Privacyofficers.at auf der Konferenz der deutschen Datenschutzbeauftragten

Privacyofficers.at auf der Konferenz der deutschen Datenschutzbeauftragten

Michael Punz bei der Präsentation der Checkliste

Wir waren auf der Konferenz der deutschen Datenschutzbeauftragten „Aufsicht trifft Wirtschaft“ am 26. und 27. Oktober 2017 in Stuttgart und haben dort unsere Checkliste vorgestellt. Diese hat großen Anklang gefunden und uns in unserer Arbeit bestärkt. Es waren ca 200 Besucher auf dieser Konferenz, welche vor allem den Süden Deutschlands abdecken sollte. Wir hatten einen regen Austausch mit unserem deutschen Schwesternverein und werden in Zukunft noch stärker kooperieren, ein paar Vergünstigungen für unsere Mitglieder gibt es jetzt schon, beispielsweise können unsere Mitglieder Konferenzen des Verbandes zum Mitgliederpreis teilnehmen und es wird künftig noch stärken Austausch und Zugang internen Informationen geben.

Anbei noch einige Notizen von Konferenz:

Behörden (Baden-Württemberg/Bayern und Staatssekretär):

Wir sind noch alle in der Theorie und müssen gemeinsam in den Austausch kommen.

Materiell wird sich für den deutschen Datenschutz wenig ändern, allerdings wird sich das Zusammenspiel zwischen den Behörden und den Unternehmen ändern. Die Behörden müssen sich selbst berechenbarer machen und zwischen den Behörden wird es mehr Koordination geben.

Es wird Kurzpapiere von der Datenschutzkonferenz geben, ein gemeinsames Verständnis aller deutschen Behörden sollte zusammengefasst werden. Es wird auch ein Muster für Verfahrensverzeichnisse geben. Ansonsten muss das Verfahrensverzeichnis so gestaltet sein, dass die Behörde ohne nachfragen einen Überblick erhalten kann.

Falls ein Auftragsverarbeiter sich weigert, einen neuen Vertrag zu unterschreiben, so kann man die Behörde anrufen.

Die Behörde als Servicefunktion

Bußgeld darf nicht das zentrale Thema werden, Behörden in Deutschland sind jetzt schon sehr kooperativ, allerdings ist das Bußgeld nötig um alle aufzuwecken , welche sich vorher nicht um das Thema gekümmert haben. In Deutschland wurden bis jetzt kaum Bußgelder verhängt, wenn man eine ungesetzliche Situation bemerkt hat, hat man eher beraten wie man den Zustand abstellt. Dieses nicht wirtschaftsunfreundliche Verhalten wird sich ändern müssen, weil die Eu einheitlich Vorgehen wird. Auch die Bußgelder werden einheitlich verhängt werden. Allerdings haben die Behörden nach Ermessen zu entscheiden. Es wird eher das französische Modell, Rechtssicherheit durch Verfahren angewendet werden.

Die Behörden befürchten, dass die Unternehmen z.B. Geld in Rechtsanwälte investieren und ganze Behörden lahmlegen könnten.

Die Behörde in Baden-Württemberg hat zurzeit 55 Mitarbeiter und wird noch aufstocken (8). Davon werden 2-3 Mitarbeiter sich nur aufs Bußgeld spezialisieren.

Mitarbeiter welche in der Beratung tätig sind, dürfen allerdings nicht mit Bußgeld arbeiten und umgekehrt, hier wird es eine strikte Trennung geben.

Eine verständnisvolle Bußgeldsituation wie bisher darf nicht mehr geben.

Sicherheitsbehörde:

Beratung der Behörden für Unternehmen wird ein großes Thema. Datenschutz sollte eher ein Thema für Unternehmen sein, wie diese z.B. mit Kundendaten umgehen. Datenschutz sollte nicht die Sicherheit der Demokratie verhindern. Das deutsche Niveau beim Datenschutz ist einzigartig, sollte aber trotzdem im Sinne der Sicherheit mehr möglich machen z.B. bekommt die Polizei in Deutschland nicht die Mautdaten, in Österreich aber schon.

