Wochenrückblick KW 51/17 – 8 Beiträge zur DSGVO
Mit welchen Bußgeldern und Strafen ist bei Verstößen zu rechnen?
Im Internet, vor allem in Sozialen Netzwerken wird, wo DSGVO / GDPR und e-Privacy-VO thematisiert werden, stehen häufig die hohen Bußgelder im Vordergrund und wie viele Unternehmen noch nicht wirklich fit sind. Dass ein Kleinunternehmen bei Versäumnissen nicht mit der Höchststrafe von 20 Millionen Euro rechnen muss, sagt einem der Hausverstand. Wie aber wird sich die Bußgeldpraxis gestalten?
Dieser Frage ist Eugen Ehmann in seinem Beitrag auf Datenschutz-Praxis nachgegangen. Er hat dabei die Bußgeldpraxis in Deutschland im Auge und wie sich diese ab 25.5.2018 gegenüber der bisherigen darstellen wird. Der Autor versucht das am Beispiel einer unerlaubten Nutzung einer Dash-Kamara darzustellen, die eine Autofahrerin montiert hatte und während ihres Einkaufs laufen ließ, um mögliche Schäden mit Fahrerflucht zu dokumentieren. Sie wurde nach bisheriger Regelung zu 150 EUR bei 1.500 EUR Einkommen verurteilt. Ab dem 25.5.2018 wäre nach Einschätzung des Autors dafür zumindest ein Monatseinkommen anzusetzen. - Auch wenn noch niemand sagen kann, wie hoch die Bußgelder tatsächlich ausfallen werden, steht doch fest, dass sie empfindlich hoch ausfallen werden.
Datenspeicherung auf USB - worauf zu achten ist
Christian Schinko informiert in seinem Beitrag Datenspeicherung auf USB-Sticks: Darauf müssen Unternehmen in Zukunft achten
darüber, was beim Speichern von personenbezogenen Daten auf USB-Sticks, sicherlich auch bei externen, mobilen Festplatten zu beachten ist. Aufklärung tut jedenfalls not. Denn eine Umfrage unter 188 Unternehmen ergab, dass mehr als die Hälfte USB-Sticks ohne ausreichenden Datenschutz einsetzen und dies obwohl die Befragten auch angaben, dass es sich bei den gespeicherten Daten auch um sensible Daten handle.
Damit personenbezogene Daten auf einem USB-Stick DSGVO konform gespeichert werden könnten, ist entweder eine Verschlüsselung der Daten oder eine Pseudonymisierung erforderlich. Im Artikel wird auf Kingston hingewiesen, die nach Sicherheitsstandard AES-256 im XTS Modus verschlüsselte USB-Sticks vertreibe, aber das alleine wird wohl nicht ausreichen. Die Autoren bieten einen Download-Link zu einem Whitepaper: Risiko Datenpannen. So beugen Sie DSGVO-konform vor. Dieses bringt zwar viel Bekanntes, aber auch durchaus anregende Infos.
DSGVO und das Verfahrensverzeichnis bei KMU
Zurecht weisen die Autoren von Datenschutzbeauftragter-Info darauf hin, dass es lt. Artikel 30 DSGVO zwar eine Verpflichtung zum Führen eines Verfahrensverzeichnisses gibt, KMU jedoch nach Abs. 5 dann davon befreit sind, sofern das Unternehmen weniger als 250 Mitarbeiter*innen beschäftigt. Es wird dabei auch auf ErwG 13 hingewiesen. Damit sind qua Defintion der Europäischen Kommission wohl sämtliche KMUs umfasst. Allerdings sieht Abs. 5 auch Einschränkungen vor, wie wir anfügen möchten: […] es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Aber nicht alles, was erlaubt ist, in sinnvoll. Auch wenn keine Verpflichtung zum Führen eines Verfahrensverzeichnisses für KMU gegeben ist, ist ein Verfahrensverzeichnis ein hilfreiches Instrument, um das Unternehmen, die Organisation oder einen Verein unter dem Gesichtspunkt der DSGVO im Blick zu behalten. Zudem sind KMU nicht gefeit vor Prüfungen durch die Aufsichtsbehörde (ggf. im Zusammenhang mit Beschwerden oder Anzeigen) und hier ist ein Verfahrensverzeichnis in Verbindung mit den entsprechenden Dokumentationen sehr dienlich.
Die Autoren bieten zum Verzeichnis von Verarbeitungstätigkeiten weitere Infos & Tipps zur Umsetzung.
DSGVO und Unternehmenskultur
Auf diesen Zusammenhang weist die Haufe Online-Redaktion hin. Sie bezieht sich dabei auf eine Studie der IT-Veritas Technologies. Danach sind viele Unternehmen der Ansicht, dass die DSGVO Auswirkungen auf die Unternehmenskultur haben werde. 90 Prozent der befragten Unternehmen wollen mittels Schulungsmaßnahmen, Boni aber auch Sanktionen Anreize schaffen, dass sich die Mitarbeiter*innen mit der DSGVO auseinandersetzen und sich an die Vorgaben halten. 47 Prozent planen Arbeitsverträge durch entsprechende Compliance-Verpflichtungen zu erweitern. Unternehmen sehen laut dieser Studie auch Vorteile in der DSGVO: bessere Datenhygiene, besseres Verständnis der Geschäftsprozesse, Kosteneinsparungen, Stärkung des Marken-Images und 45 Prozent sogar steigende Umsätze und Marktanteile.
