Europäische Datenschutz-Grundverordnung

16. Dezember 2015 09:53 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Die EU Data Protection Reform vom Januar 2012 wurde nach zähem Ringen am 15.12.2015 als Europäische Datenschutzgrundverordnung vorgelegt: Pressemitteilung. Sie ersetzt die Richtlinie 95/46/EG. Die Verordnung muss noch von EU-Ministerrat und EU-Parlament bestätigt werden.

Grundlage der aktuellen Beschlüsse ist der Entwurf der GDPR General Data Protection Regulation vom 4.12.2015. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, wird die Datenschutz-Grundverordnung (DS-GVO) ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten gelten. Den Mitgliedsstaaten wird es daher nicht möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Die neue Verordnung soll Anfang 2018 in Kraft treten.

Der Inhalt bietet noch reichlich Diskussionsstoff: das "Recht auf Vergessenwerden"; die "Portabilität" mit Mitnahme der Daten von einem zum anderen Anbieter; das "Social Media Mindestalter" mit der Begrenzung der Nutzung ab 16 Jahren; die Strafen für Internetkonzerne, die die Vorgaben nicht einhalten; eingeschränkte Nutzung von Daten, die sich auch als Hemmschuh für die Forschung entwickeln könnte; der "Max-Schrems-Gedächtnis-Paragraph" mit Klagerechten für Verbraucher; die Informationspflichten für Anbieter über Datenlecks; und andere Formulierungen.

Positiv ist, dass in allen 28 EU-Ländern ab 2018 gleich hohe Datenschutz-Standards gelten. Es mehrt sich aber die Kritik an der einige Male verwässerten Grundverordnung:

Rechtsanwalt Niko Härting hält im ZEIT-Interview die Richtlinie für misslungen. Er sagt:

<Zitat> "Es ist der EU nicht gelungen, ein internettaugliches Datenschutzrecht zu schaffen. Denn der Entwurf ist den Vorstellungen aus der Zeit vor dem Internet verhaftet. Die bisher gültige Datenschutzrichtlinie ist ja Anfang der neunziger Jahre entstanden, das war noch die Zeit der Großrechner. Die EU glaubt, sie müsse das Datenschutzrecht jetzt nur ein kleines bisschen ergänzen und ihm dann vor allem durch eine starke Bürokratie dazu verhelfen, dass es auch durchgesetzt wird. Im Kern bekommen wir nun ziemlich wenig Neues, Innovatives."
und
"Der bürokratische Aufwand, den Unternehmen betreiben müssen, damit sie sich datenschutzrechtlich nichts einfangen, ist hoch. Große Unternehmen können sich Compliance leisten. Für kleine Firmen ist ein Aufwand, wie ihn zum Beispiel Google nach dem Urteil zum Recht auf Vergessen betrieben hat, um Nutzeranfragen abzuarbeiten, nicht leistbar."</Zitat>
 

Dr. Winfried Veil sieht auf CRonlne (Teil I, II und III) in der DS-GVO "einen Angriff auf Internet und Meinungsfreiheit". Er schreibt in der Einleitung:

<Zitat> "Eine Kurzanalyse der Datenschutz-Grundverordnung
Die kurz vor der Verabschiedung stehende Datenschutz-Grundverordnung (nachfolgend: “DS-GVO-E”) stellt einen Angriff auf die Freiheit im Internet dar. Insbesondere wird sie zu einer echten Bedrohung der Kommunikationsfreiheiten. Die EU ist gerade dabei, ein regulatorisches Monstrum (Caspar Bowden) zu erschaffen, das die Hypertrophie der Vorsorge (Hans Peter Bull) auf die Spitze treibt und das weite Teile der Kommunikation im Internet dem Regime des Datenschutzrechts und damit der Aufsicht durch staatliche Behörden unterwirft – mit unabsehbaren Folgen.
" </Zitat>

 

Die Details der Ankündigung (Basis: GDPR Entwurf Dezember 2015):

<citation> "The European Commission put forward its EU Data Protection Reform in 2012 to make Europe fit for the digital age (IP/12/46).

