Schlagwort: BayLDA

Online-Test zur Vorbereitung auf die DSGVO für Unternehmen und Verantwortliche

27. November 2017

Das bayerische Landesamt für Datenschutzaufsicht, kurz BayLDA, hat am vergangenen Freitag einen Online-Selbsttest, für Unternehmen und andere Verantwortliche, hinsichtlich Compliance mit der EU-Datenschutzgrundverordnung (DSGVO) veröffentlicht.

Inzwischen sollte es kein Geheimnis mehr sein, dass die DSGVO am 25.Mai 2018 wirksam wird und bis dahin die Änderungen und Anforderungen der DSGVO umgesetzt sein müssen. Von der 2 jährigen Umsetzungszeit seit in Kraft treten der DSGVO ist nur noch ein Viertel, sechs Monate, über. Es ist also höchste Zeit sich einen Überblick über die Anforderungen zu machen und mit der Umsetzung der erforderlichen Maßnahmen zu beginnen.

Der Test führt bildlich durch alle EU-Mitgliedsstaaten und enthält 28 Fragen mit jeweils drei Antwortmöglichkeiten zu Themen der DSGVO. Die detaillierte Auswertung am Ende des Tests gibt Aufschluss über den Stand der Umsetzung der DSGVO im Unternehmen und zeigt auf, welche gesetzlichen Anforderungen bis zum 25. Mai 2018 noch umgesetzt werden müssen.

Bei dem Selbsttest handelt es sich nicht um ein Wissensquiz, sondern um eine Hilfe für Unternehmen und Verantwortliche, um festzustellen, was noch getan werden muss.

Der Test ist auch in englischer Sprache verfügbar.

Bayerisches Landesamt für Datenschutzaufsicht veröffentlicht Fragebogen zur Vorbereitung auf EU-DSGVO

29. Mai 2017

Nachdem am 25.05.2017 „Halbzeit“ der Vorbereitungszeit von Unternehmen an die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) erreichte, hat  das Bayerische Landesamt für Datenaufsicht (BayLDA) einen Prüffragebogen veröffentlicht. Der Prüffragebogen vermittelt verantwortlichen Stellen einerseits einen Eindruck darüber, wie ab Mai 2018 Prüfungen durch das BayLDA ablaufen könnten.

Gleichzeitig ist der Prüffragebogen ein gutes Instrument festzustellen, hinsichtlich welcher Aspekte Unternehmen ihre Prozesse und Systeme noch nicht EU-DSGVO-konform gestaltet haben. Zwar enthält die EU-DSGVO viele der bereits bekannten Grundsätze und Prinzipien. Insbesondere hinsichtlich der Rechte der Betroffenen sowie der Dokumentationspflichten bestehen jedoch wesentliche Unterschiede im Vergleich zur jetzigen Rechtslage.

Zwar enthält der Prüffragebogen alle wesentlichen Neuerungen. Jedoch darf sein zweiseitiger Umfang nicht darüber hinwegtäuschen, dass die Anpassung der Systeme und Prozesse eine zeitintensive Aufgabe ist.

BayLDA: Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden!

2. September 2015

Wer einen externen Dienstleister als so genannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz – so auf Bundesebene § 11 Bundesdatenschutzgesetz (BDSG) –  schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann. So viel die Theorie.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun nach eigenen Angaben gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt, weil dieses in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hatte, sondern dort nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes aufzufinden waren. Das BayLDA wies darauf hin, dass die keinesfalls ausreichend ist. Die datenschutzrechtliche Verantwortung trage auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser müsse daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch müsse der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür sei es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so könne der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Das BayLDA betont, dass nicht pauschal beantwortet werden kann, welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen. Dies richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Der schriftliche Auftrag muss daher spezifische Festlegungen zu diesen Fragen enthalten.

„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“, so der Präsident des BayLDA Kranig. „Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigne- ten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

BayLDA: Achtung auf Kundendaten beim Unternehmensverkauf!

19. August 2015

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nach eigenen Angaben Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem  mittlerweile unanfechtbaren Bußgeld in jeweils fünfstelliger Höhe belegt.

Im konkreten Fall ging es um die unzulässige Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Rahmen eines Asset Deals. Diese erfolgte ohne die explizite Einwilligung der betroffenen Kunden. Damit wurde gegen das Datenschutzgesetz verstoßen, was wegen des Umstandes, dass es sich bei E-Mail-Adressen um personenbezogene Daten handelt, anwendbar ist. Zugleich wurde gegen das Gesetz gegen den unlauteren Wettbewerb verstoßen, wonach ebenfalls eine Einwilligung des Kunden von Nöten ist, wenn der Erwerber die Daten auch zu Werbezwecken verwenden möchte.

Das BayLDA hat klargestellt, dass für die unzulässige Übergabe von Kundendaten sowohl der Veräußerer als auch der Erwerber als sogenannte „verantwortliche Stellen“ die datenschutzrechtliche Verantwortung tragen. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000,- € geahndet werden können.

