Datenschutz im Verein, wie geht das? Ist das machbar nach DSGVO? Das geht doch gar nicht, ist alles viel zu aufwändig, wir machen das ja schließlich im Ehrenamt. In diesem Tenor sind die Fragen und Ängste, die mich in Bezug auf Umsetzung der DSGVO erreichen. Ich möchte mit diesem Artikel etwas aufklären und die Ängste nehmen.
DSGVO wird in der Presse sehr aufgebauscht, soviel neues ist aber gar nicht hinzugekommen. Das BDSG gab es schon vorher, es wurde lediglich erneuert, auch da schon mußte der Datenschutz im Verein eingehalten werden.
Ich sehe das als Barometer, diejenigen, die jetzt besonders aufgeregt sind, das sind diejenigen, die neu in das Thema Datenschutz einsteigen. Das heißt also, diejenigen, die sich vorher gar nicht darum gekümmert haben. DSGVO kommt auch mit neuen Bußgeldern um die Ecke, das erhöht natürlich die Relevanz, also ist das Arbeitspaket für die bisherigen „Nichtdatenschützer“ ungleich höher. Die anderen, werden wenig Last mit dem Datenschutz im Verein haben, wenn sie ihn denn vorher schon ernst genommen haben.
Es ist also machbar, man kann gute und bequeme Wege finden, um dem Datenschutz im Verein genügend Raum zu geben.
Man muss nur endlich mal mit einer Bestandsanalyse anfangen und alle mit ins Boot holen. Im Ehrenamt finden sich ja ganz verschiedene Menschen zusammen, da ist Information natürlich ein wichtiges Thema.
Normale Vereine
Hierbei muss man sich anschauen, welche Daten anfallen und ob sie wirklichalle benötigt werden. Wir betrachten mal ein paar Beispiele: Reitverein, Sportverein, Kaninchenzüchter, Arbeitgeberverände etc. ich habe die Überschrift „normale Vereine“ genannt, um eine Unterscheidung treffen zu können s.u.
Diese Vereine verarbeiten natürlich personenbezogene Daten, hier kommen ganz normal DSDVO Kapitel 2 Abs 5ff in Betracht.
Die DSGVO bringt mehr Dokumentations- und Informationspflichten mit sich. Eigentlich Selbstverständlichkeiten, diejenigen die bereits im Thema sind, müssen sicher nur Feinschliff machen, um dem Datenschutz im Verein gerecht zu werden.
Aber die Informationspflichten haben sich erweitert, man muss jeden Betroffenen, darüber informieren, welche Daten über ihn gespeichert werden und zu welchem Zweck. Ok, dafür braucht man also einen Prozess, wo gibt es diesen Fall, wer bearbeitet ihn, wie wird er dokumentiert?
Ein Beispiel: Jemand interessiert sich für den Verein und möchte gerne einen Termin vereinbaren. Der Verein nutzt ein „bequemes“ Contentmanagementsystem für seine Webseite, sagen wir mal WordPress.
Da könnte man das Kontaktformular gleich so gestalten, dass es nach dem Abschicken eine automatische Antwort an den Absender sendet. Beispiel abgekürzt:
„Vielen Dank für Ihre Anfrage….. zur Bearbeitung Ihres Anliegens speichern wir die folgenden Daten von Ihnen:
Vorname Nachname Mailadresse …
Die Daten werden nur zur Bearbeitung dieser Anfrage verwendet und nach Abschluß Ihres Anliegens von uns unwiderbringlich gelöscht………..“
Und so weiter, hier wäre man nun der Informationspflicht schon nachgekommen und alles geht automatisch, also wenig Arbeit. Mit Anfragen, die per Mail kommen, könnte man genauso verfahren, man erstellt sich eine Mailvorlage, die man in diesen Fällen immer benutzen kann.
Das ist nur ein Beispiel wie der Datenschutz im Verein smart gestaltet werden kann.
Natürlich muss man sich auch über andere Themen Gedanken machen, z.B. das Postgeheimnis. Wer bekommt welche Email, wie kommt der Verein bei einem Austritt der Person an diese Daten, wie werden sie übergeben an den nächsten Amtsinhaber, wer hat Zugriff auf den PC und die Mailadresse, lesenhier Angehörige mit…
Dies sind alles Vereine, die Daten verarbeiten, die in Bezug zur pers. Meinung, Weltanschauung u.ä. stehen oder bei der die Zugehörigkeit zu einem solchen Verein bereits genau das ausdrückt.
„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“
Ein weiteres Zitat aus dem Datenschutzjahrbuch 2018 der Gesellschaft für Datenschutz und Datensicherheit (GDD) :
Hier wird die Begrifflichkeit nochmal genauer abgegrenzt und mit Beispielen unterlegt.
Es sind besondere Massnahmen erforderlich, in Bezug auf den wirklichen Schutz dieser Daten. Meistens ist es ja auch so, dass solche Vereine sich eine Geheimhaltung ihrer Mitglieder zusätzlich selbst auferlegt haben, das sollte man dann auch umsetzen, denn es gibt Menschen, die persönliche, oder berufliche Nachteile durch das Bekanntwerden einer Mitgliedschaft in z.B. einer bestimmten Partei oder auch in einem Geheimbund zu befürchten haben.
Dieser Punkt ist besonders wichtig in Bezug auf den Datenschutz im Verein. Diese Teile der DSGVO sind aber auch keinesfalls neu, es gab sie vorher schon.
Es ist auch ganz wichtig zu betrachten, wo werden die Mitgliedsdaten gespeichert? Wie und wo und durch wen werden sie gesichert? Darf soetwas von Vereinsfremden durchgeführt werden, denn dort könnten dann die Daten eingesehen werden etc. Wer hat Zugriff auf die Rechner, an denen diese Daten verarbeitet werden. Hier muss sehr sensibel agiert werden. Nochmal deutlich, hier geht es um den Schutz der Persönlichkeitsrechte der einzelnen Mitglieder, nicht um darum, was der Vorstand will. DSGVO kann man auch nicht durch Abstimmung aushebeln.
Auch ist zu überlegen, ob eine sogenannte Datenschutzfolgenabschätzung erstellt werden muss. Es könnte bei Bekanntwerden dieser Daten einen großen immateriellen Schaden für den oder die Betroffenen bedeuten, dafür sieht die DSGVO eine Abschätzung der Folgen vor.
Vereine mit minderjährigen Mitgliedern
Auch hier gelten erweiterte Regelungen, um die Persönlichkeitsrechte von Kindern zu schützen. Da ich in diesem Bereich nicht tätig bin, gehe ich an dieser Stelle nicht genauer darauf ein.
Fazit
Man muss sich darum kümmern, aber es ist mit vertretbarem Aufwand machbar. Man muss auch kein Jurist sein, das DSGVO und das BDSG sind meiner Ansicht nach, zwar nicht in allen Punkten eindeutig aber dennoch gut zu verstehen und es gibt auch genug Hilfestellungen im Netz.
Das war nur ein Kurzabriss für Vereinsfunktionäre, die gerade beginnen, sich mit diesem Thema auseinanderzusetzen.
Autonomes Fahren klingt ja erstmal gut, ich gebe den Zielort ins Navi ein, drück den Attacke-Knopf und es geht los. Ich kann lesen, telefonieren, einen Film anschauen, Blogbeiträge schreiben, etc. Das ist doch super, oder?
Ich denke schon eine ganzes Weile über autonomes Fahren nach, es gibt für mich viele wichtige Aspekte, die inhaltlich für mich noch nicht ausreichend transportiert wurden. Ich will mal mit zweien beginenn.
Autonomes Fahren – was ist mit der Sicherheit?
Der eine ist der Sicherheitsaspekt, ich gebe ja die Verantwortung ab. An wen eigentlich? An den Hersteller des Fahrzeuges, im Prinzip, an den oder die Programmierer des Systems, die ich gar nicht kenne. Wie arbeiten sie so? Sind sie gewissenhaft, wurden alle Fälle bedacht, kann man überhaupt alle Fälle bedenken. Kann der Fahrer wirklich in Zukunft, wenn es ausgereift ist, etwas anderes machen? Oder muss der Fahrer stets mit aufpassen, um eingreifen zu können? Für einige wird autonomes Fahren sicher besser sein, als wenn sie selber fahren 😉
Autonomes Fahren – was ist mit der Haftung?
Wer haftet, wenn etwas passiert? Können technische Fehler ausgeschlossen werden? Greift bei technischen Fehlern die Produkthaftung? Oder ist es die Haftpflichtversicherung des Halters, der Halter oder Fahrer fährt ja gar nicht selber? Werden Probleme genauso behandelt wie jetzt beim Dieselskandal? Also, ich habe noch ganz viele Fragen zum autonomen Fahren. Trotzdem, als Wissenschaftler reizt mich auch die Technik, wäre doch toll, wenn das funktionieren würde.
Autonomes Fahren – was ist mit dem Datenschutz?
Jedes Auto wird eine rollende Internetadresse, sagt H. Müller-Pietralla in einem Spiegel-Artikel.
Welche Daten werden eigentlich wohin übertragen, wer ist dafür verantwortlich, wer hat Zugriff, wofür werden sie genutzt und wann wieder gelöscht? Auf jeden Fall muss es ja eine GPS-Ortung geben, die gibt es aber jetzt auch schon, jeder entscheidet sich ganz bewußt dafür, sich orten zu lassen, wenn er z.B. google Maps nutzt.
Wer sind die Nutznießer dieser Daten?
Benutzerdaten
GPS und Routendaten
Favoriten in Bezug auf Strecken
Fahrzeugdaten
Verbräuche
Wartungsintervalle
etc.
Das Datensammeln wird sicher gigantische Ausmaße haben und wieder werden alle mitmachen.
Ist autonomes Fahren in Bezug auf die Daten überhaupt zulässig, was für Mengen an Daten werden anfallen? Was sagen BDSG und DSGVO dazu?
Was denkt Ihr dazu? Ich bin ein bisschen unsicher, ob bei mir das Interesse am Technikfortschritt überwiegt oder ob ich mir Sorgen mache, welche Daten zusätzlich über uns gesammelt werden.
Vor einiger Zeit erhielt ich den Auftrag, etwas bei Wish zu bestellen und dann an dieser Stelle über meine Erfahrungen zu berichten. Der Auftrag enthielt auch die Anforderung wish und klarna bei Facebook und auf diversen Testportalen zu bewerten.
wish und klarna, ich kannte diese Firmen bisher nicht, Klarna wird hin und wieder als Bezahlmöglichkeit in diversen Webshops angeboten, Wish erscheint mir immer mal wieder als Facebook-Ad. Ich hatte also keinerlei persönliche Berührungspunkte mit wish und klarna.