The European Commission put forward its EU Data Protection Reform in January 2012 to make Europe fit for the digital age (IP/12/46). Today, an agreement was found with the European Parliament and the Council, following final negotiations between the three institutions (so-called 'trilogue' meetings). More than 90% of Europeans say they want the same data protection rights across the EU – and regardless of where their data is processed: this will soon be a reality. The Reform package will put an end to the patchwork of data protection rules that currently exists in the EU.

The Reform consists of two instruments:

  • The General Data Protection Regulation will enable people to better control their personal data. At the same time modernised and unified rules will allow businesses to make the most of the opportunities of the Digital Single Market by cutting red tape and benefiting from reinforced consumer trust.
  • The Data Protection Directive for the police and criminal justice sector will ensure that the data of victims, witnesses, and suspects of crimes, are duly protected in the context of a criminal investigation or a law enforcement action. At the same time more harmonised laws will also facilitate cross-border cooperation of police or prosecutors to combat crime and terrorism more effectively across Europe.

 

A fundamental right for citizens

The reform will allow people to regain control of their personal data. Two-thirds of Europeans (67%), according to a recent Eurobarometer survey, stated they are concerned about not having complete control over the information they provide online. Seven Europeans out of ten worry about the potential use that companies may make of the information disclosed. The data protection reform will strengthen the right to data protection, which is a fundamental right in the EU, and allow them to have trust when they give their personal data.

The new rules address these concerns by strengthening the existing rights and empowering individuals with more control over their personal data. Most notably, these include:

  • easier access to your own data: individuals will have more information on how their data is processed and this information should be available in a clear and understandable way;
  • a right to data portability: it will be easier to transfer your personal data between service providers;
  • a clarified "right to be forgotten": when you no longer want your data to be processed, and provided that there are no legitimate grounds for retaining it, the data will be deleted;
  • the right to know when your data has been hacked: For example, companies and organisations must notify the national supervisory authority of serious data breaches as soon as possible so that users can take appropriate measures.

 

Clear modern rules for businesses

In today's digital economy, personal data has acquired enormous economic significance, in particular in the area of big data. By unifying Europe's rules on data protection, lawmakers are creating a business opportunity and encouraging innovation.

  • One continent, one law: The regulation will establish one single set of rules which will make it simpler and cheaper for companies to do business in the EU.
  • One-stop-shop: businesses will only have to deal with one single supervisory authority. This is estimated to save €2.3 billion per year.
  • European rules on European soil – companies based outside of Europe will have to apply the same rules when offering services in the EU.
  • Risk-based approach: the rules will avoid a burdensome one-size-fits-all obligation and rather tailor them to the respective risks.
  • Rules fit for innovation: the regulation will guarantee that data protection safeguards are built into products and services from the earliest stage of development (Data protection by design). Privacy-friendly techniques such as pseudonomysation will be encouraged, to reap the benefits of big data innovation while protecting privacy.

 

Benefits for big and small alike

The data protection reform will stimulate economic growth by cutting costs and red tape for European business, especially for small and medium enterprises (SMEs). The EU's data protection reform will help SMEs break into new markets. Under the new rules, SMEs will benefit from four reductions in red tape:

  • No more notifications: Notifications to supervisory authorities are a formality that represents a cost for business of €130 million every year. The reform will scrap these entirely.
  • Every penny counts: Where requests to access data are manifestly unfounded or excessive, SMEs will be able to charge a fee for providing access.
  • Data Protection Officers: SMEs are exempt from the obligation to appoint a data protection officer insofar as data processing is not their core business activity.
  • Impact Assessments: SMEs will have no obligation to carry out an impact assessment unless there is a high risk.

 

Protecting personal data in the area of law enforcement

  • Better cooperation between law enforcement authorities

With the new Data Protection Directive for Police and Criminal Justice Authorities, law enforcement authorities in EU Member States will be able to exchange information necessary for investigations more efficiently and effectively, improving cooperation in the fight against terrorism and other serious crime in Europe.

The Data Protection Directive for Police and Criminal Justice Authorities takes account of the specific needs of law enforcement, respects the different legal traditions in Member States and is fully in line with the Charter of Fundamental Rights.