Wenn man sensible Daten verwendet, sollten die TOMs strenger sein!

Man merkt dass alle in der EU ziemlich wegen dem Datenschutzbeauftragten ratlos sind, hier sollte das deutsche Erfolgsmodell als Muster gesehen werden.

Gutachten zur Stellung und Haftung des Datenschutzbeauftragten:

Welche Konsequenzen ergeben sich aus der DSGVO für andere Gesetze? Die DSGVO ist höher als das Grundgesetz einzustufen, bei Widerspruch zu einem deutschen Gesetz hat die DSGVO Vorrang.

Es gibt keine Formvorschrift über die Bestellung des DSB, wenn man vorher schon bestellt war, gilt die Bestellung weiter, muß also nicht neu bestellt werden.

Der Kündigungsschutz ändert sich in der deutschen Rechtlage nicht, nur wenn eine fristlose Entlassung ausgesprochen werden kann, kann man den DSB kündigen.

Ein Motto der Konferenz

Für den Datenschutz verantwortlich ist nicht der DSB sondern, der für die Datenverarbeitung Verantwortliche. Deshalb kann nur dieser sanktioniert werden. (also Unternehmensleitung), dieser ist auch verantwortlich für die PIA und muß den Rat des DSB einzuholen. DSB überwacht die Einhaltung hat aber selbst kein Weisungsrecht.

Bildlich wurde ein Fußballcoach gesehen, der auch nicht steuernd in das laufende Spiel eingreifen kann.

Es wurde auch die Frage aufgeworfen, ob der DSB zusätzliche Pflichten übernehmen kann, dies kann nur im Einzelfall entschieden werden, ist aber schwierig, weil möglicheInteressenskonflikte auftreten können. Die gesetzlichen Pflichten gehen jedenfalls vor.

Die Pflichten sollten bei der Bestellung klar definiert werden, wobei die gesetzlichen nicht vertraglich ausgedehnt werden sollten. Bei der Bestellung ist es unzulässig das Bußgeld dem DSB umzuhängen.

Unterschied zu Compliance Officer:

Compliance Officer haften bei Unterlassung, Datenschutzbeauftragte haben nur eine Verpflichtung darauf hinzuweisen.

Datenschutzbeauftragte können Schulungen übernehmen, es besteht eher kein Interessenskonflikt.

Das gesamte 60igseitige Gutachten wird nächste Woche veröffentlicht.

Noch rein paar interessante Aussagen aus der Konferenz:

Es gibt 5000 Datenschutzbeauftragte alleine in Bayern!

Data Breach sollte nicht der Datenschutzbeauftragte melden, diese Entscheidung trifft die Unternehmensleitung, Vorsicht bei Aussagen: arbeitsrechtliche Treuepflicht – Geheimhaltungspflicht ……

Der Datenschutzbeauftragte hat keine Anzeigepflicht!

Privacyofficers.at veröffentlicht Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten

Privacyofficers.at veröffentlicht Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten

Der Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at freut sich, das Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten zur Verfügung stellen zu können. In der vorliegenden Version wurde das österreichische Datenschutz- Anpassungsgesetz 2018 entsprechend berücksichtigt.

Das vorliegende Werk beschäftigt sich mit den Themen der Benennung des/der Datenschutzbeauftragten (zB: „Wer muss/wer kann einen bestellen?“, „Welche Voraussetzungen in fachlicher, sozialer und sonstiger Hinsicht muss ein/e Datenschutzbeauftragte/r erfüllen?“), die Stellung des/der Datenschutzbeauftragten bei der Ausübung seiner/ihrer Funktion, wo/wie der/die Datenschutzbeauftragte organisatorisch positioniert werden sollte, Abgrenzung der Aufgaben des/der Datenschutzbeauftragten zu anderen Positionen in der Organisation, die arbeitsrechtliche Stellung des/der Datenschutzbeauftragten und natürlich auch die Aufgaben des/der Datenschutzbeauftragten. Selbstverständlich werden auch die Datenschutzbeauftragten in Behörden und öffentlichen Stellen berücksichtigt.