Wie immer recherchierte ich im Vorfeld sehr gründlich zu den Produkten, Unternehmen etc. die getestet werden sollen. Insbesondere standen hier Nutzererfahrungen im Vordergrund.
wish und klarna
wish, der Shop im Web sieht eher aus, wie ein Kramladen. Viele Billigangebote von unterschiedlichen Händlern. Wish ist ein Portal, in dem Händler ihre Ware feilbieten können.
klarna macht dann die Abrechnung.
Folgende Kriterien wollte ich mir genauer ansehen:
Lieferung und Qualität der Ware
Kontaktaufnahme mit dem Unternehmen
Rechnungsstellung
Provokation von Reaktionen nach dem Kauf
1. Teil Produkttest: Auswahl des Produktes, Überprüfung Versand und Produktbeschreibung
Ich schaute mir die Produkte an und wollte etwas bestellen, das mir grundsätzlich gefallen könnte. Ich fand dieses Produkt:
Die Jacke sollte irgendwas bei € 36,- kosten, mitterweile kostet sie nur noch € 19,-. Es drängte sich der Gedanke auf, was das wohl für eine Lederjacke sei, für diesen Preis. Wish schrieb in seinem Angebot, dass der Preis etwas mit einer längeren Wartezeit zu tun hätte. Ok dachte ich, das schaue ich mir mal an.
Nun wurde es komisch, es kam keine Bezahlaufforderung, gar nichts. Ich dachte mir, na, ja das Ding kommt aus China, war wohl nur ein Trick, um an die Adresse zu kommen.
Irgendwann gegen Ende der angegebenen Lieferzeit, lag tatsächlich irgendwas im Briefkasten. Ein, in eine dünne Plastiktüte, eingepacktes Knäuel. Ok, das war nun meine Jacke, eine ordentliche Verpackung würde auch zusätzliches Geld kosten, ist bei den Preisen nicht drin. Jedenfalls eine ungewohnte Verpackung.
Die Jacke war genau wie die Verpackung, zerknüllt, der Hoodieteil kaputt und die Jacke war aus Gummi. Gut, man kann sagen, für den Preis etc, aber wenn da Leder in der Beschreibung steht, dann erwartet man Leder und nicht Gummi, oder? Auch die Größe war sehr willkürlich und hatte nichts mit der Angabe zu tun.
Wenn dies also kein Test gewesen wäre und ich eine Jugendliche, die dachte, sie bekäme eine tolle Lederjacke für wenig Taschengeld, dann wäre an dieser Stelle die Enttäuschung groß.
Leider lag keine Rechnung bei, ich schaute in meine Mais, auch keine Rechnung, ok?!
1. Ergebnis: Die Jacke entspricht nicht der Beschreibung! Rechnungstellung unklar.
2. Teil Produkttest: Reklamation beim Hersteller
wish und klarna
Ich meldete mich also wieder bei wish im Portal an. Dort war es schwierig eine Retoure auf Basis der Bestellung zu machen. Ich ging vor, wie ich es von anderen Shops gewohnt bin, ich rief meine Bestellung auf und und meine Erwartungshaltung war, dass ich hier eine Reklamation auslösen kann, es gab auch einen Link dazu. Nun, das klappte nicht, bis hierher und nicht weiter. Toll! Manch einer würde nun sagen, ach egal, hat nichts gekostet, ich belasse es dabei.
Ich suchte nun eine alternative Möglichkeit über die globale Kontaktaufnahme, nach vielen Clicks und Umwegen, konnte ich mein Retourengesuch anmelden.
Da ich viel unterwegs bin, saß ich gerade wieder in irgendeinem Hotel. Ein Kundenberater antwortete in einem Chat, jede Menge Textbausteine, man möchte ein Photo der Jacke? Die Jacke lag bereits wieder in ihre Ursprungstüte verpackt bei mir im Büro. Ich lehnte also ab, auch, weil ich es für einen Trick hielt, schliesslich musste ich meine Bestellnummer in dem Post angegeben und da erschien gleich das Produktbild von Wish. Ich schrieb also, ich würde kein Bild schicken, denn sie hätten ja ihr Produktbild und würde nun den Retourenschein erwarten.
Es kam nichts. Nach einigen Wochen, erhielt ich eine Mahnung von Klarna, gleich mit Mahngebühr, aha! Diese Angelegenheit lag doch noch beim Kundenbetreuer von Wish, war also noch offen?
Ich bezahlte die Rechnung, weil es für diesen Test egal ist und der Preis sowieso und nun googelte ich. Genau diese Nutzererfahrung in Bezug auf klarna und wish gibt es zuhauf, das war mir auch im Vorfeld schon aufgefallen, nur die Namen aus der ersten Recherche fand ich nicht wieder. Meine persönliche Meinung dazu ist, das machen sie absichtlich, weil sie mit der Mahngebühr, die Rechnungsstellung über Klarna abfedern und deshalb schicken sie mit der Ware erst gar keine Rechnung mit.
Ich habe dann noch den Vorgang per Einschreiben an klarna geschickt, aber keine Antwort auf mein Einschreiben, nicht die feine englische Art.
2. Ergebnis: Kontaktaufnahme klappt nicht wirklich, man wird vertröstet, Retouren werden ausgesessen
Persönliche Meinung: Retouren nach China sind in den Preisen einfach nicht drin, der Händler möchte auch das Geld gar nicht erstatten. Sie bauen darauf, dass sie aufgrund der Entfernung und Erschwernis bei der Kontaktaufnahme meistens damit durchkommen.
3. Teil Produkttest: Facebookpost
wish und klarna
Ich bewertete wish und klarna in diversen Portalen und auch bei Facebook, natürlich mit einem Kommentar, ich wollte ja für diesen Test eine Reaktion provozieren.
Klarna antwortete auch sofort und verwies mich an eine Kommunikation per PN. Ok soweit, ich hatte ja schon bezahlt, aber man war an einer Klärung interessiert, gut.
Nun schrieben mir diverse, offensichtlich computerisierte „Mitarbeiter“, schöne Textbausteine. Auf meine Fragen wurde nie geantwortet, am Ende hieß es immer. Genau, das hatte ich ja bereits und ok versuchte es jetzt erneut, aber das war nun nicht mehr möglich, weil es angeblich zu lange her war. Auch hier wurde meiner Meinung nach, dieselbe Zermürbungstaktik angewandt, immer wieder irgendwas! schreiben, bis der Kunde keine Lust mehr hat, dafür sind die Produkte einfach zu billig. Für ein paar Euro streiten sich die meisten nicht.
Wenn man mal google fragt, sieht man unzählige Posts mit nahezu denselben Erfahrungen. Die mit den schlechten Erfahrungen werden auch schnell gelöscht. Ich hatte ursprünglich 3 Posts, sind alle weg, bis auf den, der nicht löschbar ist, schade!
Ganz ehrlich, ohne diesen Produkttest-Auftrag würde ich auch sagen, was solls, meine Arbeitszeit ist teurer, das steht in keinem Verhältnis. Aus der Auswahl „Recht haben“ oder „meine Ruhe“ würde ich immer zweiteres wählen.
3. Teil Ergebnis: Hier wird eine Zermürbungstaktik angewandt, man ist an einer Lösungsfindung nicht interessiert.
4. Teil Produkttest: Bewertung des wish-shops
wish und klarna
So nun gab ich eine Bewertung ab, zugegebenermaßen ein Verriß, aber es hatte sich ja (leider) genauso zugetragen. Ui, da wurde man jetzt aber aktiv, das war dann doch wichtig, ich erhielt eine Trustpilot Mail.
Wish gefiel offensichtlich die Bewertung nicht, offensichtlich können Sie den Bezug der schlechtenBewertung nicht mit ihrer Leistung in Zusammenhang bringen. Anstatt nun eine Lösung zu finden, reklamieren sie die Bewertung. Hat nichts geholfen
Natürlich konnte ich den Kauf verifizieren und die Bewertung wurde selbstverständlich wieder online geschaltet. Trustpilot wird hier zwar nicht bewertet, aber super, dass sie nachfragen und auch die Kontaktaufnahme gefällt.
4. Teil Ergebnis: Hier reagieren sie, gut, dass es Bewertungsportale gibt, denn hier können sie die Posts nicht einfach löschen.
Fazit dieses Produkttests
Ich finde es schade, auch wenn man günstige Produkte anbietet, kann man seriös damit umgehen. Man könnte schreiben, die Jacke ist aus Gummi, für diesen Preis meine Güte, kein Problem.
Sie haben die Mailadresse, warum schicken sie dort nicht einfach die Rechnung hin? Ich bin sicher, dass der Mahnaufschlag in die Gewinnberechnung mit eingeflossen ist, denn auch dieser Aufschlag hat eine Höhe, wegen der keiner Theater macht.
Meine ganz persönliche Meinung dazu ist, nicht-kaufmännisches, unseriöses Verhalten kann man sich wirklich heutzutage nicht leisten. Auch handelt es sich ja um ein Händlerportal, die Händler können da evtl. gar nichts für und werden in diesen Eindruck mit hereingezogen. Auch die positiven Bewertungen, scheinen zum Teil gefaked und die die echt erscheinen, beziehen sich nicht auf Ware mit Reklamation.
Mein Auftraggeber stellte € 100,- für einen Einkauf bei Wish zur Verfügung. Auf die Berichtsserstattung wurde kein Einfuß genommen, es wurde keine Bezahlung des Artikels akzeptiert. Dieser Beitrag stellt meine echten Erfahrungen mit wish und klarna da, es mag sich um einen Einzelfall handeln. Alle Belege, der Posteinlieferungsschein, der Chat mit wish und klarna können eingesehen werden.
Die Eröffnung sprach Frau Thiel, wie gewohnt zuversichtlich in Bezug auf das schwierige Thema.
Die Vortragenden sprachen unter anderem davon, dass die DSGVO die Chance bietet, eine Art Datenschutzkodex zu etablieren. Es geht um Menschenwürde, freie Entfaltung der Persönlichkeit und Persönlichkeitsrechte auch im Web. Deutschland ist hier ein Vorreiter. Bisher haben von den Mitgliedsstaaten nur Österreich und Deutschland die DSGVO in nationales Recht umgesetzt. Wir können froh sein, Europa ist momentan der Maßstab für den Datenschutz und hat damit die Chance, diesen Standard auf Themen wir künstliche Intelligenz, elektronische Beweisführung u.ä. anzuwenden.