  • Better protection of citizens' data

Individuals' personal data will be better protected, whenprocessed for any law enforcement purpose including prevention of crime. It will protect everyone – regardless of whether they are a victim, criminal or witness. All law enforcement processing in the Union must comply with the principles of necessity, proportionality and legality, with appropriate safeguards for the individuals. Supervision is ensured by independent national data protection authorities, and effective judicial remedies must be provided.

The Data Protection Directive for Police and Criminal Justice Authorities provides clear rules for the transfer of personal data by law enforcement authorities outside the EU, to ensure that the level of protection of individuals guaranteed in the EU is not undermined.

 

Next steps

Following political agreement reached in trilogue, the final texts will be formally adopted by the European Parliament and Council at the beginning 2016. The new rules will become applicable two years thereafter.

The Commission will work closely with Member State Data protection authorities to ensure a uniform application of the new rules. During the two-year transition phase, the Commission will inform citizens about their rights and companies about their obligations.

Data Protection Authorities will work more closely together in the future, especially through the one-stop shop mechanism to solve cross-border data protection cases.  </citation>

 

 

 

 

 

 

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

8 Kommentare zu “Europäische Datenschutz-Grundverordnung

  • Riesen-Poster zur GDPR | DS-GVO
    23. Dezember 2015 um 12:38
    Permalink

    Eine schöne Übersicht zu Inhalt und Struktur der GDPR General Data Protection Regulation bzw. DS-GVO Datenschutz-Grundverordnung gibt es hier http://bit.ly/1mzXXT4 bei Datenschutz-Guru: https://www.datenschutz-guru.de/2015/12/ds-gvo-poster/. Nach Zustimmung von Ministerrat und Europäischem Parlament wird diese dann wohl zum 1.1.2018 in Kraft treten.
     

    P.S. ausgedruckt ist das Poster etwa 3,50m x 9,00m 😉 
     

    … und einen Weihnachtskalender mit den 24 Türchen zur DS-GVO gibt es von delegedata.de auch noch: https://www.delegedata.de/wp-content/uploads/2015/12/EUDataP-Weihnachtskalender-2015.pdf

     

     

    Antwort
  • DSGVo konsolidierte Fassung April 2016
    7. April 2016 um 10:55
    Permalink

    Die konsolidierte offizielle Fassung mit dem Standpunkt des Rates zur Richtlinie 95/46/EG

    (2012/0011 (COD) | 5419/16 | DATAPROTECT 2 | JAI 38 | MI 25 | DIGIT 21 | DAPIX 9 | FREMP 4 | CODEC 52 | Interinstitutionelles Dossier: GESETZGEBUNGSAKTE UND ANDERE RECHTSINSTRUMENTE | Betr.: Standpunkt des Rates in erster Lesung im Hinblick auf den Erlass der VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

    wurde am 6.4.2016 veröffentlicht: http://bit.ly/EU_DSGVo

     

    Antwort
  • EU DSGVO, DSAnpUG-EU & BDSG-neu
    13. Mai 2017 um 14:46
    Permalink

    Zur EU DSGVO, der Europa-weit gültigen Datenschutzrichtlinie gab zunächst ein deutsches Anpassungsgesetz, das das bisherige BDSG ändert: “Datenschutz-Anpassungs- und -Umsetzungsgesetz EU” (DSAnpUG-EU). Eigentlich gilt ja die europäische Richtlinie unverändert auch in Deutschland, aber der Gesetzgeber musste natürlich die ind er EU-Richtlinie vorgesehen Anpassungen vornehmen – Grundlage hier ist die Öffnungsklausel und der Erwägungsgrund 8 der DSGVO: “Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.” An einigen Stellen ist die EU DSGVO übrigens durchaus konkreter als die deutsche Anpassung. netzpolitik.org bezeichnet das neue BDSG kritisch als “postfaktisch“. 

    Am 27. April 2017 hat der Bundestag nun ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet. Die neuen Regeln treten am 25. Mai 2018 in Kraft. Am 12. Mai 2017 hat der Bundesrat das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUGEU) verabschiedet. Hier wird auch die Bezeichnung BDSG-neu gebraucht.

