiterkommen.“ Autorin: Christiane Schulzki-Haddouti Kontakt: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW29 2017)
[IITR – 23.7.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Digitale Klinik >>> OLG Stuttgart lässt Dashcamaufnahme als Beweismittel im Schadenersatzprozess zu >>> INPOL Polizei-Informationssystem >>> Geltung Recht auf Vergessen >>> Künstliche Intelligenz: Menschen sorgen sich um Datenschutz). Montag, 17. Juli 2017 Die digitale Klinik kommt. Derzeit werden in den deutschen Kliniken und vor allem in den 33 Universitäts­kliniken unfassbar viele Daten von Pa­tienten erhoben. Gleichzeitig sorgen Datenschutz und umfassende Sicherheitsrichtlinien richtigerweise dafür, dass Daten nur in ausgewählten Bereichen übergreifend auswertbar zur Verfügung stehen. Dr. Kurt Kruber, cio.de… *** Dienstag, 18. Juli 2017 OLG Stuttgart lässt Dashcamaufnahme als Beweismittel im Schadenersatzprozess zu. Dr. Heise & Beume GbR, juraforum.de… *** Mittwoch, 19. Juli 2017 INPOL – Informationssystem der Polizei, Datenspeicherung. In der täglichen Praxis der Strafverteidigung kommt immer wieder dieselbe Frage unserer Mandanten auf: „Welche Informationen über meine Person hat die Polizei gespeichert und wie soll man damit umgehen?“ Jan Marx, Anwalt.de… *** Donnerstag, 20. Juli 2017 Kann das „Recht auf Vergessen“ weltweit gelten? Der Europäische Gerichtshof (EuGH) muss nun entscheiden, ob Google beanstandete Links global aus seinen Suchergebnissen entfernen muss. Genau das fordern französische Datenschützer. Daniel Berger, heise.de… *** Freitag, 21. Juli 2017 Künstliche Intelligenz: Menschen sorgen sich um Datenschutz. In Sachen künstliche Intelligenz steht bei den Menschen in Deutschland vor allem die Sorge um die Datensicherheit im Vordergrund. Das ergab eine Studie von Bitkom Research im Auftrag des IT-Dienstleisters VMware. Demnach gehen sieben von zehn Verbraucher davon aus, dass etwa vollautomatische Dienstleistungen die Sicherheit ihrer persönlichen Daten gefährden. Pharmazeutische Zeitung.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW28 2017)
[IITR – 16.7.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Digitalressort: EU-Kommissarin Gabriel >>> Strategie für den digitalen Handel >>> EU-Datenschutz und die Schweiz >>> Datenschutz können sich nur Gesunde leisten). Montag, 10. Juli 2017 Nachfolge Oettingers im Digitalressort: EU-Kommissarin Gabriel aus Bulgarien nimmt heute ihre Arbeit auf. Aktiencheck.de… *** Dienstag, 11. Juli 2017 EU auf dem Weg zu einer „Strategie für den digitalen Handel“. Den „freien Fluss der Daten“ durch die globalisierte Welt sichern, gleichzeitig aber Daten schützen und zwar nach europäischen Standards – wie das zusammenpasst? Die „Strategie für den digitalen Handel“ des Europaparlaments soll das klären. Monika Ermert, heise.de… *** Freitag, 14. Juli 2017 EU-Datenschutz und die Schweiz. Die positiven Seiten der Regulierung. Das neue Datenschutzgesetz in der EU betrifft auch fast jedes Schweizer Unternehmen. Die Firmen sollten es zum Anlass nehmen, datenmässig aufzuräumen. Giorgio V. Müller, nzz.ch… *** Samstag, 15 Juli 2017 Digitalisierung in der Medizin: „Datenschutz können sich nur Gesunde leisten“. Frankfurter Neue Presse.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Bericht IAPP München KnowledgeNet: Umsetzung EU-Datenschutz-Grundverordnung
[IITR – 16.7.17] Am 12.7.17 fand das IAPP München KnowledgeNet in Zusammenarbeit mit der ZD (Zeitschrift für Datenschutz) zum Thema „Umsetzung der EU-Datenschutz-Grundverordnung in der Praxis“ statt. Die IAPP (International Association of Privacy Professionals) ist eine internationale Vereinigung von im Bereich Datenschutz/Privacy beruflich tätigen Personen, die sich regelmäßig zu betrieblichen Datenschutzthemen austauschen. Themen der mit über 80 Teilnehmern ausgebuchten Veranstaltung waren: Die Anpassung des deutschen Datenschutzrechts an die EU-Datenschutz-Grundverordnung. Referentin: Barbara Thiel, Landesbeauftragte für den Datenschutz des Landes Niedersachsen Umsetzung der EU-Datenschutz-Grundverordnung in der Praxis: Anliegen der Länder im BDSG 2018. Referent: Ministerialrat Michael Will, Bayer. Staatsministerium des Innern, für Bau und Verkehr The Upcoming ePrivacy Regulation: Status and Assessment of the Commission’s Proposal. Referent: Dr. Jörg Hladjk, Jones Day Impulsreferat: BVs & Art. 88 DSGVO. Referent: Dr. Robert Selk, SSH Rechtsanwälte Datenschutzfolgenabschätzung. Referent: Prof. Dr. Marcus Helfrich, FOM Hochschule für Oekonomie und Management Kontakt IAPP München: Rechtsanwältin Dr. Undine von Diemar, Jones Day Rechtsanwalt Dr. Ulrich Baumgartner, Osborne Clarke Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter, IITR GmbH Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Datenschutz-Aufsicht befasst sich mit Datenschutz-Folgenabschätzung