Interessant war der Vortrag von Frau Renate Nikolay. Kabinettchefin der EU-Kommission für Justiz, Verbraucherschutz und Gleichstellung. Auch sie sprach von einer europäischen Datenschutzkultur über die selbst Unternehmen wie Facebook & Co. froh sind, da sie nun einen Standard anwenden können, der weltweit anerkant ist.
personenbezogen – nicht personenbezogen
Prof. Dr. Nikolaus Forgó von der Universität in Wien sprach darüber, dass es schwer ist, personenbezogene Daten von nicht personenbezogenen Daten zu trennen. Er brachte das Beispiel einer Fitness-APP, die die „anonymisierten“ Nutzerdaten dazu verwendet, Kartenmaterial zu erweitern. Oftmals ist es eben durch die kluge Verkettung von vermeintlich nicht personenbezogenen Daten möglich, die tatsächliche Person zu identifizieren.
Er nannte vermeintlich kostenlose Dienste „over the top“ Dienste. Der Preis für die kostenlosen Dienste sind die Daten.
Auch nichts Neues, nur neue Beispiele, sehr kurzweilig vorgetragen.
Dr. Sarah Fischer von der Bertelsmannstiftung sprach über Algorithmenethik. Algorithmenbasierte Systeme haben den Zweck, Diskriminierungen zu vermeiden, trotzdem kämen Diskriminierungen vor. Sie nannte ein Beispiel aus den USA, in dem Menschen mit dunkler Hautfarbe diskriminiert wurden. Hier stellt sich mir sofort die Frage, warum man die Hautfarbe erfassen muß, wofür benötigt man diese Information? Also eigentlich überhaupt kein Agorithmenproblem, sondern ein Prozessproblem. Sie schlug unter anderem vor, den Quellcode von Softwareprodukten durch Experten genauer auf Schwachstellen, die zu Diskriminierungen führen können, genauer zu untersuchen.
Nun, ja, als Softwareentwickler hat mich dieser Vortrag in Erstauen versetzt. Ich entwickle Software seit 1986, diese Herangehensweise erscheint mir in einer Kurve hängengeblieben zu sein. Der Auftraggeber bestimmt die Algorithmen und der Kontrollzwang wohnt eben in jedem Menschen, natürlich werden Algorithmen bewußt dazu genutzt, um vermeintlich nicht beeinflußbare Auswahlverfahren dazu zu nutzen, eben doch die gewünschte Auswahl zu treffen. Hier hilft die Überprüfung der Anwendung zum Thema Datensparsamkeit.
Eher ein Vortrag mit sozialwissenschaftlicher Herangehensweise.
netzpolitik.org
Ein Highlight während des europäischen Datenschutztages war für mich Markus Beckedahl von netzpolitik.org. Mir gefiel auch, dass dies kein Vortrag war, sondern mit dem Moderator der Veranstaltung als Gespräch gestaltet wurde. Hier kamen Statements aus der Praxis, auch die Ambivalenz zwischen gesetzlichen Datenschutzregelungen und wirtschaftlichen Interessen wurde thematisiert. Hier wurden unsere Kanzlerin Frau Merkel und Herr Dobrindt zitiert, die natürlich in Bezug auf die Daten gerne aus dem Vollen schöpfen würden und die DSGVO mehr als Wirtschaftsverhinderungsinstrument ansehen. Natürlich, auf der einen Seite ist Datenhaltung wichtig für die Unternehmen, auf der anderen Seite steht der Datenschutz. Ein Drahtseilakt…
Ach, was könnte man mit Mautbrücken alles erfassen…
Europ. Datenschutztag – Mein persönliches Fazit
Der Datenschutztag war eine schöne Veranstaltung, sehr gut moderiert, interessante Redner. Leider war das Meiste einigermaßen praxisfern. Was mich gestört hat, ist die einseitige Betrachtung der Verantwortung. Die Regierung muss, die Unternehmen müssen, DSGVO soll regeln etc. Ich bin der Meinung, dass derjenige, der digitale Souveränität möchte, auch in die Pflicht genommen werden muß.
Wir werden alle mit Intelligenz geboren, lesen lernen wir in der Schule, jeder kann sich informieren. Immer anzuprangern, dass Schulen, die Regierung und R2D2 (oder wer auch immer) nicht genügend tun, finde ich einseitig und sehe es als ganz großes Problem in unserer Gesellschaft an. Wir sind eine Gesellschaft von Konsumenten geworden, immer meckern und schimpfen, aber nie selber Verantwortung übernehmen.
Wenn ich alle meine persönlichen Daten bei Facebook hochlade, dann habe ich mich selber aktiv dafür entschieden. Wenn ich Alexa nutze, ist nicht Amazon schuld, sondern ich habe es gekauft und Punkt. Und wenn ein Schaden entsteht, habe ich es wahrscheinlich einfach nur hingestellt und angeschaltet, mich aber nicht genügend damit auseinandergesetzt.
Ich übertreibe bewußt etwas, aber diese einseitige Verantwortlichkeit geht mir ganz entschieden gegen den Strich. Wir haben gute Gesetze, es ist aber auch eine Bürgerpflicht sich zu informieren. Souveränität eben! Wir können kein Gesetz erfinden, dass mich vor mir selbst schützt.
Es gab doch mal den Schnack: Unwissenheit schützt vor Strafe nicht.
Natürlich, Datenschutz durch Technik unterstützt die digitale Souveränität. Es ist gut, wenn die Grundeinstellungen zum Schutz der Nutzerdaten grundsätzlich sehr streng sind und ich sie als Nutzer dann lockern kann. So etwas sollte auf jeden Fall unterstützt werden.
Datenschutz durch Verantwortung?
ABER: Wenn sich die Menschen nicht informieren, ist nicht automatisch „werauchimmer“ schuld. Genau diese Menschen schaffen es ja sonst auch, sich über Ihre bevorzugten Themen zu informieren, Sport, Urlaub etc. Datenschutz ist einfach langweilig, ist ja klar, aber man kann nicht die Verantwortung abgeben. Bevor man die Dienste nutzt, kann man auch mal den „Beipackzettel“ lesen,
Eins meiner Lieblingsbeispiele: googlemail. Google hat in seinen Datenschutzbedingungen stehen, dass sie Inhalte von Mails lesen (ja, ja um die Werbeangebote zu verbessern und so). Wie viele Menschen kennt ihr, die ein google Mailkonto haben? Und jetzt mal, um zu provozieren, was passiert, wenn ihr zu einem solchen Nutzer nach Hause fahrt und dort die Post aufreißt? Ach, aber google darf das?
Der digitale Souveränität kann man sich meines Erachtens nur annähern, wenn man andere Geschäftsmodelle unterstützt. Ein Dienst, der kostenlos ist, kann dies nicht wirklich sein, das wäre nicht wirtschaftlich. Wir bezahlen den Dienst mit unseren Daten. Wenn ich meine Daten nicht hergeben möchte, dann muss ich dafür Penunzen, karibische Perlen etc. rüberrücken und gut. Früher haben wir auch Navigationsgeräte gekauft und für die Kartenupdates bezahlt. Wie oft nutzt Ihr jetzt den „kostenlosen“ google-Dienst maps? Die vielen Fernsehkanäle, die ihr vermeintlich benötigt, sind Euch ja auch ein paar Euros wert. Also entscheidet Euch souverän, welche Dienste Ihr nutzen wollt.
Sozusagen: Fairtrade im Internet, falls Ihr mir folgen könnt
digitale Souveränität ist das Thema des 12. Europäischen Datenschutztages Ende Januar in Berlin. Zeit, sich über diesen Begriff Gedanken zu machen.
Was bedeutet eigentlich dieser Begriff?
„Abgeleitet von dem Begriff der Souveränität versteht man unter Digitaler Souveränität selbstbestimmtes Handeln unter vollständiger, eigener Kontrolle im Hinblick auf die Nutzung digitaler Medien. “ Quelle: Wikipedia
Aha, selbstbestimmtes Handeln also, dies schließt aus meiner Sicht auch eine große Eigenverantwortung mit ein. Ist das eigentlich möglich?
Digitale Souveränität in Bezug auf Technik
Ich kann natürlich meine Endgeräte je nach meinem eigenen Kenntnisstand absichern, aber da tut sich schon die erste Lücke auf. Jeder hat andere Kenntnisse im Bereich IT-Sicherheit, manch einer beschreibt gar seine eigenen Kenntnisse als nicht vorhanden. Schauen wir mal weiter.
Mittlerweile ist es bis zum letzten User durchgedrungen, dass man Systeme benötigt, die ein gewisses Level an Sicherheit bereitstellen.
Das heisst, bereits hier ist es mit der digitalen Souveränität schon vorbei. Ich gebe die Verantwortung ab, an die Hersteller von Virenscannern, die Windows Firewall etc. und hoffe, dass das ausreicht. Da mir ja selber noch nie etwas passiert ist und das ja auch kaum möglich ist, da ich ja nur eine kleines Licht im großen weltweiten Netz bin, nehme ich möglichst alles, was kostenlos ist und das war es dann. Groß ist das Geschrei, wenn der böse Trojaner kommt und meine Daten verschlüsselt, vlt. die Doktorarbeit, die in 3 Tagen abgegeben werden muss oder ähnliches. Da ist man schnell wieder in der Schleife, andere zur Verantwortung zu ziehen, die Regierung, das Universum, R2D2 oder wer da alles so in Frage kommt.
Digitale Souveränität in Bezug auf Datenschutz
Digitale Souveränität ist aber noch mehr, hier kommt auch noch die Selbstbestimmung über meine Daten hinzu. Und jetzt wird es kritisch. Ich befinde mich immer zwischen Baum und Borke, auf der einen Seite möchte ich wahnsinnig gerne, die ach so praktischen und zudem auch noch kostenlosen Dienste von z.B. google (als Platzhalter für alle Anbieter, die es so gibt und weil’s jeder kennt) nutzen, aber ich möchte eigentlich nicht, dass die alles mögliche, was ich gar nicht erfassen kann, mit meinen Daten machen.
Ich persönlich kenne niemanden, der keinen der google Dienste nutzt. Fängt an bei maps, dem Navigationssystem, das ist doch klasse, es kennt die Staus, bietet mir Ausweichstrecken, Restaurants und Tankstellen auf der Strecke an. Der Preis dafür ist, dass ich mein GPS freigebe und dann natürlich geortet werde, es wird ein Bewegungsprofil erstellt.