Abschließend haben wir eine Mustervorlage für die Bestellung einer Person zum/zur Datenschutzbeauftragten beigefügt.

Herzlichen Dank unserem Arbeitskreis Rollenbild Datenschutzbeauftragter und allen beteiligen Vereinsmitgliedern für die Erstellung dieses Dokuments.

EU und USA bewerten Jahresbericht zum EU-US-Datenschutzschild

Experten aus der EU-Kommission und der US-amerikanischen Regierung haben vergangene Woche in Washington die erste jährliche Bewertung des EU-US-Datenschutzschilds vorgenommen. Basierend auf den Gesprächen mit der US-Administration und dem zusätzlichen Feedback von Unternehmen und NGOs wird die Kommission ihren jährlichen Bericht mit einer Beurteilung verfassen und in der zweiten Oktoberhälfte veröffentlichen.

Presseerklärung

Privacyofficers.at veröffentlicht aktualisierte Version 2.0 der Checkliste zur Umsetzung der DSGVO

Privacyofficers.at veröffentlicht aktualisierte Version 2.0 der Checkliste zur Umsetzung der DSGVO

Wir freuen uns Ihnen eine aktualisierte Checkliste zur Umsetzung der DSGVO zur Verfügung stellen zu können. Die nun vorliegende Version 2.0 berücksichtigt nun auch das Datenschutz-Anpassungsgesetz 2018. Einige Referenzen wurden ergänzt und geringe inhaltliche Verbesserungen wurden eingearbeitet. Erneut herzlichen Dank unserem Arbeitskreis Datensicherheit und allen beteiligten Vereinsmitgliedern.

Privacy Enhancing Technologies in der Praxis

John Borking präsentierte vor 22 Jahren die Idee, dass der Schutz der Privatsphäre im Informationszeitalter nur durch Technik erreicht werden kann. Es war die Geburtsstunde der „Privacy Enhancing Technologies“, die später die Konzepte des „Privacy by Design“ und des „Datenschutzes durch Technik“ ermöglichen sollten.

Die europäische Behörde für Netz- und Informationssicherheit ENISA hat vor einen Jahr eine Analyse zum Reifegrad von Datenschutz-Techniken veröffentlicht. Sie ist ein Meilenstein zur Umsetzung der so genannten „Privacy Enhancing Technologies“ in der Praxis. Bei der Umsetzung der Vorgaben der Datenschutz-Grundverordnung wird PET eine wichtige Rolle spielen. Im Verein befassen wir uns unter anderem in Arbeitsgruppen mit diesem Thema.

 

Filmtipp: Democracy – Im Rausch der Daten

Filmtipp: Democracy – Im Rausch der Daten

Der Dokumentarfilm „Democracy – Im Rausch der Daten“ begleitet die Entstehung der Datenschutz-Grundverordnung der Europäischen Union. Der Film begleitet dabei den Abgeordneten des Europäischen Parlaments Jan Philipp Albrecht und die damalige Vizepräsidentin der Europäischen Kommission und Kommissarin für Justiz, Grundrechte und Bürgerschaft Viviane Reding, die sich um die Umsetzung stärkeren Datenschutzes zur informationellen Selbstbestimmung bemühen.

