Open Password – Dienstag,
den 22. Mai 2018
# 368
Royals – Harry & Meghan – Robert Jobson – Ann Chapmann-Daniel – Minesoft – DSGVO – Willi Bredemeier – Enno Park – Risiken – kleine Anbieter – Jan Philipp Albrecht – Datenschutzbehörden – Abmahnanwälte – Sascha Lobo – Spiegel – Facebook – Google – Überwachungsstaat – Cyber-Krieg – Datenschutzdebatte – hbz – Michael Nelißen – Klaus Graf – Internet in Bibliotheken – Michael Logies – Datenschutzkonferenz – Bestandsaufnahme – Datenverarbeitung – Rechtsgrundlage – Betroffenenrechte – Informationspflichten – Einwilligung – Auftragsverarbeiter – Folgenabschätzung – Datenschutzbeauftragter – Dokumentationspflichten – Meldepflichten – Privacy by Design – Privacy by Default – Datenschutz als Wettbewerbsvorteil
Harry and Meghan say:
„I will“
Minesoft patron of the official
Wedding Album
Minesoft, the London-based global Intellectual Property solutions provider, will appear in Harry & Meghan – The Wedding Album, written exclusively by Royal Biographer, Robert Jobson and published by St James’s House this Summer.
This magnificent 300-page book will feature exquisite photography from throughout the royal couple’s lives, from their early years, to the tale of their engagement, to the build-up to the big day.
“It is an honour to be included alongside leading charitable organisations and business. Our work in spreading detailed information about technological & scientific innovation to developed and less developed countries will hopefully benefit some of the causes close to the hearts of Harry and Meghan in the future too” Ann Chapman-Daniel, Co-Founder and Managing Director of Minesoft commented.
As a London-headquartered company, with strong roots in the local community – Minesoft is pleased to have been selected as an official sponsor of and editorial contributor to the Harry and Meghan wedding album. Minesoft was awarded the prestigious Queen’s Award for Enterprise in 2009 and again, in 2015 for its impressive, sustained growth in International Trade.
Noch drei Tage bis zur DSGVO (1)
Statt unnötiger Arbeiten, unklarer Anforderungen, hoher Risiken,
Einstellung von Services und
faktischer Förderung der großen Anbieter:
Lasst die Kleinen in Ruhe!
Von Willi Bredemeier
Am Samstag erreichte mich die Mail eines Branchenschwergewichtes, nachdem ihn die vorbereitenden Arbeiten für die in fünf Tagen in Kraft tretende Datenschutzgrundverordnung entnervt hatten: „Dies findet zurzeit millionenfach in Deutschland statt. Ich bitte Dich und nutze Deinen Einfluss und Stimme, um der Politik klarzumachen, dass man einen echten Sockenschuss hat.“ Was er nicht schrieb, aber gemeint haben dürfte: „Wann kann ich endlich zu meiner Arbeit zurückkehren?“
Abgesehen davon, dass hier meine Einflussmöglichkeiten auf die Politik überschätzt worden sind, erhebe ich gern meine Stimme für die „Kleinen“ oder für die „Blogger, Arztpraxen, Fotografen, Onlinehändler, Influencer, Buchhaltungsbüros, Journalisten, Youtuber, kleinen und großen Vereine, Open-Source-Entwickler, Webdesigner, Coaches, Aktivisten, Berater oder Seelsorger, also genau diejenigen, die ganz offenbar immer wieder durch Datenmissbrauch auffallen und dringend mal strenger reguliert werden müssen“, wie sie Enno Park in seinem Rant „Warum die DSGVO eine Datenschutzkarrikatur ist“ zusammengefasst hat (www.ennopark.de/2018/05/14). Nicht zu vergessen die Broker und dazu die gemeinnützigen Einrichtungen wenn nicht gar Privatpersonen, die schon unter das DSGVO fallen könnten, wenn ihr Handeln nicht gewerbsmäßig, sondern nur geschäftsmäßig ist, oder wenn sich ihr Handeln unter irgendeinem Aspekt als gewerbsmäßig ansehen ließe.