Irgendwann nach Nutzung der Navigation kommt die Frage, möchtest Du Deinen Besuch bei xyz bewerten? oder Deiner Timeline zufügen oder Deine Adresse als zu Hause abspeichern. Google weiß alles Und? hast Du da irgendeinen Einfluß drauf? Na, jetzt, sobald Du einmal eingewilligt hast, nicht mehr, vorbei mit der digitalen Souveränität. Es wird ja ab Mai durch die DSGVO das Marktortprinzip geben, da bin ich schon sehr gespannt, wie das auf Fälle wie diese angewendet wird.
Geht ja immer noch weiter. Alle nutzen WhatsAPP (na, ja ich nicht), da werden fleißig auch meine Daten, die sich auf x Handys dieser Welt befinden, weil ich diese Menschen kenne, auf den WhatsAPP (auch nur ein Platzhalter, Ihr wisst schon) Server übertragen. Wo ist denn da meine Souveränität? Spricht man mit irgendwem, der diesen tollen (echt?) Dienst nutzt, bekommt man blankes Unverständnis zur Antwort. „Was????? Du bist noch nicht bei WhatsAPP?“ Antwort: “ Nee, in diesem Leben nicht“
Und Alexa und Konsorten, die tragen ja alle wahnsinnig dazu bei, dass ich meine digitale Souveränität behalte. Tja, was soll man da machen? Habt Ihr ja selber bestellt und installiert, sag ich mal so.
Mein persönliches Fazit: digitale Souveränität gibt es nur für Menschen, die das Internet nicht nutzen.
Aber auch die, also die ohne Internet, werden demnächst keine Kaffeemaschine (Platzhalter für Autos, Kühlschränke, Mähroboter…) mehr kaufen können, weil diese Maschinen wollen ja auch alle WLAN, damit sie Dir im Display die passende Kaffeesorte empfehlen können, die Du dann mit: „Alexa, bestell mir mal diesen Kaffee hier“ bestellen könnt oder wenn die Kaffeemaschine Alexa den Rang abläuft auch direkt darüber.
Ich hör jetzt auf, Eure Phantasie ist nun angeregt, macht was draus, eben wie der Käfer zwischen Baum und Borke.
Sicher habt ihr sie auch bekommen, Kettenbriefe, über Facebook, WhatsApp, irgendwelche Messenger wie auch immer. Es ist ja auch total out, ein eigenes Bild mit einem eigenen Gruß zu versenden, man kann doch lieber wertfrei das nehmen, was einem jemand geschickt hat. Und ein Arbeitsauftrag ist auch gleich dabei, da macht man doch gerne mit, dabei sein ist alles. Alles andere wäre auch zu persönlich, es könnte falsch verstanden werden, man eckt an, wieder ein paar Freunde weniger. Ein schöner Kettenbrief, nach dem altbekannten Schneeballprinzip schafft Abhilfe.
Bei mir kamen Massen dieser Spams an, hier nur zwei Beispiele, ich bin sicher, Ihr kennt sie alle und die meisten von Euch haben sie, wie verlangt, weiterverteilt:
Anstatt eines persönlichen Grußes, geht es auch gleich los mit einer Aufforderung. Die Uhr soll man gar erst anklicken.
Ja, Ihr Lieben, bei mir versandet so etwas, NATÜRLICH! Ich klicke nicht an und ich leite auch nicht weiter, Ihr könnt das aber gerne tun 😉
Ach, was könnte man damit alles machen…
Ganz früher, damals, Ihr wisst schon, so in den 90-er Jahren, da gab es mal ein Video „bad day“, das ist dieser Typ, der in einem Großraumbüro einen Wutanfall bekommt und seinen Rechner kurz und klein schlägt. Damals hatte man es ja noch nicht so mit Bandbreite und Rechnerleistung. Dieses Video hat damals, nur aufgrund seiner Größe, mehrere Hallen an verschiedenen Produktionsstandorten eines Automobilherstellers lahmgelegt. Und nur, weil jemand diesen infantilen Mist, nun so super lustig fand, er wurde dann als Folge davon fristlos entlassen.
Aber heute, ja heute, hätte man ganz andere Möglichkeiten
Mangels einer besonders entwickelten kriminellen Energie will ich es mal versuchen.
Ein Bot, wie wäre es mit einem Bot?
Ich könnte ein kleines Skript darin verstecken, das auf allen Rechnern, von denen es wunschgemäß empfangen, angeklickt, what ever wurde, einen Bot installiert. So könnte ich mein eigenes kostenloses Botnetz schaffen, um damit überleg, grübel, na sagen wir mal, alle Bridgeclubs in Bremen lahmzulegen, oder so.
Wie wäre es mit einem Verschlüsselungstrojaner?
Weihnachten war wieder mal teuer, mein Portemonnaie zeigt Ebbe. Wenn jeder, der die Kettenbriefe erhalten hat, also eins der kursierenden Videos und wahrscheinlich gibt es noch viele mehr, an mich € 5,-/zahlt, dann wäre alles wieder chic und ich könnte mir Silvesterknaller kaufen, tu ich nicht, aber könnte ich.
Wie wäre es mit einem Phishing-Skript?
Es ist ja viel zu mühsam für Euch, wenn Ihr alle € 5,- an mich überweisen müßt, Zeit ist Geld, ich könnte mir gleich Eure Zugangsdaten schicken lassen. Ist ja viel bequemer und es bleibt doch im „facebook“-Freundeskreis, oder?
Ich weiß, ich weiß, Ihr wolltet doch nur ein wenig Spaß haben. Könnt Ihr ja auch, aber bitte schickt mir sowas nicht, ich will das nicht haben. Es wurde zwar von einem Freund geschickt, oder wer war noch der Urheber, Herr Putin, nee der nicht, oder? Oder Kim Dingsda, der Eure Rechner benötigt, um seine Raketen zu steuern, nee war ein enger Freund, den Ihr persönlich kennt?
Also, es handelt sich um Kettenbriefe, um das gute alte Schneeballprinzip. Im ungefährlichsten Fall geht es nur um Adresslisten, aber es könnte auch um etwas anderes gehen.
Ich wünsche Euch allen einen guten Rutsch, ein gesundes und erfolgreiches Jahr 2018 und freue mich, darauf Euch alle im kommenden Jahr persönlich wiederzusehen.
Im Gespräch mit Barbara Thiel, eine Zusammenfassung.
Quelle: www.lfd.niedersachsen.de
Am 3. November 2017 hatte ich ein sehr zugewandtes Gespräch mit Barbara Thiel unserer Landesdatenschutzbeauftragten in Niedersachsen. Das Gespräch fand in den Räumen der Aufsichtsbehörde in Hannover statt. Wir sprachen viel länger als vereinbart und Frau Thiel gab sehr wertvolle Anregungen zum Thema DSGVO und BDSGneu. Besonders gefallen hat mir, die freundliche, sehr persönliche Schilderung ihrer Sichtweise. Weil das Interview nun sehr lang geworden ist, und wir hätten sicher noch Stunden weiter sprechen können, habe ich es etwas gekürzt, damit es lesbar ist. Es entspricht somit nicht zu 100% dem original geführten Interview.
BW: Das Ende der Übergangsfrist für die Einführung der DSGVO steht vor der Tür. Welches sind aus Ihrer Sicht die wichtigsten Neuerungen?
Ich finde sehr gut, dass wir in Zukunft eine Rechtsgrundlage in ganz Europa haben werden. Die DSGVO gilt europaweit und unmittelbar in allen Mitgliedsstaaten. Das ist sicherlich die wichtigste Erkenntnis, eine Rechtsgrundlage, eine Harmonisierung des europ. Datenschutzes.
Ich meine, dass das Marktortprinzip eine ganz wesentliche Neuerung ist. Wenn Unternehmen aus Drittstaaten, sich in Europa wirtschaftlich betätigen möchten, dann haben Sie sich an die Datenschutzgrundverordnung zu halten. Bisher haben wir wenig Handhabe gegenüber Google, gegenüber Facebook und das ändert sich mit dem Marktortprinzip ganz entscheidend.
Ich glaube, man kann auch insgesamt sagen, dass die DSGVO gut ist für die Unternehmen, eben nicht schlecht sondern gut, weil sie diese Harmonisierung schafft und weil sie dadurch einen besseren Vollzug ermöglicht.
Genau diese Punkte: Verordnung, unmittelbare Geltung, Marktortprinzip das sind die Punkte, die sich für die Unternehmen zunächst einmal als positiv darstellen. Und wenn Sie dann noch genauer in die DSGVO reinschauen, gibt es natürlich einige Regelungen, die in der DSGVO einfach einmal genauer festgehalten wurden, z.B. privacy by design, privacy by default, Datenschutz durch Technik, Datenschutz durch Voreinstellungen, durch eingebauten Datenschutz von Anfang an. Ganz wichtig, die DSGVO gibt zwar keine weitergehenden Erläuterungen, aber ich finde es wichtig, dass diese Dinge schriftlich verankert sind.
Was ich auch sehr gut finde, ist die Möglichkeit der Zertifizierung für Unternehmen, es ist doch eine tolle Sache, wenn man durch die Zertifizierung ein Qualitätsmerkmal deutlich herausstellen und sich als datenschutzfreundliches Unternehmen präsentieren kann. Das befreit natürlich nicht davon, auch künftig alle Dinge zu erfüllen, die in der DSGVO angelegt sind,
Ich könnte noch viele Punkte mehr nennen, aber ich denke, das sind die Wichtigsten.
Eins fällt mir noch ein, was sicherlich auch eine Herausforderung für Unternehmen und Aufsichtsbehörden darstellen wird, ist der Punkt der Datenschutzfolgenabschätzung. Die Frage, was ist ein Risiko, welche Verarbeitungsvorgänge sind als besonders riskant zu betrachten und mit welcher Methode führen wir dann eine solche Datenschutzfolgenabschätzung durch?
Da erwarten die Unternehmen dann von uns auch klare Aussagen, das weiß ich. Sie erwarten von uns die sogenannte Blacklist, die Liste der besonders riskanten Verarbeitungsvorgänge. Und sie erwarten von uns auch Hilfestellung bei der Frage der Methodik. Beides liegt noch nicht vor und an der Stelle kann ich verstehen, dass die Unternehmen etwas angespannt sind.
Da müssen wir jetzt auch wirklich bis Ende des Jahres liefern, aus meiner Sicht.
Für uns als Aufsichtsbehörden kommt als weitere Herausforderung hinzu, dass die Unternehmen künftig einen Anspruch auf Konsultation haben. Und da müssen wir innerhalb von 8 Wochen antworten. Und das ist, glaube ich, eine Form der Bearbeitung, die den Aufsichtsbehörden bisher so nicht bekannt ist.
