Sascha Kuhrau

Seit 2007 freiberuflich für Unternehmen, Behörden (Bund und Land) und Kommunen tätig als Berater für Datenschutz, Informationssicherheit und externer Datenschutzbeauftragter. Gerne unterstütze ich Sie bei Ihren Themen rund um Datenschutz, Informationssicherheit, ISIS12 und ISMS. Sprechen Sie mich an.

Author Archives: Sascha Kuhrau

Der Hype um das (private) Whatsapp-Abmahnrisiko

By | 28. Juni 2017

Kaum hat das Amtsgericht Bad Hersfeld sein Urteil gefällt und die Begründung veröffentlicht, grassiert ein medialer Hype um ein angebliches Abmahnrisiko für private Whatsapp-Nutzer durch das Netz. Doch was steckt dahinter?

Etwas Aufklärung zur privaten Nutzung von Whatsapp

Das Amtsgericht Bad Hersfeld, wohlgemerkt ein Amtsgericht, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risiko eines privaten Whatsapp-Nutzers, aufgrund der nicht eingewilligten Datenübermittlung der Kontakte in dessen Adressbuch durch den automatisierten Abgleich mit den Whatsapp-Servern durch die Kontakte selbst auf Unterlassung in Anspruch genommen zu werden. Selbst eine kostenpflichtige Abmahnung wird nicht ausgeschlossen. Kaum war die erste Nachricht hierzu im Web lanciert, ging der Copy & Paste – Mechanismus des Boulevardjournalismus inklusive der sozialen Netzwerke los. Angst und Panik für Quote und Klicks lautet die Devise.

Was davon zu halten ist, können Sie unter anderem im Blog des Anwalts Dr. Carsten Ulbricht nachlesen, der zu diesem Thema kein Unbekannter ist.

Whatsapp und geschäftliche oder dienstliche Nutzung?

Nutzt ein Unternehmen oder eine Behörde nun Whatsapp sieht die Rechtslage etwas unbequemer aus. Das Bundesdatenschutzgesetz schreibt für die betriebliche Nutzung personenbezogener Daten die Auswahl geeigneter technischer und organisatorischer Schutzmaßnahmen vor. Bedient man sich bei der Umsetzung eines Dritten (in … Weiterlesen

Keine Panik: Die EU-Datenschutzgrundverordnung kommt

By | 11. Juni 2017

Wer die letzten Woche und Monate die Meldungen in den Nachrichten, auf Blogs, in sozialen Netzwerken und auch per Post verfolgt, kann es nur mit der Angst bekommen. Da kommt die EU-Datenschutzgrundverordnung im Mai 2018 auf Unternehmen und Behörden zu und man könnte meinen, die Welt stehe kurz vor ihrem Untergang. Einzige Abhilfe natürlich, jetzt schnell diverse Seminare buchen oder diverse Literaturzusammenstellungen kaufen. Doch ist das wirklich so schlimm, was da auf Unternehmen und Behörden zu kommt?

Rechtliches zur EU-Datenschutzgrundverordnung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein hartes Umschalten zwischen unseren bisherigen nationalen Datenschutzgesetzen und der EU-DSGVO geben. Sind wir bis zu diesem Termin noch an das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze gebunden, so werden diese zum og. Termin durch die EU-DSGVO verdrängt. Hinzu kommen in den EU-Mitgliedsstaaten mögliche Anpassungsgesetze, in Deutschland für Bund und Länder jeweils separat. Diese beruhen auf den sogenannten Öffnungsklauseln in der EU-DSGVO, zu denen die Mitgliedsstaaten eigene nationale Regeln ergänzen können. Der Spielraum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu widersprechen sein.

Vor diesem Hintergrund ist auch der Arbeitstitel „BDSG-neu“ für das deutsche Anpassungsgesetz nicht ganz korrekt. Daher heißt es auch im richtigen Wortlaut … Weiterlesen

Externer behördlicher Datenschutzbeauftragter (Bayerische Kommunen)

By | 24. April 2017

DIE EU-DSGVO macht es möglich – der externe Datenschutzbeauftragte für bayerische Kommunen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) macht es für bayerische Kommunen möglich, was in anderen Bundesländern schon länger geübte Praxis ist: Die Bestellung eines externen behördlichen Datenschutzbeauftragten. Sah das Bayerische Landesdatenschutzgesetz (BayDSG) bisher eine externe Bestellmöglichkeit eines Datenschutzbeauftragten für bayerische Kommunaleinrichtungen nicht vor, so ändert sich dies zum 25.05.2018 einheitlich. Ab diesem Zeitpunkt können und dürfen bayerische Kommunen endlich einen externen Datenschutzbeauftragten zum behördlichen Datenschutzbeauftragten bestellen.