[IITR – 10.7.17] Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine Projektgruppe in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) intiiert, die sich mit dem Thema Datenschutz-Folgenabschätzung befasst. Die Datenschutz-Folgenabschätzung ist ein neues Instrument der Europäischen Datenschutz-Grundverordnung (DSGVO), das ab Mai 2018 von den Datenschutzaufsichtsbehörden angewandt werden muss. Artikel 35 der DSGVO verlangt bei vermutlich hohen Risiken von Organisationen eine Abschätzung der Datenschutzfolgen. Dabei müssen mögliche physische, materielle und immaterielle Schäden berücksichtigt werden. Die Folgenabschätzung ersetzt das Instrument der Vorabkontrolle. Zum Einsatz wird sie unter anderem bei neuen Technologien, Profiling und Big-Data-Anwendungen kommen. „Die Aufsichtsbehörden werden ab Mai 2018 Blacklists für bestimmte Datenverarbeitungsvorgänge erstellen müssen,“ erklärt BayLDA-Präsident Thomas Kranig im Gespräch. Für diese dort aufgeführten Verarbeitungsvorgänge müssen die Verantwortlichen die Folgenabschätzung vornehmen. Artikel 35 verlangt eine Beschreibung des Verfahrens, seiner Zwecke, der berechtigten Interessen. Außerdem müssen die Verantwortlichen bewerten, inwiefern die Datenverarbeitung notwendig und verhältnismäßig sind und welche Risiken für Betroffene mit ihr einhergehen. Sie müssen geplante Schutzmaßnahmen beschreiben und ihre Wirksamkeit nachweisen. Die Datenschutzaufsichtsbehörden sind hierbei beratend tätig. Sieben Mitarbeiter des BayLDA arbeiten derzeit für die DSK-Projektgruppe. Auch sind alle Aufsichtsbehörden eingeladen, an der Gruppe mitzuwirken und sich zu den Ergebnissen zu äußern. Im Ergebnis soll anhand eines virtuellen Falls beschrieben werden, wie Organisationen und Unternehmen einen Datenschutz-Folgenabschätzungs-Bericht verfassen sollen. „Wir wollen damit eine Orientierung geben“, erklärt Kranig. Hinsichtlich der Methode, die die Gruppe anwendet sagt er nur, dass diese praxisnah sein werde. Zum Vorgehen der Projektgruppe sagt Kranig: „Wir schauen uns alles an, was dazu bisher erarbeitet wurde“. Dazu gehört auch ein im Rahmen des „Forum Privatheit“, einem Projekt des Bundesforschungsministeriums“, erarbeitetes Whitepaper. Es entwickelte bereits einen Ablaufprozess für eine Datenschutz-Folgenabschätzung, die auf die Methodik und die Maßnahmen nach dem Standard-Datenschutz-Modell (SDM) abstellt. Dem SDM und insbesondere seinem sich in Entwicklung befindenden Maßnahmenkatalog steht das BayLDA allerdings bekanntermaßen skeptisch gegenüber. Autorin: Christiane Schulzki-Haddouti Kontakt: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW27 2017)
[IITR – 9.7.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Umgang mit Smartphones >>> Datenschutzgrundverordnung und Marketing >>> Deutschland wird Chatverläufe auf Whatsapp und Co. überwachen >>> Ausgespähte Zugangsdaten >>> Ethik des Gedankenlesens >>> Was der Chef (nicht) wissen darf). Dienstag, 4. Juli 2017 Auslesen der Kontakte, Mitschneiden von Gesprächen, digitale Spuren – Schleswig-Holsteins Datenschutzbeauftragte sieht einige Techniktrends extrem kritisch. Sie rät Verbrauchern zum umsichtigen Umgang mit Smartphone und Co. Heise.de… *** Donnerstag, 6. Juli 2017 Datenschutzgrundverordnung. Was kommt auf das Marketing zu? „Ich bin überrascht, dass die Nervosität in den Unternehmen nicht langsam zunimmt“, sagt Michael Neuber, der Justiziar des Bundesverbands Digitale Wirtschaft (BVDW). Er beobachtet gerade mit gemischten Gefühlen, wie sich die deutsche Unternehmens- und Werberlandschaft mit der anstehenden Novellierung des Datenschutzes in Europa auseinandersetzt, oder eben auch nicht. „Das wird praktisch jeden treffen, auch die Kleinen. Die Zeit, dass Daten in Excel-Listen verwaltet werden, ist endgültig vorbei.