BW: Aber das ist ja nicht schlecht, dann hat man im Hinterkopf „Ich weiß es nicht so genau, ich frage mal“ und dann sind Sie dran, dann ist der schwarze Peter bei Ihnen
Na, ja dieses „ich frag mal“ ist vielleicht ein bisschen zu wenig. Es geht um einen konkreten Sachverhalt und diesen konkreten Sachverhalt haben wir zu bewerten. Ich würde das schon in diesem Sinne interpretieren, wie es auch im Steuerrecht Usus ist, da gibt es ja auch diese verbindliche Auskunft und da gibt es dann natürlich nur Verbindlichkeit auf diesen konkreten Sachverhalt bezogen. Es ist eine Frage des Gebens und des Nehmens, so würde ich das sehen.
Welche Punkte werden selbst für diejenigen Unternehmen eine Herausforderung darstellen, die bereits funktionierende betr. Datenschutzkonzepte haben?
Wir sagen immer, für die Unternehmen, die bisher ihre Hausaufgaben gemacht haben und eben schon ein betrieblich gut funktionierendes Datenschutzsystem aufgebaut haben, ändert sich im Prinzip nicht viel.
Was sich ändert ist, dass die Unternehmen in Zukunft mehr dokumentieren und mehr nachweisen müssen. Stichwort: Accountability und daraus folgen nun einmal mehr Dokumentations- und Nachweispflichten. Das sehe ich aber nicht negativ, es wird in der Öffentlichkeit immer so dargestellt, die DSGVO bringt mehr Bürokratie. Aber es ist doch gut, wenn ich deutlich machen kann, was ich in meinem Unternehmen getan habe, um Datenschutz auch tatsächlich zur Geltung zu bringen. Also an der Stelle würde ich sagen, verändert sich auch etwas für die Unternehmen, die schon bisher gut gearbeitet haben. Und ich glaube, es gibt zwei Bereiche, in denen die Unternehmen künftig genauer hinschauen müssen. Sie müssen einerseits wirklich deutlicher trennen zwischen der Verantwortung der Unternehmensleitung auf der einen Seite und der Position des Datenschutzbeauftragten auf der anderen Seite. Da hat es in der Vergangenheit und gibt ja auch heute in der Gegenwart Mischverhältnisse, die die beiden Funktionen eben nicht sauber voneinander trennen.
Sie müssen sicherlich auch genauer hinschauen, wen sie als Auftragsverarbeiter einsetzen. Da muss man sich auch die Verträge nochmal genauer anschauen, wie die abgefasst sind. Es wird in Zukunft darum gehen, das betrifft aber weniger die Unternehmen, sondern mehr die Auftragsverarbeiter, das sie auch haften. Das heißt, wir werden in Zukunft nicht nur die Unternehmen als Verantwortliche prüfen, sondern wir werden sicherlich auch den Auftragsverarbeiter prüfen.
Ich glaube, es wird sich auch etwas ändern bei der Einwilligung. Da muss man nochmal sehr genau hinschauen, ob die bisher erteilten Einwilligungen tatsächlich den Anforderungen entsprechen, die jetzt durch die DSGVO gestellt werden. Einfach mal so konkludente Einwilligungen zu formulieren, das wird nicht mehr möglich sein, es muss schon mehr Ausdrücklichkeit vorhanden sein.
Das würde ich sagen, das sind Herausforderungen sicherlich.
Ein Punkt fällt mir noch ein. Selbst da, wo funktionierende Systeme vorhanden sind, muss man sich nochmal die Geschäftsprozesse anschauen, weil ich schon an der ein oder anderen Stelle gehört habe, dass nicht alle Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden, tatsächlich aufgenommen waren. Man muss nochmal sehr genau schauen und eine vollständige Bestandsaufnahme machen. Es gibt Prozesse in denen die Verarbeitung personenbezogener Daten nicht so offensichtlich zu Tage tritt. Hier nochmal mehr Sensibilität in den Unternehmen schaffen und genauer hinschauen, wo werden personenbezogene Daten in den Unternehmen verarbeitet.
BW: Alle sprechen von DSGVO aber fast niemand über das BDSG neu, ist die Anpassung des BDSG an das DSGVO Ihrer Meinung nach gelungen?
Das BDSGneu war notwendig und ich sehe auch zunächst einmal das Positive an der Stelle, nämlich dass Deutschland voran gegangen ist, gegenüber vielen anderen europäischen Staaten. Es gibt jetzt weitere Länder, dazu gehört Österreich, Frankreich und einige der osteuropäischen Länder. Deutschland war aber eines der ersten Länder, wenn nicht sogar das erste Land.
Es ist jedenfalls positiv, dass man dort schon mal Zeichen gesetzt hat. Sie wissen ja vielleicht auch, dass wir uns als Datenschutzkonferenz sehr intensiv bei der Entwicklung des BDSGneu eingebracht haben, wir hatten eine Kontaktgruppe gebildet mit dem Bundesinnenministerium und wir hatten die Möglichkeit in dieser Kontaktgruppe wirklich sehr konstruktiv zusammenzuarbeiten und wir haben an der Stelle auch einiges erreichen können.
Wir sind nicht komplett durchgedrungen mit unseren Vorstellungen und das hat dann dazu geführt, dass wir als das BDSGneu dann als Entwurf auf dem Tisch lag, einiges an Kritik äußern mussten. Bezogen auf das Thema Nutzung der Öffnungsklauseln, bezogen darauf, dass wir in einigen Bereichen der Ansicht waren, dass die Öffnungsklauseln überdehnt wurden. Und auch in anderen Bereichen möglicherweise Regelungen getroffen wurden, für die gar keine Öffnungsklauseln vorhanden sind. Das haben wir sehr deutlich gemacht, es hat dann auch nochmal gewisse Nachbesserungen gegeben, nach wie vor gibt es aber gewisse Zweifel, ob das BDSGneu wirklich in allen Teilen europarechtskonform ausgestaltet ist.
Trotzdem muss man immer sagen, Europa ist auch froh, dass Deutschland da entsprechende Zeichen gesetzt hat. Ich würde das nicht nur mit Kritik belegen. Fakt ist aber, dass das deutsche BDSGneu sehr komplex, und in Teilen auch unübersichtlich ist. Es gibt die Begriffsbestimmungen, die schon sehr umfangreich sind, dann haben wir einen Teil in Bezug auf die Öffnungsklauseln des DSGVO und dann haben wir einen dritten Teil, der bringt Regelungen zur JI-Richtlinie. Ob man das nicht hätte trennen sollen? Wenn einerseits eine Verordnung und andererseits eine Richtlinie umgesetzt wird, dann sind das aus meiner Sicht zwei unterschiedliche Paar Schuhe. Und das bedeutet eben eine gewisse Unübersichtlichkeit, eine hohe Komplexität. Wir haben jetzt eine Verordnung und ein nationales Gesetz. Bisher hatten wir nur ein nationales Gesetz, durch das BDSGneu, das eben sehr differenziert und sehr detailliert ist, wird diese hohe Komplexität nochmal erhöht. So würde ich das schon sehen. Und das hat z.B Österreich ganz anders gemacht, das hat ein ganz schlankes Umsetzungsgesetz und im Ergebnis halte ich das für vorteilhafter.
Was mir auch noch einfällt im Hinblick auf das BDSGneu, ich habe ja über das Thema Öffnungsklauseln gesprochen. Ihre Frage war ja, wie beurteilen Sie das BDSGneu. Ich denke, es ist sehr komplex und an manchen Stellen hilft es auch in der Anwendung der vielen unbestimmten Rechtsbegriffe nicht weiter. Ich würde aber das Ergebnis positiv sehen wollen, weil die DSGVO den Aufsichtsbehörden definitiv mehr Macht gibt, als wir das in der Vergangenheit hatten. Wir sind jetzt diejenigen, die diese Vielzahl von unbestimmten Rechtsbegriffen, mit Leben zu erfüllen haben. Wir werden jetzt in den nächsten 3-5 Jahren wirklich sehr stark in dieser Rechtsanwendung gefordert sein. Aber das ist ja auch positiv, dass man ein Datenschutzrecht an der Stelle weiter entwickelt. Und es ist ja ausdrücklich so gewollt, dass genau das durch die Aufsichtsbehörden geschehen soll. Und letzten Endes wird es dann Entscheidungen durch den europ. Datenschutzausschuß geben und damit einheitliche Entscheidungen für ganz Europa und es wird natürlich auch den einen oder anderen Fall geben, der an den EuGH herangetragen wird, dann bekommen wir in den nächsten Jahren auch viel Klärung durch die Rechtsprechung.
Also, wir sind an vielen Stellen in einer unsicheren Phase, aber wir Aufsichtsbehörden sind auch bereit, diese Herausforderung anzunehmen, uns dieser Aufgabe zu stellen das Recht zu entwickeln. Es kommt eins hinzu, das Thema Öffnungsklauseln, BDSGneu und die Frage der Konformität, europarechtswidrig oder nicht europarechtswidrig. Da ist es so, dass man sich auch nochmal mit dem Thema Anwendungsvorrang beschäftigen muss. Wir werden uns im konkreten Einzelfall wirklich bemühen DSGVO und BDSG in Einklang zu bringen und die Regelungen des BDSG in diesem Sinne auszulegen. Und wenn wir an irgendeiner Stelle wirklich nicht mehr weiterkommen, dann werden wir auf den Anwendungsvorrang zurückgreifen müssen. Und das werden dann auch die Fälle sein, in denen wir wirklich auch auf die Entscheidung des EuGH zurückgreifen müssen.
Ich finde das total spannend, das ist doch eine reizvolle Aufgabe. Es ist interessant an der Weiterentwicklung mitwirken zu können. Und dann schauen wir mal, wo wir in 5 Jahren stehen.
BW: Dies deckt sich mit meinen Eindrücken aus meinen Vortrags- und Schulungsveranstaltungen, ich glaube sogar, dass der Anteil in Wirklichkeit noch höher ist.
Es gibt auch die BITCom-Umfrage und die deckt sich, mit dem was Sie jetzt eben gesagt haben. Ganz allgemein kann man sagen, dass sie sich gut auf den Weg gemacht haben, die großen Unternehmen und dass die kleinen und mittleren Unternehmen diejenigen sind, die möglicherweise gar nicht aktiv geworden sind. Aus den unterschiedlichsten Gründen, wir wollen jetzt hier keine Ursachenforschung betreiben. Es ist jedenfalls so, dass sie noch nicht begonnen haben, sich mit der DSGVO intensiver auseinanderzusetzen. Das ist uns bekannt, es hat schon im Sommer dieses Jahres eine Initiative des Bundesinnenministeriums gegeben, da mehr zu sensibilisieren. Dies setzt sich auch weiter fort, durch weitere Termine und wir haben jetzt ein Kurzpapier herausgegeben „Maßnahmenplan DSGVO für Unternehmen“ .
