Mai 2018 tritt die Datenschutzgrundverordnung (DS-GVO) in Kraft

Warum ist das wichtig für die Unternehmen welche bisher keinen Datenschutz betreiben?

1. Unternehmen sind verpflichtet ihren Datenschutzbeauftragten unaufgefordert zu melden (Unternehmen ab 9 Mitarbeitern!). Keine Meldung liefert den Behörden automatisch den Anlaß Ihr Unternehmen zu prüfen
2. Mit der Neuregelung müssen die Behörden Strafen verhängen. Bisher galt ein großer Ermessensspielraum; Verhängte Strafen fallen eher klein aus
3. Das Strafmaß liegt bei 10 oder 20 Mio. bzw. 2 oder 4% des Jahresumsatzes (Bei Konzernen der Gesamtumsatz) – Damit trifft dies auch kleine Unternehmen signifikant
4. Datenschutzbeauftrage werden alle Hände voll zu tun haben – Je näher der Stichtag kommt desto schwerer werden Sie einen Datenschutzbeauftragten finden

Quelle: https://www.lda.bayern.de/de/international_audit.html

Aufsichtsbehörden schreiben 500 Unternehmen bzgl. dem internationalen Datenverkehr an

Die Aufsichtsbehörden schreiben in einer Massenaktion 500 Unternehmen mit einem Fragebogen zum internationalen Datenverkehr an.

Anlaß ist, daß selbst bei kleinen Unternehmen die Nutzung von IT Diensten (Z.B. Google Mail, Salesforce.com, etc.) massiv zunimmt. Damit werden personenbezogene Daten in den internationalen (Nicht EU/EWG) Datenverkehr gebracht.

Vielen Unternehmen sind sich dieser Tatsache nicht bewußt und welche datenschutzrechtliche Folgen daraus resultieren.

Die 10 wichtigsten Punkte:

1. Rechte auf Vergessen, Datenportabilität und Zugang
2. Klare Einwilligung als Eckpfeiler
3. Informationsrechte und Transparenz
4. Strenge Regeln für Datentransfers in Drittstaaten
5. Zukunftstaugliche Definitionen
6. Harte Sanktionen von bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens bei Verstößen
7. Datenschutzkonforme Technikgestaltung: Privacy by Design und by Default
8. Weniger Bürokratie
9. Einheitliche Rechtsdurchsetzung
10. Feste Ansprechpartner für Datenverarbeiter in ganz Europa

1. Rechte auf Vergessen, Datenportabilität und Zugang: Wer möchte, dass persönliche Daten gelöscht werden, muss dieses Recht auf Vergessen gegenüber Google, Facebook und Co. durchsetzen können. Der Datenverarbeiter muss die Löschanfrage auch an Dritte weiter leiten, an die er Daten weitergegeben hatte. Das Google – Spanien – Urteil des Europäischen Gerichtshofs vom Mai 2014 gründet auf der Datenschutzrichtlinie von 1995. Die Datenschutzverordnung stellt nun klar, in welchen Fällen das Recht auf Vergessen gilt. Das Recht auf Information und das öffentliche Interesse müssen mit diesem in einer Balance stehen. Hierfür schafft die Verordnung klare Regeln und Verfahren. Das Gesetz gewährleistet zudem das Recht auf Datenportabilität: Wer einen Anbieter wechseln möchte, hat das Recht, persönliche Daten mitzunehmen. Anbieter müssen die Nutzerdaten auf Anfrage auf elektronischem Weg und in einem allgemein nutzbaren Format kostenfrei und schnell aushändigen.