“ Frank Puscher, absatzwirtschaft.de… *** Freitag, 7. Juli 2017 Trojaner-Gesetz: Deutschland wird Chatverläufe auf Whatsapp und Co. überwachen. Der „Bundestrojaner“ darf damit auch außerhalb von Terrorbekämpfung zum Einsatz kommen. Der Bundesrat hat den Weg für die Überwachung von Kommunikation über Messenger-Dienste wie WhatsApp freigemacht. futurezone.de… *** Samstag, 8. Juli 2017 Eine halbe Milliarde ausgespähte Zugangsdaten. Das Bundeskriminalamt hat in einer Underground-Economy-Plattform eine riesige Sammlung ausgespähter Zugangsdaten gefunden. Mit einem Tool können Sie überprüfen, ob Ihre Daten betroffen sind. Thomas Hoffmann, heise.de… *** Hacker nicht ins Hirn lassen. Die Ethik des Gedankenlesens. Tübinger Forscher sehen große Risiken für den Datenschutz bei Gehirn- Maschine-Schnittstellen und formulierten erstmals ethische Richtlinien. Ulrich Janssen, tagblatt.de… *** Sonntag, 9. Juli 2017 Datenschutz im Job. Was der Chef (nicht) wissen darf. Jede E-Mail, jede Dienstwagenfahrt, jeder Anruf produziert Daten. Für Chefs sind die oft sehr interessant, für Angestellte manchmal heikel. Das Gesetz, das Arbeitnehmer schützen soll, hat Lücken. spiegel.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW26 2017)
[IITR – 2.7.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Google: Überwachung und Datenaustausch >>> Microsoft-Fall vor Supreme Court >>> Sprachsteuerung und Voice Search >>> Weitergabe von Kontaktdaten an WhatsApp unzulässig >>> Digitale Gesellschaft: Segen und Fluch >>> Datenschutzverstöße von Arbeitgebern). Montag, 26. Juni 2017 Neuland: Google schlägt neue gesetzliche Grundlagen für die Überwachung und den Datenaustausch vor. googlewatchblog.de… sowie der Blogbeitrag von Googles Chefanwalt… *** Microsoft-Fall: US-Justizministerium bringt Streit über Datenzugriff in der EU vor den Supreme Court. Die US-Regierung drängt in der gerichtlichen Auseinandersetzung mit Microsoft über eine grenzübergreifende Datenherausgabe auf eine Grundsatzentscheidung, die breite Auswirkungen auf den Datenschutz haben könnte. Stefan Krempl, heise.de… *** Mittwoch, 28. Juni 2017 Sprachsteuerung und Voice Search – Gedanken zum Datenschutz. “Google, was sind Pastinaken?” Google können wir ja schon seit längerem die sinnlosesten Fragen stellen, doch spätestens nach der Einführung von Amazon Echo ist Voice Search und Sprachsteuerung nun bei vielen sogar im heimischen Wohnzimmer angekommen. sputnika.de… *** Donnerstag, 29. Juni 2017 Amtsgericht: Weitergabe von Kontaktdaten an WhatsApp unzulässig. David Nau, Südwestpresse.de… *** Freitag, 30. Juni 2017 Die digitale Gesellschaft ist Segen und Fluch zugleich: Das sind die 5 grössten Gefahren. Oliver Wietlisbach, www.watson.ch… *** Samstag, 1. Juli 2017 Fehler beim Datenschutz – muss der Arbeitgeber zahlen? Datenschutzverstöße von Arbeitgebern hatten bislang nur geringe Folgen für die Unternehmen. Aber das ändert sich jetzt ganz drastisch. Tim Wybitul, faz.net… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
IAPP München KnowledgeNet: Umsetzung der EU-Datenschutz-Grundverordnung in der Praxis
[IITR – 30.6.17] IAPP München organisiert in Zusammenarbeit mit der ZD (Zeitschrift für Datenschutz) des Beck-Verlages am 12.7.17 von 15:00 bis 19:30 Uhr ein „KnowledgeNet“ zum Thema „Umsetzung der EU-Datenschutz-Grundverordnung in der Praxis“. Die IAPP (International Association of Privacy Professionals) ist eine internationale Vereinigung von im Bereich Datenschutz/Privacy beruflich tätigen Personen, die sich regelmäßig zu betrieblichen Datenschutzthemen austauschen. Referenten der Veranstaltung: Prof. Dr. Marcus Helfrich, FOM Hochschule für Oekonomie und Management Dr. Jörg Hladjk, Jones Day Dr. Robert Selk, SSH Rechtsanwälte Barbara Thiel, Landesbeauftragte für den Datenschutz des Landes Niedersachsen Michael Will, Bayer. Staatsministerium des Innern, für Bau und Verkehr Wenn Sie nicht IAPP Mitglied sind und dennoch an der Veranstaltung teilnehmen möchten, schreiben Sie uns eine E-Mail (beschränkte Teilnehmerzahl). Kontakt: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW25 2017)