BayLDA: Bußgeld für Veröffentlichung von DashCam-Aufnahmen

7. Oktober 2014

Das Bayerische Landesamt für Datenschutzbeaufsicht (BayLDA) hat angekündigt, künftig gegen die unzulässige Veröffentlichung von DashCam-Aufnahmen vorzugehen. Wenn bekannt werde, dass Autofahrer die mit ihrer Dashcam aufgenommenen Videofilme an Polizei, Versicherung oder ähnliche weitergeben oder im Internet veröffentlichen, würde das BayLDA prüfen, ob im jeweils konkreten Fall der Erlass eines Bußgeldbescheides angezeigt ist. Dabei sei eine Bußgeldhöhe von bis zu 300.000 EUR möglich. Das permanente Aufnehmen des Straßenumfelds mit einer Dashcam sei datenschutzrechtlich unzulässig, wenn diese Aufnahmen mit dem Ziel gemacht werden, sie bei passender Gelegenheit an Dritte zu übermitteln, sei es durch Veröffentlichung im Internet auf Youtube, Facebook oder anderen Plattformen oder auch durch Weitergabe der Aufnahmen an Polizei, Versicherung oder sonstige Dritte. Nur dann, wenn von Anfang an fest steht – und das auch bis zum Ende, d.h. dem Löschen der Aufnahmen, durchgehalten wird – , dass derartige Aufnahmen den privaten und persönlichen Bereich nicht verlassen, seien die Vorschriften des Bundesdatenschutzgesetzes nicht einschlägig.

BayLDA: Anlasslose Datenschutzprüfungen in Anwaltskanzleien

6. Juni 2014

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führt derzeit nach Angaben der Rechtsanwaltskammer München „anlasslose Datenschutzprüfungen“ nach § 38 Bundesdatenschutzgesetz (BDSG) in Anwaltskanzleien durch. Im Vorfeld würden zehn zufällig ausgewählte Prüfpunkte benannt, die Gegenstand der Prüfung sind. Potentielle Prüfungsgegenstände seien z.B. eine datenschutzgerechte Datenträgervernichtung, der Einsatz einer Ende-Zu-Ende-Verschlüsselung bei E-Mail-Kommunikation, der sichere Abruf der E-Mails vom Mail-Server, eine sichere IT-Infrastruktur zwischen den Standorten, die Nutzung eines sicheren E-Mail-Dienstleisters, der beanstandungsfreie Einsatz von Google-Analytics, eine HTTPS-Verschlüsselung beim Einsatz besonderer Dienstleistungen über die Kanzlei-Website, der Einsatz von Leasing-Geräten (z.B. Drucker, Scanner, … ), das Backup-Konzept der Datenträger sowie die Gewährung hinreichender Zutrittskontrolle. Die Prüfung beziehe sich schwerpunktmäßig auf die technisch organisatorischen Maßnahmen nach § 9 BDSG. Ein Einblick in Mandantenakten oder die Kommunikation mit Mandanten soll nicht Bestandteil der Prüfung sein. 

BayLDA: Bußgeld an Mitarbeiter wegen Nutzung eines offenen E-Mail-Verteilers

3. Juli 2013

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nach eigenen Angaben gegen eine Mitarbeiterin eines Handelsunternehmens ein Bußgeld verhängt, weil diese mit einem offenen E-Mail-Verteiler personenbezogene E-Mail-Adressen einem großen Empfängerkreis übermittelt hat. Die Mitarbeiterin habe an einen Kunden eine E-Mail versendet, die ausgedruckt zehn Seiten umfasste, wobei neuneinhalb Seiten die E-Mail-Adressen anderer Personen beinhalteten. Die eigentliche Information, dass man sich zeitnah mit dem Kundenanliegen befassen werde, habe lediglich eine halbe Seite ausgefüllt.

Die Verwendung dieses offenen E-Mail-Verteilers stellt nach Darlegung des BayLDA einen Datenschutzverstoß dar, weil weder eine Einwilligung der Betroffenen noch eine gesetzliche Grundlage die Übermittlung von E-Mail-Adressen, die personenbezogene Daten darstellen, vorgelegen haben. Aufgrund der erheblichen Anzahl von E-Mail-Adressen habe man es nicht mehr bei einer (folgenlosen) Feststellung der datenschutzrechtlichen Unzulässigkeit belassen können, sondern ein Bußgeld verhängen müssen, so das BayLDA. Man werde in Kürze in einem vergleichbaren Fall einen Bußgeldbescheid nicht gegen den konkreten Mitarbeiter, sondern gegen die Unternehmensleitung erlassen. Dies sei darauf zurückzuführen, dass in manchen Unternehmen dem Versand von E-Mails an Verteiler nicht hinreichende Bedeutung beigemessen werde und die Mitarbeiter entweder nicht entsprechend angewiesen oder überwacht werden.