Bleiben Sie auf dem Laufenden

Auf dieser Seite informieren wir Sie regelmäßig über Neuigkeiten aus dem Bereich Datenschutz und IT-Sicherheit.

Beratung:
info@datenschutz-weser-ems.de

Martin Mielke
Externer Datenschutzbeauftragter

 

Neue DSAnpUG-EU mit BDSG-neu am 27.04.2017 vom Bundestag verabschiedet

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie ist am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht worden und ist damit am 25.05.2016 in Kraft getreten. Eine Übergangsfrist bis 24.05.2018 bietet ausreichend Zeit, die Datenschutzmaßnahmen an die neue Gesetzgebung anzupassen.

Das  “Datenschutz-Anpassungs- und - Umsetzungsgesetz EU – (DSAnpUG-EU)”, am 27.04.2017 vom Bundestag verabschiedet, soll die Gesetzgebung des Bundes an die Datenschutz-Grundverordnung sowie an die Datenschutz-Richtlinie anpassen.

Datenschutz-Folgenabschätzung (DS-FA)

Jedes Verfahren, mit dem personenbezogene Daten verarbeitet werden, ist vor Beginn darauf zu prüfen, ob es voraussichtlich hohe Risiken für die betroffenen Personen birgt und daher eine DS-FA durch zuführen ist. Die Vorgaben zur DS-FA nach Art. 35 EU DS-GVO sind umzusetzen. Bei mehreren ähnlichen Verarbeitungsvorgängen mit ähnlich hohen Risiken reicht eine (gemeinsame) DS-FA. Die DS-FA  ist regelmäßig durchzuführen. Die Ergebnisse der DS-FA sind zu dokumentieren und fortzuschreiben.

Kriterien sind die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die persönlichen Rechte und Freiheiten der Betroffenen

Die inhaltliche Dokumentation der DS-FA muss nach Art 35 EU DS-GVO folgende Aspekte beschreiben:

  • eine Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen (siehe: Verzeichnisse von Verarbeitungstätigkeiten);
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen;
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, Garantien, Sicherheits-vorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen der EU DSGVO eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.
  • Für die Verfahren muss durch das Unternehmen geprüft werden, ob eine Datenschutz-Folgenabschätzung (DS-FA) erforderlich ist.
  • Das Unternehmen muss Datenschutz-Folgenabschätzungen (DS-FA) für die identifizierten Verfahren erarbeiten und dokumentieren.

Jedes zweite Unternehmen nicht auf IT-Notfälle vorbereitet - Neue Anforderungen durch die EU DSGVO

Technische Aspekte der Datenverarbeitung, die bislang eher unter „IT-Sicherheit“ anzusiedeln waren, bekommen durch die EU DS-GVO eine höhere Bedeutung für Datenschutzverantwortliche, als es bislang über die technischen und organisatorischen Maßnahmen im BDSG abgebildet wurde.

Art. 32 EU DS-GVO definiert neben den klassischen Schutzzielen der IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) zusätzlich Belastbarkeit („resilience“) der Systeme und Dienste als neues Schutzziel.

Die EU DS-GVO legt einen besonderen Schwerpunkt auf Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

  • Es sollte ein Informationssicherheitsmanagementsystem (ISMS) erarbeitet und dokumentiert werden.
  • Nachweise der Konformität (Art. 5, 24 EU DS-GVO), z.B. durch Zertifizierung

Bestellung eines Informationssicherheitsbeauftragten (ISB)

  1. Bestellung eines Informationssicherheitsbeauftragten (ISB)

Der Informationssicherheitsbeauftragte ist verantwortlich für die Beachtung und Umsetzung der Anforderungen an die  Informationssicherheit. Seine Hauptaufgabe ist die Erstellung und Fortschreibung des Informationssicherheitskonzepts. Daneben hat der Informationssicherheitsbeauftragte im Wesentlichen eine Kontrollfunktion hinsichtlich der Umsetzung des Informationssicherheitskonzepts.

  • Ein(e) Informationssicherheitsbeauftragte(r ) (ISB) sollte förmlich bestellt werden

Informationsverpflichtung bei "Datenpannen"

Die Meldepflicht nach Art. 33 und 34 EU DS-GVO besteht unabhängig von den betroffenen Daten und der Art der Datenschutzverletzung. Jede Verletzung des Schutzes personenbezogener Daten muss ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden.

Eine Meldepflicht entfällt, wenn es unwahrscheinlich ist, dass die Verletzung personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten von Personen führt.

Zukünftig sind alle etwaigen Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, deren Auswirkungen sowie die ergriffenen Abhilfemaßnahmen zu dokumentieren.

  • Es muss ein Krisenreaktionsplan für Datenpannen erarbeitet und im Unternehmen eingeführt werden.
  • Es muss ein Prozess zur Dokumentation der Datenpannen eingeführt werden.

Einsatz von Analysesoftware im Internet - Google Analytics

Seit einiger Zeit wird auf Internetseiten Analysesoftware, zum
Beispiel die kostenlose Anwendung Google Analytics, eingesetzt. Die Rechtsprechung ist in diesem Punkt nicht eindeutig.

Die Landesbeauftragten für den Datenschutz fordern eine Anonymisierung der IP-Adresse, die mittlerweile durch einen Zusatz im Google Analytics Code realisiert werden kann. Für die weiterhin geforderte (vorab) Einverständniserklärung gibt es zwar noch keine Lösung, allerdings gibt es bei Google ein "Deaktivierungs-AddOn" für die gängigen Browser Internet Explorer, Firefox 3.x sowie für Crome.

