DSGVO Seminarreihe

DSGVO Seminarreihe

Aufgrund großer Nachfrage nach unseren inhouse Schulungen und Beratungen zum Thema DSGVO veranstalten wir nun eine eigene Seminarreihe. Die Seminare sind unterteilt in die momentan am meisten nachgefragten Themenbereiche und bewußt kurz und knackig gehalten. Ziel ist es, die Thematik nach dem Seminar selber mit einem vernünftigen Aufwand umsetzen zu können.

Alle Seminare sind afterwork und starten ab 16:00 Uhr. Unser Seminarpartner ist das Bremer Lernkontor, hier finden die Seminare für die bremer Reihe statt.

praktische Anwendung der DSGVO

Die Erfahrung zeigt, die Umsetzung der DSGVO läuft etwas ruckelig. Überall werden Unterschriften im Namen der DSGVO verlangt, der Verwaltungsaufwand ist enorm. Dabei ist es gar nicht so schwierig, ein ordentliches Datenschutzniveau mit einem vertretbaren Aufwand umzusetzen und zu erhalten. Die Seminarreihe soll praxisorientiert Anleitung zur Selbsthilfe geben.

Die Reihe ist geeignet für Entscheider von Betrieben mit oder ohne betrieblichen Datenschutzbeauftragten, Inhaber von Kleinstbetrieben ohne betrieblichen Datenschutz, Vereinsfunktionäre etc.

Lernziel:     Entmystifizierung der DSGVO und Anleitungen für eine praxisgerechte Umsetzung

Kosten:      Pro Seminar beträgt die Gebühr € 150,- (brutto). Die Gebühr ist im voraus fällig. Bei Buchung aller 4 Teile beträgt die Gebühr € 550,-.

Alle Seminare sind begrenzt auf max. 8 Teilnehmer, damit auf eigene Fragen eingegangen werden kann.

Teil 1:  Einwilligung oder Informationspflicht

Termin: 22.10.2019 16:00; Dauer: ca. 2 Stunden

Inhalt:

  • Beurteilung der richtigen Rechtsgrundlage
  • Wann benötige ich eine Einwilligung?
  • Wie kann ich die Einwilligung umgehen?
  • Richtige Gestaltung der Einwilligung
  • Richtige Gestaltung der Betroffeneninformation
  • Eigene Beispiele können mitgebracht werden.

Teil 2: Auftragsdatenverarbeitung

Termin: 05.11.2019 16:00; Dauer: ca. 2 Stunden

Inhalt:

  • Grundlagen zur ADV
  • Wann ist es keine Auftragsdatenverarbeitung
  • Bestandteile eines ADV-Vertrages
  • und organisatorische Massnahmen

Teil 3: Datenschutz durch Technik

Termin: 19.11.2019 16:00; Teil 2 Dauer: ca. 2 Stunden

Inhalt:

  • Was ist Datenschutz durch Technik?
  • Möglichkeiten anhand von Beispielen
  • Sondersoftware und Standardsoftware
  • Welche Punkte der DSGVO sind relevant
  • Diskussion und Beispiele

Teil 4: Löschkonzepte

Termin: 26.11.2019 16:00; 2 Dauer: ca. 2 Stunden

Inhalt:

  • Grundlage des Löschens von Daten nach DSGVO
  • Was ist ein Löschkonzept?
  • Aufbewahrungspflichten
  • Sperrung statt Löschung
  • korrekte Dokumentation
  • Eigene Beispiele können mitgebracht werden.

Bei Interesse bieten wir weitere Themen an. Natürlich führen wir auch Inhouse-Seminare bzw. Beratungen zum Thema durch.

Verbindliche Anmeldung unter: info@cheyenne-IT.de

Die Seminare finden statt beim:

Bremer Lernkontor
Industriestrasse 12
28199 Bremen

https://www.bremer-lernkontor.de/

Im Gespräch mit Dr. Stefan Brink

Im Gespräch mit Dr. Stefan Brink

Am 03.09.2019 hatte ich ein Interview mit Dr. Stefan Brink dem

Dr. Stefan Brink
Quelle: https://www.baden-wuerttemberg.datenschutz.de/pressefotos/.

Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. Dies ist ein Interview der Reihe „Im Gespräch mit“, deren Ziel es zum einen ist, die verschiedenen Kollegen in den Aufsichtsbehörden vorzustellen und zum anderen aufzuzeigen, dass es sich nicht um gesichtslose Behörden handelt.

89%* der 16- bis 24-jährigen in Deutschland nutzen regelmäßig soziale Netzwerke. Die Anzahl der sogenannten Datenskandale steigt. Da fragt man sich, wie sieht es mit der Eigenverantwortung der Bürger aus? Und vor allem, warum gilt die DSGVO nicht für private Nutzer? Ich habe Dr. Stefan Brink einige Fragen erörtert, die Entscheider von Unternehmen, die wir zum Thema betr. Datenschutz betreuen, regelmäßig stellen.

BW: Gibt es in Baden-Württemberg eine erhöhte Konsultation? Und wenn ja, welche Themenbereiche werden besonders oft angefragt?

Stefan Brink: Die Beratungsanfragen sind extrem weit gestreut. Wir haben seit 2017 eine ganz hohe Steigerung in diesem Bereich und freuen uns auch, dass die Unternehmen hauptsächlich, aber auch die Behörden, uns konsultieren. Das ist eine ganz zentrale Fragestellung und ist mitten im Fokus unserer Arbeit. Wir haben in den letzten 2 Jahren über 4000 Beratungsanfragen gehabt und das ist eine tolle Entwicklung.

BW: Können Sie die Anfragen alle bearbeiten, haben Sie mittlerweile eine entsprechende Personaldecke?

Stefan Brink: Ja, wir sind glücklicherweise ganz gut ausgestattet. Wir haben 2017 mit 35 Mann angefangen und sind jetzt bei knapp 65 gelandet. Wir sind also deutlich gestärkt worden. Man muss allerdings zugeben, dass die Zahl der Anfragen und auch die Zahl der Beschwerden, die wir natürlich dann auch noch zusätzlich haben, überfordern uns zum Teil. Deswegen haben wir Anfang dieses Jahres gesagt, okay, wir müssen stärker in die Kontrolle gehen und haben die Beratung leicht zurückgefahren, was aber nicht heißt, dass wir Beratungsanfragen ablehnen, sondern das wir in bestimmten Bereichen erst ein bisschen später zum Zug kommen, wir die Unternehmen also bitten müssen, sich ein bisschen mehr zu gedulden. Das ist manchmal bitter, gerade wenn es z.B. um Startups geht, die gerade vorm Loslaufen stehen und dann doch mal 2, 4 oder 6 Wochen auf uns warten müssen – aber alles kriegen wir zur Zeit tatsächlich nicht hin.

BW: Wie sehen Sie unser Datenschutzniveau in 5 Jahren? Kann der Datenschutz sich bis dahin zu einen echten Qualitätsmerkmal entwickelt haben?

Stefan Brink: Davon gehe ich aus. Das ist auch genau das positive Potenzial, dass in der Grundverordnung drinsteckt. Es wird auch in Zukunft, in 5 Jahren, in 10 Jahren, ein gespaltenes Feld geben.

Es wird Unternehmen geben, die das sehr schön machen und sich auch sehr intensiv um Datenschutz kümmern und es auch tatsächlich offensiv, als Teil ihres Angebots und als Qualitätsmerkmal sehen und es wird andere geben, die das so mehr oder weniger en passant mit betreiben und es ganz ordentlich machen und natürlich wird es auch in 5 oder 10 Jahren immer noch einzelne Unternehmen geben, die auf Lücke setzen und dementsprechend ein gewisses Risiko eingehen.

BW: In unserer täglichen Praxis wird leider auch immer noch gefragt „wie hoch ist das Bußgeld?

Stefan Brink: Genau, das ist ein enormer Treiber. Die Grundverordnung ist zwar in manchen Bereichen sehr formal und auch aufwändig, aber was die Bußgelder angeht, hat sie eine ganz klare Sprache, mit Ansagen von Bußgeldern bis zu 20.000.000 EUR. Unternehmen reagieren auf das Risiko Datenschutzverletzung und verhalten sich in vielen Bereichen positiv und richtig, indem sie sich Knowhow einkaufen oder Mitarbeiter qualifizieren, um das Thema besser in den Griff zu bekommen.

BW: Art 2. DSGVO / sachlicher Anwendungsbereich schließt natürliche Personen zur Ausübung ausschl. persönlicher oder familiärer Tätigkeiten aus. Wieviel Sinn macht die DSGVO, wenn ein Großteil der Nutzer personenbezogene Daten über entsprechende Dienste in die ganze Welt verteilt?

Stefan Brink: Da ist eine gewisse Unwucht in der DSGVO. Auf der einen Seite ist es völlig nachvollziehbar und richtig, dass wir nicht private, oder persönliche Verhältnisse, mit staatlichen Auflagen aus dem Datenschutz überziehen. Andererseits – Sie haben vollkommen Recht – findet tatsächlich eine große Menge der Datenverarbeitung durch Private statt. Auf dem eigenen Smartphone, oder auf dem privaten Rechner und dabei werden natürlich auch viele technische Tools eingesetzt, die ein erhebliches Datenschutz-Potenzial haben, also ein erhebliches Risiko darstellen. Wenn ich z.B. meine gesamten Bilddaten in die Clouds hochlade oder wenn ich über WhatsAPP kommuniziere, da beeinträchtige ich möglicherweise andere Privatleute ganz erheblich. Das ist in weiten Bereichen in der Grundverordnung ausgenommen, was nichts anderes heißt, als, dass der einzelne private Betroffene darauf angewiesen ist, dann auch auf dem privaten Klageweg sein Recht zu verteidigen. Das ist natürlich sehr beschwerlich und den Weg gehen wirklich die Wenigsten.

BW: Meine Daten werden von den Menschen, die meine Kontaktdaten auf ihrem Handy haben und gleichzeitig einen Datencrawler wie z.B. WhatsAPP, google & Co. nutzen, in alle Welt verteilt. Dagegen kann ich gar nichts tun, ich weiß es nicht einmal. Jede Firma, die auch meine Daten hat, müsste in diesem Fall ihren Informationspflichten nachkommen, weil es sich um eine Datenweitergabe handelt. Dies ist für viele Verantwortliche, die von mir betreut werden, schwer zu verstehen, was kann man diesen Entscheidern sagen?

Stefan Brink: Man muss schlicht und ergreifend an das Verantwortungsbewusstsein der Menschen appellieren. Wenn wir die Situation haben, dass in persönlich/familiären Verhältnissen keine DSGVO gilt und wenn wir die Situation haben, dass auch privater Rechtschutz nicht in Anspruch genommen wird, bleibt es eigentlich mehr oder weniger dem Verantwortungsbewusstsein jedes Einzelnen überlassen, wie er mit den Daten umgeht. Da kann man in weiten Bereichen leider nur appellieren.

Man kann auf der anderen Seite sehen, dass auch gerade durch die DSGVO seit Mai 2018 das Datenschutz-Bewusstsein wesentlich größer geworden ist und  auch viel stärker Teil des öffentlichen Diskurses ist und das hat natürlich auch Wirkung auf das Verhalten einzelner Privater. Aber in dem Bereich ist Hoffen angesagt.

BW: In meiner beruflichen Praxis nehme ich eine Art Sorglosigkeit wahr. Wenn jemand an der Haustür klingelt, sind die Menschen misstrauisch, wenn eine APP auf alle Daten ihres Handys zugreifen möchte, aber nicht. Viele speichern Zugangsdaten auf Ihren Handys, benutzen elektronische Portemonnaies und ähnliches, sie geben bereitwillig alle Daten her. An der Haustür würden sie das wohl nicht tun. Haben Sie Ideen dazu, wie man dieses Wahrnehmungsproblem lösen könnte?

