Schlagwort: Datenschutzbeauftragter

Bundesrats-Ausschüsse empfehlen die Befreiung von der Benennungspflicht von Datenschutzbeauftragten

9. Oktober 2018

Mit dem Ziel Vereine, Freiberufler und kleine oder mittelständische Unternehmen (kurz KMU) hinsichtlich der Pflichten zur Einhaltung datenschutzrechtlicher Anforderungen zu entlasten, haben zwei Bundesratsausschüsse, namentlich der Ausschuss für Innere Angelegenheiten und der Wirtschaftsausschuss, nach einer Bekanntgabe auf Twitter durch Prof. Jürgen Taeger empfohlen, die in § 38 BDSG geregelte Pflicht zur Benennung eines Datenschutzbeauftragten ab einer Mitarbeiteranzahl von zehn Personen abzuschaffen oder zumindest zu Gunsten der Verantwortlichen aufzulockern.

Vorgeschlagen wurde, die Pflicht gänzlich abzuschaffen oder die Pflicht auf Unternehmen zu begrenzen, die entweder personenbezogene Daten „zu gewerblichen Zwecken“ verarbeiten oder zumindest 50 Mitarbeiter beschäftigen, die mit der Verarbeitung personenbezogener Daten beauftragt sind.

Fraglich ist jedoch, wie die empfohlenen Änderungen im Rahmen der Benennungspflicht die genannten Arten der verschiedenen verantwortlichen Stellen tatsächlich entlasten würden. Denn die Auflockerung der bloßen Benennungspflicht bedeutet nicht, dass dies auch positive Auswirkungen im Hinblick auf die weiteren datenschutzrechtlichen Pflichten, insbesondere aus der DSGVO haben würde. Weiterhin müssten die Verantwortlichen den großen Pflichtenkatalog aus der DSGVO genauso erfüllen wie bisher, nur, dass sie im Zweifel dann keinen Datenschutzbeauftragten mehr benennen müssten, der eine besondere Fachkenntnis vorweisen muss. Es ist daher anzunehmen, dass das Abmahn- und Bußgeldrisiko daher sogar im Vergleich zur derzeitigen Lage steigen könnte.

Im Ergebnis ist die Entwicklung hinsichtlich der Empfehlungen der beiden Bundesratsausschüsse mit Spannung zu verfolgen – sinnvoll erscheinen diese bis dato allerdings wenig.

Umgang mit der DSGVO in Vereinen

27. Juni 2018

Die EU-Datenschutzgrundverordnung beschäftigt derzeit auch die vielen Vereine. Um den Anforderungen der Verordnung gerecht zu werden, sollten einige Umsetzungsmaßnahmen auch in den einzelnen Vereinen erfolgen.

Neben der Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO, sollten neben einer möglichen Einwilligung,  personenbezogene Daten nur verarbeitet werden, wenn eine Rechtsgrundlage hierfür gegeben ist. Bei Vereinen dürfte der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung in den meisten Fällen als Rechtsgrundlage i.S.d. Art 6 DSGVO dienen. Für einen Newsletterversand u.Ä. wäre darüber hinaus jedoch eine datenschutzkonforme Einwilligungserklärung nötig.

Die Mitglieder müssen zudem über die Datenverarbeitungsvorgänge informiert werden. Um möglichen Abmahnungen zu entgehen, sollten Vereine die Vereinswebsite prüfen und eine Datenschutzerklärung einfügen.

Es empfiehlt sich, ob rechtlich verpflichtet oder nicht, einen Datenschutzbeauftragten zu benennen, um im Verein einen Anpsprechpartner zu etablieren, der einen Überblick über die Datenschutzthemen behält.

Anordnung des Hamburger Datenschutzbeauftragten gegen Google hat Bestand

26. Januar 2018

Ein von Google angestrengtes Verfahren vor dem VG Hamburg bleibt ohne Erfolg. Die beanstandete Anordnung des Hamburger Datenschutzbeauftragten Johannes Caspar hat Bestand.