Der Ärger der „Kleinen“ wird schon angesichts der Menge der für sie mit dem DSGVO vorbereitenden und im laufenden Betrieb zusätzlich anfallenden Arbeiten verständlich. Diese Arbeiten potenzieren sich, da die DSGVO für Nicht-Juristen in einem schwer verständlichen „Legalesisch“ und zum Teil extrem vage verfasst ist. Zum Ärger über die als unnötig angesehenen Arbeiten gesellt sich damit die Unsicherheit, ob man die Vorgaben des DSGVO überhaupt erfüllt hat. Dazu Park: „Wir haben heiße Debatten in den sozialen Medien geführt und dabei alles und sein Gegenteil über die DSGVO gelesen, und zwar durchaus auch von gestandenen Juristen und Datenschutzexperten.“
Dies führt direkt zum dritten Grund für den Ärger der „Kleinen“, nämlich zu dem Risiko, von Datenschutzbehörden mit exzessiven Geldstrafen (bis zu 4% des Jahesumsatzes) belegt oder von Anwälten mit Abmahnungen und entsprechenden hohen Gebühren überzogen zu werden. Der grüne Europapolitiker Jan Philipp Albrecht hat diese Bedenken unter „DSGVO – häufig gestellte Fragen, häufig verbreitete Mythen“ zu zerstreuen versucht: „Die Datenschutzbehörden haben schon deutlich gemacht, dass sie nicht vorhaben, jetzt sofort bei den kleinen Bloggern die Türen einzutreten und hohe Bußgelder zu verhängen. Dafür haben sie nicht die Mittel und auch nicht das Interesse.“ Und auf die angebliche Panikmache, dass „große Mengen digitaler Nebenbei-Projekte aus Furcht abgeschaltet werden: Archive, halbprivate Fachforen, historisch interessante Websites“, antwortet er: „Wenn das so wäre, hätten die Abmahnanwälte bisher auch Datenschutzverstöße durch kleine Blogs ausnutzen können. Das war aber nicht der Fall“ (www.jan.albrecht.eu).
Mag sein, mag auch nicht sein. Aber ist es nicht bereits ärgerlich, vom gütigen Paternalismus der Datenschutzbehörden abhängig zu sein? Und was nützt es einen Freiberufler, wenn ausgerechnet ihn eine exzessive Bestrafung durch eine wildgewordene Datenschutzbehörde trifft, wenn es sich bei ihm um eine Ausnahme handelt?
Ärger Nummer 4 beruht auf der Befürchtung, dass das DSGVO (wie bereits heute viele Datenschutzbestimmungen) als Vorwand für bürokratische Untätigkeit genutzt wird oder sich das Freude-Leid-Verhältnis bei vielen Idealisten und gemeinnützig Tätigen so sehr verschlechtert, dass sie ihren Dienst an der Gemeinschaft lieber einstellen als sich auch noch mit der DSGVO herumzuschlagen. Dass diese Furcht eine reale Basis haben dürfte, geht auch aus dem im nächsten Beitrag erörterten Beispiel hervor. Sascha Lobo folgert im Spiegel unter „Wer macht mir die geileren Vorschriften?“: „Die halbprivate Seite wird riskanter als die Nutzung einer Plattform. Das ist keine gute Nachricht für das freie Web: es stärkt die großen Plattformen“ (www.spiegel.de/netwelt.de).
Ärger Nummer 5 kann in einem tiefen Gefühl, ungerecht behandelt zu werden, und in einer grundsätzlichen Skepsis münden, ob Politik sachgerecht zu handeln imstande ist. Denn ist es nicht absurd, zusätzlich gegängelt zu werden, weil die Politik angeblich Facebook und Google ans Leder will, tatsächlich aber vor allem die Kleinen getroffen werden, während wir die Datenschutzhinweise der Internet-Konzerne wahrscheinlich weiter so wegklicken respektive ihnen zustimmen wie ihre Hinweise zu Cookies und Allgemeinen Geschäftsbedingungen? Und dies, obwohl die Kleinen praktisch keinen Beitrag zum Überwachungsstaat geleistet haben, sie also von der DSGVO gar nicht behelligt werden dürften. Nicht zu reden davon, dass von Google und Facebook, soweit sie Werbung verkaufen wollen, nicht einmal die größten Gefahren drohen. Diese kommen vielmehr von Staaten, die mit Maßnahmen des Cyber-Krieges Elemente des Kalten Krieges wiederaufgenommen haben, und von ihren möglichen Allianzen mit Google und Facebook.
Mehr Fitness in der Verteidigung gegen Cyber-Angriffe anstelle von DSVGO? Das klingt ja fast wie eine bessere Ausstattung der Bundeswehr und ist unter dem Schirm des gegenwärtigen politischen Diskurses mit seiner aus dem Ruder laufenden Datenschutzdebatte in der Bundesrepublik Deutschland nicht durchsetzbar.