Stefan Brink: Ja, das Wahrnehmungsproblem gibt es ganz eindeutig. Das ist eine gespaltene Wahrnehmung – Wir nehmen auf der einen Seite alles, was im virtuellen Raum stattfindet, entweder überhaupt nicht ernst, oder betrachten das als nach wie vor unregulierten Raum der Freiheit, oder eigentlich sogar der Willkür. Auf der anderen Seite sind wir mittendrin in einem Lernprozess, dass das eben einfach nicht stimmt, dass man via Internet genauso Rechte anderer verletzten kann, als wenn man es persönlich und Face to Face macht.

Also, es ist ein Lernprozess.

Auf der anderen Seite muss man sagen, alles was mit netzgestützter Kommunikation zu tun hat, ist natürlich ein Lernprozess für den Menschen an sich. Wir haben das Internet seit Mitte der 90-er Jahre. Ich glaube, wir brauchen tatsächlich mindestens eine weitere Generation, um richtig zu kapieren, was es eigentlich bedeutet, auf diese Art und Weise zu kommunizieren. Die Maßstäbe, die wir im analogen Leben über Jahrtausende aufgebaut haben und immer weiter verfeinert haben, müssen wir dann auch im virtuellen Raum umsetzen. Ich bin deswegen nicht besonders bange. Das ist ein Lernprozess, schlicht und ergreifend und man kann schon sehen, dass die digital natives, also die jüngere Generation, sagen wir mal ganz grob die unter 20-jährigen, die also wirklich von vorne herein mit dem Internet aufgewachsen sind, in vielen Bereichen anders agieren, auch sehr differenziert agieren und dass dieser Lernprozess durchaus stattfindet. Perfekt ist das allerdings noch nicht. Wir müssen als Spezies Mensch lernen, mit diesen neuen Medienprodukten umzugehen und noch können wir das eigentlich in ganz wenigen Bereichen gut.

BW: Wie könnte man generell die Eigenverantwortung von Privatpersonen wieder mehr ins Spiel bringen? Gerade das Internet scheint ein Spielball der Eitelkeiten zu werden, wer bin ich, wer bist Du? Ich kann machen, was ich will. Und so wird lustig drauflos gepostet, auch Bilder von anderen, die gar nicht wissen, dass sie auf einem Photo im Internet veröffentlicht wurden. Hier wird jetzt versucht, die Betreiber der Portale in die Pflicht zu nehmen, aber gepostet hat es doch jemand anders. Wie passt das zusammen? Wird damit nicht die Verantwortung des Einzelnen auf einen Dienstebetreiber übertragen, der letztendlich nur eine Software zur Verfügung stellt und das so vielleicht gar nicht leisten kann?

Stefan Brink: Ja, und vor allem gar nicht leisten will. Die Diensteanbieter, die wir in diesem Bereich haben, sind ja nicht die netten Helferlein für überforderte Private, sondern die verfolgen ja ganz eigene, knallharte Geschäftsinteressen. Da wird sich immer das Interesse, schonend und rücksichtsvoll mit den Daten Betroffener, auch gerade Dritter, umzugehen beißen mit den gewerblichen Interessen des Anbieters. Das müssen wir also schon selbst als Privatperson lernen, in dem Bereich sorgsam, vertrauensvoll und schonend mit den Informationen und auch mit den Rechten Anderer umzugehen. Das ist unsere eigene Aufgabe, da müssen wir dran arbeiten, indem wir in die Schulen gehen mit dem Thema Digitalisierung und Datenschutz. Wir gehen sogar schon in die Kindergärten! Indem wir ganz früh die Kinder im Sozialisationsprozess auf diese Ebene führen und ihnen dort vorführen, was man alles an Schaden anrichten kann und wie man sich gefälligst nicht verhält. Wir brauchen eine „Netiquette“, heute sagt man digitale Ethik. Wir brauchen Regeln, soziale Regeln, Normen, die auch fürs Netz gelten und die müssen schlicht und ergreifend erlernt werden. Die müssen Teil unseres Alltags werden. Dabei auf besondere Unterstützung durch irgendwelche Plattformen zu hoffen, wäre ein Irrweg.

BW: Wie ist es mit der Verantwortung für die Sicherheit auf dem eigenen Endgerät? Hier sind immer mal wieder die Hersteller im Gespräch, man möchte sie zu lebenslangen Sicherheitsupdates zu verpflichten. technisch bestimmt nicht verkehrt, nur beim Nutzer sieht es zu weilen wie folgt aus: Das Gerät kann ruhig € 1000,- und mehr kosten, aber für eine MessengerApp € 3,- zu zahlen, die DSGVO ernst nimmt, weil sie sich eben über den Preis und nicht über die Daten finanziert, ist nicht drin. Wieso nicht auch den Nutzer verpflichten, ein bestimmtes Sicherheitsniveau einzuhalten? Dies könnte z.B. vom BSI bürgernah festgelegt werden?

Stefan Brink: Ja, wobei da die öffentliche Debatte im Netz in eine ganz andere Richtung geht. Ich merke immer wieder, wenn wir als Datenschützer an die Eigenverantwortung der Menschen appellieren, dass wir sofort relativ aggressiv damit konfrontiert werden, dass sei jetzt victim blaming. Da würden wir uns an die Opfer wenden und dem Opfer neue Pflichten auferlegen, dabei seien die Täter die großen Anbieter der Plattformen, die reguliert werden müssen. Ich denke, man muss auf beide Seiten schauen. Auf der einen Seite, dass wir eine Breitenwirkung darüber erzielen, dass wir die großen Anbieter im Netz gut regulieren und auch tatsächlich klar machen, dass die Grundverordnung gilt und wir auch Bußgelder verhängen. Das wir Anordnungen erlassen und schlicht und ergreifend die großen Anbieter datenschutzkonform hinbekommen, das nimmt uns keiner ab, das muss ohne jede Einschränkung geschehen. Darüber hinaus stimme ich Ihnen aber zu, wird das Ganze nur dann rund, wenn wir auch die einzelnen Nutzer in den Blick nehmen und zunächst mal an ihren eigenen Vorteil, an ihren eigenen Nutzen appellieren und sagen: pass mal auf, wenn du dich im Netz auf diese Art und Weise bewegst, schadest du deinen eigenen Interessen.

Aber dann muss noch ein dritter Aspekt dazukommen, dass man dem Einzelnen klar macht, du bist auch in vielen Bereichen Treuhänder. Wenn du nämlich Informationen von Dritten hast, wenn Du Fotos von anderen hast, wenn du Chatverläufe hast u. ä. dann bist du auch verantwortlich dafür, dass diese Daten nicht in die Hände Dritter kommen und dass sie nicht gewerblich von irgendeinem Anbieter benutzt werden können.

Da müssen wir auch noch ganz intensiv aufklären. Ich glaube, diese Punkte gehören alle zusammen und diese Aspekte dürfen nicht gegeneinander ausgespielt werden. In erster Linie würde ich sagen, dass ist auch eine unserer Aufgaben als Aufsichtsbehörde. Wir müssen an die Anbieter ran, aber wir dürfen dabei die betroffenen Bürgerinnen und Bürger nicht vergessen. Da muss ein Lernprozess stattfinden und da gibt es auch eine Verantwortung.

BW: Wie ist das hier mit den Informationspflichten? Das könnten Privatpersonen natürlich nicht leisten, aber sie könnten schon verpflichtet werden, Daten anderer nicht ohne deren Wissen weiterzugeben? Wie sehen die Datenschutzbehörden das?

Stefan Brink: Sehe ich nicht, ehrlich gesagt. Von der gesetzgeberischen Seite her sind wir in einem Evaluierungsprozess, der ist in der Grundverordnung drin. Bis Mai 2022 muss die EU-Kommission klar machen, wo sie die Grundverordnung ändern will. Dass an diesem sogenannten Haushaltsvorbehalt Artikel 2 gerüttelt werden soll, ist nicht zu sehen, da wird es aller Voraussicht nach keine Veränderung geben. Maßnahmen des Gesetzgebers, national oder europäisch, die in diese Richtung gehen würden, sind mir auch nicht bekannt. Wir bleiben dabei darauf angewiesen, dass unsere Privatrechtverordnung funktioniert und das man nicht über die Herausgabeansprüche der Grundverordnung, sondern über zivilrechtliche Informationsansprüche an den anderen privaten Daten-Verarbeiter rankommt. Das ist sehr unbefriedigend und führt in der Regeln nicht dazu, dass tatsächlich die Datenverarbeitung verbessert würde, weil die meisten den Weg vor Gericht scheuen. Und Sie haben vollkommen Recht, ich glaube in 99% der Fälle, weiß ja der Dritte noch nicht mal, dass seine Daten weiterverbreitet wurden. Da kenne ich auch niemanden, der sich bisher im wissenschaftlichen Bereich oder aus dem juristischen Bereich um das Thema bemühen würde, oder Vorschläge entwickelt hätte, wie man das verbessern könnte.

BW: Ich bedanke mich sehr herzlich bei Dr. Stefan Brink für das freundliche Interview!

Weiterführende Links:

Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg

WhatsApp und Datenschutz

WhatsAPP an Schulen

Die AGBs von WhatsAPP

Die Datenschutzerklärung von google

 

*Quelle: https://de.statista.com/themen/1842/soziale-netzwerke/ (Abruf: 03.09.2019 19:25)

Office 365 stell Dir vor, keiner macht mit?

Office 365 stell Dir vor, keiner macht mit?

Ein paar kritische Gedanken zum Thema Cloudcomputing am Beispiel Office 365

Office 365 der Firma Microsoft ist das cloudbasierte MS-Office. Seit ca. 2014 gilt bei Microsoft die Devise „Cloud-first“, dieser Slogan kommt uns doch irgendwie bekannt vor, oder?

Das Konzept ist recht ausgeklügelt, es werden viele Businessanwendungen wie Skype for Business, Microsoft OneDrive und ähnliches angeboten. Hier liegt der Fokus auf dem Wort „Business“ und schon sind wir mitten in der DSGVO. Microsoft besitzt die Daten, deren Eigentümer wir selber sind. Nach DSGVO liegt die Verantwortung für die verarbeiteten Daten aber bei uns, dem Käufer von Office 365. Also wir haften, nicht Microsoft!

Wie kann man DSGVO und Office 365 in Einklang bringen, kann man das denn überhaupt?

Natürlich hat Microsoft einen Auftrags-Datenverarbeitungs-Vertrag  (ADV) bereitgestellt. Microsoft ist der Verarbeiter im Auftrag und muss sich nach den Weisungen des Verantwortlichen der Daten, wie gesagt, das sind wir, richten. So jedenfalls sieht es die DSGVO vor.

Microsoft klärt hier über alle möglichen Fragen zum Thema Compliance/Datenschutz/etc. auf.  Klingt erstmal gut und zugewandt. Das meiste ist sehr allgemein und wenig konkret gehalten.

Weiterhin stellt Microsoft die sogenannte „Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft Office 365 zur Verfügung -> hier lesen

Dieser Katalog gibt zum größten Teil Empfehlungen, welche Einstellungen der Verantwortliche am besten vornimmt, um seine Daten besser schützen zu können. Im Prinzip sind es techn. und organisatorische Massnahmen, vom Auftragsverarbeiter an den Verantwortlichen. Die DSGVO sieht dies aber in anderer Richtung vor.

Beim Lesen stellt sich die Frage, wie es funktionieren kann, wenn der Verantwortliche, der ja nach DSGVO weisungsbefugt ist, dem Auftragnehmer eine Weisung erteilen möchte. Dafür ist dann einer dieser Textbausteine verlinkt, die dem Verantwortlichen etwas von oben herab empfehlen, wie er mit seinen Daten umzugehen hat. Eine konkrete Information wie eine diesbzgl. Weisung an den Auftragsverarbeiter zu richten hat und was dieser dann in welcher Zeit tut, konnte ich hier nicht finden.

Die Einhaltung der DSGVO alleine zu betrachten, empfinde ich immer als ein wenig zu kurz gedacht. Es ist, als hätte ich ein Auto ohne Führerschein, beides geht… DSGVO funktioniert meines Erachtens nur, wenn man die Einhaltung als QM-Massnahme betrachtet, nur dann muss man auch gleichzeitig das Thema IT-Sicherheit betrachten.