Der Konzern hatte sich gegen eine Anordnung des Hamburger Datenschutzbeauftragten gewendet, die Googles Verhalten bei der Sammlung von Nutzerdaten betraf. Sie sollte gewährleisten, dass der Datenschutz, bei der Verarbeitung personenbezogener Daten von Nutzern, beachtet wird. Kritisiert wurde insbesondere, dass Google seine Nutzer nicht über die Zwecke der Verwendung informierte. Zusätzlich wurde kritisiert, dass umfassende Profile der Nutzer erstellt wurden, ohne eine ausreichende Rechtsgrundlage für die Zusammenführung der Daten aufzuweisen. Schließlich bemängelte er, dass eine Speicherdauer der Daten nicht geregelt sei. Insgesamt sah der Hamburger Datenschutzbeauftragte in diesen Maßnahmen von Google tiefgreifende Eingriffe in die schutzwürdigen Interessen betroffener Nutzer.

Der Datenschutzbeauftrage Caspar kam dabei zum selben Ergebnis wie die Artikel-29-Gruppe der europäischen Datenschutzbeauftragten. Anlass der Untersuchung durch die Artikel-29-Gruppe war die Änderung der Datenschutzerklärung von Google im Jahr 2012.

Zwar nutzte Google die möglichen Rechtsmittel gegen die Anordnung, jedoch suchte der Konzern gleichzeitig mit den beteiligten Aufsichtsbehörden einen Konsens, um die bemängelten Punkte zu beheben. Mittlerweile erfolgte laut Johannes Caspar eine Abstimmung mit den Aufsichtsbehörden, sodass das Verfahren vor dem VG Hamburg nun eingestellt werden konnte. Damit hat die Anordnung nun rechtskräftig Bestand.

Laut Caspar wurde ein Zeichen gesetzt, für die Stärkung von Transparenz und informationeller Selbstbestimmung. Zudem merkte er an, dass zukünftig durch die DSGVO ein strikteres Koppelungsverbot gelten werde und so die Marktmacht globaler Anbieter noch stärker begrenzt werde.

 

Umfrage: Defizite beim Datenschutz in kleinen und mittleren Unternehmen

2. Juli 2015

Viele deutsche Unternehmen mit weniger als 100 Mitarbeitern haben in Sachen Datenschutz deutlichen Nachholbedarf, wie eine Umfrage des Aktenvernichtungsunternehmens Shred-it jüngst ergab.

Fast drei Viertel der Unternehmen sollen beispielsweise keine Regelungen aufgestellt haben, die die datenschutzkonforme Aufbewahrung und insbesondere auch Vernichtung von vertraulichen Daten thematisieren. Unsicherheit bestehe bereits im Vorfeld bei der Frage, welche Daten tatsächlich als vertraulich einzustufen und damit sicher aufzubewahren und zu vernichten sind. So gaben 35 Prozent der Befragten an, dass ihre Unternehmen über keine Dokumente verfügen, deren Verlust sich geschäftsschädigend auswirken würde. Bei dieser Angabe wird außer Acht gelassen, dass fast ausnahmslos jedes Unternehmen personenbezogene Daten – etwa von Mitarbeitern, Kunden, externen Dienstleistern – erhebt und verarbeitet. Personenbezogene Daten fallen unter das Bundesdatenschutzgesetz und sind insoweit auch stets vertrauliche Informationen. Der Verlust von personenbezogenen Daten kann zum einen zu Imageschäden führen,  zum anderen auch als Ordnungswidrigkeit oder Strafbarkeit einzustufen sein. Auch besteht u.U. eine Verpflichtung zur Information, wenn besondere Datenkategorien betroffen sind und der Verlust der Daten zu einer unrechtmäßigen Kenntniserlangung durch Dritte geführt hat.