    Trotz der gleichlautenden Bezeichnung hat das neue BDSG (Quelle: https://dsgvo.expert) nur noch wenig mit seinem Vorgänger gemeinsam. Schon ein Blick auf die Anzahl der Paragraphen mit nunmehr 85 zeigt die Veränderungen.  In dieser von Werner Hülsmann dokumentierten Version sind auch noch die letzten Änderungen markiert. Schon auf den ersten Blick hat das neue BDSG mit deutlich mehr Paragraphen und Regelungen als das bisherige BDSG. Eine Online-Version des BDSG-neu gibt es hier. Eine übersichtliche Zuordnungstabelle der DSGVO zum BDSG-neu gibt es von der GDD.

    Dr. Christian Lenz, Rechtsanwalt und Datenschutzbeauftragter, hat die 7 wichtigsten Neuerungen der DSGVO zusammengefasst:

    1. Datennutzung:
      Zunächst wurde nochmals festgeschrieben, dass personenbezogene Daten nur nach einer Einwilligung oder gesetzlichen Grundlage genutzt werden dürfen.
    2. Datensicherheit:
      Unternehmen werden verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu treffen und diese zu dokumentieren.
    3. Recht auf Vergessen werden:
      Unternehmen müssen Daten löschen, wenn die Betroffenen dies wünschen. Hier bedarf es – wie auch für andere Betroffenenrechte (Auskunftsrechte etc.) – entsprechender organisatorischer Vorkehrungen in den Unternehmen.
    4. Dokumentation der Organisation:
      Unternehmen sind angehalten, die zum Schutz der Daten geschaffene Organisation und risikomindernden Maßnahmen sowie die zugrundeliegenden Rechtsgrundlagen zu dokumentieren. Zudem muss jedes Unternehmen die Datenschutzziele wie Datenvermeidung, Transparenz der Verarbeitung und Zweckbindung nachweisbar verfolgen. Das Verzeichnis der Verarbeitungstätigkeiten ist das Kernstück der Dokumentation.
    5. Datenschutz-Folgenabschätzung:
      Für kritische Datenverarbeitungen – und das sind fast alle – muss vor der Verarbeitung detailliert dargestellt werden, auf welcher Grundlage die Verarbeitung erfolgt und wie die Risiken zu bewerten sind.
    6. Reaktion auf Datenpannen:
      Die Aufsichtsbehörde ist bei Hackerangriffen oder Datenpannen innerhalb von 72 Stunden zu informieren. Ebenso muss die betroffene Person unverzüglich informiert werden. Hierfür bedarf es organisatorischer Vorkehrungen.
    7. Empfindliche Bußgelder:
      Bei Nichtbeachten drohen empfindliche Bußgelder bis zu 20 Mio. € oder bis zu 4 % des Jahresumsatzes im gesamten Konzern.
    Antwort
  • ePrivacy-Verordnung
    18. Dezember 2017 um 9:40
    Permalink

    Am 26. Oktober 2017 wurde vom EU-Parlament die ePrivacy-Richtlinie verabschiedet (http://bit.ly/EU_ePrivacy), die im Januar 2017 im Rahmen des DSM Digital Single Market als Entwurf vorgestellt worden war (http://bit.ly/EU-ePrivacy). Internet-Nutzer sollen so umfassender als bisher geschützt werden. Wie so häufig gab es viel Widerstand gerade aus Deutschland. Die ePrivacy-Richtlinie regelt z.B. die Verwendung von Cookies und das Protokollieren von Web-Sessions neu (zuvor 2002 und 2009 in den “Cookie”-Richtlinien, die in Deutschland nicht in das BDSG eingeflossen sind).  Ab Mai 2018 gilt in der EU nun einheitlich die neue Datenschutzgrundverordnung (EU-DS-GVO). Um die Regelungen zum Internet-Nutzer-Datenschutz zu vereinheitlichen wurde entschieden, auch die Regelungen zur elektronischen Kommunikation in Form einer Verordnung zu erlassen. Solche EU-Verordnungen gelten in allen einzelnen Mitgliedsländern unmittelbar und müssen insofern nicht wie Richtlinien in nationales Recht umgesetzt werden. Die ePrivacy-Verordnung ergänzt so die neue Datenschutzgrundverordnung. Ursprünglich sollte die ePrivacy-Verordnung zeitgleich zur EU-DSGVO im Mai 2018 wirksam werden (was noch nicht sicher ist, da die Zeit zu kurz erscheint http://bit.ly/2CUtSGE). 