Ein Beispiel, das wohl jeder nachvollziehen kann. Ich lege meine Passwortliste in die Cloud (in irgendeine, fremdgehostete), weil ich mir ja nicht alles merken kann und es ja so praktisch ist. Beim Anbieter findet ein erfolgreicher Cyber-Angriff statt. So ein Angriff wird fast immer erst später oder auch manchmal nie erkannt. Und jetzt? Vielleicht wird meine Identität geklaut, vielleicht meine Konten abgeräumt, wer weiß, welche Ideen jemand entwickelt.

Es lohnt sich also, ein paar Sicherheitsüberlegungen im Vorfeld anzustellen und nicht jedem Microsoft-Platin-Partner zu vertrauen. Oder würdest Du, wenn es klingelt und Dir jemand irgendeinen Vertrag (nennen wir ihn ADV-Vertrag) unter die Nase hält, glauben, dass er Deine Bankzugangsdaten besser aufbewahren kann als Du selber?

Weil alles, was irgendwie mit IT zu tun hat, auch irgendwie etwas undurchsichtig ist, muss man sich hier wohl einige Gedanken mehr machen. Für IT gibt es zum Glück die BSI-Grundschutzkataloge. Für einen Brand hat man einen Notfallplan, warum nicht auch für IT-Vorfälle? Hier heißt es dann Incidence response. Hat man ein paar Notfallpläne, weiß jeder, was zu tun ist, es wird schneller reagiert und weniger Spuren verwischt. Während man sich Gedanken macht und Konzepte entwickelt, kann man eine höhere Sensibilität entwickeln und Unsicherheiten abbauen. Danach sollte man noch einmal neu überprüfen, welche Anwednugnen mit Fremddatenspeicherung man wirklich benötigt und ob man bei Konzepten wie Office 365 überhaupt mitmachen möchte.

Sehr modern momentan ist es auch, gleichzeitig die Übertragung der Active-Directory-Domain. Dann kann man die Office-Produkte ganz bequem mit seinen Domänenanmeldedaten aktivieren. Echt jetzt?

Alternativen?

Für alles gibt es immer und überall Alternativen. Oft sind sie sogar preisgünstiger und ein Wechsel läßt sich einfacher gestalten. Jeder betreibt ja heutzutage irgendeinen Webserver und wenn nicht, läßt man sich einen einrichten. Dort könnte man seinen eigenen Clouddienst einrichten. Natürlich kann man auch hier Emails, Dateien, Kalender und alles mögliche teilen. Auch kann man hier seinen eigenen Officeserver aufsetzen, z.B: LibreOffice.

Und nun wird alles durch den Adminstrator des eigenen Vertrauens betreut und DSGVO in Verbindung mit IT-Sicherheit sind plötzlich Peanuts.

Anmerkung

Dieser Artikel ist entstanden, weil mich in meinem täglichen Beratungsgeschäft die Naivität von Geschäftsführern und Inhabern mitunter mittelständischer oder sogar größerer Unternehmen oft wie ein Tsunami trifft.

Beispielphrasen:

  • Machen doch alle, dann muss es doch sicher sein
  • Microsoft, ist doch der Größte, die müssen es doch wissen usw.
  • Ohne WhatsAPP kann man keine Photos schicken
  • bei uns ist doch nichts zu holen
  • geht unendlich so weiter

Es ist mitunter schwierig, in diesen Unternehmen wenigstens ein minimales Sicherheitsniveau zu etablieren.  Hochinteressant, dass viele immer noch ein Urvertrauen in Unternehmen haben, deren Inhaber, sie gar nicht kennen. Cybercrime ist ein einträgliches Geschäft, Bankraub vom Sofa aus, während die Lieblingsserie auf Netflix läuft, oder so. Es gibt zwar nie keine 100-%ige Sicherheit, aber man sollte sich wenigstens Gedanken darüber machen, was man zu verlieren hat. Oft gibt es imUnternehmen die teuerste Alarmanlage, mit Wachdienst, Videoüberwachung u.ä. und dann kopieren diese Unternehmen ihre Geschäftsgeheimnisse in irgendwelche Clouds. Das muss man erstmal sacken lassen.

Deshalb ist dieser Artikel für die, die kein Lichtschwert besitzen, für die anderen nicht 😉

 

13. europ. Datenschutztag 2019

13. Europäischer Datenschutztag – eine Nachbetrachtung

Der 13. europ. Datenschutztag stand unter der Schirmherrschaft der Landesdatenschutzbeauftragten von Nordrhein-Westfalen Helga Block. Er fand zum Thema „8 Monate DSGVO Bilanz und Blick nach vorn“ in der nordrhein-westfälischen Landesvertretung in Berlin statt.

Für Ungeduldige, hier die Links direkt zu den Einzelvorträgen:

Dr. Claus D. Ulmer, Global Data Privacy Officer Deutsche Telekom AG
Auswirkungen der DSGVO un der geplanten ePrivacy Verordnung auf Prozesse und Produkte von Unternehmen

Dr. Markus Peifer, Zentralverband des Deutschen Handwerks e.V. (ZDH)
Der risikobasierte Ansatz im Praxischeck – Die DSGVO im Handwerk

Gerd Billen, Staatssekretär im Bundesministerium der Justiz und für Verbraucherschutz
8 Monate DSGVO – endlich alles gut beim Verbraucherdatenschutz?

Dr. Ulf Buermeyer, Wissenschaftlicher Mitarbeiter des VerfGH Berlin und Vorsitzender der Gesellschaft für Freiheitsrechte e.V. (GFF)

Martin Selmayr, Generalsekretär der europ. Kommission
Europas unabhängige Datenschutzaufsichtsbehörden – Hüter des Datenschutzgrundrechts oder Wächter des Binnenmarktes?

Die Eröffnung durch Helga Block

Frau Block hielt eine flotte Auftaktrede, sie beschrieb die Verunsicherung in der Aeuropäischer Datenschutztag 2019nfangszeit, obwohl die DSGV letztendlich wenig Veränderungen brachte. Es gab ja bereits alles im BDSGalt. Offensichtlich hatten besonders diejenigen Unternehmen Stress, die sowieso Nachholbedarf in Sachen Datenschutz hatten. Für diese kam mit der Erstumsetzung natürlich viel vermeintlich zusätzliche Arbeit dazu. Die vielfach erwartete Abmahnwelle blieb allerdings aus.

Sie beschrieb, dass die große Panik, die verbreitet wurde, bei einigen Beratern zu neuen Geschäftsmodellen geführt hat. Einige Kritiker sprachen nach Ende der Übergangsfrist im Mai 2018 zwar von zu viel Datenschutz, aber im Hinblick auf die letzten Datenskandale passt das für Frau Block nicht richtig zusammen.

Nun haben wir 8 Monate DSGVO, was hat sie uns gebracht.

Auswirkungen der DSGVO und der geplanten ePrivacy Verordnung auf Prozesse und Produkte von Unternehmen

Dr. Claus-Dietrich Ulmer von der Telekom berichtet aus der Sicht eines international agierenden Global Players.

Zunächst wurden Zahlen, Daten und Fakten geliefert, die Umsetzung hat viel Geld und Manpower gekostet. Bei der Telekom waren 550 Mitarbeiter mit der Umsetzung der DSGVO beschäftigt. 4.500 im Einsatz befindliche IT Systeme wurden einer Risikobewertung unterzogen, hier wurde nachgebessert, aktualisiert und sogar abgeschafft. Die Meldungen zu Datenschutzverstößen sind unternehmensweit gestiegen, weil die Meldeschwelle durch die DSGVO gesunken ist. Auf folgenden Themen lag ein besonderer Fokus:

  • Risiko assessment
  • Privacy by Design
  • Betroffenenrechte

Herr Dr. Ulmer geht davon aus, dass die Effektivität der DSGVO durch das Inkrafttreten der ePrivacy Verordnung noch weiter steigen wird. Verbessert hat sich auf jeden Fall die Verlässlichkeit und Rechtssicherheit für Bürger und Unternehmen in der EU.

Ein wenig Kritik gibt es an die Adresse der Behörden. Bei der Telekom fällt auf, dass die nationalen Auslegungsgesetze zum Teil unterschiedlich sind. Auch gibt es bei unseren nationalen Behörden Auslegungsunterschiede. Auch gibt es zum Teil verschiedene Auslegungen zu „unbestimmten“ Rechtsbegriffen, hier werden als Beispiele Daten Portabilität, Umfang bei der Beantwortung von Auskunftsersuchen etc. genannt.

Hier wird als Bitte an die Landesbehörden formuliert, gleiche Bewertungen vorzunehmen bzw. sich künftig hierzu besser abzustimmen.  Klare Entscheidungen mit Signalwirkung gibt es bislang leider nur vereinzelt.

Bestimmte gängige Verfahrensweisen werden durch die DSGVO in Frage gestellt, Beispiel Anonymisierung. Auch gab es in der Vergangenheit vereinzelt Überreaktionen der verantwortlichen Stellen, z.B. beim Thema Klingelschilder. Es werden zum Teil Gesetzeskonkurrenzen neu aufgemacht, gannat wird hier z.B. §15 III TMG. Dies könnte alles etwas optimiert werden.

Letztendlich sind die Regelungen der DSGVO nicht anders als die im BDSGalt.

Die DSGVO bringt gleiche Wettbewerbsbedingungen für alle Player vom Verein bis zum Großunternehmen. Die Offshore-Unternehmen allerdings fühlen sich zum Teil nicht an die DSGO gebunden.

Zitat: „Datenschutz geht durch Ignorieren nicht weg“

Zum Thema Privacy by Design ist eine frühzeitige Einbeziehung der Datenschutzbeauftragten wünschenswert. Hier müssen die Prozesse in den Unternehmen noch besser angepasst werden.

Es wurden noch ein paar Worte zum Thema ePrivacy-Verordnung genannt. Hier dauert das Gesetzgebungsverfahren noch an. Es werden einige Beispiele genannt, welche Änderungen bevor stehen.

Cookies sind danach zulässig für interne eigene Websitedienste, für diejenigen von Drittanbietern ist weiterhin eine Einwilligung der Betroffenen notwendig.

Die pseudonyme Weiterverarbeitung soll nicht mehr zulässig sein, sie wird aber europäischer Datenschutztag 2019unbedingt benötigt. Hier muss man aufpassen dass Lösungen für Zukunftssysteme durch die ePrivay Verordnung nicht verhindert werden:

  • Parkleitsysteme
  • Unfallvermeidungssysteme
  • Netzoptimierung

Die gesetzliche Ausprägung von Datenschutz muss angemessen gestaltet sein. Pauschale Verbote werden der heutigen und künftigen Komplexität nicht gerecht. Innovationen und Kreativität werden durch Angst ausgebremst.

Fazit: Die DSGVO ist eine gute Referenz für den europäischen Binnenmarkt.

>>zur Schnellauswahl

Dr. Markus Peifer, Zentralverband des Deutschen Handwerks e.V. (ZDH)

 

Der risikobasierte Ansatz im Praxischeck – Die DSGVO im Handwerk

Es erfolgt zunächst eine Abrechnung mit der Presse für das Aufbauschen der DSGVO, wie z.B. bei den Klingelschildern geschehen. Die Hysterie verursacht Panik bei den Betrieben und hat die Verordnung in der Bevölkerung lächerlich gemacht, das ist sehr ärgerlich, weil die Verordnung gemacht wurde, um ein gutes Datenschutzniveau bereitzustellen.

Aus der Panikmache wurde zuweilen ein Geschäftsmodell generiert. Der ZDH hat es aber geschafft, bei den Handwerksbetrieben die Aufregung auf ein normales Maß herunter zu dampfen, führt Herr Dr. Peiffer aus.

Bei der Anwendung der DSGVO sollte die Risikoeinstufung für die verarbeitenden Daten maßgeblich sein. In Handwerksbetrieben findet meist eine belanglose Datenverarbeitung statt und aufgrund der meist geringen Personalstärke sind diese Betriebe nicht in der Lage die DSGVO vollumfänglich umzusetzen. Hier müßte es Erleichterungen geben.