Die Dokumentation kann unter anderem hier gekauft bzw. als Stream gesehen werden:

YouTube Leihfilm

Apple iTunes Leihfilm

Apple iTunes Kauffilm

Amazon Video als Leihfilm oder als DVD

 

 

Google-Richtlinien: EFF gibt Datenschutz-Tipps

Die US-Bürgerrechtsorganisation EFF gibt auf ihrer Webseite Tipps, wie noch vor der Umstellung der Datenschutzrichtlinien von Google eine Zusammenführung der Suchhistorie mit anderen Google-Diensten verhindert werden kann.

Am 1.März wird Google die stark umstrittene neuen Datenschutzrichtlinien einführen, die die Zusammenführung aller Daten von Google-Diensten vorsieht. Dadurch könnten theoretisch mit Hilfe der Suchhistorie und den Daten aus anderen Diensten wie YouTube oder Google+ ziemlich präzise Schlüsse über einen Nutzer gezogen werden. Um das zu verhindern, hat die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) eine Anleitung auf ihrer Seite veröffentlicht, wie vergangene Suchdaten gelöscht und die Sammlung von diesen Daten in Zukunft verhindert werden kann.

Quelle: futurezone.at

Folgen Sie unserem Blog per E-Mail

Folgen Sie unserem Blog per E-Mail

Möchten Sie über aktuelle Beiträge aus unserem Blog per E-Mail informiert werden? Tragen Sie Ihre E-Mail Adresse in der rechten Spalte unter dem Abschnitt  „Blog via E-Mail abonnieren“ ein und aktivieren Sie danach in der eingegangenen E-Mail das Abonnement. Jeder unserer Artikel wird, sobald er veröffentlicht wird, per Email an die von Ihnen gewählte E-Mail Adresse verschickt. Nützen Sie diese Funktionalität, um über alle Beiträge hier auf dem Laufenden zu bleiben. Selbstverständlich können Sie sich jederzeit von dem E-Mail Verteiler abmelden.

Analysis & report: Has the Privacy Shield Agreement Between the U.S. and the EU Been Fatally Undermined by President Trump’s Executive Order 13768?

Analysis & report: Has the Privacy Shield Agreement Between the U.S. and the EU Been Fatally Undermined by President Trump’s Executive Order 13768?

This analysis is an in-depth look at the January 2017 Executive Order 13768, Enhancing Public Safety in the Interior of the United States and its interaction with two laws, the Privacy Act of 1974 and the Judicial Redress Act of 2015. Regardless of the reasons underlying why the order was written, a key question this analysis considers is if the order damages the EU-US Privacy Shield agreement, which depends on the dual interactions of the Privacy Act and the Judicial Redress Act to function properly. This analysis finds the order indeed casts doubt on the viability of the limited privacy protections for non-resident aliens in the Judicial Redress Act of 2015. If so, the Judicial Redress Act of 2015 does not provide all EU citizens with the meaningful privacy protections that they expected. The effect may be to fatally undermine the EU-US Privacy Shield Agreement.

Link: Has the Privacy Shield Agreement Between the U.S. and the EU Been Fatally Undermined by President Trump’s Executive Order 13768?

Data protection becomes a mainstream topic of business conversation

Data protection becomes a mainstream topic of business conversation

Microsoft has introduced an expanded settings menu in Windows 10 that gives users installing the software more information on data privacy. However, the EU’s Article 29 Working Party wonders if the changes include enough disclosures to customers. The WP29 has asked for more explanation of Microsoft’s processing strategy of personal data for various purposes, including advertising.

Less than 15 months left before the new GDPR comes into force, Microsoft also announced this week its promise to be compliant with the GDPR across all cloud services by the May 2018 deadline. Brendon Lynch stated that Microsoft is committed to principles of cloud trust, privacy, transparency and compliance. He also added that, while Microsoft is committed to “helping you successfully comply with the GDPR, it is important to recognize that compliance is a shared responsibility.“ Lynch also acknowledged that the regulation’s new requirements will include greater access and deletion rules, clear risk assessment and data breach notification procedures, as well as data protection officer roles for many organizations.

Source: IAPP News