    Die Datenschutzgrundverordnung (GDPR) schützt vorrangig die persönlichen Daten von Verbrauchern und Internetnutzern in der EU. Durch die ePriovacy-VO (ePrivacy-Verordnungt) wird nun auch die elektronische Kommunikation in Bezug auf den Datenschutz reformiert. Die ePrivacy-VO knüpft gemäß Art. 1 Abs. 3 ePrivacy-VO an die Regelungen der Datenschutzgrundverordnung an. Das Sammeln und Speichern von Daten wird erschwert. Die ePrivacy-Verordnung sieht vor, dass Unternehmen keine Daten mehr ohne das Einverständnis des Nutzers für kommerzielle Zwecke weiterverarbeiten dürfen. Auch Cookies bedürfen zukünftig eines expliziten Nutzereinverständnisses. Die bisherige deutsche Opt-Out-Lösung ist dann nicht mehr zulässig. Das Setzen von Cookies fällt künftig generell unter ein „Verbot mit Erlaubnisvorbehalt“. Der Nutzer muss über das Setzen von Cookies, auch bei Session-Cookies, die z.B. für Warenkorb-Funktionen notwendig sind,  und die Art der erfassten Daten informiert werden.

    Auch für Browser und Mobiltelefone gelten erweiterte Vorgaben. Software und Geräte müssen in der Werkseinstellung datenschutzfreundliche Einstellungen haben. Hierfür hat sich der Begriff  “Privacy-by-Default” eingebürgert. Der “Einstellungs-Dschungel” soll damit gelichtet werden. Das Abwählen von Cookies, Tracking und anderen Verfolgungsmechanismen darf auch nicht zum Ausschluss von Diensten führen. Messenger-Dienste müssen zukünftig sichere Ende-zu-Ende-Verschlüsselung besitzen.  

    All dies widerstrebt den Lobbies der Internetkonzerne, den Nachforschern bei den Geheimdiensten und den Datensammlern in der Politik. So wird sich vielleicht bis zur Implementierung noch das Eine oder Andere ändern. 

    Antwort
  • DSGVO, Fotografieren & Blogs
    14. Mai 2018 um 8:01
    Permalink

    10 Tage vor dem Start der DSGVO am 25.5.2018 rührt es sich noch an verschiedenen Stellen.

    Zur Situation in Deutschland (in Österreich und der Schweiz gelten z.T. andere Regeln zur nationalen Umsetzung der GDPR) ein paar Informationen. Zum Einen wird viel um die offenen Flanken diskutiert – Bilder mit Personen im öffentlichen Raum und auf Sport-Veranstaltungen (http://bit.ly/SPON-DSGVO1), Webseiten-Archive ohne gültiges Impressum und Datenschutzerklärung (http://bit.ly/SPON-DSGVO2), Geltungsbereich “was ist persönlich” usw. Die ZEIT schreibt, “Man reimt sich das irgendwie zusammen” (http://bit.ly/2IhVpEe). Angeblich will die deutsche Bundesregierung (http://bit.ly/t3n-DSGVO) doch noch eine “Entschärfung” bestimmter Vorgaben erreichen, da man bisher auf die mögliche Adaption der EU-Richtlinie auf nationale Gegebenheiten nur mit dem BDSG-neu reagiert hat (http://bit.ly/DSAnpUGEU). Und das neue BDSG beinhaltet noch eine Reihe weitere “Klöpse”. Am 15.5.2018, also diese Woche, will sich auch die EU in einem Meeting mit dem Status der Umsetzung der GDPR beschäftigen.

     

    Fotografieren

    Um nur ein Beispiel herauszugreifen – das Fotografieren auf Sportveranstaltungen. Dies stellt sowohl für Vereine, die Siegerlisten und Fotos auf ihre Webseiten stellen wie auch für freie Fotografen durch die DSGVO ein Problem dar. Man kann einfach nicht jeden bei einer öffentlichen Veranstaltung, der mehr-oder-weniger mit ins Bild gerät um eine schriftliche Einwilligung bitten. Auch kann diese jederzeit widerrufen werden. Schon allein würde das Nachforschen, wer auf einem Bild ist und die Identifikation der Person einen Verstoß gegen die DSGVO sein. Vereine wie auch freie Fotografen sind hier von der Abmahn-Industrie bedroht. Dementsprechend wird überall in Sport- und anderen Vereinen das Thema aktuell diskutiert, ob man noch Fotos von Veranstaltungen auf die Webseite nehmen kann. 