2. Informierte Einwilligung als Eckpfeiler: Nutzerinnen und Nutzer müssen bewusst einer Datenverarbeitung zustimmen – oder sie ablehnen können. Die Verordnung stellt nun klar, dass es keine vermutete Einwilligung geben und es nicht die Aufgabe der Nutzerinnen und Nutzer sein kann, voreingestellte Haken aus Kästchen zu entfernen. Jede Zustimmung bedarf einer klaren zustimmenden Handlung. Diese muss freiwillig sein, d.h. ein Vertrag darf nicht an die Verarbeitung von Daten gebunden sein, die mit der erbrachten Leistung oder dem Produkt nichts zu tun hat. Technische Standards für eine automatische Ablehnung der Datenverarbeitung, wie z.B. durch die Browsereinstellung „Do Not Track“ für Webseiten, können nun rechtlich verbindlich gemacht werden. Das Parlament hat erfolgreich das „berechtigte Interesse“ des Datenverarbeiters, mit dem eine Datenverarbeitung auch ohne Einwilligung möglich ist, auf dasjenige beschränkt, was auf Grund der Beziehung zwischen Nutzerinnen und Nutzer auf der einen Seite und Datenverarbeiter auf der anderen Seite vernünftigerweise erwartet werden kann.

3. Informationsrechte und Transparenz: Das Parlament forderte weit mehr Auskunfts- und Informationsansprüche als die Kommission– und konnte sich durchsetzen. Nutzerinnen und Nutzer werden nun klare und präzise Auskunft darüber erhalten, wie die eigenen Daten verarbeitet werden. Datenverarbeiter müssen einfach, verständlich und kostenlos erklären, welche Daten sie in welchen Kontexten und zu welchem Zweck verarbeiten und an wen sie die Daten weitergeben. Nutzungsbedingungen müssen leicht zu verstehen sein. EUweit standardisierte Symbole fassen lange und oft nur für Juristen lesbare Datenschutzerklärungen leicht verständlich und schnell erfassbar zusammen.

4. Datenweitergabe an Drittstaaten: Das Parlament bestand darauf, dass Firmen Daten nicht direkt an Behörden in Drittstaaten weitergeben dürfen. Dies ist nur erlaubt auf der Grundlage von Rechtshilfeabkommen oder ähnlicher, auf EU-Recht basierender Regeln. Dieser Schutzschild gegen den ausländischen Zugriff auf europäische Daten war bereits in einem ersten Kommissionsentwurf enthalten, aber nach intensiver Einflussnahme der amerikanischen Regierung gestrichen worden. Das Parlament hat ihn nach den Snowden-Enthüllungen wieder hineingeschrieben. Die Kommission muss nun regelmäßig über Datentransfers in Drittstaaten berichten. Nachdem der Europäische Gerichtshof im Fall Max Schrems zur Weitergabe von Facebook – Daten in die USA „Safe Harbor“ am 6. Oktober 2015 für ungültig erklärt hat, hat das Europäische Parlament weitere Absicherungen und Klärungen verlangt. Auch außerhalb der EU müssen Bürgerinnen und Bürgern, deren Daten weitergeleitet werden, gleiche Rechte zustehen, einschließlich der Klagemöglichkeit auch im Drittstaat. Ein Drittstaat kann nicht behaupten, dass es ein gleiches Schutzniveau für alle gibt, wenn er etwa durch Massenüberwachung den unverhältnismäßigen Zugriff von Behörden auf personenbezogene Daten im privaten Sektor zulässt, wie die Enthüllungen von Edward Snowden offenbarten.

5. Zukunftstaugliche Definitionen: Alle Informationen, die direkt oder indirekt einer Person zugeordnet werden können, müssen als personenbezogene Daten geschützt werden. Dies ist gerade in Zeiten von „Big Data“ wichtig. Das Parlament hat auch klargestellt, dass Daten nicht unbedingt auf die bürgerliche Identität einer Person schließen lassen müssen, um geschützt werden zu müssen – es reicht, eine Person wiedererkennen zu können, zum Beispiel indem sie oder er anhand von Browsermerkmalen als dieselbe Person identifiziert werden kann.

6. Harte Sanktionen: In Fällen von Verstößen gegen die Verordnung erwarten Unternehmen harte Sanktionen. Das Parlament setzte in den Verhandlungen eine maximale Höhevon bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro für alle anderen Datenverarbeiter durch. Diese Sanktionen sollen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Natürlich müssen Bußgelder immer verhältnismäßig sein. Daher drohen kleinen Unternehmen keine derart hohen Sanktionen, wenn es sich um erstmalige, versehentliche oder kleinere Verstöße handelt.