DSGVO-konformer Endpunktschutz
Eine große Herausforderung für den Datenschutz ist es, Diebstahl und Missbrauch von Daten zu verhindern. Rainer M. Richter von SentinelOne beschäftigt sich in seinem Beitrag mit der Frage, wie Endpunkte vor Malware, speziell verhaltensbasierte Malware geschützt werden können. Unternehmen, bzw. IT Verantwortlich sei dieser Beitrag zur IT Sicherheit empfohlen.
Richter unterstreicht, dass herkömmliche Sicherheitslösungen wie Antiviren-Schutz längst nicht mehr ausreichen und damit auch nicht DSGVO-konform sind. Wie können Unternehmen sich vor intelligent verschleierter Malware schützen? Es gehe dabei darum Lösungen, die den statischen und signaturbasierten Sicherheitsansatz um dynamische Technologien erweitern
, um Technologien wie dynamische Verhaltensanalyse, maschinelles Lernen und intelligente Automatisierung, um Bedrohungen und Angriffe wirksam zu erkennen und zu blockieren.
Änderungen für Onlinemarketing, Tracking und Cookies
Einen ausführlichen und substanziellen Beitrag zur Fragen, welche Auswirkungen die DSGVO und die E-Privacy-VO auf das Onlinemarketing nehmen und was das für Tracking und Cookies im rechtlichen Kontext bedeutet, liefert Thomas Schwenke in seinem Beitrag Datenschutz und ePrivacy 2018
.
Schwenke erläutert zunächst zentrale Begriffe des Onlinemarketings und klärt dann die wichtigen Termini Personenbezug
, Anonymisierung
und Pseudonymisierung
. Danach geht er kurz auf die schwierige Abwägung von berechtigtem Interesse
und Privatsphäre
ein.
Wie es sich mit Google Analytics, Facebook Pixel & Co verhält, skizziert der Autor verständlich, mit dem nachvollziehbaren Hinweis, dass eine generelle Aussage nicht zulässig sei, da es immer darauf ankomme, in welcher konkreten Form, d.h. mit welchen realisierten Optionen diese Tools eingesetzte werden.
Im zweiten Teil seines Beitrags schildert Schwenke die Auswirkungen der EU-E-Privacy-Verordnung und führt aus, dass jeglicher Zugriff auf Geräte der Nutzer eine Einwilligung benötigt, unabhängig davon, ob es sich um personenbezogene oder anonymisierte Daten handelt. Session Cookies bedürfen keiner Einwilligung, auch Cookies zur Webanalyse oder Reichweitenmessung, Remarketing, darauf weist der Autor ausdrücklich hin, ist dabei ausgeschlossen. Wichtig ist es in diesem Zusammenhang, darauf hinzuweisen, dass diese Verordnung noch nicht rechtswirksam ist.
IT ist nicht der heilige Gral der DSGVO
So provokant formuliert es Martin Collins und deutet damit auf einen in nicht wenigen Unternehmen verbreiteten Irrtum hin. Vielfach schieben Unternehmensführung und Management das DSGVO Thema der IT zu. Ebenso wenig zielführend ist es, das Thema von der IT an die Rechts-, Personalabteilungen oder das Marketing abschieben zu wollen. Diese Bereiche sind alle betroffen.
Collins unterstreicht, dass die IT als ein zentraler Faktor in besonderer Weise gefragt ist und wichtige Tools bereitstellen kann, um einer DSGVO Konformität näher zu kommen. Er beschreibt 10 Felder, in welchen Tools wertvolle Hilfe leisten können. Bei diesem Beitrag vermisst man konkrete, Benennung von Tools nicht nur der Kategorien, wofür es sie gibt. Aber der Beitrag ist allemal anregend.
Ausblick auf fokus genba für Januar/ Februar 2018
Anfang 2018 wird fokus.genba einen Schwerpunkt seiner Informationen zum Datenschutz, genauer zur DSGVO und EU-ePrivacy VO im Bereich Auswirkungen auf Social Media und Social Networks setzen. Das trifft insbesondere Facebook, WhatsApp, Instagram neben Twitter & Co. Weiters werden die Auswirkungen auf das Marketing spezieller thematisiert und danach gefragt, wie die Unternehmen auf die Anforderungen aus Recht, IT, Human Ressources und Marketing entsprechend reagieren können. Etwas stärker werde ich mich mit entsprechenden Managementsystemen für Informationssicherheit (ISMS) und Datenschutz (DSMS) auseinandersetzen. Die Reihe Fragen und Antworten und die Wochenberichte werden fortgesetzt.
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Der Gesetzestext der DSGVO, EU-Lex
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.