Ergebnisse der 98. Datenschutzkonferenz
- von Thilo Noack
- •
- 18 Nov., 2019
"Die Luft wird dünner" oder: Zusammenfassung der relevantesten Ergebnisse.
Es gab, neben der - zugegeben pauschalen - Aussage, dass Google Analytics nicht mehr ohne Einwilligung
verwendet werden darf, tatsächlich eine ganze Bandbreite von relevanten Ergebnissen.
Fangen wir zur Einstimmung mit Windows 10 an, womit gemeint ist, dass es hier relevante Verarbeitungsdokumentationen im Art.30 VVZ geben muss. Dementsprechend sind die Rechtsgrundlagen selbstverständlich zu prüfen und Datenflüsse dementsprechend zu korrigieren (Datenschutz - Einstellungen Windows10, Office usw.)
Es gab des Weiteren eine Positionierung zu Gesundheitsdienste und Webseiten, hier.
Dann ist das Standard-Datenschutzmodell V2.0. erschienen.
Dann ist das Standard-Datenschutzmodell V2.0. erschienen.
Das Standard-Datenschutzmodell (SDM) bietet geeignete Mechanismen, um diese rechtlichen Anforderungen der DS-GVO in technische und organisatorische Maßnahmen zu überführen. Zu diesem Zweck erfasst das SDM zunächst die rechtlichen Anforderungen der DS-GVO und ordnet sie anschließend den Gewährleistungszielen Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit zu. Das SDM überführt damit die rechtlichen Anforderungen der DS-GVO über die Gewährleistungsziele in von der Verordnung geforderten technischen und organisatorischen Maßnahmen, die im Referenzmaßnahmen-Katalog des SDM detailliert beschrieben werden. Es unterstützt somit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen.
Der zum SDM gehörende Referenzmaßnahmen-Katalog kann herangezogen werden, um bei jeder einzelnen Verarbeitung zu prüfen, ob das rechtlich geforderte „Soll“ von Maßnahmen mit dem vor Ort vorhandenen „Ist“ von Maßnahmen übereinstimmt. Das SDM und der Referenzmaßnahmen-Katalog bieten zudem eine Grundlage für die Planung und Durchführung der von der DS-GVO geförderten datenschutzspezifischen Zertifizierungen (Art. 42 DS-GVO) und der in bestimmten Fällen erforderlichen Datenschutz- Folgenabschätzung (Art. 35 DS-GVO).
Wie schreibe ich Weihnachtsgrüße nach DSGVO richtig und beachte den Datenschutz
Google Analytics nur nach Einwilligung " Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann."
Bonn/Berlin, 14. November 2019, bfdi.
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Derzeit äussern sich gleich mehrere Aufsichtsbehörden in der gleichen Tonart zu dem Thema und es gibt bereits eine 6-stellige Zahl an Seiten, die einer Behörde beschwerdetechnisch vorliegen.
ZDNET ( https://www.zdnet.de/88364323/dsgvo-british-airways-droht-eine-rekordstrafe-von-183-millionen-pfund/
)
DSGVO: British Airways droht eine Rekordstrafe von 183 Millionen Pfund
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Praxis: Einfache Umsetzung von Grundsätzen zeigen Wirkung bei aktuellen behördlichen Prüfungen.
Die Wertschöpfung im Zeitalter nahezu 100%-iger Digitalisierung steht in unmittelbarer Verbindung mit Daten. Ein Großteil dieser Daten sind personenbezogene Daten, bei denen es in erheblichem Maße auf deren Rechtmäßigkeit im Rahmen derer Verarbeitung ankommt. Die Aufgabe von Datenschutzexperten besteht in eben dieser Kontrolle und Prüfung. Aber auch Mitarbeiterdaten sind Teil dieser Verarbeitung und ein ebenso wichtiger Teil eines fundierten Datenschutz-Managements.
Stellen Sie Ihre Daten auf die Probe. Kontrollieren Sie die Datenverarbeitung aus den Augen derer, die Risiken für Ihr Unternehmen bedeuten können:
- sind Betroffenenrechte rechtssicher umgesetzt
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