Entlastung für kleinere Kommunen

Gerade kleinere Kommunen haben sich mit der Bestellung eines Datenschutzbeauftragten stets schwer getan. Neben den vielfältigen Aufgaben einer Verwaltung und den nicht gerade üppig vorhandenen Personalressourcen war meist wenig „Luft“ für die Bestellung eines internen Datenschutzbeauftragten. Und selbst wenn es zu einer internen Bestellung kam, so wurde die Funktion nicht selten mit wenig bis keinem Leben erfüllt. Hinzu kamen gravierende Nachteile eines mit wenig Zeit und Ressourcen ausgestatteten internen Datenschutzbeauftragten. Nämlich der viel zu geringe zeitliche Spielraum zur Ausübung der Tätigkeit, das fehlende Know-How (meist keine Ausbildung zum DSB vorhanden) und damit einhergehend die fehlende Übung im Umgang mit den alltäglichen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Entlastung und Unterstützung für bayerische Kommunen. Ab dem 25.05.2018 können diese nun einen Datenschutzbeauftragten … Weiterlesen

Aushilfskraft (m/w) zur Unterstützung im Backoffice gesucht

By | 30. März 2017

a.s.k. Datenschutz braucht Verstärkung oder anders ausgedrückt – WIR SUCHEN DICH! 🙂

Aushilfskraft (m/w) mit technischem Hintergrund für befristete Unterstützung bei einigen Kundenprojekten gesucht. Kenntnisse im Bereich Cloud, Datenschutz und Informationssicherheit von Vorteil. Tätigkeit kann von jedem internetfähigen (nicht öffentlichen!) PC ausgeführt werden.

Kein Kundenkontakt, keine Akquise, reine Unterstützung im Backoffice.

Befristete Anstellung als Aushilfe, gerne auch Tätigkeit als freier Mitarbeiter – wie Sie es wünschen.

Kurzbewerbungen mit technischem Hintergrund bitte per Post an a.s.k. Datenschutz, Sascha Kuhrau, Schulstrasse 16a, 91245 Simmelsdorf oder per Mail an ed.ztuhcsnetad-ksanull@407102eflihsua. Bitte bei Email-Bewerbungen beachten: Ihre Daten werden unverschlüsselt übertragen, solange Sie nicht unser S/MIME-Zertifikat für die Verschlüsselung einsetzen. Gerne senden wir Ihnen dies vorab per Mail zu.

 

Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?

By | 14. März 2017

Letzte Woche haben wir diese Frage in unserem Blog zur Informationssicherheit behandelt: „Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?“, diese Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, telefonisch und per Mail an uns herangetragen. Wir haben dies zum Anlass genommen, hierzu ein Webvideo zu erstellen, in dem wir auf die Notwendigkeit und rechtlichen Grundlagen für die Einführung und den Betrieb eines Informationssicherheitskonzepts vertiefend eingehen. Denn die Antwort auf die Frage kann nur lauten „Ja!“. Wer es nicht glaubt, ist herzlich dazu eingeladen, sich in unserem Video davon überzeugen zu lassen.

Sie finden das Webvideo eingebettet hier bei uns im Blog oder auf unserem neuen Youtube-Kanal.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

By | 8. März 2017

Auf 158 Seiten gibt der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig einen Überblick über die Arbeit der Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern für die Jahre 2015 und 2016 ab.

Das BayLDA ist für ca. 700.000 verantwortliche Stellen im nicht-öffentlichen Bereich (Unternehmen, Vereine, Verbände, freiberuflich Tätige etc.) in Bayern zuständig.