Noch drei Tage bis zur DGSVO (2)
Gelesen und weiterempfohlen
„Recht auf effiziente Fachkommunikation
aus Furcht vor DSGVO
mit Füßen getreten“
Aus RABE-Liste
Das hbz nimmt die DSGVO ernst und wird Datenschutz gemäß DSGVO gewährleisten.
Damit ist in Artikel 17 das Recht auf Löschung (Recht auf Vergessenwerden) geregelt: eine betroffene Person kann verlangen, dass die sie betreffende personenbezogenen Daten ohne unangemessene Verzögerung gelöscht werden. Dementsprechend wäre ein entsprechendes
Löschkonzept für die Archivfunktion von unseren Mailinglisten zwingend notwendig. Da ein solches nur mit unverhältnismäßig hohem personellen Aufwand zu bewerkstelligen und somit nicht wirtschaftlich wäre, haben wir uns entschieden, ab sofort die Archivfunktion in unseren Mailinglisten abzuschalten.
Wir bitten um Verständnis für diese Entscheidung.
Mit freundlichen Grüßen Michael Nelißen, behördlicher Datenschutzbeauftragter des hbz“
*
Dazu Klaus Graf in InetBib, 20.Mai 2018:
Ich halte das für die Bankrotterklärung einer öffentlichen Stelle in Sachen Datenschutz vs.Kommunikationsgrundrechte/Benutzerfreundlichkeit….
- Es ist schon zu bezweifeln, dass eine aufwändige Löschroutine nötig wäre….
- Mailinglistenarchive sind für die Teilnehmerinnen und Teilnehmer, aber auch in wissenschaftlicher Hinsicht außerordentlich wichtige Ressourcen der Fachkommunikation….
- Es ist ein Unding, dass ein Datenschutzbeauftragter eine so katastrophale Entscheidung ohne Diskussion mit den Beteiligten extrem kurzfristig mitteilt.
Rechtlich ist die Entscheidung als Grundrechtseingriff zu qualifizieren. Dies wäre natürlich von Verfassungsjuristen im Einzelnen zu belegen, hier genügt der Hinweis, dass insbesondere Medienwissenschaftler eine bedeutsame Quelle weggenommen wird.
Die von oben diktierte Entscheidung ist nach meiner festen Überzeugung alles andere als „alternativlos“, sie passt sich ein in eine – auch – von hysterischen Zügen begleitete angstgeprägte Diskussion über die DSGVO. Durch eine vermeintlich vorsichtige Haltung wird das Recht der Benutzerinnen und Benutzern von Mailinglisten auf eine effiziente Fachkommunikation mit Füßen getreten.
- Webarchivierung und Übernahme ins Archiv können – wenn überhaupt – nur teilweise und auch im Wesentlichen nur für die wissenschaftsgeschichtliche Nutzung die katastrophalen Folgen der Abschaltung der Archivfunktion abmildern.*
*
Dazu Michael Logies, Zahnarzt, Große Straße 28, D-49134 Wallenhorst, http://www.logies.de/ (u. a. _die_ Mailingliste für die Dentalbranche).
Sicher, das wird so sein. Die Landesdatenschützer haben überhaupt nicht das Personal, um all ihren neuen Aufgaben nachzugehen, schon gar nicht sofort ab nächstem Monat.
Noch drei Tage bis zur DSGVO (3)
Worauf Dienstleister und Service-Organisationen achten müssen
Eine Faktensammlung
Kommunikation und Sensibilisierung im Unternehmen: Geschäftsleitung und andere für Datenschutz Zuständige sollten innerhalb des Unternehmens die Mitarbeiter dafür sensibilisieren, dass sich ab dem 25. Mai 2018 nicht nur der Name einer europäischen Datenschutzregelung ändern wird. Die EU-DSGVO wird direkte Auswirkungen auf datenverarbeitende Unternehmen haben.
Bestandsaufnahme der aktuell bestehenden Prozesse: Welcher Änderungsbedarf im Umgang mit personenbezogenen Daten ergibt sich? Das bisherige Verfahrensverzeichnis nach §4d Bundesdatenschutzgesetz (BDSG) ist dem Bundeswirtschaftsministerium (BMWi) nach ein Ausgangspunkt zur Identifizierung der Datenverarbeitungen. Die Datenschutzkonferenz (DSK) empfiehlt, dann den Soll-Zustand zu ermitteln und im Anschluss daran eine Lückenanalyse zwischen dem jetzigen Ist-Zustand und dem künftigen Soll-Zustand durchzuführen.