Das ist das, was wir diesen Unternehmen raten, jetzt sofort anzufangen, weil die Zeit ist nun wirklich nicht mehr lang. Es ist schon 5 nach 12, man hätte schon viel früher beginnen müssen, aber es hilft ja jetzt nichts. Wenn man es bisher nicht getan hat, dann bitte jetzt! DSGVO ernst nehmen, sich unser Kurzpapier anschauen und nach der dort genannten Reihenfolge vorgehen.
Da sind verschiedene Punkte genannt:
Anpassung der betroffenen Strukturen und Prozesse. Das setzt natürlich voraus, dass ich mir erstmal klar darüber bin, welche Prozesse gibt es?
Man muss eine vernünftige Bestandsaufnahme machen
Die Verträge mit den Auftragsverarbeitern anschauen
Das Thema Einwilligungen betrachten, ob eine Rechtsgrundlage angegeben wurde
Ein Verfahrensverzeichnis wird benötigt. Wenn ich mir die Prozesse anschaue, resultiert daraus ein Verfahrensverzeichnis.
Dann schauen, welche Verarbeitungsvorgänge sind besonders riskant, welche brauchen eine Datenschutzfolgenabschätzung.
Das sind, glaube ich, die ersten Arbeiten, die man in diesem Zusammenhang macht.
Ich rate den Unternehmen, sich unsere Hilfen, unsere Kurzpapiere anzuschauen und dann kommt hinzu, dass Niedersachsen gemeinsam mit einigen anderen Bundesländern jetzt ein weiteres Papier herausgeben wird, das sich nochmal speziell an die KMUs richtet.
In diesem Papier werden wir nochmal darauf eingehen, was muss jetzt in diesen 6 Monaten unbedingt geschehen und was müssen auch KMUs beachten.
Es gibt ja die irrige Auffassung, wenn Unternehmen nur 9 Beschäftigte haben, dann brauchen sie Datenschutz nicht anzuwenden. Da werden 2 Prinzipien miteinander vermengt.
Nein, so ist es nicht, das betrifft nur den betr. Datenschutzbeauftragten, aber nicht um die Frage, ob Datenschutz überhaupt Anwendung findet.
In diesem Papier stellen wir Fragen in Bezug auf die DSGVO. Diese Fragen sollten sich die Unternehmen selber stellen und sich anhand dieser Fragen dann mit dem Thema DSGVO auseinander setzen.
Und dem anderen Teil, denjenigen Unternehmen, die immer noch denken, betr. Datenschutz sei unwichtig und verursache unnütze Kosten?
Das ist eine sehr gute Frage. Ich glaube nämlich auch, dass es sehr vielen Unternehmen darum geht, Geld zu sparen. Datenschutz ist natürlich kostenaufwändig in dem ein oder anderen Bereich, da mache ich mir auch nichts vor. Aber Datenschutz ist nicht einfach nur nice to have, sondern Datenschutz ist Grundrechtsschutz. Man muss sich dabei auch klar machen, dass ich als Unternehmen auch immer den Wunsch haben sollte, Vertrauen bei den Bürgerinnen und Bürgern zu schaffen, wenn es denn noch nicht vorhanden ist, bzw. das Vertrauen auch nicht zu zerstören. Das sollte man sich im Kern immer bewusst machen.
Ja, und wenn das nicht hilft, den Unternehmen immer noch nicht klar ist, worum es beim Datenschutz geht und was Datenschutz bewirken kann und bewirken wird, dann werden sie es irgendwann tatsächlich zu spüren bekommen. Wir Aufsichtsbehörden sind entschlossen ab dem 25. Mai 2018 zu prüfen. Wir überlegen uns momentan, in welcher Art und Weise wir dann unsere Prüfungen gestalten wollen, ich gehe davon aus, dass wir hier auch Checklisten entwickeln werden, anhand derer wir dann in die Unternehmen gehen.
Man sollte sich dabei immer klar machen, und das ist vielleicht auch ein ganz wichtiger Hinweis, das, was wir jetzt mit unserem Kurzpapier oder auch mit unserem Fragebogen nach draußen geben, das wird auch die Grundlage für unsere Checklisten sein, mit denen wir dann in die Unternehmen zur Prüfung gehen.
Also beachtet man das, hat man nichts zu befürchten. Beachtet man das nicht, dann werden wir irgendwelche Defizite feststellen, das ist so sicher wie das Amen in der Kirche, und dann werden wir uns irgendwann mit Sanktionen beschäftigen müssen.
Bis dahin sind wir dann auch so weit, das wir wissen, in welcher Art und Weise wir Bußgelder festsetzen werden. Momentan ist es noch ein völlig neues Gebiet und auch für uns als Aufsichtsbehörden eine riesige Herausforderung. Ein 66-fach erhöhter Bußgeldrahmen, das sind wir auch nicht gewohnt und wir müssen uns einfach an der Stelle überlegen, wie wir mit diesen neuen Anforderungen umgehen wollen.
Aber ich bin mir ziemlich sicher, dass wir in den nächsten Monaten Hilfestellungen von der Artikel-29-Datenschutzgruppe bekommen werden. Ein erstes Papier gibt es bereits auf europäischer Ebene, und dass wir hier auch auf der nationalen Ebene weiter entwickeln werden. Unsere Vorstellungen werden dann im Mai 2018 konkreter sein.
Ja, und dann sind wir wirklich entschlossen, auch Bußgelder festzusetzen.
Das muss ich mir als Unternehmen auch vergegenwärtigen, klar kostet Datenschutz Geld, aber wenn ein Bußgeld dann 66-fach erhöht ist, dann tut es richtig weh. An der Stelle ist es dann wirklich besser Datenschutz zu beachten, als ihn nicht zu beachten.
Bisher hatten wir eine andere Ausgangssituation. Da konnte jedes Unternehmen sagen, dieses kleine Bußgeld, das da festgesetzt wird, das nehme ich doch in Kauf und erspare mir dadurch Kosten an anderer Stelle.
Das wird sich in Zukunft ändern. Es wird alles bußgeldbewährt sein, was an Pflichten in der DSGVO angelegt ist. Es gibt keine Schlupflöcher mehr!
Die Tatsache, dass Bußgelder wirklich weh tun sollen, das ist ja auch ein Ziel der DSGVO, dies wird dann auch dazu führen, dass Unternehmen eine höhere Sensibilität gegenüber Datenschutz aufbringen.
Und dann kommt noch eins hinzu, es ist ja auch eine Frage der Reputation. Welches Unternehmen will sich das eigentlich in Zukunft leisten, in der Öffentlichkeit auf diese Art und Weise stigmatisiert zu werden.
BW: Betr. Datenschutzbeauftragte sind im allgemeinen keine Juristen. Ist die Umsetzung für nicht Juristen mit der für BDSB erforderlichen Sachkunde rechtssicher machbar?
Das kann man lernen, dafür muss man nicht Jurist sein. Zunächst einmal muss sich jeder vergegenwärtigen, die Accountability liegt bei der Unternehmensleitung und nicht beim Datenschutzbeauftragten. Der Datenschutzbeauftragte hat eine sog. Überwachungs- und Beratungsfunktion. Das muss man schon sehr sauber voneinander trennen, und Überwachungsfunktion, das ist der deutsche Ausdruck im englischen Text steht Controlling. Controlling ist eigentlich auch ein bisschen was anderes als eine reine Überwachungsfunktion.
Ein Datenschutzbeauftragter sollte aus meiner Sicht auch einen gewissen technischen Sachverstand mitbringen, um diese Verarbeitungsvorgänge dann technisch auch zu verstehen. Und im Übrigen, was die Datenschutzgrundverordnung und das BDSG angeht, kann man das lernen. Also wir z.B. hier bei uns in der Behörde führen Kurse für behördliche Datenschutzbeauftragte durch. Wir machen das aber nur im behördl. Bereich, weil wir nicht wirtschaftlich tätig sind. Aber genauso gibt es natürlich solche Kurse auch im betrieblichen Bereich und da hat man die Möglichkeit, sich entsprechend ausbilden zu lassen und das reicht.
BW: Welche Hilfestellungen können die Behörden einem betr. Datenschutzbeauftragten an die Hand geben? Diese Frage haben Sie teilweise schon zuvor beantwortet, es wurde die Möglichkeit der Konsultation genannt und es wurden Ihre vielfältigen Kurzpapiere erwähnt, die auch bereits auf diesem Blog an diversen Stellen verlinkt sind.
Die Kurzpapiere werden auch dankbar angenommen, dieses Feedback habe ich aus vielen Richtungen bekommen. Man ist sehr froh, dass es diese Kurzpapiere gibt und darauf wird zahlreich zurückgegriffen.
Aber wir stehen natürlich auch ansonsten zur Verfügung. Wir versuchen mit den Kurzpapieren eine Vielzahl von Unternehmen anzusprechen, aber wer jetzt konkrete Anliegen hat, der kann natürlich auch zu uns kommen. Diese Beratungsfunktion haben wir auch schon heute, und darüber hinaus, sage ich bei keiner Vortragsanfrage nein, wenn ich sie denn zeitlich in meinen Kalender einbauen kann. Wenn ich das selber nicht erledigen kann, dann macht es mein Vertreter und es gibt inzwischen auch einige Referatsleitungen, die unterwegs sind, und zu bestimmten Themen referieren und Vorträge halten.
Das machen wir also auch. Das ist auch eine Form von Sensibilisierung. Zwar eher allgemeiner Natur, nicht bezogen auf konkrete Sachverhalte, aber mit diesen Vorträgen machen wir auch deutlich, was wir als Aufsichtsbehörde erwarten.
Wir haben auch die Guidelines der Artikel-29-Datenschutzgruppe veröffentlicht, das sind zwar im Moment noch Workingpapers. Da aber die Artikel-29-Datenschutzgruppe übergehen wird in den europ. Datenschutzausschuß, kann man davon ausgehen, dass diese Papiere, die jetzt veröffentlicht werden, dann eben auch Guidelines sind und demzufolge nicht nur einen unverbindlichen Charakter haben.