Ein interner oder auch externer Datenschutzbeauftragter gibt die erforderliche Hilfestellung bei Fragen der Klassifizierung, der Aufbewahrung und der rechtskonformen Löschung von Daten und natürlich auch der Einhaltung des Datenschutzes insgesamt. Allerdings haben lediglich ein Fünftel der befragten kleinen und mittelständischen Unternehmen einen solchen bestellt – anders als bei Unternehmen mit mehr als 250 Mitarbeitern, wo immerhin 92 Prozent einen Datenschutzbeauftragten bestellt haben.

 

Erneute Kritik an Unister: Verstoß gegen Datenschutz?

17. Dezember 2012

Nachdem am Freitag der dritte Manager der Leipziger Internetfirma Unister, der zu den Führungskräften gehört, gegen die wegen Steuerhinterziehung ermittelt wird, verhaftet worden sein soll, soll der Konzern Medienberichten zu folge auch gegen Datenschutzrecht verstoßen haben.

Einer der Geschäftsführer der Internetfirma fungiere zugleich als betrieblicher Datenschutzbeauftragter. Dies verstoße jedoch gegen § 4f BDSG, da er als Mitgesellschafter wirtschaftliche Eigeninteressen besäße, somit einer Interessenkollision unterliege und damit den Schutz sensibler Kundendaten nicht gewährleisten könne.

Zudem soll Unister Anfang Dezember laut Bericht des mdr vor dem Verwaltungsgericht Leipzig ein Verfahren gegen den Sächsischen Datenschutzbeauftragten verloren haben, das Unister nun zu einer Offenlegung seiner Datenverarbeitungsprozesse verpflichte. Die Entscheidung sei jedoch noch nicht rechtskräftig.

Berliner Datenschutzbeauftragter: Gefahren für den Missbrauch von persönlichen Daten sind 2011 erheblich gestiegen

4. April 2012

Der Berliner Datenschutzbeauftragte Dr. Alexander Dix hat in seinem Jahresbericht 2011 auf die stark erhöhte Gefahr eines Missbrauchs bei der Nutzung und Verarbeitung von privaten Daten hingewiesen.

Die Privatsphäre des Bürgers sei insbesondere durch neuartige Überwachungstechniken in Staat und Wirtschaft bedroht. Hier nimmt der Bericht vor allem Cloud-Computing sowie soziale Netzwerke aber auch den Einsatz von sogenannten Staatstrojanern ins Visier.

Unternehmen und Behörden müssten ebenfalls bei der Nutzung von Cloud-Computing die grundsätzlichen Anforderungen an Datenverarbeitungsprozesse, zu denen neben Informationssicherheit etwa auch Kontrollierbarkeit, Transparenz und Beeinflussbarkeit gehörten, erfüllen.

Facebook-Nutzern rät der Datenschutzbeauftragte die Timeline Funktion nicht zu aktivieren oder zumindest die Reichweite in die Vergangenheit zu begrenzen. Zudem sollte es Facebook-Apps und anderen Webseiten verwehrt sein, Einträge ungefragt auf die persönliche Neuigkeiten-Seite zu schreiben.

Im Rahmen der in der Vergangenheit kontrovers diskutierten staatlichen Maßnahmen wie die gesetzliche Verankerung der Online-Durchsuchung und die durch das Bundesverfassungsgericht vorgenommene Abgrenzung zur unzulässigen Quellen-Telekommunikationsüberwachung kommt der Bericht zu dem Ergebnis, dass die „Informationelle Selbstbestimmung, Persönlichkeitsrechte und die sich daraus ergebenden Forderungen für die Freiheit des Einzelnen nach den Vorgaben des Grundgesetzes […] zusehends in die Defensive gegenüber den Interessen des Staates zur Vorbeugung und Verfolgung von Straftaten und zur Gewährleistung von Sicherheit und Ordnung [geraten].“

Eine weitere besondere Herausforderung für den Datenschutz sieht der Datenschutzbeauftragte darin, dass große internationale – vor allem aber US-amerikanische – Unternehmen, wie Google, Apple, Amazon und vor allem Facebook immer größere Mengen an personenbezogenen Daten verarbeiten und speichern ohne dabei das deutsche und europäische Datenschutzrecht hinreichend zu berücksichtigen.