Rechtsgrundlage (Verbot mit Erlaubnisvorbehalt): Sie kann sich unmittelbar aus der EU-DSGVO ergeben. In Betracht kommt etwa die Einwilligung des Betroffenen (Artikel 6 Abs. 1 lit. a EU-DSVO). Eine Datenverarbeitung ist auch zulässig, wenn sie zur Erfüllung eines Vertrages mit dem Betroffenen erforderlich ist (Artikel 6 Abs. 1 lit. b EU-DSGVO). Rechtsgrundlagen für Datenverarbeitungen können sich darüber hinaus aus dem BDSG (vgl. u. a. §§ 3, 23, 25 BDSG neu) sowie dem bereichsspezifischen nationalen Datenschutzrecht ergeben. Das bedeutet konkret: Für jede Datenverarbeitung innerhalb des Unternehmens ist zu prüfen, ob das neue Recht eine Rechtsgrundlage bereitstellt.
Betroffenenrechte: Kunden stehen umfangreiche Rechte zu. Sie müssen in den Geschäftsabläufen des Unternehmens abgebildet und gegenüber den Betroffenen umgesetzt werden. Hierzu gehören nach Angaben der DSK und des BMWi das Recht auf Löschung (Artikel 17), das Recht auf Datenübertragbarkeit (Artikel 20) sowie die Informationspflichten des Verantwortlichen gegenüber dem Betroffenen (Artikel 13, 14) einschließlich der übergreifenden Rahmenvorgaben (Artikel 12).
Datenschutzrechtliche Einwilligung: Vielen Unternehmen dient sie als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Bei der Einholung von Einwilligungen sind spezifische Anforderungen zu beachten (Artikel 7 EU-DSGVO). Bei der Datenerhebung müssen Informationspflichten eingehalten werden (Artikel 13 EU-DSGVO).
Verträge und Regularien: Das BMWi empfiehlt Unternehmen und Organisationen, ihre bestehenden Verträge zur Auftragsdatenverarbeitung in Dienstleistungsbeziehungen zu überprüfen und zu überarbeiten. In Artikel 28 EU-DSGVO sind Vorgaben für Vereinbarungen mit Auftragsdatenverarbeitern, die jetzt „Auftragsverarbeiter“ heißen, genau geregelt. Der Blick sollte auch nach innen gerichtet werden: Geschäftsprozesse, Regularien, Richtlinien oder Handbücher und Dienstvereinbarungen.
Datenschutz-Folgenabschätzung: Sie ist durchzuführen, wenn eine Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen zur Folge hat (Artikel 35 Abs. 1 EU-DSVO). Das BMWi weist darauf hin, dass sich an eine Datenschutz-Folgenabschätzung eine verpflichtende Konsultation der zuständigen Aufsichtsbehörde anschießen kann, die vor Durchführung der eigentlichen Datenverarbeitung zu erfolgen hat (Artikel 36 EU-DSGVO).
Melde-, Konsultations- und Dokumentationspflichten: Sie sollten in den internen Abläufen des Unternehmens abgebildet werden (Artikel 33, 36 und 37 EU-DSGVO). Gleichzeitig sollte sichergestellt sein, dass der betriebliche Datenschutzbeauftragte bei datenschutzrechtlichen Fragestellungen und der Ausgestaltung von Datenverarbeitungsprozessen frühzeitig beteiligt wird. Dokumentationspflichten sind in Artikel 30 (Verarbeitungsverzeichnis), Artikel 33 Abs. 5 (Dokumentation von Weisungen im Rahmen von Auftragsverarbeitungsverhältnissen) benannt.
„Privacy-by-Design“ und „Privacy-by-Default“: Das BMWi empfiehlt, dies bei Einrichtung und Ausgestaltung der Datenverarbeitungssysteme im Unternehmen frühzeitig zu bedenken. Die EU-DSGVO gibt hier Rahmenbedingungen vor, wie die datenschutzrechtlichen Anforderungen durch die verantwortliche Stelle schon bei der Prozessgestaltung und bei Voreinstellungen umzusetzen sind (Artikel 25 EU-DSGVO).
Wettbewerbsvorteil: Datenschutz lässt sich auch als Service am Kunden verstehen. Wer sorgfältig und behutsam mit den Daten des Kunden umgeht, vermittelt eine gewisse Wertschätzung für personenbezogene Daten des Kunden. Datenschutz wird zu einem Argument, wenn es um die Vermarktung von Dienstleistungen geht.
Quelle: Kundendienst-Verband Deutschland
Anzeige
FAQ + Hilfe