Externer behördlicher Datenschutzbeauftragter (Bayerische Kommunen)

By | 24. April 2017

DIE EU-DSGVO macht es möglich – der externe Datenschutzbeauftragte für bayerische Kommunen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) macht es für bayerische Kommunen möglich, was in anderen Bundesländern schon länger geübte Praxis ist: Die Bestellung eines externen behördlichen Datenschutzbeauftragten. Sah das Bayerische Landesdatenschutzgesetz (BayDSG) bisher eine externe Bestellmöglichkeit eines Datenschutzbeauftragten für bayerische Kommunaleinrichtungen nicht vor, so ändert sich dies zum 25.05.2018 einheitlich. Ab diesem Zeitpunkt können und dürfen bayerische Kommunen endlich einen externen Datenschutzbeauftragten zum behördlichen Datenschutzbeauftragten bestellen.

Entlastung für kleinere Kommunen

Gerade kleinere Kommunen haben sich mit der Bestellung eines Datenschutzbeauftragten stets schwer getan. Neben den vielfältigen Aufgaben einer Verwaltung und den nicht gerade üppig vorhandenen Personalressourcen war meist wenig „Luft“ für die Bestellung eines internen Datenschutzbeauftragten. Und selbst wenn es zu einer internen Bestellung kam, so wurde die Funktion nicht selten mit wenig bis keinem Leben erfüllt. Hinzu kamen gravierende Nachteile eines mit wenig Zeit und Ressourcen ausgestatteten internen Datenschutzbeauftragten. Nämlich der viel zu geringe zeitliche Spielraum zur Ausübung der Tätigkeit, das fehlende Know-How (meist keine Ausbildung zum DSB vorhanden) und damit einhergehend die fehlende Übung im Umgang mit den alltäglichen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Entlastung und Unterstützung für bayerische Kommunen. Ab dem 25.05.2018 können diese nun einen Datenschutzbeauftragten … Weiterlesen

Aushilfskraft (m/w) zur Unterstützung im Backoffice gesucht

By | 30. März 2017

a.s.k. Datenschutz braucht Verstärkung oder anders ausgedrückt – WIR SUCHEN DICH! 🙂

Aushilfskraft (m/w) mit technischem Hintergrund für befristete Unterstützung bei einigen Kundenprojekten gesucht. Kenntnisse im Bereich Cloud, Datenschutz und Informationssicherheit von Vorteil. Tätigkeit kann von jedem internetfähigen (nicht öffentlichen!) PC ausgeführt werden.

Kein Kundenkontakt, keine Akquise, reine Unterstützung im Backoffice.

Befristete Anstellung als Aushilfe, gerne auch Tätigkeit als freier Mitarbeiter – wie Sie es wünschen.

Kurzbewerbungen mit technischem Hintergrund bitte per Post an a.s.k. Datenschutz, Sascha Kuhrau, Schulstrasse 16a, 91245 Simmelsdorf oder per Mail an ed.ztuhcsnetad-ksanull@407102eflihsua. Bitte bei Email-Bewerbungen beachten: Ihre Daten werden unverschlüsselt übertragen, solange Sie nicht unser S/MIME-Zertifikat für die Verschlüsselung einsetzen. Gerne senden wir Ihnen dies vorab per Mail zu.

 

Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?

By | 14. März 2017

Letzte Woche haben wir diese Frage in unserem Blog zur Informationssicherheit behandelt: „Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?“, diese Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, telefonisch und per Mail an uns herangetragen. Wir haben dies zum Anlass genommen, hierzu ein Webvideo zu erstellen, in dem wir auf die Notwendigkeit und rechtlichen Grundlagen für die Einführung und den Betrieb eines Informationssicherheitskonzepts vertiefend eingehen. Denn die Antwort auf die Frage kann nur lauten „Ja!“. Wer es nicht glaubt, ist herzlich dazu eingeladen, sich in unserem Video davon überzeugen zu lassen.

Sie finden das Webvideo eingebettet hier bei uns im Blog oder auf unserem neuen Youtube-Kanal.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

By | 8. März 2017

Auf 158 Seiten gibt der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig einen Überblick über die Arbeit der Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern für die Jahre 2015 und 2016 ab.