Informationspflichten und Verfahrensverzeichnisse verursachen zu viel Bürokratie.

Der risikobasierte Ansatz sollte vollständiger angewandt werden. Es wird nochmal das sehr kleine Risiko bei den Handwerksbetrieben genannt.

>>zur Schnellauswahl

Gerd Billen, Staatssekretär im Bundesministerium für Justiz und Verbraucherschutz

8 Monate DSGVO – endlich alles gut beim Verbraucherdatenschutz?

Die DSGVO hat Vorteile für die Bürger gebracht, die intendierte Abmahnwelle ist, wie vom Ministerium vorausgesagt, ausgeblieben.

Am Beispiel Facebook wird hergeleitet, dass das Marktortprinzip bereits gilt und auch durchgesetzt wird. Viele Unternehmen haben die DSGVO ebenfalls gut umgesetzt.

Es stellt sich allerdings eine ganz andere Frage. Durch die Flut von Einwilligungen, die sich kein Bürger vollständig durchliest, wird leider kein Qualitätsbewußtsein auf Seiten der Betroffenen geschaffen. Es sollte sich doch eigentlich die Frage stellen, welchem Produkt bzw. Unternehmen kann ich vertrauen? Zu diesen Punkten werden mehr Marktuntersuchungen benötigt, um eine bessere Qualität für die Nutzer zu erreichen. Denn die Intention von DSGVO war auch, die Qualität insgesamt zu verbessern.

Damit die Behörden die DSGVO besser umsetzen können, wird hier eine Stärkung durch mehr Personal benötigt. Die 8 Monate DSGVO bis jetzt können als Testphase angesehen werden, es muss jedoch noch viel umgesetzt werden, die momentan herrschende Toleranz ist aber für diese Phase goldrichtig.

Irland ist das Schlusslicht in Bezug auf DSGVO in der EU. Das haben schwierige Gespräche mit den Behörden zu den Themen Google & Co. gezeigt. Hier sind klare Entscheidungen und Prozesse zur Rechtsumsetzung erforderlich. Zel war schließlich eine Harmonisierung der Regelungen innerhalb der EU Mitgliedsstaaten.

Damit DSGVO tatsächlich zu einer Qualitätsverbesserung führen kann, sind neue Konzepte für Verbraucher zu entwerfen.

Beispielsweise sind beim Handykauf immer schon Apps vorinstalliert, die gar nicht vom Benutzer selber entfernt werden können. Hier wäre eine weitere vorinstallierte App wünschenswert, die ein Datennutzungsprotokoll zu allen installierten Apps anzeigt. Dies würde dem Bürger helfen, die Dienste besser beurteilen zu können.

Als weitere Potenziale beim Verbraucherschutz in Sachen Datenschutz wird beim Beispiel die Bildung von Nutzer-Profilen genannt. Welche Kriterien und Algorithmen gibt es hier, das ist viel zu wenig bekannt? Es könnten Algorithmen zur Vermeidung von diskriminierenden Bewertungen im Scoring verbindlich eingeführt werden.

Hier kommt auch die ePrivay Verordnung zum weiteren Schutz der Grundrechte ins Gespräch.

Zitat: “Über Grundrechte, Anonymität etc. verhandeln wir nicht!“

Auch ist die Aktualität von Endgeräten ein wichtiges Thema. Hier könnten Hersteller verpflichtet werden, die Software auf den Geräten für den Lebenszyklus des Gerätes aktuell zu halten, damit die Daten der User geschützt werden. Dies wird als Sache des Herstellers gesehen und nicht als die des Verbrauchers, das müsste wohl als Gesetz formuliert werden, damit es umsetzbar wäre.

Vorstellbar sind auch Treuhänder von Daten z.B. im Bereich Gesundheit, Bewegungsprofiling etc. Herr Billen hätte kein Problem damit, seine Daten einem Institut zur Verfügung zu stellen, dass dann über die Nutzung wacht.

Auch beim Scoring muss geschaut werden, welche Kriterien seriös sind. Dies ist ein zentrales Thema, das Regelungen durch den Staat notwendig macht. Auch bei den regierungsbehörden ist noch Nachbessungsbedarf. Viele Institutionen der Regierung sind noch nicht auf dem heutigen technischen Stand, es werden weit mehr digitale Kompetenzen benötigt.

Zur Umsetzung von Privacy by Design sind mehr Vorgaben für Softwarehersteller notwendig. Auch muss in der Gesellschaft das Bewußtsein für diese Dinge wachsen, das ist wichtig für unsere Freiheit in der Demokratie.

Ethik in der künstlichen Intelligenz wird angesprochen, hier gibt es bereits die
Daten Ethik Kommission, dies ist einzigartig in der europäischen Union.

Erstaunlicherweise gibt es auch bereits Firmen, die sich mit Ethikfragen auseinander setzen, hier wird Miele als positives Beispiel genannt. Hier ist man sich bewusst, dass künftig mehr KI in allen möglichen Geräten (z.B. Küchengeräten) eingesetzt wird und man reagiert darauf, mit der Formulierung von Standards

Stichwort: Code of Conduct

Über alle diese Dinge müssen Diskurse geführt werden.

Auf globaler Ebene ist die EU Vorreiter für Freiheit und freie Entscheidungen der Bürger. Wir haben gute Chancen auf dem Weltmarkt mit unseren Produkten und Ideen zu bestehen.

Fazit: Anfängliche Akzeptanzschwierigkeiten sind aufgelöst. Mit jedem Skandal wird die Reputation der DSGVO verbessert. Dies muss als ständiger Prozess gesehen werden, in dem evtl. später auch Bürokratie verringert werden kann. Mit der ePrivacy-Verordnung entsteht  eine gute Kombination. Digitale Souveränität als Modell für die EU.

>>zur Schnellauswahl

Dr Ulf Buermeyer Gesellschaft für Freiheitsrechte

Privacy by Design – jetzt aber wirklich

Zitat: Art. 25 Abs.1

Software Systeme sind in der Lage durch geschickte Gestaltung Benutzerentscheidungen positiv zu beeinflussen. Roter Knopf, grüner Knopf. Eher wird der grüne Knopf betätigt.

Durch Privacy by Design soll auch die Datenminimierung unterstützt werden. Ein wichtiger Zeitpunkt ist der Entwurf der Systeme, vor der Erfassung von Daten. Der Datenschutzbeauftragte wird meist viel zu spät hinzugezogen.

Voreinstellungen sollten Privatsphäre-freundlich gestaltet werden, Vorgaben können so handlungsleitend werden. Standardtexte werde meist sowieso weggeklickt. Hier sollte der Aufwand für den Nutzer erhöht werden, um Datensparsamkeit zu unterstützen.

Privacy by Design / Grundregeln:

  • Datenminimierung
  • Pseudonymisierung / Anonymisierung
  • Verschlüsselung
  • Transparenz (Datenhoheit des Betroffenen)

Art 83 DSGVO Abs. 1 wird zitiert.

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Negativbeispiel: Knuddels.de

Hier sind 330.000 Datensätze verloren gegangen, die unter anderem Passwörter im Klartext enthielten.

Hier wurde darauf hingewiesen, dass das schon lange nicht mehr Stand der Technik ist. Dies ist selbstverständlich Bußgeld bewährt.

>>zur Schnellauswahl

Prof. Dr. Martin Selmayr, Generalsekretär der europ. Kommission

Europas unabhängige Datenschutzaufsichtsbehörden – Hüter des Datenschutzgrundrechts oder Wächter des Binnenmarktes?

Es gab anfänglich viel Lärm um die DSGVO, ganz sicher nicht wegen des Inhaltes, denn den gab es ja auch schon vorher. Die DSGVO war eher für die anderen EU-Länder neu. Bei uns sind die Grundsätze des Datenschutzrechtes seit langem wohl bekannt. Zum Beispiel hat auch die Panik um Klingelschilder mit der DSGVO rein gar nichts zu tun. Neu ist nur der deutlich gestärkte Vollzug durch verbesserte Sanktionierungsmöglichkeiten. Angst braucht auch niemand zu haben, denn es gibt natürlich den Grundsatz der Verhältnismäßigkeit. Eventuelle Bußgelder werden passend zum Unternehmen und Vergehen ausgestellt. Intention war auch, dass die Bußgelder dazu führen, dass Datenschutz ein Compliance Thema in Unternehmen wird und das ist auf jeden Fall gelungen.

Auch klar ist, dass es ohne die Aufsichtsbehörden keinen Datenschutz gibt.

„Wo kein Kläger, da kein Richter“

Was ist denn nun neu?

Wettbewerbs- und Grundrechtsgleichheit in Europa greift normalerweise nicht in die nationalen Grundstrukturen ein. Das ist besonders. Die Rechtsgrundlage für die Tätigkeit der Aufsichtsbehörden ergibt sich nun aus EU-Recht, also gibt es klare Vorgaben für alle Mitgliedsstaaten aus Europa.

Es ist kein Wettbewerb entstanden, sondern Harmonisierung.

Auch ist dadurch eine vollständige Unabhängigkeit der Aufsichtsbehörden auf nationaler Ebene entstanden. Die Aufsichtsbehörden sind autark und nicht Bestandteil irgendwelcher Ministerien. Kein Landesdatenschutzbeauftragter kann aus politischen Gründen vorzeitig abgesetzt werden. Die Datenschutzbehörden sind nun Hüter der Grundrechte! Aufgaben und Befugnisse sind direkt in der DSGVO geregelt. Im Zweifel gilt immer die DSGVO nicht die Umsetzung in nationales Recht.

Auch soll durch die DSGVO der freie Verkehr innerhalb der EU sichergestellt werden. Es geht um den Schutz des EU-Binnenmarktes.

Die DSGVO ist das Ergebnis eines sehr langen Prozesses, der genau genommen bereits 2009 begann. Das Thema Datenschutz ist sowieso schon sehr alt, die DSGVO als Weiterentwicklung aber noch jung.

Andere Länder nehmen die DSGVO bereits als Vorbild. So hat Japan Teile der DSGVO nahezu wortwörtlich übernommen. Auch Brasilien, Kalifornien und andere Staaten nehmen die DSGVO als Vorbild für ihre eigenen Datenschutzgesetze.

Nachahmer gibt es mehr als Kritiker. Trotzdem ist eine regelmäßige kritische Betrachtung notwendig. 2020 wird es deshalb einen Evaluierungsbericht zur DSGVO geben.

Es ist, wie es immer ist, die Umstellung ist das Schlimmste, nicht die neuen Regelungen als solches.

Zitat: „Die DSGVO ist in vielen Punkten von gesundem Menschenverstand durchdrungen“

Dennoch die DSGVO ist kein Verbotsgesetz. Die Gespräche darüber sollten sachlich geführt werden die Verordnung ist nicht der Feind der kleinen Bäcker (Zitat angepasst an die Aussagen von Herrn Peifer zu Handwerksbetrieben und DSGVO).

>>zur Schnellauswahl

eigenes Fazit:
Insgesamt war der 13. europ. Datenschutztag eine lohnende Veranstaltung mit guten und fundierte Vorträgen. Auch eine gute Gelegenheit neue und alte Kontakte zu treffen und sich auszutauschen.

Klingelschild und DSGVO
Facebook Datenleck
europ. Datenschutzkonferenz 2018

Tag x nach DSGVO

Tag x nach DSGVO

Es ist mir ein Anliegen! Wo stehen wir am Tag x nach DSGVO?

Tag x nach DSGVO
Quelle: GDD.de

Egal wo man hinkommt, man wird mit Stilblüten in Bezug auf DSGVO konfrontiert. Das Schlimme ist, alle haben Zeit investiert und sich Mühe gegeben. Ich denke, man sollte es mit Humor sehen und eine Daily Soap draus machen.

Ich würde auch gerne jetzt und hier auf eine Yogaseite verlinken, damit sich alle endlich mal wieder etwas entspannen.