BW: Die Kurzpapiere, z.B. das zum Thema Auftragsverarbeitung. Sie sind in einer einfachen und verständlichen Sprache geschrieben, oftmals gibt es Punkte, die man mit Ja oder Nein bewerten kann. Ich nutze sie selber in meiner beruflichen Praxis und finde sie sehr hilfreich.
BW: Wie beurteilen Sie bei internen DSB die unabhängige Beraterfunktion vs. Abhängigkeit vom Arbeitgeber. Ich stelle oftmals fest, dass die Abhängigkeit zum Wohl des Unternehmens sehr hoch angesiedelt ist.
Na, ja schwierig ist das schon mal dann, wenn der DSB nicht nur Datenschutzbeauftragter ist, sondern gleichzeitig auch noch irgendeinen operativen Bereich bearbeiten muss. Dann ist er sozusagen Diener zweier Herren und das ist schon schwierig. Da muss man dann sehr genau gucken, dass es keine Interessenkollisionen gibt. Wir haben schon Fälle in der Praxis erlebt, in denen diese Interessenkollisionen tatsächlich vorhanden waren. Das Modell des betr. Datenschutzbeauftragten ist theoretisch gut angelegt, in der Praxis ist es oftmals schwierig.
Ich glaube, dass die DSB in kleineren Unternehmen hier schon so ihre Schwierigkeiten haben. Und wenn sie dann auf ihre Unabhängigkeit pochen und ihre Weisungsungebundenheit, das dürfte in der Praxis nicht immer so einfach umzusetzen sein.
Dann kommt hinzu, dass die DSGVO ja dieses Thema Kündigungsschutz nicht explizit erwähnt. Wir sind aber der Auffassung, dass es nachwievor hier einen Kündigungsschutz geben muss.
BW: Steht der Kündigungsschutz im Moment nicht mehr explizit drin?
In der DSGVO ist er nicht erwähnt. Ich werde aber nochmal im BDSGneu nachsehen, ob dort etwas ausdrücklich gesagt worden ist. Das Thema Kündigungsschutz ist problematisch, wenn man die DSGVO mit den Regelungen, die bisher bestehen, vergleicht.
BW: Da habe ich oft Rückfragen. Wenn ich einen internen DSB nehme, sagte mir ein Unternehmer, dann hat der MA ja einen speziellen Kündigungsschutz, ähnlich wie der Betriebsrat…
Hat er auch momentan! Wir gehen davon aus, dass das bestehen bleibt, aber die rechtliche Konstruktion ist nicht ganz so einfach. Das müssen wir uns nochmal angucken. Das ist auch so ein Thema, mit dem ich mich nochmal beschäftigen wollte, weil das immer wieder mal erwähnt wird.
BW: Ein Datenschutzbeauftragter, der seinen Job ernst nimmt, ist ja zuweilen sehr unbequem, gerade, wenn er Rückgrat zeigt.
Das muss er auch! Da haben es die behördl. DSB wesentlich einfacher, die sind auch unbequem, ich habe aus meiner früheren Tätigkeit da auch entsprechende Erfahrungen gesammelt. Die Erfahrung, dass es zwar einen DSB gibt, der aber tatsächlich gar nicht aktiv wird, weil er so viel mit fachlichen Aufgaben zu tun hat, dass er sich gar nicht um das Thema Datenschutz kümmern kann und es auch gar nicht als so bedeutsam einschätzt. Ich habe aber auch die Erfahrung gemacht, dass wenn jemand sich wirklich nur ausschließlich um Datenschutz kümmert, der lästig ist, man ihn als unangenehm empfindet, der dann eben aber auch in vollem Umfang seiner Beratungsfunktion nachkommt. Aber er ist auf jeden Fall im öffentlichen Dienst geschützter, als das in der freien Wirtschaft der Fall ist.
BW: Spätestens, wenn man sich die Bußgelder so anschaut, kann man erkennen, dass dem Datenschutz eine hohe Wichtigkeit zugeschrieben wird. Haben Sie eine Idee, wie man dieses Thema noch besser transportieren kann, so dass es für Betriebe zur Selbstverständlichkeit wird?
Tja, was kann man da tun? Es gibt ja jetzt Aktivitäten, die in die Richtung gehen, Unternehmen auszuzeichnen. Ich habe schon einleitend gesagt, es muss gelingen, das ist jetzt der Anspruch. Es muss gelingen, Datenschutz zum Qualitätsmerkmal zu entwickeln, um daraus dann Wettbewerbsvorteile zu entwickeln, das ist das Ziel.
Unser ehem. Bundespräsident hat mal gesagt, „Datenschutz ist der Umweltschutz des 21. Jhd. “ Umweltschutz ist heute auch selbstverständlich.bEs gibt immer irgendwelche schwarzen Schafe, aber in der Regel ist das selbstverständlich. Jetzt würde ich zunächst einmal darauf setzen, dass der Wille, an dieser Stelle Gutes zu bewirken, mit Blick darauf, dass es um Grundrechtsschutz geht, und mit Blick auf das Vertrauen der Bürgerinnen und Bürger, dass der Wille grundsätzlich vorhanden ist.
Über den Weg der Zertifizierung kann dies auch nach außen getragen werden. Oder eben auch über den Weg der Selbstverpflichtung, Stichwort: corporate rules, code of conduct, das sind auch Elemente, die jetzt in der DSGVO angelegt sind. Dass vielleicht gute Beispiele andere Unternehmen dazu bringen, sich diesen guten Beispielen anzuschließen. Erstmal vertraue ich auf diesen Selbstreinigungsprozeß und wenn das nicht ausreichend sein sollte, dann werden wir mit Sanktionen, also Bußgeldern arbeiten müssen.
Und das wird auch einen großen Schritt in Richtung „Datenschutz ist Grundrechtsschutz“ bewirken, aus meiner Sicht. Also mehr Ideen hätte ich im Moment nicht.
Man kann freiwillige Preise vergeben, das geschieht auch schon, dass Preise ausgerufen werden, für besonders datenschutzfreundliches Verhalten. Wir haben vorhin über Reputation gesprochen, dann können Unternehmen auch damit werben, ich halte das nicht für so ganz unwichtig. Das wären flankierende Maßnahmen vielleicht. Vielleicht noch, besonders datenschutzfreundliche Produkte, da habe ich jetzt schon mal gehört, die Unternehmen sind bereit, besonders datenschutzfreundliche Produkte anzubieten, aber es muss sich auch rechnen. Und an der Stelle habe ich jetzt auch noch keine Lösung, da habe ich noch keinen Königsweg, es ist beim Umweltschutz genau das gleiche gewesen, dass man da am Anfang auch gesagt hat, es sei alles viel zu teuer.
Man könnte vielleicht vonseiten des Staates damit arbeiten, dass man solche Dinge fördert, dass man Förderprogramme ausruft. Gerade wenn es um privacy by design und privacy by default geht, das muss staatlicherseits aus meiner Sicht dann auch unterstützt werden. Man kann nicht nur auf den Willen der Unternehmen setzen.Ich bin mal Europadezernentin gewesen in der Region Hannover, und habe mich in der Zeit mit der neuen Förderperiode beschäftigt, wir haben die EFRE Programme im Wirtschaftsbereich, ELA-Programme, im landwirtschaftlichen Bereich, dann haben wir den ESF, der ist im sozialen Bereich unterwegs. Die EU hat in dieser laufenden Förderperiode das erste Mal deutlich Ziele gesetzt für die Fördermaßnahmen und für die Umsetzung in den einzelnen Staaten. Wie wäre es denn, wenn dieser Impuls dann auch mal von der EU ausginge, um der eigenen DSGVO dann eine entsprechende Kraft auch zu geben, Ziele zu setzen, mit denen Förderprogramme in den eigenen Staaten entwickelt werden können. Aus meiner Sicht könnte das für die nächste Förderperiode ein guter Weg sein.
BW: Gute Ideen, positive Verstärkung wirkt ja bekanntermaßen besser als negative
Ja, ich denke schon, dass wir staatliche Unterstützung brauchen. Gut, das könnte schon von der EU an die Staaten herangeführt werden, und die Staaten ihrerseits entwickeln dann eben entsprechende Programme.
BW: Fühlt sich Ihre Behörde auf die erweiterten Anforderungen genügend vorbereitet?
Nicht komplett, nein. Diese Behörde hat sich vergrößert, im Haushalt 2017/18 hat der niedersächsische Landtag aus meiner Sicht schon mal sehr deutlich gemacht, dass er gewillt ist, uns an dieser Stelle auch zu unterstützen. Insgesamt 10 Stellen sind uns bewilligt worden, und wenn man überlegt, dass wir von 40 Stellen kommen, und dann Ende 2018 50 Stellen haben werden, das ist ja immerhin eine Aufstockung um 25%. Die 10 Stellen sind aber nicht genug, ich habe mich mit dem Landtag so verständigt, allerdings noch mit der letzten Landesregierung, dass ich für den nächsten Haushalt Zahlen, Daten, Fakten nenne und dass dann nochmal aufgestockt werden muss, in welcher Höhe auch immer.
Diese Zahlen, Daten, Fakten werden wir für den nächsten Haushalt zusammentragen und dann werde ich mich bemühen auch nochmal etwas durchzusetzen, wir werden sehen.
Wir bedanken uns bei Barbara Thiel für das zugewandte Interview und die hilfreichen Informationen. Das Interview wurde geführt und bearbeitet von Britta Wellmann
Ach, bald ist ja Weihnachten und im Mai steht uns die DSGVO mit viel Arbeit ins Haus, da bietet doch die Adventszeit eine Steilvorlage, um einen weihnachtlichen Wunschzettel DSGVO zu formulieren.
hm, was wünsche ich mir denn mal, man will ja auch nicht zu unverschämt sein, aber einen Vorteil sollte er schon bringen.
Alle Vorlagen von der Aufsichtsbehörde bereitgestellt
Abgabe sämtlicher Verantwortung
Erhöhung meiner Pauschalen
….
Jetzt im Ernst, letzte Woche war ich beim ERFA-Kreis Hannover der GDD, er fand dieses Mal in Hameln statt. Wie immer war die Veranstaltung sehr gut besucht, die Themen waren schon mal besser, aber die Pausengespräche mit meinen Kollegen waren wie immer sehr wertvoll und aufschlußreich. Ich habe viele geschätzte Kollegen getroffen, gute Anregungen bekommen, so soll es sein.