[IITR – 25.6.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Freifunk-Vorratsdatenspeicherung >>> Staatstrojaner polizeiliches Alltagswerkzeug >>> Neuseeland: mehr Datenschutz >>> Überwachungsgesetz >>> Vorratsdatenspeicherung ist europarechtswidrig >>> Datenschutz-Abmahnungen Versandapotheken). Montag, 19. Juni 2017 Freifunker müssen erstmal keine Vorratsdaten speichern. Fallen Freifunk-Initiativen unter die Vorratsdatenspeicherung? Der Verein Freifunk Rheinland gibt erst einmal Entwarnung: Nach Aussage der Bundesnetzagentur handele es sich nicht um einen Internetzugangsdienst. Golem.de… *** Dienstag, 20. Juni 2017 Überwachung: Koalition macht Staatstrojaner zum polizeilichen Alltagswerkzeug. Schwarz-Rot hat sich trotz verfassungsrechtlicher Bedenken von Experten darauf geeinigt, die Lizenzen für die Quellen-Telekommunikationsüberwachung und heimliche Online-Durchsuchungen zur Strafverfolgung massiv auszuweiten. Stefan Krempl, heise.de… *** Mittwoch, 21. Juni 2017 Neuseeländische Endung .nz erhält mehr Datenschutz. Florian Hitzelberger, domain-recht.de… *** Donnerstag, 22. Juni 2017 Oberverwaltungsgericht: Vorratsdatenspeicherung ist europarechtswidrig. Wenige Tage bevor die Provider damit beginnen müssen, Daten zu ihren Nutzern wochenlang zu speichern, hat das Oberverwaltungsgericht NRW die Neuregelung der Vorratsdatenspeicherung nun kassiert. Sie widerspreche aktuellem Europarecht. Joerg Heidrich, Martin Holland, heise.de… *** Staatstrojaner. Dein trojanischer Freund und Helfer. Der Bundestag hat ein weitreichendes Überwachungsgesetz beschlossen. Wir analysieren es Satz für Satz und erklären, warum es wohl verfassungswidrig ist. Patrick Beuth und Kai Biermann, zeit.de… *** Freitag, 23. Juni 2017 Vor einer Woche flatterten in die Büros von 41 Versandapotheken, die ihre Produkte über Amazon anbieten, Abmahnungen wegen Verstoßes gegen den Datenschutz. Lothar Klein, apotheke-adhoc.de… *** Sonntag, 25. Juni 2017 Beim Thema autonomes Fahren sind Freiheitsrechte berührt. Gesetzgeber, Juristen, Verbraucherschützer, Philosophen und Theologen müssen sich einmischen. Henrik Mortsiefer, tagesspiegel.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
„Binding Interpretations“ der Telekom für EU-Datenschutz-Grundverordnung
[IITR – 23.6.17] Die Deutsche Telekom AG hat auf ihrer Webseite so genannte „Binding Interpretations“ für die EU-Datenschutzgrundverordnung veröffentlicht, mit Hilfe derer sie für den eigenen Konzern Klarheit bei der Auslegung der europäischen Datenschutzvorgaben schaffen möchte. Auf der Webseite heißt es: „Mit der Interpretation bieten die Kollegen aus dem Datenschutz konkrete Empfehlungen und Best-Practice Beispiele. Beispielsweise dazu, wie eine Kundeneinwilligung aussehen muss oder wie Kundendaten auf Wunsch gelöscht werden müssen.“ Die Unterlagen sind in deutscher und englischer Fassung verfügbar und können angesichts der derzeit noch zahlreichen offenen Fragen auch anderen Unternehmen als Anregung und Leitschnur dienen. Weitere Informationen: Begleitende Mitteilung der Deutschen Telekom AG Binding Interpretations (PDF, Deutsche Fassung) Binding Interpretations (PDF, Englische Fassung) Kontakt: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW24 2017)
[IITR – 18.6.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Sondererlaubnis Autofahrer >>> Onlinedurchsuchung >>> Autokennzeichen Diesel-Fahrverbote >>> Hate Speech-Gesetz >>> Daten für Autokraten). Montag, 12. Juni 2017 (…) Die demografische Entwicklung werde eine große Herausforderung, die Digitalisierung werde natürlich die Arbeitswelt komplett verändern. Nichts Neues. Dann aber sagte die Kanzlerin unvermittelt: „Wir werden in 20 Jahren nur noch mit Sondererlaubnis selbstständig Auto fahren dürfen.“ Thomas Vitzthum, Buenos Aires, welt.de… *** Mittwoch, 14. Juni 2017 Die Innenminister von Bund und Ländern haben sich darauf geeinigt, dass Messengerdienste wie WhatsApp durch die Sicherheitsbehörden überwacht werden können. Dazu könnten Instrumente wie die Onlinedurchsuchung und Quellen-Telekommunikationsüberwachung (TKÜ) genutzt werden. welt.de… *** Donnerstag, 15. Juni 2017 Das Landesverkehrsminsiterium sagte, man überprüfe die Möglichkeit, Autokennzeichen automatisch zu erfassen, um die Diesel-Fahrverbote zu überprüfen. Einsetzen wolle man dieses Mittel jedoch nicht. SWR.de… *** Freitag, 16. Juni 2017 Widerstand gegen „Hate Speech“-Gesetz von Maas nimmt weiter zu. Das Timing für den Beschluss des Gesetzes ist eng. Der wachsende Widerstand könnte dafür sorgen, dass Bundesjustizminister Heiko Maas mit seinem Vorhaben zumindest in dieser Legislaturperiode scheitert. Im Bundestag wachsen die Zweifel an dem