Ich versuche mal ein paar Punkte zu schildern und das ganze zu relativieren.

Die eine Fraktion „Wir müssen das nicht“

Ich treffe gerade in Vereinen auf Aussagen wie „Wir müssen das nicht machen“, wir sind zu klein.

Leute! Es geht nicht um Euren Verein, Ihr könnt Euch nicht aussuchen, ob Ihr den Datenschutz umsetzt.

Es geht um die Personen, deren Daten Ihr speichert.

Und Datenschutz ist Grundrechtsschutz, nun akzeptiert es endlich! Die Personen, deren Daten Ihr speichert, verarbeitet, what ever haben ein Grundrecht auf den Schutz Ihrer Daten, also die Einhaltung der DSGVO durch Euch!

Man kann sich auch nicht aussuchen, ob es sich um, ich nenne es mal „einfache“ personenbezogene Daten Art. 4 DSGVO handelt oder gar um die Verarbeitung besonderer Kategorien personenbezogener Daten Art. 9 DSGVO. Hier ist das Gesetz eindeutig, man muss sich daran halten und sensibel damit umgehen.

Diese besonderen Kategorien also z.B. Zugehörigkeiten zu ethischen Bünden, ethnische Herkunft etc. es gibt wirklich Menschen, die einen Nachteil oder sogar Gefahr für Leib und Leben zu befürchten haben könnten, wenn diese Daten irgendwo bekannt werden. Also lasst sie das selber entscheiden, wie relevant diese Informationen in ihrem Leben sind. Wenn ihr sie nicht benötigt, dann speichert letztere gar nicht erst!

Und! Die DSGVO ist wirklich so formuliert, dass sie jeder! verstehen kann. Die Menschen mit der größten Panik frage ich mitunter, ob sie denn die DSGVO einmal gelesen hätten. Haben sie meist nicht, kann man aber, ist wirklich einfach.

Also ooooom

Die andere Fraktion „Wir dürfen gar nichts“

Dann gibt es die andere Kategorie, gerade seit Anbeginn der Zeitrechnung nach DSGVO bei vielen Ärzten/Tierärzten gesehen. Diese Menschen sind so verunsichert, dass sie denken, dass sie mit niemandem mehr kommunizieren dürfen, ohne demjenigen ein 12-bändiges Werk an Einwilligungen abgerungen zu haben.

Hier soll man z.B. Einwilligungen dafür unterschreiben, dass telefonisch ein neuer Termin vereinbart werden darf, falls der Arzt verhindert ist. Gleichzeitig werden aber Kontaktinformationen von Dritten erfragt, die die Praxis anrufen kann, falls sie einen selber nicht erreichen können. Es werden Pauschaleinwilligungen verlangt für die Weitergabe von Daten an Labore, Hausärzte etc.

Halllooooo? Aufwachen!

Wir versuchen es mal mit logischem Denken. Ich willige nicht ein, dass die Praxis mich anrufen darf und nun? Kann die Praxis mich dann nicht anrufen, auch nicht, um mir Befunde mitzuteilen?

Was ist mit dem Behandlungsvertrag? Ich komme schliesslich in die Praxis, nachdem ich telefonisch mit dem Empfang dort einen Termin vereinbart habe. Meine Daten wurden erfasst, sie können ja auch schlecht x in den Kalender schreiben. Nun komme ich und lasse mich untersuchen, hier habe ich einen Vertrag mit Ihnen abgeschlossen, natürlich können Sie mich zu dieser Behandlung kontaktieren.

Etwas anderes wäre Werbung. Werbung steht nicht in Verbindung mit unserem Behandlungsvertrag, hier wird eine Einwilligung benötigt.

Ich habe dann einen der Ärzte einmal gefragt, woher er denn diese abstrusen Dokumente habe. Natürlich! Von einem Kollegen abgeschrieben und der hat sie auch abgeschrieben und und und. Wie in der Schule, die ganze Klasse hat eine 5 in Mathe, weil sie von der falschen Person abgeschrieben hat. Oje!

Spaß beiseite, hier sieht man, welch großen Unsicherheiten es am Tag x nach DSGVO immer noch gibt.

Übrigens! In keiner Praxis habe ich eine Information zu Art. 12 DSGVO Transparente Information etc. bekommen. Auch die Einwilligungen ansich waren in Form und Inhalt so gut wie nie DSGVO-konform, viel Papier mit abstrusen Inhalten.

Was keiner verstanden hat, sind die Punkte Zweckbindung und Datensparsamkeit, hier werden alle Kontaktinformationen, die man haben kann abgefragt. Nun ja Jäger und Sammler halt.

Wo stehen wir also am Tag x nach DSGVO? Es gibt noch viel zu tun!

Meine Empfehlung

Die DSGVO ist in einigen Punkten sicher noch nicht ausgereift, es werden auch von den Aufsichtsbehörden immer wieder Informationen nachgeschoben. Aber die Grundlagen, die kann man wirklich so umsetzen, das kann man schaffen.

Hier die DSGVO-Online
Hier ein Link zut Landesdatenschutzbeauftragten von Niedersachsen

Und wenn man meint, das schaffe ich nicht, das nervt mich! Also, ich kann es verstehen, dann bucht man mal für 1-2 Stunden eine Beratung und das war es!

….und entspannt Euch endlich mal, wir haben am Tag x nach DSGVO, irgendwann wird das alles für alle selbstverständlich sein!

Im Gespräch mit dem URV

Im Gespräch mit dem URV

Hier mein Interview für den URV zum Thema Datenschutz. Es ist eine Art lastminute Empfehlung geworden, denn wer die DSGVO jetzt immer noch nicht umgesetzt hat, der hat es wohl auch immer noch nicht verstanden.

Im Rahmen meiner Tätigkeit schaue ich mir auch immer wieder einmal Webseiten an, erstaunlich wie wenige verstanden haben, was zu tun ist. Auch gerade Agenturen sind oftmals sehr schlecht aufgestellt, man kann sich also nicht unbedingt darauf verlassen, dass der Dienstleister es schon richtig machen wird. Verantwortlicher im Sinne des Gesetzes ist eben der Geschäftführer, der auch verantwortlich für die Inhalte der Seite ist. Er steht deshalb auch im Impressum.

Eigentlich ist es einfach, es steht alles in der DSGVO. Wenn man einmal meine anderen Interviews liest, kann man auch sehen, dass die Behörden davon ausgehen, dass dieses Gesetz so gemacht ist, dass gerade auch Nicht-Juristen damit arbeiten können. Datenschutzbeauftragte sind in den seltensten Fällen Juristen und diese Konstellation ist europäisch so gewollt. Datenschutz ist Grundrechtsschutz, jeder kann die Inhalte verstehen.

Auch die Landesbehörden geben viele Hilfestellungen, hier z.B. Niedersachsen.

Hier das fertige Interview für die URV-Mitgliederzeitschrift, Seite 10.

Im Gespräch mit Dr. Imke Sommer

Im Gespräch mit Dr. Imke Sommer

Am 12. April 2018 hatte ich ein Interview mit unserer Landesbeauftragten für den Datenschutz Dr. Imke Sommer in Bremen. Mit DSGVO, werden die Rechte der Bürger in Bezug auf den Schutz der eigenen Daten nochmal gestärkt. Mir ist in dieser Interviewreihe sehr wichtig, darzustellen, dass die Datenschutzbehörden nicht gesichtslos sind, sondern, dass dort Menschen arbeiten, die sich um unsere Persönlichkeitsrechte kümmern.  Man kann sich dort beraten lassen, wenn man das Gefühl hat, dass irgendjemand die eigenen Daten für andere Zwecke nutzt als die Gedachten. Viel Spaß beim Lesen!

Die Landesbeauftragte für den Datenschutz bietet außerdem vielfältige Informationen auf ihrer Internetpräsenz ein Besuch lohnt sich auf jeden Fall.

BW: Ich habe mit Interesse Ihren Datenschutzbericht gelesen. Dort ist die Rede von einer Bürgerberatung. Würden Sie sagen, dass die Nachfrage von Privatpersonen zum Thema Datenschutz steigt?

Imke Sommer: Insgesamt sehe ich das schon so. Im Beschäftigtenbereich ist viel gekommen, die Menschen beginnen, eine Opposition zu entwickeln, die auch richtig ist. Sie wollen sich nicht mehr alles gefallen lassen und das finde ich gut. Das liegt auch daran, dass Marc Zuckerberg, nun im Sakko, vor dem Kongress erscheinen und Rede und Antwort stehen muss.

Datenschutzbericht

BW: Welche Anliegen haben die Bürger von Bremen an die bremische Datenschutzbeauftragte?

Imke Sommer: Viele haben tatsächlich Fragen, aber die meisten haben einen konkreten Fall im Kopf und fragen schon sehr genau, ob das Thema richtig gehandhabt wird oder ggf. gegen ihr Recht auf informationelle Selbstbestimmung verstößt. In den meisten Fällen ist das Gefühl der Bürger an dieser Stelle völlig richtig. Vor allem ist hier das Gefühl richtig, dass das ein Eingriff in den privaten Schutzbereich ist, wir sind ja im Grundrechtsbereich. Das heißt nicht zwangsläufig, dass es sich immer um eine Rechtsverletzung handelt, aber ganz oft ist es so, dass es sich sehr nah an der Grenze zur Verletzung befindet oder dass die Grenze sogar überschritten wurde. Ich möchte gerne alle motivieren, sich zu melden, denn sobald sich ein Bürger meldet, bin ich die betroffene Behörde und wir kümmern uns. Meistens ist das richtig und wenn nicht, so hat man zumindest ein gutes Gefühl nachgefragt zu haben.

BW: Gibt es eine Häufung von speziellen Themen?

Imke Sommer: Wir merken, dass der Bereich des Beschäftigten Datenschutzes das Thema Videoüberwachung überrundet hat. Dazu muss man sagen, dass wir Videoüberwachung auf dem Arbeitsplatz zum Beschäftigtendatenschutz rechnen. Es könnte aber sein, dass diese Fälle in anderen Behörden dann zur Videoüberwachung zählen, weil sie den Fokus dort sehen.

BW: Sie sprechen von einem bremischen Datenschutzniveau, was genau meinen Sie damit? Oder anders gefragt, gibt es einen bremischen Datenschutzstil?

Imke Sommer: Das weiß ich nicht, ich beziehe mich natürlich auf den Datenschutz im Land Bremen. Ich hatte mir ja letztes Mal gewünscht, ein bremisches Profil der informationellen Selbstbestimmung zu haben. Es sieht so aus, als ob, das bremische Datenschutzgrundverordnungsausführungsgesetz rechtzeitig verabschiedet wird. Ich finde es ist gut geglückt, weil das Gesetz sehr schlank geworden ist. Ihre Frage zielt ja eigentlich auf etwas anderes. Ich glaube, dass die kurzen Wege in Bremen ganz viel dazu beitragen, dass das Gefühl, die ist so weit weg und nicht greifbar, dass das hier nicht passiert. Ich fahre mit der Straßenbahn von einem Termin zum nächsten, das geht schnell hier. Dadurch kann ich ganz viel machen. Der Bürger möchte einschätzen können, was wir machen.

Wir stellen Verstöße sehr schnell fest und haben nun keinen Ermessungsspielraum mehr, keine Bußgelder zu erheben. Wir können nicht mehr nur die Verwarnung machen. Wenn wir einen Verstoß feststellen lönnen wir keine Massnahmen alleine, ohne Bißgeld mehr verhängen. Ich bitte alle, das auch sportlich zu nehmen, alle sind nun auf dem Weg die DSGVO umzusetzen und mit den Bußgeldern für Falschparken, das nimmt man auch in Kauf. Man muss ein sportliches und entspanntes Verhältnis zu diesen Bußgeldern entwickeln. Und vor allem muss man wissen, dass sie bei Wiederholung höher sein werden. Das sollten nun alle zum Ansporn nehmen, die Verarbeiter sollten das Liegengebliebene aufarbeiten. Sie sind ja nun aufgeregt, weil sie es vorher nicht gemacht haben. Nun hat man einen Grund das zu ändern. Dann müssen eben auch die betroffenen Firmen damit rechnen, dass wir Beschwerden bekommen. Wir reagieren meistens auf Beschwerden, dass wir selbst tätig werden, ist relativ selten. Das schaffen wir auch gar nicht so viel. Die Motivation ist, dass Firmen sich mit den Menschen, deren Daten sie verarbeiten, gut stellen, damit die keinen Grund haben, sich bei uns zu beschweren. Das haben viele verstanden.