Es herrscht offensichtlich auch unter Kollegen viel Unsicherheit zur Umsetzung der DSGVO, wie kann das sein? Wer hat denn dieses große Fass aufgemacht? Gut, einiges ändert sich, das meiste ist aber doch wohl bekannt, da geht es um Details. Zum Beispiel: die erweiterten Informations- und Rechenschaftspflichten. Finde ich persönlich gar nicht so verkehrt. Schließlich wird hier der Wert unserer Arbeit nochmal deutlicher und nun versteht wohl auch der letzte, dass man wirklich eine gute Organisation benötigt.
Ich habe teilweise sehr gestaunt, einige Kollegen warten immer noch, bis „die Aufsichtsbehörde“ die erforderlichen Unterlagen/Vorlagen bereitstellt. Eine Teilnehmerin hatte gar große Sorge, weil der Datenschutzbeauftragte ihres Bundeslandes irgendein Kurzpapier (noch) nicht zur Verfügung gestellt hatte.
Vielleicht verstehe ich das große ganze ja nicht, aber ich kann doch nicht immer auf andere warten. Ich bin und war immer schon die Erbsenzählerin des Landes, also habe ich natürlich (fast) alle Unterlagen fertig, bei der Datenschutzfolgen-abschätzung muß ich nochmal etwas in mich gehen, aber sonst… Also ich glaube…oder?
Gerne möchte ich hier einige Informationen zu meiner eigenen, ganz persönlichen Herangehensweise geben, also stichpunktartig auflisten, wie ich an die Aufgaben herangegangen bin:
Zusammenstellung und Vergleich der mögl. Rechtsgrundlagen für die Branchen, der von mir betreuten Betriebe.
Neue Vorlage für Einwilligungen, sie enthält alles, was sein könnte, überzähliges wird nach Branche und Verarbeitungsgrund der Einwilligung im Bedarfsfall angepasst.
Verzeichnis der Verarbeitungen, hier habe ich meine alten Vorlagen genommen, sie um die Rechtsgrundlagen ergänzt, ein wenig Feinschliff hier und dort, einige bessere Formulierungen habe ich auch noch gefunden, fertig.
Datenschutzfolgenabschätzung, ist noch nicht fertig, aber zu ca. 70%, die lasse ich noch etwas liegen und lese noch ein wenig, die LDSB Niedersachsen wird sicher auch noch etwas dazu herausgeben, am Ende alles in den Mixer…wird bestimmt bis Mitte Januar fertig sein.
Unterweisung zum Thema DSGVO für Mitarbeiter „meiner“ Betriebe, sind bereits terminiert Dez/Jan/Feb.
Anmeldung meiner Tätigkeit bei der Aufsichtsbehörde, hier warte ich aufgrund der Empfehlung einer Mitarbeiterin der LDSB Niedersachsen noch etwas, die Behörde wird in Kürze ein Onlineanmeldeformular zur Verfügung stellen.
und sonst?
Rechte der Betroffenen sind jetzt nicht soooo neu, Prozesse sind überprüft, teilweise ist noch zu klären, wie der beste Weg ist, wer ihn einleitet, aber 95% fertig
Datenübertragbarkeit, ich prüfe noch für „meine“ Betriebe, welche Daten aufgrund einer Einwilligung erfaßt wurden, denn nur diese müssen übertragbar sein (seien wir mal ehrlich, wer arbeitet heute ohne Datenbank, im Prinzip könnte man alles übertragen..) und welche Daten ist der Betrieb gewillt, darüber hinaus elektr. herauszugeben, als zus. Serviceleistung z.B. sind ja schließlich alles freundliche, serviceorientierte Betriebe…
Datenschutzmanagementsystem, programmieren wir selber, können wir schließlich, ist sicher sinnvoll wegen der vielen Schreibarbeit, die wir künftig machen machen müssen. Ist für mich auch einfacher, wann habe ich welche Mail an wen geschrieben, wann Auskunft erteilt, wann Gespräche geführt, welche Mitarbeiter wurden wann unterwiesen….
Strategietermine mit den GF der Firmen sind für Frühjahr geplant, das reicht bei uns, da wir alle Unterlagen für den Kunden erstellen. Wenn wir darauf warten, dass der Kunde ein Verfahrensverzeichnis selbst erstellt, dann warten wir, bis wir schwarz werden, also haben wir uns schon vor langer Zeit für rundum-Sorglos entschieden.
Datenschutz by design / Datenschutz by default
Unsere eigenen Produkte sind schon weitestgehend so, weil wir das immer schon als selbstverständlich ansahen.
Für die in „meinen“ Betrieben eingesetzte Software werde ich im Laufe des Frühjahrs einen Rundum Check einplanen, man kann immer weiteres Verbesserungspotential finden, wenn man das möchte, aber trotzdem immer schön, die Kirche im Dorf lassen.
Fazit:
Viel Arbeit – auf jeden Fall, aber nichts Unlösbares dabei, wo ein Wille ist, ist auch ein Weg.
Ich habe mich nach diesem Artikel nun gegen einen Wunschzettel DSGVO entschieden. Die Umsetzung nimmt mir leider doch keiner ab. Hätte ich mir denken können.
Tipp: Als kleiner Spaß zu Weihnachten, kann man den Einschätzungstest der Aufsichtsbehörde Bayern durchführen, aber mit Verlaub, der ist wirklich albern;-)
Wie fit sind Sie zum Thema DSGVO? Welchen Stellenwert hat der betriebliche Datenschutz in Ihrem Unternehmen? Halten Ihre Prozesse einer Überprüfung der zuständigen Landesbehörde stand? Haben Sie überhaupt einen ernstzunehmenden betr. Datenschutzbeauftragten, oder haben Sie das Thema jemandem übergebraten, der gerade in der Nähe stand und nicht schnell genug flüchten konnte?
Diesen Fragen sollten Sie sich am besten JETZT stellen.
Die DSGVO tritt im Mai 2018 ohne Übergangsfrist in Kraft. Sie verursacht zur Zeit diffuse Ängste und Unsicherheiten bei Unternehmen insbesondere bei denjenigen, die sich bisher mit dem Thema Datenschutz eher nur am Rande oder gar nicht befasst haben. Fakt ist, in einigen Punkten ist die DSGVO genauer formuliert als das BDSG, somit ist es etwas einfacher geworden, rechtssicher zu agieren. Leider ist es auch so, dass die Behörden ihr Personal aufstocken und es ab dem kommenden Jahr vermehrt Kontrollen in Unternehmen geben wird. Hier sollte man zumindest zeigen können, dass das Unternehmen sich intensiv und nach bestem Wissen und Gewissen mit dem Schutz personenbezogener Daten befasst. Der Aufwand für den betrieblichen Datenschutz wird höher, die Kosten werden steigen, aber in Zeiten von digital Media ist dies sicher eine logische Folge.
Wir wollen gemeinsam schauen, was zu tun ist, wie man den Aufwand für den betr. Datenschutz auf das notwendige Mass begrenzen und trotzdem rechtssicher unterwegs sein kann.
Dieser Vortrag findet am 15. November 2017 statt. Veranstalter ist der URV. Sie möchten einen Vortrag oder eine Schulung bei mir buchen, kontaktieren Sie mich, ich freue mich auf Sie und sichere Ihnen eine fachkundige und seriöse Beratung zu.
digitale Signatur, was ist das, wie geht das, wofür brauche ich das?
Früher war die rechtsverbindliche, persönliche Unterschrift auf Dokumenten der Nachweis für die Echtheit, für die Authentizität des Absenders. Das Senden von Fax-Nachrichten ist seit vielen Jahren aus der Mode gekommen, die meisten Dokumente werden ganz einfach an Emails angehängt und versendet. Geht schneller und spart Porto.
In Zeiten, in denen Diebstahl ganz einfach vom Sofa aus zu machen ist, nebenbei läuft noch die Lieblingsserie, machen sich viele Menschen Gedanken darüber, ob die Dokumente eigentlich echt sind, die sie so bekommen. Einen Emailabsender zu fälschen ist mit wenig krimineller Energie und geringem technischem Wissen mit Hilfe von google sehr leicht möglich.
Woher soll der Empfänger denn nun wissen, ob erstens Absender und zweitens Dokument echt und unverändert sind? Hier kommt für rechtlich relevante Dokumente die digitale Signatur ins Spiel.
digitale Signatur – elektronische Signatur
Meint im Prinzip dasselbe. Der juristische Begriff ist allerdings elektronische Signatur. Es gibt verschiedene Sicherheitsstufen der digitalen Signatur, wer das nachlesen möchte, findet es in den folgenden Rechtsschriften:
Die einfache digitale Signatur basiert auf einem Schlüsselpaar. Dem öffentlichen und dem privaten Schlüssel. Der private Schlüssel wird zum Entschlüsseln der Nachricht benötigt, der öffentliche Schlüssel zum Verschlüsseln. Der öffentliche Schlüssel wird in der Regel mit einem sogenannten Hashwert kombiniert, mit dem Ergebnis wird dann die Mail digital unterschrieben, also signiert.
Beispiel: Sie möchten sicherstellen, dass ein Dokument den Empfänger unverändert erreicht.
Senderseite
Fügen Sie das Dokument in eine Emailnachricht ein
Mithilfe spezieller Software (s.u.) erzeugen Sie einen Fingerabdruck (Hash-Wert) des Dokumentes.
Nun verschlüsseln Sie den Hashwert mit Ihrem privaten Schlüssel
Das Ergebnis wird nun zur Signatur Ihrer Email, diese Signatur ist jedesmal anders.
Empfängerseite
Der Empfänger vergleicht nun mit Hilfe des öffentlichen Schlüssels den Hashwert Ihrer Nachricht, hiermit kann sichergestellt werden, dass der Inhalt von Ihnen stammt und unverändert ist.
Signatur vs. Verschlüsselung
Weil diese Begriffe oftmals in einen Topf geworfen werden, hier die Unterscheidung. Eine Signatur ist eine authentifizierte Unterschrift, bei einer Verschlüsselung wird der gesamte Inhalt verschlüsselt, so dass er nur mit dem entsprechenden Schlüssel (auch bei der Verschlüsselung wird das Verfahren angewendet) gelesen werden kann. In der Praxis werden oftmals beide Verfahren miteinander kombiniert.
digitale Signatur in der Praxis
In der Praxis wird man die elektronische Signatur in Verbindung mit einem Zertifikat verwenden. Das Zertifikat kann man bei einer Zertifizierungsstelle beantragen, dieses wird dann in ein öffentliches Verzeichnis eingetragen, so daß die echte Identität jederzeit nachvollziehbar ist.
Als Software kann zum Beispiel gpg für Windows verwendet werden, wenn es kostenlos sein soll. Natürlich gibt es jede Menge Anbieter passender Software.