    Für Hamburg (der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) wird das Fotografieren liberal gehandhabt
    http://www.project-consult.de/files/Ham … _DSGVO.pdf

    Generell
    https://www.ipcl-rieck.com/allgemein/wi … rafen.html enge Auslegung
    https://www.fotomagazin.de/bild/kolumne … einordnung “Haushaltsprivileg”, “berechtigte Interessen” eher weiche Auslegung
    https://www.cr-online.de/blog/2018/03/0 … n-von-uns/ enge Auslegung
    https://rechtsbelehrung.com/dsgvo-daten … -folge-55/ Fotos auf Webseiten und Blogs in Bezug auf Auswertung der Daten
    https://www.heise.de/tp/features/Das-DS … 37911.html Zuordnung als Presse
    https://www.fotorecht-seiler.eu/dsgvo-u … ie-teil-2/ Foto-Branche
    https://www.fotorecht-seiler.eu/dsgvo-u … ie-teil-3/ Foto-Branche
    http://www.robertbasic.de/2018/04/dsgvo … r-blogger/ Medienprivileg gilt weiter
    https://www.facebook.com/RobertBasic/po … 0049846143 ausführliche Diskussion, weite Auslegung 
    https://www.photografix-magazin.de/dsgv … otografen/ Wann ist Fotografie nur “persönlich”?
    https://www.berufsfotografen.com/news/d … achten-ist Fotografieren als Freiberufler
    http://www.landesrecht-hamburg.de/jport … 018&st=ent Hilfspersonen des Verbreiters der Bilder
    https://www.project-consult.de/files/Da … _DSGVO.pdf Vereine im WWW inkl. DSGVO des niedersächsischen Datenschützers
    https://www.fotorecht-seiler.eu/dsgvo-f … ug-update/ Update zur aktuellen Diskussion um DSGVO und Fotografieren
    http://www.shooting-stars.net/wcms/foto-model/news.asp?nnr=72137 DSGVO für Fotografen 
    https://t3n.de/news/dsgvo-angela-merkel … n-1078083/ Angela Merkel plant angeblich Änderungen auf den letzten Drücker
    https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/16-datenschutzgrundvo-fotografien.html BMI “Bundes-Heimat-Ministerium” offizielles Statement

     

    PROJECT CONSULT und die DSGVO

    Natürlich haben wir uns auch selbst als nur kleines Beratungsunternehmen mit der DSGVO befasst. Wir haben unsere Datenschutzerklärung auf der Webseite aktualisiert und passen unsere AGB an. Im Rahmen der Migration auf eine neue interne Plattform wurden die Datenbestände bereinigt, alte Adressen und E-Mails gelöscht, das Foto-Verzeichnis durchforstet, eine Informationslandkarte erstellt und ein Verfahrensverzeichnis erarbeitet.

    Mit dem Thema Aufbewahrungsfristen & DSGVO beschäftigt sich ein anderer Beitrag in unserem Blog.

    Dennoch – ist man schon auf der sicheren Seite? Zu ungenau sind die Formulierungen und Vieles wird es durch Gerichtsurteile geklärt werden müssen. Dies gilt auch für Fotos auf älteren Webseiten und Veröffentlichungen vor den DSGVO – wie soll man mit den archivischen Beständen im Netz umgehen?! Es ist Zweck eines Archives, einen Zustand ohne Veränderung zu dokumentieren. Da kann man nicht einfach beigehen und Impressum, Datenschutzerklärung und Inhalte wie Namensnennung, Fotos so einfach ändern. Das widerspricht den Prinzipien der Archivierung. 