umstrittenen Netzwerkdurchsetzungsgesetz. Die Bundesbeauftragte für Datenschutz sieht Grundrechte gefährdet. Eine schnelle Verabschiedung erscheint fraglich. Fabrizio Bensch via RT.com… *** Samstag, 17. Juni 2017 Schweiz: Daten für Autokraten – es hagelt Kritik. Das Bankgeheimnis wird gegenüber ausländischen Steuerbehörden aufgehoben. Die Schweiz beteiligt sich am automatischen Austausch von Kontodaten (AIA) zwischen Staaten. Doch es ist offen, mit welchen. Gestern hat der Bundesrat 41 Staaten und Territorien vorgeschlagen. tagesanzeiger.ch… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Datenschutzbeauftragter Thüringen: Grundrechte in den Vordergrund stellen
[IITR – 13.6.17] Blättert man durch seine Tätigkeitsberichte und liest seine Pressemitteilungen, kommt man um den Eindruck nicht umhin: Lutz Hasse hat Freude an seinem Job – und weicht Konfrontationen nicht aus. „Ich halte Grundrechte für wesentlich. Doch wenn man im Laufe der juristischen Ausbildung und im beruflichen Werdegang so mitbekommt, wie sie in den Hintergrund gedrängt werden, komme ich zu dem Schluss, dass man ihnen mehr Geltung verschaffen muss“, stellt Hasse fest. Der thüringische Landesbeauftragte für den Datenschutz und die Informationsfreiheit hat eine ordentliche Verwaltungskarriere hinter sich: Als Jurist leitete Lutz Hasse die Rechtsausbildung für den gehobenen Dienst in der Thüringer Polizei und war danach Referatsleiter im Thüringer Innenministerium, um sich anschließend auf eine Stelle als Referatsleiter beim Thüringischen Landesdatenschutzbeauftragten zu bewerben. Dort blieb er jedoch nicht lange: Er wechselte zum Sozialministerium, um dann auf eine Anfrage aus der SPD-Landtagsfraktion 2012 die Leitung der Datenschutzaufsichtsbehörde in Thüringen zu übernehmen. Nicht, dass Lutz Hasse die Konfrontation suchen würde. Doch bisweilen stößt er in Behörden und Unternehmen auf harten Widerstand. „Statt uns vorab in Prozesse einzubinden, um diese präventiv datenschutzrechtskonform auszurichten, läuft es leider oft so, dass wir erst auftreten müssen, wenn das Kind in den Brunnen gefallen ist. Daher werden Datenschützer oft als Spaßbremse gesehen. Ziel war und ist es für mich, Behörden und Unternehmen zu überzeugen, uns so früh wie möglich einzubinden, um größere Datenschutzverstöße gar nicht erst entstehen zu lassen. Das ist inzwischen in Thüringen recht gut gelungen. Gleichwohl: entdecken wir solche Verstöße, können wir auch Zähne zeigen.“ Der thüringische Datenschutzbeauftragte Lutz Hasse setzt auf Prävention und Medienkompetenz, weiß aber bei Datenschutzverstößen, wie er „Zähne zeigen“ kann.   Klage gegen den Innenminister auf Amtshilfe Bestes Beispiel: Die Episode „Immelborner Aktenlager“, die Lutz Hasse mit dem Satz einleitet: „Ich habe mir den Ruf erarbeitet, dass ich Recht durchsetze. Das wird nicht überall so gerne gesehen.“ Auf einem Fabrikgelände wurden in der Gemeinde Immelborn auf 3.000 Quadratmetern eine halbe Million Akten aus unterschiedlichen Quellen unsachgemäß eingelagert. Als eine Ärztin im Jahr 2013 Akteneinsicht nehmen wollte, stellte sie bei einem Vor-Ort-Besuch fest, dass mehrere Fenster eingeschlagen waren. So flog die Causa Immelborn auf. Hasse bemerkte bei einem Ortstermin zudem, dass im Dachgeschoss in Kisten gestapelte Akten reihenweise umgestürzt waren. Auch hatten vermutlich Jugendliche im Dachgeschoss Partys gefeiert – leere Flaschen, rundum verteilte Scherben. „Da reifte der Entschluss sehr schnell: Wir brauchen Hilfe“, erzählt Hasse. Er forderte bei der Polizei zehn Mann für zehn Tage als Unterstützung für die Lagerräumung an. Die Polizei zeigte sich entgegenkommend, doch der damalige CDU-Innenminister verweigerte schließlich die Amtshilfe mit der Begründung, mit dem Abzug der Beamten werde die Sicherheitslage in Thüringen gefährdet. Daraufhin reichte Hasse gegen das Innenministerium eine Klage auf Amtshilfe ein. Untersuchungsausschuss gegen den Landesdatenschutzbeauftragten Bevor das Verwaltungsgericht über die Klage entscheiden konnte, fanden Landtagswahlen statt und ein neuer Innenminister wurde ernannt. Gleichzeitig richtete die CDU-Landtagsfraktion, nun in der Opposition, einen Untersuchungsausschuss ein. Der befasste sich ursprünglich mit der Frage, ob Hasse denn richtig gehandelt habe. Inzwischen geht es im Jahr 2017 auch um die Frage, warum verschiedene