BW: Durch die neuen Bußgelder, kann man sich nicht mehr freikaufen.

In der Wirtschaft ist der Umgang anders als im öffentlichen Bereich. Im öffentlichen Bereich wird oft die Lage rechtlich anders gesehen, in der Wirtschaft wird eher gefragt, was es kostet, aber keiner stellt in Frage, dass man sich an die Gesetzte halten muss. Die Akzeptanz wird nun durch die neuen Bußgeldhöhen unterstützt. Es gibt Firmen, die anrufen und fragen, was kostet denn das? Das ist die Logik der Wirtschaft und das wird nun etwas stärker motiviert.

BW: Glauben Sie, dass DSGVO in den Köpfen der Bürger angekommen ist?

Imke Sommer: Ich meine mehr und mehr. Wir versuchen als Landesbehörden seit Inkrafttreten im Mai 2016, dieses Bewusstsein zu schärfen. Es ist natürlich schwer ohne die Journalistinnen und Journalisten aus der Szene, in der sich alles bewegt. Die IT-Branche ist gut informiert, die Menschen selber eher nicht so, aber das wird auch mehr. Es liest ja nicht jeder in Bremen Weser-Kurier, aber Ende 2017 gab es eine Info, was gibt es im neuen Jahr und seitdem steigert sich das Bewußtsein. Und eben auch die Information, dass die Betroffenenrechte gestärkt werden. Und dass es eben für solche wie Facebook besonders schwer werden wird diese Transparenz umzusetzen. Das glaube ich, ist angekommen und darüber freuen sich ja auch alle, weil das ja auch im öffentlichen Bereich, dass das was sie als bürokratische Formulierung nicht verstehen, dass das aufhören muss. Das ist im Moment eine tolle Situation.

BW: Was bedeutet DSGVO für Privatpersonen?

Imke Sommer: Der Artikel 12 der DSGVO, diese Anforderung transparent und in einfacher Sprache, das ist wirklich die Hauptgeschichte. Ansonsten ist Datenschutz inzwischen IT. Eigentlich kann man so viel richtig machen, wenn man von Anfang an IT-Kräfte auf das schauen läßt, was man macht an Datenverarbeitung. Die haben so viele Ideen, wie man Daten erst gar nicht entstehen lassen kann und dann auch noch den Zugriff beschränkt. Das ist eigentlich jetzt das Gebot der Stunde, sich mit Menschen, die sich mit IT auskennen zu unterhalten und Ideen zu entwickeln. Und das ist auch Qualitätssicherung. Die Fragen, die wir dann am Ende auch stellen, die würde ein Berater auch stellen, in einem solchen DS-Aufnahmeprozess. Wer braucht was, wie sind die Wege, wie wechseln sich die einzelnen Stellen ab bei der Verarbeitung, was brauchen sie dafür und was nicht. Wenn man diese Fragen geklärt hat, die man sowieso klären muss, um eine Verzeichnis der Verarbeitung zu erstellen, dann hat man im gleichen Zuge, seine Prozesse optimiert.

Das könnte dann auch für das Unternehmen eine Win-Win Situation sein, dass sie eventuell merken, sie brauchen irgendwelche Cloudspeicher doch gar nicht, weil sie feststellen, wir brauchen gar nicht so viele Daten. Und natürlich werden die Prozesse auch insofern optimiert, dass festgestellt wird, wer Daten braucht und für wen sie gar nicht notwendig sind.

BW: Datenschutz gewinnt an Relevanz. Glauben Sie, dass sich durch Datenskandale wie jetzt z.B. bei Facebook, Anfragen von Bürgern an die Aufsichtsbehörden häufen werden?

Datenskandal Facebook

Imke Sommer: Das weiß ich nicht. Sie reden jetzt von den großen Playern, ich glaube, da ist soviel in der Debatte, das guckt man sich an und darauf reagiert man. Wenn irgendwie bei 10% der Leute schon daraufhin ihren Account abmelden, dann würde ich sagen, dass ist soziologisch gesehen eine Riesengröße. Da ist man ja völlig beeindruckt. Leute wie Facebook ändern ja auch schon ihre Geschäftsmodelle, die werden gar nicht mehr, das was wir so kennen, so lange machen können. Auch weil die jungen Leute da gar nicht mehr sind, auch ohne diesen Skandal, das hat gar nichts damit zu tun, spielt nicht mehr so eine Rolle. Gerade in Europa sind wir bei den sozialen Netzwerken in einer Dezentralisierung, die Jugendlichen haben eh alles möglich nebeneinander geöffnet und posten das eine auf Snapchat, das andere auf Instagram etc., in Europa werden sich die Rollen verändern.

Aber ich glaube, bei der Veröffentlichung von Daten im Internet, verändert sich etwas, die Sensibilitätr nimmt zu. Sie machen ja einen Blog, das sieht man schon, das ist journalistisch aufbereitet, aber wir haben eben auch ganz viel in einem Grenzbereich. Wo man vlt. auch sagen würde, das gehört zum Journalismus, weil das auch sowas wie einen Sendeplan hat, fällt es auch unter das Landesmediengesetz. Man sollte jetzt in Europa nicht an der Pressefreiheit rumzudoktern, das fände ich ganz gefährlich, das fände ich falsch. Es gibt auch viele Sachen, wo es eben definitiv keine Presse ist, und wo sich, personenbezogene Fakenews tummeln und auch in diesem Grenzbereich, da steigen die Eingaben bei uns.

Deshalb habe ich jetzt versucht beim Landesmediengesetz zu sagen, die fallen mit drunter, weil man es weit fassen sollte, sollte man auch hier die DSGVO mit ziehen lassen. Seriöse Presse, in Bremen z.B. der Weser-Kurier haben nichts zu befürchten, die machen das sowieso über den Pressecodex. Die sind da sensibel.

Aber es gibt eben auch solche, die machen das eben nicht, die fallen aber trotzdem unter den Pressebegriff. Hier entwickelt sich aus der gesellschaftlichen Sensibilität für die Fakenewsdebatte und die Folgen, die das für Menschen haben kann, wenn da etwas falsches im Internet über sie steht, da entwickelt sich eben auch was und das sehen wir auch an den Eingaben. Der Eingabeprozess für solche Beschwerden kann  sich gut entwickeln, gerade auch für Vorfälle z.B. bei Facebook und das trägt dann weiter zur Sensibilisierung bei. Da bin ich sehr gespannt drauf und freue mich auch auf den Koordinationsprozess mit den anderen europäischen Aufsichtsbehörden. Das wird ganz spannend, es wird sich insgesamt eine Kultur entwickeln.

Ich hatte bei einer Handelskammerveranstaltung einen CO- Referenten und der sagte mir, selbst in Japan aber auch in den USA merkt er die Rückwirkung der DSGVO, weil die überlegen sich an dem nun bestehenden Standard zu orientieren. Wenn das passiert, dann brauchen wir bald gar nicht mehr zu überlegen, in welche Weltregionen schicken wir die Daten. Und wenn selbst Zuckerberg jetzt sagt, er sieht das auch, dass es da jetzt Regelungen geben wird, zur Selbstverpflichtung und das das bisherige nicht ausreicht.  Wenn er das jetzt sogar sagt, das ist dann super vorgelegt. Ich fand das interessant, dass die Wahrnehmung bereits vor der Geltung eintritt. Und er hat auch gesagt, dass er sieht, dass das eine jetzt auch die Bußgelder sind, die eine Verhaltensänderung bewirken und das andere ist, dass die großen Firmen, die schon seit 2 Jahren in der Umsetzung sind, natürlich von Ihren Partnern bei der Auftragsvergabe dasselbe Niveau verlangen werden. Das ist natürlich auch eine disziplinierende und viel teurere Motivation.

Das fand ich interessant zu hören.

Es scheint auch eine Art Goldgräberstimmung in der Branche zu geben, uich sage denen, das ist Quatsch, die wollen alle nur Geld verdienen. Ich vertrete eher die Ansicht, man kann mit den Hilfen, die wir zur Verfügung stellen, das ganz gut mit einem vertretbaren Aufwand schaffen. Für kleinere Unternehmen hat es einen großen Vorteil einen internen Datenschutzbeauftragten zu haben, weil der die Prozesse kennt.

BW: Ich stelle fest, dass interne DSB oftmals den zeitlichen Rahmen gar nicht haben

Das muss schon gegeben sein, die müssen ja einen Rollentausch vornehmen und müssen die Ergebnisse auch sagen dürfen. Es müssen auch gar keine Juristen sein, meist ist es so, die die tief in den Paragraphen drin stecken, das sind meist die Nichtjuristen. Die Juristen sind ja auch meist die Chefs.

BW: Ist unsere bremische Behörde dafür personell gewappnet?

Imke Sommer: Wir machen, was wir können. Wir sind personell ganz gut aufgestellt. Es wird sich zeigen, ob wir mit unseren Ressourcen hinkommen. Es steht fest, dass wir nicht alles schaffen werden. Wir brauchen auf jeden Fall mehr Personal, wie viele kann ich noch nicht abschätzen. Es wäre schön, wenn unser Bereich eine Aufwertung erfahren würde. In der DSGVO steht ja drin, wir sollen alle gut ausgestattet werden, schwierig, das hängt von den Prioritäten ab. Wir fangen jetzt erstmal an.

Wir haben in Bremen schon lange eine sehr gute Quote an Bußgeldverhängungen. Wir sind da schon geübt, wir haben also die Praxis und müssen sie jetzt in die Quantität bringen. Es kommt leider nicht alles im Haushalt an, weil es vielfach durch Einsprüche bei den Gerichten landet.

BW: DSGVO schön und gut, der Gesetzgeber tut schon viel, wo sehen Sie aber die Eigenverantwortung des Bürgers?

Imke Sommer: Die Eigenverantwortung ist eine für sich selbst. Grundrecht auf informationelle Selbstbestimmung ist ein kommunikatives Grundrecht. Ich steuere meine Kommunikation. Die Steuerungskomponente ist hier wichtig. Aber wenn mir rechtswidrigerweise vorgegaukelt wird, ich könne es bestimmen, aber ich kann es nicht, dann sind diejenigen in der Pflicht. Dann sind es die Plattformen, die sich rechtswidrig verhalten und nicht die Leute, die sie nutzen. Die Leute sind dann nicht selbst Schuld, weil sie ein völlig legitimes Kommunikationsbedürfnis haben, sondern diejenigen, die die Bestimmungen nicht einhalten. Es gab früher die VZ-Netzwerke, die waren mit meinem damaligen Kollegen aus Berlin abgestimmt. Das waren legitime Kommunikationsplattformen. Es ist also nicht so, dass das nicht geht und das man unbedingt Datenschutzrechte verletzen muss, man kann das auch richtig machen, und das ist auch nicht der Grund, warum die VZ-Netzwerke gestorben sind, sondern das liegt daran, dass die anderen eben attraktiver geworden sind.

Man ist also nicht schuld daran, dass die Sachen irgendwo landen, trotzdem muss man wissen, dass sie irgendwo landen, wo man vlt. nicht möchte.

Bei den amerikanischen Playern war es immer so, dass die einfach gesagt haben, es interessiert sie nicht, was unser recht ist. Wir sind jetzt erst damit bei EuGH und da kommt das jetzt mit der doppelten Verantwortung und ich hoffe mal, dass der Generalanwalt unserer Argumentation da folgt. So lange dauert das eben, das muss man wissen. Jetzt geben die Betreiber ja sogar selber zu, dass das so nicht in Ordnung war und nun sind auch die Menschen in Verantwortung, die nun wissen, das ist rechtswidrig, was die da machen. Da ist jeder in der verantwortung zu entscheiden, mache ich das nun trotzdem oder nicht? Da ist es aber auch wichtig nun die, die das noch nicht verstehen, weil sie eben zu jung sind zu schützen, das ist auch ein wichtiges Anliegen der DSGVO.