Im vorderen Teil des Berichts wird anschaulich auf die Entwicklung von Bürgerbeschwerden, Datenpannen, aber auch Beratungsanfragen seitens nicht-öffentlicher Stellen eingegangen. Der Übersicht ab 2013 ist zu entnehmen, dass es sich bei der zunehmenden Steigerung nicht um einzelne Spitzen, sondern klar um einen Trend handelt. Sind 2013 „nur“ 925 Beschwerden über bayerische Unternehmen und Unternehmer eingegangen, so waren es 2016 schon 1.424. Identisch verhält es sich mit der Zahl der Datenpannen (2013 32 gegenüber 85 in 2016). Wobei hier eine deutlich höhere Dunkelziffer seitens des Amts vermutet wird. Bei den Beschwerden liegt das Thema Videoüberwachung auf dem vordersten Platz. Unter anderem sind dafür die mittlerweile sehr preiswerten Überwachungskameras (wie Wildkameras, Dashcams usw.) verantwortlich, jedoch auch ein gesteigertes Sicherheitsbedürfnis. Letzteres führt schnell mal dazu, nicht nur (zulässigerweise) das eigene Grundstück zu observieren, sondern (zumeist unzulässig) angrenzende Grundstücke oder öffentliche Verkehrsflächen mit einzuschließen.

Klassische Datenpannen wie Verlust, Diebstahl oder … Weiterlesen

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

By | 23. Januar 2017

Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war.

„Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten“, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.

Wer muss einen Datenschutzbeauftragten bestellen?

Unternehmen und auch Vereine müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn bei ihnen mindestens zehn Personen („mehr als neun“, so das Bundesdatenschutzgesetz) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei ist es unerheblich, a) ob es sich dabei um interne oder externe personenbezogene Daten handelt und b) mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe etc.). Es zählt hier alleine die Zahl der „Köpfe“.

Zahlreiche Unternehmen und Vereine erfüllen diese Voraussetzungen. Das Gesetz stellt es dabei frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Je nach Bundesland schreiben die Landesdatenschutzgesetze einen Datenschutzbeauftragten ebenfalls für Behörden und kommunale Einrichtungen (sog. öffentliche Stellen) verpflichtend vor. In einigen Bundesländern besteht bereits heute die Möglichkeit einer externen Bestellung des behördlichen Datenschutzbeauftragten. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird die Bestellpflicht für öffentliche Stellen vereinheitlicht. Ebenso soll dann … Weiterlesen

Frohes Neues Jahr 2017

By | 2. Januar 2017

Wir wünschen allen unseren Lesern des Datenschutz-Blogs, unseren Kunden und Geschäftspartnern samt ihren Lieben ein Frohes Neues Jahr 2017 mit viel Gesundheit und Glück. Danke, dass Sie uns in 2016 die Treue gehalten haben. Wir freuen uns auf die weitere Zusammenarbeit mit Ihnen.

Bildnachweis: https://pixabay.com/de/hufeisen-gl%C3%BCck-western-huf-110987/

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

By | 4. November 2016

Die Landesdatenschutzbehörden in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt wählen per Zufall 500 Unternehmen in diesen Bundesländern aus. Diese erhalten im Zuge der Prüfung einen ausführlichen Fragebogen (Download zur Selbstüberprüfung hier) zur zeitnahen Beantwortung. Bitte beachten Sie: Sie sind gemäß Bundesdatenschutzgesetz gegenüber der Behörde auskunftspflichtig. Nehmen Sie die Anfrage ernst und erteilen Sie innerhalb des genannten Rückmeldezeitraums ausführlich Auskunft. Es besteht sonst ein Bußgeldrisiko für Ihre Organisation.

„[…] viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können.“

Inhaltlich beschäftigt sich der Fragebogen daher zu Beginn mit generellen Datenübermittlungen außerhalb der EU (USA, sonstige Drittstaaten).

„Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit Weiterlesen

Privacy Shield für ein Jahr toleriert – Europäische Datenschutzbehörden unzufrieden

By | 28. Juli 2016

Zumindest für den Zeitraum eines Jahres kann das oft kritisierte Privacy Shield als Nachfolger von Safe Harbor fungieren. Nach Aussagen der sogenannten Artikel-29-Gruppe sei das neue Abkommen nach wie vor nicht geeignet, grundsätzliche Kritik auszuräumen. Dabei wurden die nach wie vor zulässigen Geheimdienstzugriffe auf Daten von EU Bürgern sowie die mangelnden Durchsetzungsmöglichkeiten der Schutzrechte der Betroffenen bemängelt.

Dennoch könne Privacy Shield vorerst als Zulässigkeitstatbestand für den Transfer personenbezogener Daten in die USA eingesetzt werden. Nach 12 Monaten Evaluierungsphase soll das Abkommen neu bewertet werden. Bis dahin sicherten die europäischen Datenschutzbehörden aktive Unterstützung bei der Geltendmachung der Rechte Betroffener in den USA zu.