andere Behörden, auch die Polizei, jahrelang die Zustände im Aktenlager ignoriert hatten. „Als Datenschutzbeauftragter war es meine Pflicht, für rechtskonforme Zustände zu sorgen – so wie andere Behörden nichts zu tun, war für mich keine Option“ sagt Hasse rückblickend. Zum guten Ende ließ Hasse vom Gericht einen Nachtragsliquidator einsetzen, der die Akten unter Einsatz von mehreren Mitarbeitern und technischem Gerät zur Aktenbergung ordnungsgemäß entsorgen konnte, ohne dass für den Freistaat Thüringen Kosten entstanden. Denn über die Jahre konnten immer mehr Akten dank inzwischen abgelaufener Aufbewahrungsfristen vernichtet werden. Beaufsichtigt wurde die Lagerräumung von den Mitarbeitern des Datenschutzbeauftragten. Weil der Nachtragsliquidator gut arbeitete, konnte die Klage gegen das Innenministerium im beiderseitigen Einvernehmen für erledigt erklärt werden. „Das Aktenlager Immelborn hat meine Behörde arbeitsmäßig ganz schön in die Knie gedrückt“, resümiert Hasse. Monatelang mussten seine Mitarbeiter vor Ort die Akten sichten und zuordnen. Im Ergebnis entwickelte aber die Behörde gemeinsam mit der Aktenarchivierungsbranche eine „Orientierungshilfe Aktenarchivierung“ mit Checklisten, deren Endfassung derzeit im Düsseldorfer Kreis (Konferenz der Datenschutzbeauftragten des Bundes und der Länder) und dem Arbeitskreis Technik der Datenschutzbeauftragten abgestimmt wird. Die Orientierungshilfe soll einen bundesweiten Standard in der Archivierungsbranche setzen. Die Bugwelle der kommenden Datenschutzgrundverordnung Im Moment sieht Hasse seine Behörde vor einer noch größeren Belastungsprobe: Die europäische Datenschutzgrundverordnung. „Sie hat eine andere Rechtssprache, andere Regelungen und viele Öffnungsklauseln. Wir müssen aber nicht nur das neue Bundesdatenschutzgesetz, sondern auch das neue Landesdatenschutzgesetz für unsere Entscheidungen hinzuziehen. Viele Probleme müssen wir völlig neu aufarbeiten, obwohl wir sie eigentlich schon gelöst hatten“, sagt Hasse. Beispiel Videoüberwachung: „Da können wir die bisherigen Regelungen samt Rechtsprechung dazu vergessen. Wir müssen jeden Fall anhand allgemeiner Regeln beurteilen, da wir ja eine Rechtsgrundlage für unsere Anordnung, eine Videoanlage abzubauen, benötigen. Wir werden auch vor dem Hintergrund sich dazu erst entwickelnder Rechtsprechung viele Jahre brauchen, um für alle datenschutzrechtlichen Problemstellungen den Durchdringungsgrad zu erreichen, den wir heute haben.“ Nicht von ungefähr listet Hasse in seinem aktuellen Tätigkeitsbericht unter dem Stichwort „Videogaga“ akribisch 84 verschiedene Fälle für Videoüberwachung auf, die seine Behörde individuell lösen musste. „Ich wollte klar machen, dass das nicht nur ein paar wenige Fälle sind und welche Facetten das haben kann“, sagt Hasse. Den Begriff „Videogaga“ wählte er bewusst als „Eyecatcher“, „um den Irrsinn unterhaltsam zu beschreiben und darüber aufzuklären“. Überhaupt ist es Hasses Ziel, in seinen Tätigkeitsberichten in einer einfachen Sprache die Fälle bürgernah darzustellen – und das braucht Platz: Aus drucktechnischen Gründen musste der letzte Tätigkeitsbericht in zwei Bände aufgeteilt werden: Der Tätigkeitsbericht für den nicht-öffentlichen Bereich kommt auf 424 Seiten (ohne Anhang), der Tätigkeitsbericht für den öffentlichen Bereich auf 544 Seiten (ohne Anhang). Das ist bundesweiter Rekord. Hasse betont aber, dass natürlich längst nicht alle Fälle im Tätigkeitsbericht abgebildet wurden. Angesichts des neuen und wenig gelungenen Bundesdatenschutzgesetzes hält es Hasse für problematisch, dass eine deutsche Behörde nun vor die Frage gestellt wird, ob sie überhaupt dieses deutsche Recht anwenden kann. Denn das Europarecht hat bei widersprechenden Regelungen Anwendungsvorrang. „Nun müssen wir künftig in vielen Fällen klären, ob sich deutsches und europäisches Recht widersprechen. Wenn der Widerspruch eindeutig genug ist, werden wir Aufsichtsbehörden statt deutschem das europäische Datenschutzrecht anwenden. In diesem Zusammenhang werden sich die Aufsichtsbehörden untereinander abstimmen“, erklärt Hasse. Mit der kommenden europäischen Datenschutzgrundverordnung erwartet Hasse mehr Anfragen von Bürgern, Behörden und Unternehmen. Eine Statistik über Bürgereingaben und Beratungen führt er nicht. Dafür registriert er die Posteingänge der Behörde. Im letzten