Hier ist die Entzauberung auch wichtig, gerade bei Kindern, es ist eben nichts umsonst. Das ist leider nicht so, keiner gibt Euch was. Die dürfen ja auch nicht bei jemandem im Auto mitfahren. Das ist eine wichtige Arbeit.

Information der Menschen ist wichtig, die Menschen müssen darüber informiert werden, wie sie sich selber schützen können.

B.W. Bei manchen Sachen hat man ja auch eine Entscheidung. WhatsAPP ist immer mein Lieblingsbeispiel. WhatsAPP informiert mich bei der Anmeldung darüber, dass es die Daten auf meinem Handy weitergibt.  Also die Daten von anderen Personen verschenke ich an WhatsAPP, aber ich konnte mich ja entscheiden. Was ist mit der Sensibilität beim Umgang mit Daten anderer Personen?

Die kommt wieder, da bin ich ganz zuversichtlich. Innerhalb der ganzen Debatten, die da jetzt auftauchen, werden die Menschen auch mehr über ihre eigene Verantwortung im Umgang mit Daten anderer Personen nachdenken. Das muss auch klar sein, dass ich auch eine Verantwortung habe für die Daten anderer, die ich da einfach weitergebe.

Interessant ist in diesem Zuge der Umgang mit der Gesichtserkennungssoftware von Facebook. Hier gab es viele Eingaben, auch der verschiedenen Aufsichtsbehörden, die dazu geführt haben, dass Facebook diesen Dienst für ganz Europa ausgeschaltet hat. Da haben sie gemerkt, es gibt Sachen, hier z.B. das Recht am eigenen Bild, das wird hier anderes gesehen. Auch google Streetview, das wurde auch anders gesehen, google war überrascht.

Diese Vorkommnisse sind relevant für die Sensibilität. Die Leute kommen an den Punkt, hier ist Schluss, ich will nicht, dass jeder sieht, dass ich nicht aufgeräumt habe. Sowas bringt die Leute dazu, bestimmte Dinge auch mal anders zu sehen.

Zurück zum Beispiel WhatsAPP, das sehe ich auch so, diese Verantwortung müssen die Menschen tragen. Da ist dann nicht mehr WhatsAPP Schuld, man hat sich selber entschieden. Andere Messenger werden mehr und mehr genutzt, die kosten dann zwar was, aber die Daten werden anders behandelt.

BW: Was können Bürger tun, um ihre Daten besser zu schützen

Imke Sommer: Man muss sich schon auf die Suche machen, man muss bei der Installation einer APP schon lesen, was will die alles haben. Gutes Beispiel die google Taschenlampe, nur für die Funktion, dass das Blitzlicht als Lampe genutzt werden kann, dafür wollen die dann aber auch das Telefonbuch auslesen. Lesen muss man schon. Man kann nicht immer sagen, das ist mir alles zu kompliziert. Die Chance mit der DSGVO ist, dass man auch versteht, was man da liest. Wenn Menschen doch etwas finden, was sie nicht verstehen, dann sollen sie sich an die Aufsichtsbehörde wenden. Da haben wir dann einen Anknüpfungspunkt und wir kümmern uns drum.

Sich selbst beobachten und dabei sehen, was passiert mit meinen Daten und mit denen meiner Freunde? Und auch in der analogen Welt mal gucken. Alle, die in ihrem Beschäftigungsverhältnis etwas finden, ermutigen, sich bei uns zu melden. Die Beschwerden werden anonym gehandhabt. Es werden nur geschwärzte Akten weitergegeben, wenn die Menschen nicht möchten, dass ihr Name bekannt wird. Wir dürfen unsere Whistleblower schützen und das tun wir auch, weil sie eben auch etwas zu verlieren haben. Wir brauchen den Namen auch nicht, es geht um die Sache nicht um die Personen.

BW: Welche Projekte haben Sie sich als Landesbeauftragte für den Datenschutz für 2017/2018 vorgenommen?

Imke Sommer: Uns so optimal aufzustellen, dass wir möglichst viele unserer Aufgaben schaffen. Wir sind ganz gespannt, was da jetzt ankommt. Auch was aus den anderen Mitgliedsstaaten kommt. Wie wir DSGV gemeinsam auf den Weg bringen. Wir stellen uns besonders auf für Bußgelder.

 

Wir bedanken uns bei Frau Dr. Imke Sommer für das zugewandte Interview und die hilfreichen Informationen. Das Interview wurde geführt und bearbeitet von Britta Wellmann

Weiterführende Links:
DSGVO
Youngdata, Datenschutzinfos für Kids

 

Datenschutz im Verein

Datenschutz im Verein

Datenschutz im Verein, wie geht das? Ist das machbar nach DSGVO? Das geht doch gar nicht, ist alles viel zu aufwändig, wir machen das ja schließlich im Ehrenamt. In diesem Tenor sind die Fragen und Ängste, die mich in Bezug auf Umsetzung der DSGVO erreichen. Ich möchte mit diesem Artikel etwas aufklären und die Ängste nehmen.

DSGVO wird in der Presse sehr aufgebauscht, soviel neues ist aber gar nicht hinzugekommen. Das BDSG gab es schon vorher, es wurde lediglich erneuert, auch da schon mußte der Datenschutz im Verein eingehalten werden.

Ich sehe das als Barometer, diejenigen, die jetzt besonders aufgeregt sind, das sind diejenigen, die neu in das Thema Datenschutz einsteigen. Das heißt also, diejenigen, die sich vorher gar nicht darum gekümmert haben. DSGVO kommt  auch mit neuen Bußgeldern um die Ecke, das erhöht natürlich die Relevanz, also ist das Arbeitspaket für die bisherigen „Nichtdatenschützer“ ungleich höher. Die anderen, werden wenig Last mit dem Datenschutz im Verein haben, wenn sie ihn denn vorher schon ernst genommen haben.

Es ist also machbar, man kann gute und bequeme Wege finden, um dem Datenschutz im Verein genügend Raum zu geben.

Man muss nur endlich mal mit einer Bestandsanalyse anfangen und alle mit ins Boot holen. Im Ehrenamt finden sich ja ganz verschiedene Menschen zusammen, da ist Information natürlich ein wichtiges Thema.

Normale Vereine

Hierbei muss man sich anschauen, welche Daten anfallen und ob sie wirklichalle benötigt werden. Wir betrachten mal ein paar Beispiele: Reitverein, Sportverein, Kaninchenzüchter, Arbeitgeberverände etc. ich habe die Überschrift „normale Vereine“ genannt, um eine Unterscheidung treffen zu können s.u.

Diese Vereine verarbeiten natürlich personenbezogene Daten, hier kommen ganz normal DSDVO Kapitel 2 Abs 5ff in Betracht.

Die DSGVO bringt mehr Dokumentations- und Informationspflichten mit sich.  Eigentlich Selbstverständlichkeiten, diejenigen die bereits im Thema sind, müssen sicher nur Feinschliff machen, um dem Datenschutz im Verein gerecht zu werden.

Aber die Informationspflichten haben sich erweitert, man muss jeden Betroffenen, darüber informieren, welche Daten über ihn gespeichert werden und zu welchem Zweck. Ok, dafür braucht man also einen Prozess, wo gibt es diesen Fall, wer bearbeitet ihn, wie wird er dokumentiert?

Ein Beispiel: Jemand interessiert sich für den Verein und möchte gerne einen Termin vereinbaren. Der Verein nutzt ein „bequemes“ Contentmanagementsystem für seine Webseite, sagen wir mal WordPress.

Da könnte man das Kontaktformular gleich so gestalten, dass es nach dem Abschicken eine automatische Antwort an den Absender sendet. Beispiel abgekürzt:

„Vielen Dank für Ihre Anfrage…..
zur Bearbeitung Ihres Anliegens speichern wir die folgenden Daten von Ihnen:

Vorname
Nachname
Mailadresse

Die Daten werden nur zur Bearbeitung dieser Anfrage verwendet und nach Abschluß Ihres Anliegens von uns unwiderbringlich gelöscht………..“

Und so weiter, hier wäre man nun der Informationspflicht schon nachgekommen und alles geht automatisch, also wenig Arbeit. Mit Anfragen, die per Mail kommen, könnte man genauso verfahren, man erstellt sich eine Mailvorlage, die man in diesen Fällen immer benutzen kann.

Das ist nur ein Beispiel wie der Datenschutz im Verein smart gestaltet werden kann.

Natürlich muss man sich auch über andere Themen Gedanken machen, z.B. das Postgeheimnis. Wer bekommt welche Email, wie kommt der Verein bei einem Austritt der Person an diese Daten, wie werden sie übergeben an den nächsten Amtsinhaber, wer hat Zugriff auf den PC und die Mailadresse, lesenhier Angehörige mit…

besondere Vereine

Beispiele: Parteien, Gewerkschaften, Freimaurerlogen u.ä.

Dies sind alles Vereine, die Daten verarbeiten, die in Bezug zur pers. Meinung, Weltanschauung u.ä. stehen oder bei der die Zugehörigkeit zu einem solchen Verein bereits genau das ausdrückt.

Hier käme dann zusätzlich DSGVO Kapitel 2 Abs. 9 in Betracht:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Ein weiteres Zitat aus dem Datenschutzjahrbuch 2018 der Gesellschaft für Datenschutz und Datensicherheit (GDD) :

Datenschutz im Verein

Hier wird die Begrifflichkeit nochmal genauer abgegrenzt und mit Beispielen unterlegt.

Es sind besondere Massnahmen erforderlich, in Bezug auf den wirklichen Schutz dieser Daten. Meistens ist es ja auch so, dass solche Vereine sich eine Geheimhaltung ihrer Mitglieder zusätzlich selbst auferlegt haben, das sollte man dann auch umsetzen, denn es gibt Menschen, die persönliche, oder berufliche Nachteile durch das Bekanntwerden einer Mitgliedschaft in z.B. einer bestimmten Partei oder auch in einem Geheimbund zu befürchten haben.

Dieser Punkt ist besonders wichtig in Bezug auf den Datenschutz im Verein. Diese Teile der DSGVO sind aber auch keinesfalls neu, es gab sie vorher schon.

Es ist auch ganz wichtig zu betrachten, wo werden die Mitgliedsdaten gespeichert? Wie und wo und durch wen werden sie gesichert? Darf soetwas von Vereinsfremden durchgeführt werden, denn dort könnten dann die Daten eingesehen werden etc. Wer hat Zugriff auf die Rechner, an denen diese Daten verarbeitet werden.  Hier muss sehr sensibel agiert werden. Nochmal deutlich, hier geht es um den Schutz der Persönlichkeitsrechte der einzelnen Mitglieder, nicht um darum, was der Vorstand will. DSGVO kann man auch nicht durch Abstimmung aushebeln.

Auch ist zu überlegen, ob eine sogenannte Datenschutzfolgenabschätzung erstellt werden muss. Es könnte bei Bekanntwerden dieser Daten einen großen immateriellen Schaden für den oder die Betroffenen bedeuten, dafür sieht die DSGVO eine Abschätzung der Folgen vor.

Vereine mit minderjährigen Mitgliedern

Auch hier gelten erweiterte Regelungen, um die Persönlichkeitsrechte von Kindern zu schützen. Da ich in diesem Bereich nicht tätig bin, gehe ich an dieser Stelle nicht genauer darauf ein.

Fazit

Man muss sich darum kümmern, aber es ist mit vertretbarem Aufwand machbar. Man muss auch kein Jurist sein, das DSGVO und das BDSG sind meiner Ansicht nach, zwar nicht in allen Punkten eindeutig aber dennoch gut zu verstehen und es gibt auch genug Hilfestellungen im Netz.