Was ist zu tun?

Wir empfehlen, auf jeden Fall die Datenschutzerklärung anzupassen. Wenn Google Analytics eingesetzt wird, muss dies in der Datenschutzerklärung angezeigt werden. Ein Hinweis auf die Anonymisierung der IP-Adresse (s.o.) sollte nicht fehlen. Einen Textvorschlag können Sie von uns erhalten.

Erweitern Sie den Tracking-Code von Google-Analytics in Ihrer Website um den Zusatz "_anonymiziseIp()". Eine Beschreibung findet sich bei Google.

Die BDSG-Novelle III ist am 11.06.2010 in Kraft getreten!

§ 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung: Sofern Sie Verbraucherdarlehensverträge oder Verträge mit entgeltlicher Finanzierungshilfe aufgrund von Auskünften von Auskunfteien ablehnen, müssen Sie die Antragsteller darüber und über den Inhalt der Auskuft informieren.

 

Datenverarbeitung im Auftrag § 11 BDSG

– Novellierung des Bundesdatenschutzgesetzes vom 01.09.2009

Die Anforderungen nach dem novellierten Bundesdatenschutzgesetz machen es nötig, dass die mit Subunternehmern abgeschlossenen Verträge ergänzt werden, sofern die Subuternehmer personenbezogene Daten im Auftrag verarbeiten.

 

Modernisierung des Datenschutzrechts

Die Landesdatenschutzbeauftragten haben eine Broschüre mit den Eckpunkte für ein modernisiertes Datenschutzrecht vorgestellt. (04.06.2010)

http://www.baden-wuerttemberg.datenschutz.de/service/gem-materialien/modernisierung.pdf

 

Vorratsdatenspeicherung

Vor fünf Jahren hatte das Bundeverfassungsgericht das Gesetz zur Vorratsdatenspeicherung kassiert und die Hürden für eine Neufassung hoch gelegt. Die damals regierende Koalition aus CDU/CSU und FDP konnte sich anschließend nicht einen neuen Entwurf einigen, doch nun unternehmen Union und SPD einen weiteren Anlauf. Justiz- und Innenministerium haben sich auf Leitlinien verständigt, die laut Justizminister Heiko Maas »zügig« in einen Gesetzentwurf gegossen werden sollen. Offenbar ist geplant, diesen dann im Eilverfahren durchzubringen: Der »taz« zufolge soll er parallel in Bundestag und Bundesrat beraten und möglichst noch vor der Sommerpause verabschiedet werden.

Online-Sicherheitscheck

Dieser Service wird vom Landesbeauftragten für den Datenschutz Niedersachen zur Verfügung gestellt.

Kontakt

Sie erreichen uns unter:

 

+49 421 2474270

info@datenschutz-weser-ems.de
mielke@3g-business.de

 

Nutzen Sie auch gerne unser Kontaktformular.

Aktuelles

Jedes zweite Unternehmen nicht auf IT-Notfälle vorbereitet

 

  • Große Unternehmen nur unwesentlich besser gerüstet als kleinere
  • Schnelle Reaktion bei digitaler Spionage oder Sabotage notwendig
  • Bei Notfallübungen werden Szenarien durchgespielt

Berlin, 9. April 2015 - Nur knapp die Hälfte (49 Prozent) aller Unternehmen in Deutschland verfügt über ein Notfallmanagement bei digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. Das geht aus einer repräsentativen Befragung im Auftrag des Digitalverbands Bitkom unter 1.074 Unternehmen hervor. „Digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl führen zu schweren Schäden und können Unternehmen in ihrer Existenz bedrohen“, sagte Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. „Alle Unternehmen müssen auf solche Situationen vorbereitet sein und einen Notfallplan in der Schublade haben.“ Laut Umfrage sind größere Unternehmen nur unwesentlich besser gerüstet als kleinere. Bei Betrieben mit 500 oder mehr Mitarbeitern besitzen 62 Prozent ein Notfallmanagement. Bei mittelständischen Unternehmen mit 100 bis 499 Mitarbeitern sind es 54 Prozent und bei kleineren Betrieben mit 10 bis 99 Beschäftigten 46 Prozent.

(BITKOM-Pressemitteilung vom 09.04.2015)

Datenschutz-Grundverordnung

Vorschlag für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

Der Justiz- und Innenministerrat der Europäischen Union hat am 13.03.2015 im Rahmen der Verhandlungen zur Datenschutzgrundverordnung eine partielle allgemeine Ausrichtung zu den Aufgaben, Befugnissen und der Unabhängigkeit der Aufsichtsbehörden sowie zu den Grundsätzen für den Schutz personenbezogener Daten verabschiedet

Arbeitnehmer-datenschutz

Der neue Gesetzentwurf wurde im Januar 2013 gekippt. Ein Erfolg für den Arbeitnehmerdatenschutz.

Datenverarbeitung im Auftrag § 11 BDSG

– Novellierung des Bundesdatenschutzgesetzes vom 01.09.2009

Die Anforderungen nach dem novellierten Bundesdatenschutzgesetz machen es nötig, dass die mit Subunternehmern abgeschlossenen Verträge ergänzt werden, sofern die Subuternehmer personenbezogene Daten im Auftrag verarbeiten.

Druckversion Druckversion | Sitemap
© 3g-business Datenschutz GmbH -- Datenschutz: Einfach - Kostengünstig - Professionell

Anrufen

E-Mail