    Ach ja – bei Posts in unserem Blog werden natürlich auch Name und E-Mail-Adresse erfasst, um falsche Identitäten auszusondern, Müll zu entfernen und den Urheberrechtsschutz für die Beitragenden sicherzustellen. Deshalb gibt es jetzt unten ein Häkchen, dass man mit der Speicherung dieser Daten bei PROJECT CONSULT einverstanden ist.

     

    Bedenkenswürdig … 

    Am 25.5.2018 tritt die DSGVO in Kraft. Am gleichen Tag ist “Towel Day” (http://www.towelday.org/) zum Gedenken an Douglas Adams (https://de.wikipedia.org/wiki/Towel_Day). Leider entsprechen GDPR / EU DSGVO nicht den Erwartungen, die wir als kundige Leser von “42” – der Antwort auf alle Fragen – haben.

    Antwort
  • DSGVO: erste Abmahnung
    30. Mai 2018 um 10:02
    Permalink

    Der Wahnsinn geht los … die erste Abmahnung wegen DSGVO: Abmahnung Erich Andreas Speck Dienstleistungen wegen DSGVO: http://bit.ly/DSGVOabmahnung | #Abmahnung #DSGVO

     

    DSGVO Abmahnung

     

    Quelle des Screenshot: https://www.ratgeberrecht.eu/abmahnung/abmahnung-erich-andreas-speck-dienstleistungen-wegen-dsgvo.html

     

    Auch Rechtsanwalt Mathias Hechler berichtet über weitere Abmahnungen: dsgvo-abmahnung. Hier ging es – 8,5 Stunden nach Inkrafttreten der DSGVO – um eine Abmahnung von einem Anwalt an einen anderen Anwalt (OK, so lange sich die Anwälte nur untereinander beschäftigen …).

    Hechler Abmahnungen DSGVO

    Quelle des Screenshot: http://www.abmahnungs-abwehr.de/abmahnungen/erste-abmahnungen-wegen-dsgvo/&nbsp;  

     

    Fazit

    (1) Man darf nicht am gleichen Tag abmahnen sondern muss ein paar Tage Karenzfrist abwarten

    (2) Wettbewerber können sich nicht gegenseitig wegen DSGVO-Verstößen abmahnen

    (3) Ob der Bezug zum Wettbewerbsrecht Bestand vor den Gerichten hat, ist zweifelhaft

    Antwort
  • Positivlisten für DSGVO-Datenschutzfolgeabschätzung
    30. Mai 2018 um 12:04
    Permalink

    Die ersten Positivlisten für die Datenschutz-Folgenabschätzung der Landes-Datenschützer sind verfügbar | #DSGVO #Datenschutz http://bit.ly/Folgeabschaetzung.

    Die Bundesbeauftragte für die den Datenschutz und die Informationsfreiheit hat diese Liste herausgegeben: “Liste von Verarbeitungsvorgängen gemäß Artikel 35 Abs. 4 DSGVO” http://bit.ly/BDS-DSFA

    Für Hamburg gibt es diesen Entwurf: “DSFA | Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung von Verantwortlichen im nicht-öffentlichen Bereich durchzuführen ist” http://bit.ly/DaSchuHH

    Antwort
  • Reaktionen in Baden-Württemberg
    30. Mai 2018 um 13:15
    Permalink

    Auf Twitter gibt es dazu schon Kommentare von einem Mitarbeiter des Baden-Württembergischen Datenschutz beauftragten:
    https://twitter.com/alvar_f/status/1001788618015494144
    Da wird dann der Beschwerdeführer als Affe bezeichnet
    “Die Firma Erich Andreas Speck Dienstleistungen aus Linkenheim-Hochstetten macht sich – sofern das da korrekt ist – zum Affen”
    Das ist der gleiche Mensch, der beim “Bundeshack” sagte, als die Open Source Lernplattform beim der BAKÖV als unsicheres Einfallstor missbraucht worden war und von aus aus der Wurm sich weiter fraß, dass man Microsoft Produkte aus der Bundesverwaltung bannen sollte und alles durch Open Source Produkte ersetzt werden sollte.
    Ich glaube, wir haben noch keine Ahnung davon, welch schillerndes Entertainment bei blanken Nerven wir mit der DSGVO und ihren Trittbrettfahrern noch bekommen werden. 🙂
    Horridoh!

    Antwort

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.