7. Privacy by Design / Privacy by Default: Datenverarbeiter müssen ihre Dienste datensparsam konzipieren und mit den datenschutzfreundlichsten Voreinstellungen anbieten. Nur solche Daten dürfen erhoben werden, die zur Erbringung des Dienstes wirklich benötigt werden. Unternehmen dürfen Dienste nicht von der Verarbeitung von Daten abhängig machen, die sie für diesen Dienst gar nicht benötigen. Das bedeutet, dass etwa eine Taschenlampen-App auf dem Smartphone nicht auf die Daten im Adressbuch zugreifen darf. Außerdem muss es möglich sein, Dienste anonym und unter Pseudonym zu nutzen.

8. Weniger Bürokratie: Neben der Reduzierung von 28 verschiedenen Standards auf ein Gesetz für den europäischen Markt sind eine ganze Reihe von Erleichterungen für Unternehmen vorgesehen, speziell für kleinere Unternehmen . Die Ernennung eines betrieblichen Datenschutzbeauftragten ist davon abhängig, welche und wie viele Daten verarbeitet werden und nicht davon, wie viel Personal ein Unternehmen beschäftigt. Das Parlament hat klargestellt, dass die oder der Datenschutzbeauftragte keine Vollzeitkraft sein muss und auch ein externer Dienstleister sein kann. Die Mitgliedstaaten können aber strengere Regeln für die Benennung von Datenschutzbeauftragten aufstellen.

9. Einheitliche Rechtsdurchsetzung: Ein Europäischer Datenschutzausschuss, bestehend aus den nationalen Aufsichtsbehörden, soll die einheitliche Anwendung des Datenschutzrechts sicherstellen. In Fällen von europaweiter Bedeutung kann dieser auch bindende Entscheidungen treffen. – ähnlich wie im Wettbewerbsrecht und bei der Bankenaufsicht. Damit ist ein „Race to the Bottom“ in Mitgliedstaaten mit schwacher Rechtsdurchsetzung in Zukunft nicht mehr möglich. Die Unabhängigkeit der Datenschutzbehörden bleibt gewahrt. Nicht die Kommission wird das letzte Wort haben, sondern der Europäische Datenschutzausschuss, der nun rechtlich verbindliche Entscheidungen für den ganzen Europäischen Markt treffen kann.

10. Ein fester Ansprechpartner für ganz Europa: Der „One – Stop Shop“ – Ansatz bedeutet: Bürgerinnen und Bürger müssen sich in der gesamten EU nur noch an eine Datenschutzbehörde wenden. Betroffene können ihre Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten, egal wo der Datenmissbrauch passiert ist. Unternehmen müssen ebenfalls nur noch mit der Datenschutzbehörde des Mitgliedstaats zusammenarbeiten, in dem sich der Hauptsitz des Unternehmens befindet

Für BI, Big Data gelten keine gesonderten Regelungen im BDSG

Besonderheit von BI, Big Data ist, daß neue synthetische Daten und Informationen gewonnen werden. Dies ist hinsichtlich Zweck, Datensparsamkeit, grundsätzlichem Rechtsverstoß besonders zu prüfen.

Einwilligungen können demnach sehr umfangreich werden und/oder mit technischen Maßnahmen ein Erlaubnistatbestand geschaffen werden.

Leider gibt es für Big Data kein „Kochrezept“ um dies in Einklang mir dem Datenschutz zu bringen

Hier ist ein gesamtheitlicher Blick erforderlich und Kreativität geforder. Jede Anwendung ist einer dedizierten Vorabüberprüfung zu unterziehen um datenschutzrechtliche Erfordernisse abzubilden.