Das war nur ein Kurzabriss für Vereinsfunktionäre, die gerade beginnen, sich mit diesem Thema auseinanderzusetzen.

autonomes Fahren – selbstfahrende Autos

autonomes Fahren

Autonomes Fahren klingt ja erstmal gut, ich gebe den Zielort ins Navi ein, drück den Attacke-Knopf und es geht los. Ich kann lesen, telefonieren, einen Film anschauen, Blogbeiträge schreiben, etc. Das ist doch super, oder?

Ich denke schon eine ganzes Weile über autonomes Fahren nach, es gibt für mich viele wichtige Aspekte, die inhaltlich für mich noch nicht ausreichend transportiert wurden. Ich will mal mit zweien beginenn.

Autonomes Fahren – was ist mit der Sicherheit?

Der eine ist der Sicherheitsaspekt, ich gebe ja die Verantwortung ab. An wen eigentlich? An den Hersteller des Fahrzeuges, im Prinzip, an den oder die Programmierer des Systems, die ich gar nicht kenne. Wie arbeiten sie so? Sind sie gewissenhaft, wurden alle Fälle bedacht, kann man überhaupt alle Fälle bedenken. Kann der Fahrer wirklich in Zukunft, wenn es ausgereift ist, etwas anderes machen? Oder muss der Fahrer stets mit aufpassen, um eingreifen zu können? Für einige wird autonomes Fahren sicher besser sein, als wenn sie selber fahren 😉

Autonomes Fahren – was ist mit der Haftung?

Wer haftet, wenn etwas passiert? Können technische Fehler ausgeschlossen werden? Greift bei technischen Fehlern die Produkthaftung? Oder ist es die Haftpflichtversicherung des Halters, der Halter oder Fahrer fährt ja gar nicht selber? Werden Probleme genauso behandelt wie jetzt beim Dieselskandal? Also, ich habe noch ganz viele Fragen zum autonomen Fahren. Trotzdem, als Wissenschaftler reizt mich auch die Technik, wäre doch toll, wenn das funktionieren würde.

Autonomes Fahren – was ist mit dem Datenschutz?

Jedes Auto wird eine rollende Internetadresse, sagt H. Müller-Pietralla in einem Spiegel-Artikel.

Welche Daten werden eigentlich wohin übertragen, wer ist dafür verantwortlich, wer hat Zugriff, wofür werden sie genutzt und wann wieder gelöscht? Auf jeden Fall muss es ja eine GPS-Ortung geben, die gibt es aber jetzt auch schon, jeder entscheidet sich ganz bewußt dafür, sich orten zu lassen, wenn er z.B. google Maps nutzt.

Wer sind die Nutznießer dieser Daten?

  • Benutzerdaten
  • GPS und Routendaten
  • Favoriten in Bezug auf Strecken
  • Fahrzeugdaten
  • Verbräuche
  • Wartungsintervalle
  • etc.

Das Datensammeln wird sicher gigantische Ausmaße haben und wieder werden alle mitmachen.

Ist autonomes Fahren in Bezug auf die Daten überhaupt zulässig, was für Mengen an Daten werden anfallen? Was sagen BDSG und DSGVO dazu?

Was denkt Ihr dazu? Ich bin ein bisschen unsicher, ob bei mir das Interesse am Technikfortschritt überwiegt oder ob ich mir Sorgen mache, welche Daten zusätzlich über uns gesammelt werden.

Europäischer Datenschutztag – eine Nachbetrachtung

12. Europäischer Datenschutztag

Der 12. europäische Datenschutztag stand unter der Schirmherrschaft der Landesdatenschutzbeauftragten von Niedersachsen Barbara Thiel. Er fand zum Thema digitale Souveränität in der niedersächsischen Landesvertretung in Berlin statt.

Die Eröffnung durch Barbara Thiel

Die Eröffnung sprach Frau Thiel, wie gewohnt zuversichtlich in Bezug auf das schwierige Thema.

Die Vortragenden sprachen unter anderem davon, dass die DSGVO die Chance bietet, eine Art Datenschutzkodex zu etablieren. Es geht um Menschenwürde, freie Entfaltung der Persönlichkeit und Persönlichkeitsrechte auch im Web. Deutschland ist hier ein Vorreiter. Bisher haben von den Mitgliedsstaaten nur Österreich und Deutschland die DSGVO in nationales Recht umgesetzt. Wir können froh sein, Europa ist momentan der Maßstab für den Datenschutz und hat damit die Chance, diesen Standard auf Themen wir künstliche Intelligenz, elektronische Beweisführung u.ä. anzuwenden.

Ja, digitale Souveränität, ich hatte ja bereits vor der Veranstaltung meine Gedanken dazu kundgetan .

Interessant war der Vortrag von Frau Renate Nikolay. Kabinettchefin der EU-Kommission für Justiz, Verbraucherschutz und Gleichstellung. Auch sie sprach von einer europäischen Datenschutzkultur über die selbst Unternehmen wie Facebook & Co. froh sind, da sie nun einen Standard anwenden können, der weltweit anerkant ist.

personenbezogen – nicht personenbezogen

Prof. Dr. Nikolaus Forgó von der Universität in Wien sprach darüber, dass es schwer ist, personenbezogene Daten von nicht personenbezogenen Daten zu trennen. Er brachte das Beispiel einer Fitness-APP, die die „anonymisierten“ Nutzerdaten dazu verwendet, Kartenmaterial zu erweitern. Oftmals ist es eben durch die kluge Verkettung von vermeintlich nicht personenbezogenen Daten möglich, die tatsächliche Person zu identifizieren.

Er nannte vermeintlich kostenlose Dienste „over the top“ Dienste. Der Preis für die kostenlosen Dienste sind die Daten.

Auch nichts Neues, nur neue Beispiele, sehr kurzweilig vorgetragen.

netzpolitik.org hat das Beispiel sofort aufgegriffen 😉

Algorithmenethik

Dr. Sarah Fischer von der Bertelsmannstiftung sprach über Algorithmenethik.  Algorithmenbasierte Systeme haben den Zweck, Diskriminierungen zu vermeiden, trotzdem kämen Diskriminierungen vor. Sie nannte ein Beispiel aus den USA, in dem Menschen mit dunkler Hautfarbe diskriminiert wurden. Hier stellt sich mir sofort die Frage, warum man die Hautfarbe erfassen muß, wofür benötigt man diese Information? Also eigentlich überhaupt kein Agorithmenproblem, sondern ein Prozessproblem. Sie schlug unter anderem vor, den Quellcode von Softwareprodukten durch Experten genauer auf Schwachstellen, die zu Diskriminierungen führen können, genauer zu untersuchen.

Nun, ja, als Softwareentwickler hat mich dieser Vortrag in Erstauen versetzt. Ich entwickle Software seit 1986, diese Herangehensweise erscheint mir in einer Kurve hängengeblieben zu sein. Der Auftraggeber bestimmt die Algorithmen und der Kontrollzwang wohnt eben in jedem Menschen, natürlich werden Algorithmen bewußt dazu genutzt, um vermeintlich nicht beeinflußbare Auswahlverfahren dazu zu nutzen, eben doch die gewünschte Auswahl zu treffen. Hier hilft die Überprüfung der Anwendung zum Thema Datensparsamkeit.

Eher ein Vortrag mit sozialwissenschaftlicher Herangehensweise.

netzpolitik.org

Ein Highlight während des europäischen Datenschutztages war für mich Markus Beckedahl von netzpolitik.org. Mir gefiel auch, dass dies kein Vortrag war, sondern mit dem Moderator der Veranstaltung als Gespräch gestaltet wurde. Hier kamen Statements aus der Praxis, auch die Ambivalenz zwischen gesetzlichen Datenschutzregelungen und wirtschaftlichen Interessen wurde thematisiert. Hier wurden unsere Kanzlerin Frau Merkel und Herr Dobrindt zitiert, die natürlich in Bezug auf die Daten gerne aus dem Vollen schöpfen würden und die DSGVO mehr als Wirtschaftsverhinderungsinstrument ansehen. Natürlich, auf der einen Seite ist Datenhaltung wichtig für die Unternehmen, auf der anderen Seite steht der Datenschutz. Ein Drahtseilakt…

Ach, was könnte man mit Mautbrücken alles erfassen…

Europ. Datenschutztag – Mein persönliches Fazit

Der Datenschutztag war eine schöne Veranstaltung, sehr gut moderiert, interessante Redner. Leider war das Meiste einigermaßen praxisfern. Was mich gestört hat, ist die einseitige Betrachtung der Verantwortung. Die Regierung muss, die Unternehmen müssen, DSGVO soll regeln etc. Ich bin der Meinung, dass derjenige, der digitale Souveränität möchte, auch in die Pflicht genommen werden muß.

Wir werden alle mit Intelligenz geboren, lesen lernen wir in der Schule, jeder kann sich informieren. Immer anzuprangern, dass Schulen, die Regierung und R2D2 (oder wer auch immer) nicht genügend tun, finde ich einseitig und sehe es als ganz großes Problem in unserer Gesellschaft an. Wir sind eine Gesellschaft von Konsumenten geworden, immer meckern und schimpfen, aber nie selber Verantwortung übernehmen.

Wenn ich alle meine persönlichen Daten bei Facebook hochlade, dann habe ich mich selber aktiv dafür entschieden. Wenn ich Alexa nutze, ist nicht Amazon schuld, sondern ich habe es gekauft und Punkt. Und wenn ein Schaden entsteht, habe ich es wahrscheinlich einfach nur hingestellt und angeschaltet, mich aber nicht genügend damit auseinandergesetzt.

Ich übertreibe bewußt etwas, aber diese einseitige Verantwortlichkeit geht mir ganz entschieden gegen den Strich. Wir haben gute Gesetze, es ist aber auch eine Bürgerpflicht sich zu informieren. Souveränität eben! Wir können kein Gesetz erfinden, dass mich vor mir selbst schützt.

Es gab doch mal den Schnack: Unwissenheit schützt vor Strafe nicht.

Natürlich, Datenschutz durch Technik unterstützt die digitale Souveränität. Es ist gut, wenn die Grundeinstellungen zum Schutz der Nutzerdaten grundsätzlich sehr streng sind und ich sie als Nutzer dann lockern kann. So etwas sollte auf jeden Fall unterstützt werden.

Datenschutz durch Verantwortung?

ABER: Wenn sich die Menschen nicht informieren, ist nicht automatisch „werauchimmer“ schuld. Genau diese Menschen schaffen es ja sonst auch, sich über Ihre bevorzugten Themen zu informieren, Sport, Urlaub etc. Datenschutz ist einfach langweilig, ist ja klar, aber man kann nicht die Verantwortung abgeben. Bevor man die Dienste nutzt, kann man auch mal den „Beipackzettel“ lesen,

Eins meiner Lieblingsbeispiele: googlemail. Google hat in seinen Datenschutzbedingungen stehen, dass sie Inhalte von Mails lesen (ja, ja um die Werbeangebote zu verbessern und so). Wie viele Menschen kennt ihr, die ein google Mailkonto haben? Und jetzt mal, um zu provozieren, was passiert, wenn ihr zu einem solchen Nutzer nach Hause fahrt und dort die Post aufreißt? Ach, aber google darf das?

Der digitale Souveränität kann man sich meines Erachtens nur annähern, wenn man andere Geschäftsmodelle unterstützt. Ein Dienst, der kostenlos ist, kann dies nicht wirklich sein, das wäre nicht wirtschaftlich. Wir bezahlen den Dienst mit unseren Daten. Wenn ich meine Daten nicht hergeben möchte, dann muss ich dafür Penunzen, karibische Perlen etc. rüberrücken und gut. Früher haben wir auch Navigationsgeräte gekauft und für die Kartenupdates bezahlt. Wie oft nutzt Ihr jetzt den „kostenlosen“ google-Dienst maps? Die vielen Fernsehkanäle, die ihr vermeintlich benötigt, sind Euch ja auch ein paar Euros wert. Also entscheidet Euch souverän, welche Dienste Ihr nutzen wollt.

Sozusagen: Fairtrade im Internet, falls Ihr mir folgen könnt