Das BayLDA ist für ca. 700.000 verantwortliche Stellen im nicht-öffentlichen Bereich (Unternehmen, Vereine, Verbände, freiberuflich Tätige etc.) in Bayern zuständig.

Im vorderen Teil des Berichts wird anschaulich auf die Entwicklung von Bürgerbeschwerden, Datenpannen, aber auch Beratungsanfragen seitens nicht-öffentlicher Stellen eingegangen. Der Übersicht ab 2013 ist zu entnehmen, dass es sich bei der zunehmenden Steigerung nicht um einzelne Spitzen, sondern klar um einen Trend handelt. Sind 2013 „nur“ 925 Beschwerden über bayerische Unternehmen und Unternehmer eingegangen, so waren es 2016 schon 1.424. Identisch verhält es sich mit der Zahl der Datenpannen (2013 32 gegenüber 85 in 2016). Wobei hier eine deutlich höhere Dunkelziffer seitens des Amts vermutet wird. Bei den Beschwerden liegt das Thema Videoüberwachung auf dem vordersten Platz. Unter anderem sind dafür die mittlerweile sehr preiswerten Überwachungskameras (wie Wildkameras, Dashcams usw.) verantwortlich, jedoch auch ein gesteigertes Sicherheitsbedürfnis. Letzteres führt schnell mal dazu, nicht nur (zulässigerweise) das eigene Grundstück zu observieren, sondern (zumeist unzulässig) angrenzende Grundstücke oder öffentliche Verkehrsflächen mit einzuschließen.

Klassische Datenpannen wie Verlust, Diebstahl oder … Weiterlesen

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

By | 23. Januar 2017

Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war.

„Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten“, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.

Wer muss einen Datenschutzbeauftragten bestellen?

Unternehmen und auch Vereine müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn bei ihnen mindestens zehn Personen („mehr als neun“, so das Bundesdatenschutzgesetz) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei ist es unerheblich, a) ob es sich dabei um interne oder externe personenbezogene Daten handelt und b) mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe etc.). Es zählt hier alleine die Zahl der „Köpfe“.

Zahlreiche Unternehmen und Vereine erfüllen diese Voraussetzungen. Das Gesetz stellt es dabei frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Je nach Bundesland schreiben die Landesdatenschutzgesetze einen Datenschutzbeauftragten ebenfalls für Behörden und kommunale Einrichtungen (sog. öffentliche Stellen) verpflichtend vor. In einigen Bundesländern besteht bereits heute die Möglichkeit einer externen Bestellung des behördlichen Datenschutzbeauftragten. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird die Bestellpflicht für öffentliche Stellen vereinheitlicht. Ebenso soll dann … Weiterlesen

Frohes Neues Jahr 2017

By | 2. Januar 2017

Wir wünschen allen unseren Lesern des Datenschutz-Blogs, unseren Kunden und Geschäftspartnern samt ihren Lieben ein Frohes Neues Jahr 2017 mit viel Gesundheit und Glück. Danke, dass Sie uns in 2016 die Treue gehalten haben. Wir freuen uns auf die weitere Zusammenarbeit mit Ihnen.

Bildnachweis: https://pixabay.com/de/hufeisen-gl%C3%BCck-western-huf-110987/

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

By | 4. November 2016

Die Landesdatenschutzbehörden in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt wählen per Zufall 500 Unternehmen in diesen Bundesländern aus. Diese erhalten im Zuge der Prüfung einen ausführlichen Fragebogen (Download zur Selbstüberprüfung hier) zur zeitnahen Beantwortung. Bitte beachten Sie: Sie sind gemäß Bundesdatenschutzgesetz gegenüber der Behörde auskunftspflichtig. Nehmen Sie die Anfrage ernst und erteilen Sie innerhalb des genannten Rückmeldezeitraums ausführlich Auskunft. Es besteht sonst ein Bußgeldrisiko für Ihre Organisation.

„[…] viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können.“

Inhaltlich beschäftigt sich der Fragebogen daher zu Beginn mit generellen Datenübermittlungen außerhalb der EU (USA, sonstige Drittstaaten).

„Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit Weiterlesen

Privacy Shield für ein Jahr toleriert – Europäische Datenschutzbehörden unzufrieden

By | 28. Juli 2016

Zumindest für den Zeitraum eines Jahres kann das oft kritisierte Privacy Shield als Nachfolger von Safe Harbor fungieren. Nach Aussagen der sogenannten Artikel-29-Gruppe sei das neue Abkommen nach wie vor nicht geeignet, grundsätzliche Kritik auszuräumen. Dabei wurden die nach wie vor zulässigen Geheimdienstzugriffe auf Daten von EU Bürgern sowie die mangelnden Durchsetzungsmöglichkeiten der Schutzrechte der Betroffenen bemängelt.

Dennoch könne Privacy Shield vorerst als Zulässigkeitstatbestand für den Transfer personenbezogener Daten in die USA eingesetzt werden. Nach 12 Monaten Evaluierungsphase soll das Abkommen neu bewertet werden. Bis dahin sicherten die europäischen Datenschutzbehörden aktive Unterstützung bei der Geltendmachung der Rechte Betroffener in den USA zu.

EU US Privacy Shield tritt in Kraft – alles wird gut?

By | 13. Juli 2016

EU US Privacy Shield ist da

Nachdem die europäische Kommission erwartungsgemäß das recht umstrittene Privacy Shield als Nachfolger von Safe Harbor durchgewunken hat, tritt diese Regelung zum 01. August 2016 in Kraft. Nach Wegfall der Safe Harbor Regelung aufgrund eines Urteils des EUGH im Herbst 2015 – wir berichteten – soll Privacy Shield eine belastbare Grundlage für die Zulässigkeit des Austauschs personenbezogener Daten zwischen Europa und den USA bilden. Durch das Urteil des EUGH blieben hierfür ja lediglich die EU Standardvertragsklauseln oder Verfahrensweisen im Rahmen der sogenannten „binding corporate rules“ (BCR). Nachdem einige Unternehmen eine rechtzeitige Umstellung nach Wegfall von Safe Harbor auf die Standardvertragsklauseln versäumt haben, wurde zum Beispiel der Datenschutzbeauftragte Hamburgs, Prof. Dr. Johannes Caspar bereits aktiv und ging dagegen aktiv vor.

Und jetzt wird alles gut?

Es verwundert wenig, dass die beteiligten EU Kommissare den Stellenwert und Wirkungsgrad des von ihnen umgesetzten Privacy Shields loben. Nach ihrer Sicht seien erhebliche Zugeständnisse zum Schutz personenbezogener Daten in den USA von EU Bürgern geleistet worden. Dass diese lediglich in kurzer Briefform und ohne belastbare rechtliche Untermauerung in Form von neuen oder angepassten Gesetzen in den USA erbracht wurden, stellt das Privacy Shield auf kein solides Fundament.

Die hierdurch … Weiterlesen

Datenpanne bei HIPP – Name, Anschrift und Passwörter betroffen

By | 10. Juni 2016

Das Bonusprogramm „Mein BabyClub“ des bekannten Babynahrungherstellers HIPP wurde online angegriffen und erfolgreich gehackt. Der Anbieter informiert derzeit die Teilnehmer über den Sachverhalt, gibt jedoch keine weiteren Details bekannt. Laut den von HIPP versandten Emails an Nutzer des Programms wurden Anfang Mai Unregelmäßigkeiten im Serverbetrieb festgestellt. Diese würden auf einen erfolgreichen Hack hindeuten, durch den Namen, Anschriften, Geburtsdaten, aber auch Passwörter von den Systemen des Anbieters abgezogen wurden. Die zuständige Landesdatenschutzbehörde sei informiert.

Auflagen durch das IT-Sicherheitsgesetz

Unabhängig von der Ursache für diesen Hack sind Webseitenbetreiber verpflichtet, notwendige Schutzmaßnahmen zu ergreifen, um Daten vor unberechtigten Zugriffen zu schützen. Für Webauftritte heißt es daher, sowohl den Webserver als auch die Content Management Software oder das Shop System stets mit aktuellen Updates und Sicherheitspatches auszustatten. Ein regelmßiger Blick in die Logfiles zwecks Analyse auf Sicherheitsverstöße kann ebenfalls nicht schaden.