Jahr waren es 8.416 Eingänge. Bis Mitte April dieses Jahres waren es bereits 4.254. „Da läuft sprunghaft etwas an“, stellt Hasse fest. Bis Ende des Jahres könnten es hochgerechnet über 12.000 Eingänge sein. Darunter sind Beratungsanfragen von Unternehmen, Anfragen für Vorträge, die Korrespondenz mit den anderen Datenschutzbeauftragten, europäische Angelegenheiten. Die Umsetzung der europäischen Datenschutzgrundverordnung deutet sich in einer Art Bugwelle bei den Posteingängen der thüringischen Datenschutzaufsicht an. Immerhin konnte Hasse die Zahl der Personalstellen von 13 im Jahr 2012 auf mittlerweile 21 hochfahren. Seit Ende 2011 nimmt seine Behörde zusätzlich die Aufgaben der Aufsichtsbehörde über Unternehmen, seit 2012 die Aufgaben des Informationsfreiheitsbeauftragten wahr, sodass ihm im Haushaltsjahr 2013 eine Stellenmehrung von 5 Stellen, 2015 von 2 Stellen und 2016 von einer Stelle zugestanden wurde. Für 2017 möchte er – nunmehr wegen der immensen Aufgabenmehrung infolge der Europäischen Datenschutzgrundverordnung – einige Stellen mehr haben, wobei sich seine Forderung zwischen dem Bull-Gutachten für Brandenburg („Die Auswirkungen der DS-GVO auf die Aufgaben, die Stellung und den Personalbestand der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht“), das auf einen Mehrbedarf von sechs Stellen kam, und dem Roßnagel-Gutachten („Zusätzlicher Arbeitsaufwand für die Aufsichtsbehörden der Länder durch die Datenschutzgrundverordnung“) bewegt, das den Mehrbedarf für eine kleinere Behörde auf rund 25 Stellen bezifferte. Da die Haushaltsverhandlungen jetzt anstehen, will Hasse dazu mehr nicht sagen. Mit der Stellenerhöhung einhergehend ist auch die finanzielle Ausstattung der Behörde von rund 770.000 € auf rund 2 Mio. € gewachsen. Auf den ersten Blick ist hier aber zum Beispiel nicht erkennbar, dass der starke Anstieg der sächlichen Ausgaben ab 2013 vor allem der Auslagerung der Behörde aus dem Landtagsgebäude geschuldet ist, da für externe Büro-Anmietung nunmehr Miet- und Bewirtschaftungsmittel im Haushalt der Datenschutzbehörde eingestellt werden mussten. Eine Statistik zu den Bürgereingaben oder gar zu den Themenfeldern, in denen die meisten Bürgereingaben gemacht werden, gibt es nicht. Auch wird nicht erfasst, wie lange eine Bürgereingabe bearbeitet wird. Unbekannt ist auch die Anzahl und Dauer der durchgeführten Beratungen. Konkreter wird es bei den Geldbußen: Die jährliche Summe der Geldbußen bewegt sich in den letzten drei Jahren zwischen 10.000 und 27.000 Euro. Eine Statistik zur Anzahl der anlassbedingten und anlassunabhängigen Kontrollen führt die Behörde nicht. Anlassunabhängige Kontrollen führte die thüringische Datenschutzaufsicht in den letzten Jahren nur selten durch. „Das könnte intensiviert werden“, gesteht Hasse, „aber dazu brauchen wir schlicht mehr Personal“. Medienkompetenz ist zentral Das Schlüsselerlebnis zum Thema „Bildung“ hatte er noch in seiner Zeit als Referatsleiter beim Datenschutzbeauftragten. Damals stellte er bei seinen Vorträgen an Schulen fest: „Die Schüler hatten von Grundrechten überhaupt keine Ahnung. Das hat bei mir dann eine Stufe gezündet: Wir müssen etwas tun“. Und er wird noch etwas genauer: „Gerade die in der Würde des Menschen wurzelnde Privatsphäre könnte besser geschützt werden. Hier setze ich mich aktiv ein, es macht mir Spaß, aber ich sehe es auch als Pflicht.“ Damals nahm Hasse Kontakt mit dem Klicksafe-Projekt auf, die Zuarbeiten von ihm aufnahmen und in ihre Unterrichtsmaterialien einarbeiteten. Apropos Bildungsarbeit: Hier spielt Thüringen inzwischen bundesweit eine wichtige Rolle. So hat die thüringische Datenschutzbehörde von Rheinland-Pfalz den Vorsitz des Arbeitskreises „Datenschutz und Bildung“ übernommen und kooperiert hierbei inzwischen eng mit der Kultusministerkonferenz. Auch eine „Orientierungshilfe zu Online-Lernplattformen im Schulunterricht“ wurde inzwischen erstellt. „Hier sind große Player unterwegs, die individualisierte Lernangebote machen. Aber dazu brauchen sie vielleicht personenbezogene Daten, womit wir Datenschützer ins Spiel kommen“, erklärt Lutz Hasse Er weist denn auch auf das Webangebot „Youngdata“ hin, die von allen Landesdatenschutzbeauftragten betrieben wird. Inzwischen hat auch die Kultusministerkonferenz das Thema entdeckt und ein Strategiepapier veröffentlicht, das verlangt, dass