Die Grundprinzipen sind:

1. Nutzen der Big-Data Anwendungen prüfen
2. Anwendungen transparent gestalten
3. Bevorzugt anonymisierte oder pseudonymisierte Daten verarbeiten
4. Interessen der Beteiligten abwägen
5. Nutzen für Betroffene schaffen
6. Governance für personenbezogen Daten etablieren
7. Daten wirksam gegen unberechtigte Zugriffe schützen
8. Keine Daten zu ethisch-moralisch unlauteren Zwecken verarbeiten
9. Datenweitergabe nach Interessenabwägung ermöglichen
10. Selbstbestimmtes Handeln ermöglichen
11. Politische Rahmenbedingung vervollkommnen – Datenschutz und Datennutzen neu abwägen.

Cloud-Anwender dürfen Cloud-Services nur dann in Anspruch nehmen, wenn sie in der Lage sind, ihre Pflichten gemäß BDSG in vollem Umfang wahrzunehmen. So ist z.B. die Nutzung von Google Mail nicht für den Einsatz im Unternehmen zulässig. Microsoft Azure Exchange aktuell ist zulässig, da der Service eingeständig von der Telekom erbracht wird und Microsoft wie US Behörden keinen Zugriff haben.

Mindestvorraussetzungen u.a.:

1. Speicherung der Daten i.d.R. innerhalb der EU/EWR erforderlich. Großbritannien ist mit Vorsicht zu betrachten. Hier ist ein Verfahrgen anhängig, da offentsichtlich ein Konflikt zw. Datenschutz und Geheimdienst, sowie Zusammenarbeit mit USA besteht.
2. Offene, transparente und detaillierte Informationen der Cloud-Anbieter über die
   technischen, organisatorischen und rechtlichen Rahmenbedingungen der von
   ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption
3. Detaillierte und eindeutige vertragliche Regelungen der Cloudgestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel
4. Umsetzung der abgestimmten Sicherheits- und Datenschutzmaßnahmen auf Seiten von Cloud-Anbieter

Internet of Things, Industrie 4.0 können wir hier nur anreißen, da die Anwendungsfälle und spezifischen Umsetzungen eine zu hohe Bandbreite abdecken.

In jedem Fall ist eine sorgfältige Vorabprüfung erforderlich, da hier viele personenbezogene Daten anfallen.

In jüngster Zeit sind vernetzte Alarmanlagen, auch von namhaften deutschen Unternehmen, aufgefallen. Sie können über das Netz bedient und z.B. per Kamera kann nach dem Rechten gesehen werden. Es kam heraus, daß Standardpasswörter gesetzt waren und praktisch jeder im Netz Zugriff auf das System bekommen konnte.

Ist dies beispielsweise eine Einladung für Einbrecher, kann dies empfindliche Schadensersatzforderungen nach sich ziehen.

Ahnen Sie was Google Analytics kann?

Die u.s. Website führt anschaulich vor Augen was für Daten gesammelt werden und können. Dabei ist das längst nicht alles was möglich ist.

clickclickclick.click

Baden-Württemberg

Der Landesbeauftragte für den Datenschutz Baden-Württemberg

Bayern

Landesamt für Datenschutzaufsicht

Berlin

Berliner Beauftragter für Datenschutz und Informationsfreiheit

Brandenburg

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg

Bremen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen

Hamburg

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Hessen

Der Hessische Datenschutzbeauftragte

Mecklenburg-Vorpommern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

Niedersachsen

Die Landesbeauftragte für den Datenschutz Niedersachsen

Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Saarland

Unabhängiges Datenschutzzentrum

Sachsen

Der Sächsische Datenschutzbeauftragte

Sachsen-Anhalt

Landesbeauftragter für den Datenschutz Sachsen-Anhalt

Schleswig-Holstein

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Thüringen

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit

Der Düsseldorfer Kreis ist ein Gremium der Aufsichtsbehörden der Bundesländer. Hier werden Themen diskutiert und gemeinsame Linien abgestimmt

https://de.wikipedia.org/wiki/D%C3%BCsseldorfer_Kreis

https://www.gesetze-im-internet.de/bdsg_1990/BJNR029550990.html

https://www.privacyshield.gov/list