Medienkompetenz in der Lehrerausbildung an den Hochschulen unterrichtet wird. „Das ist ein sehr wichtiger Erfolg für uns und ein Riesenthema“, findet Hasse. Aufgrund seiner Feststellungen, dass die Vermittlung der Inhalte des Faches Medienkunde bisweilen nicht ausreichend waren, wurde von der Staatskanzlei, mehreren Ministerien sowie weiteren Akteuren ein runder Tisch gegründet, der die Umsetzung von Lehrinhalten zur Medienkompetenz und zum Schutz der Privatsphäre zum Ziel hat. „Ein erster Meilenstein wurde dadurch erreicht, dass das Fach Medienkunde nun von einem Externen evaluiert wird – und meine Behörde daran mitwirkt; das ist bundesweit ein Novum“, freut sich Hasse. „Bitter ist allerdings“, so schließt Hasse, „dass insbesondere auf Bundesebene der Schutz der Privatsphäre anderen Zielen geopfert wird. Glücklicherweise verhindert das Bundesverfassungsgericht hier die schlimmsten Auswüchse; es interessiert indes inzwischen offenkundig kaum einen Politiker in Berlin, vom Bundesverfassungsgericht fortlaufend abgewatscht zu werden.“ Diese „Rechts-un-kultur“ habe das Grundrecht der informationellen Selbstbestimmung bettlägerig werden lassen. Hasse. „Nur engagierte und informierte Politiker können es noch retten.“ Er hält daher „die unablässige Sensibilisierung“ der politischen Entscheidungsträger für seine wichtigste Aufgabe. Autorin: Christiane Schulzki-Haddouti Kontakt: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **
Die Datenwoche im Datenschutz (KW23 2017)
[IITR – 11.6.17] Hier finden Sie einen subjektiv zusammengestellten Querschnitt zu Datenschutz-Themen dieser Woche (>>> Intelligente Lautsprecher >>> Polizeiwachen: Kameras abschalten >>> Schärferer Datenschutz für Vitaldaten >>> DSGVO und Marktforschung >>> Kunden von Kamera gescannt >>> Maut-Daten: Aufklärung von Verbrechen). Dienstag, 6. Juni 2017 Nach Amazon und Google hat Apple intelligente Lautsprecher vorgestellt. Wir sagen, welchen Nutzen sie haben und was sie nicht können. Daraus (…): Digitale Sprachassistenten eröffnen ganz neue Herausforderungen für den Datenschutz. „Sie geben ein biometrisches Merkmal von sich preis: Ihre Stimme“, sagt Uwe Kissmann, Geschäftsführer Cyber Security bei der Unternehmensberatung Accenture. Bei der Nutzung der Assistenten gespeicherte Daten können außerdem mit Daten aus anderen Online-Diensten zusammengeführt werden, warnt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Morgenpost.de… *** Donnerstag, 8. Juni 2017 Trotz IS-Terrorgefahr müssen Polizeiwachen Kameras abschalten. Die Kamera einer Dienststelle filmte ein Stück Straße. Nun muss das Polizeipräsidium die Kameras an Hunderten Wachen stilllegen und im ganzen Land überprüfen – obwohl es eine konkrete Bedrohung durch den IS gibt. Hannelore Crolly, welt.de… *** Donnerstag, 8. Juni 2017 Schärferer Datenschutz für Vitaldaten. Die Regierung will prüfen, wie die informationelle Selbstbestimmung für Nutzer von Gesundheits-Apps und Wearables gestärkt werden kann. aerztezeitung.de… *** Freitag, 9. Juni 2017 Datenschutz bei Marktforschung – Was ändert die DSGVO? datenschutzbeauftragter-info.de… *** Samstag, 10. Juni 2017 Die Supermarktkette Real sorgt für Aufsehen: Zu Werbezwecken werden Kunden an der Kasse von einer Kamera gescannt. Auch Märkte in NRW sind betroffen. Ein ähnliches System testet die Post bereits länger. Fragen und Antworten zu einem umstrittenen Projekt. Clemens Boisserée, www.rp-online.de… *** Sonntag, 11. Juni 2017 Zwei Morde – einer nahe Freiburg, ein weiterer in Kufstein in Österreich. Lkw-Maut-Daten von dort führen zu einem Verdächtigen. Dass deutsche Daten zur Aufklärung von Verbrechen bislang nicht genutzt werden dürfen, halten manche für falsch. stimme.de… Ausgesucht von: Eckehard Kraska Telefon: 089-1891 7360 E-Mail-Kontaktformular E-Mail: email@iitr.de Information bei neuen Entwicklungen im Datenschutz Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
** LINK **

Diese Texte sind Eigentum der oben genannten Autoren und Webseiten. Dieses Script ist lediglich ein Tool zum Anzeigen von RSS-Feeds, wobei die Daten in Echtzeit von der entsprechenden XML/RSS-Seite ausgelesen und angezeigt wird. Rss-Suche.eu Übernimmt weder Garantie für die Richtigkeit der Texte und Informationen, noch stehen diese Texte in irgendeinem Bezug zu RSS-Suche. Sie unterliegen den Rechten der jeweiligen Autoren.