Derzeit wird im EU-Parlament diskutiert, ob in der ePrivacy-Verordnung der Datenschutz dadurch deutlich gestärkt werden soll, dass Voreinstellungen im Browser für Webseitenbetreiber, Tracking-Firmen und letztlich die digitale Werbeindustrie rechtsverbindlich sein sollen. D.h. eine Do-Not-Track-Einstellung im Browser müsste dann zwingend beachtet werden.

Um die Auswirkungen besseren Datenschutzes auf die digitale Werbewirtschaft besser einschätzen zu können, hat das Bundeswirtschaftsministerium eine Studie in Auftrag gegeben, die nun vorgestellt und veröffentlicht wurde unter http://www.wik.org/fileadmin/Studien/2017/2017_ePrivacy-BMW.pdf. Das WIK (Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste GmbH) schätzt, dass bei Inkrafttreten solcher Regelungen binnen kurzer Zeit mit einer Reduktion des gesamten digitalen Werbebudgets von einem Drittel zu rechnen sei. Dieser Kapitalentzug könne die europäische Digitalwirtschaft weiter von den USA abkoppeln, da dort Gelder aus der Online-Werbung zunehmend in die Entwicklung neuer Geschäftsmodelle und Technologien fließen würden. Gelder, die hierzulande dringend für Zukunftsthemen wie z.B. das autonome Fahren gebraucht würden.

Bemerkenswert ist allerdings, dass für die Studie lediglich Vertreter der Wirtschaft befragt wurden, unter anderem die Mediengruppe RTL, Facebook, AGOF und Zeit-Online. Entsprechend wurde die Studie bereits bemängelt, vor allem von der Bundesbeauftragten für Datenschutz. Sie meint, die Studie konzentriere sich nur auf die vermeintlich negativen Folgen, berücksichtige aber in keiner Weise die potenziellen Chancen, die sich für die Branche aufgrund der Änderungen ergeben könnten. Die entsprechende Pressemitteilung finden Sie unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2017/22_ePrivacy%20WIK-Studie.html.

Es wird sich zeigen, inwieweit Lobbyisten die geplanten Regelungen aufweichen können.

Dr. W. Steinmetz
Berater für Datenschutz

Wohnungsmangel ist v.a. in vielen großen Städten Realität. Immobilienmakler können daher unter einer Vielzahl von Interessenten auswählen, von denen sie eine Menge personenbezogener Daten anfordern (z.B. Namensangaben, Geburtsdatum, Kontaktdaten, Anschrift, Familienstand, Angaben zum bestehenden Arbeitsverhältnis), u.a. auch sensible Daten, wie Personalausweisdaten sowie Angaben zu Vermögensverhältnissen (z.B. Lohn-und Gehaltsnachweise, Schufa-Auskunft).

Der Datenschutzgrundsatz der Datenminimierung ist für die meisten Immobilienmakler dabei anscheinend kein Thema. So hat das Bayerische Landesamt für Datenschutzaufsicht in einer Prüfaktion bei 86 Immobilienmaklern, veranlasst durch die anhaltenden Beschwerden betroffener Personen, festgestellt, dass „bei fast allen geprüften Maklern (…) erheblicher Handlungsbedarf bezüglich des Umfangs der erhobenen personenbezogenen Daten“ besteht (siehe Tätigkeitsbericht 2015/2016, S. 22, abrufbar unter https://www.lda.bayern.de/media/baylda_report_07.pdf).

Über die Kontakt- und Selbstauskunftsformulare müssen die Interessenten oftmals ihre Daten in vollem Umfang preisgeben, bevor konkrete vertragliche Verhandlungen überhaupt stattfinden – nach dem Motto, wer sich nicht transparent macht, bekommt schon gar keinen Besichtigungstermin. Insbesondere die Anforderung von Personalausweiskopien wird hierbei von den Aufsichtsbehörden bemängelt, zumal eine automatisierte Speicherung der Ausweisdaten bereits nach dem PAuswG unzulässig ist. In Kombination mit Defiziten bei der Datensicherheit und Datenlöschung drohen der Immobilien-Branche empfindliche Geldbußen ab dem 25.05.2018, wenn die Datenschutzgrundverordnung (DSGVO) verbindlich wird. Daher sollten auch Immobilienmakler die verbleibende Zeit nutzen, ihre Prozesse zur Datenerhebung und -verarbeitung an datenschutzrechtliche und datensicherheitstechnische Vorgaben anzupassen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Auch in der Datenschutzgrundverordnung (DSGVO) ist die Pflicht zur Benennung eines Datenschutzbeauftragten für nicht-öffentliche Stellen in Art. 37 Abs. 1 lit. b) und c) DSGVO für folgende Fälle vorgesehen:

• Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
• Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO.

Allerdings sieht Art. 37 Abs. 4, S.1, 2. HS DSGVO eine Öffnungsklausel vor. Danach kann der nationale Gesetzgeber weitere Tatbestände vorsehen, die zu einer Bestellpflicht führen: „In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter (…) einen Datenschutzbeauftragten benennen; falls dies nach dem Recht (…) der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen.“

Dies hat der deutsche Gesetzgeber getan, und zwar für nicht-öffentliche Stellen in § 38 BDSG-Neu. Ergänzend zu Art. 37 Abs. 1 lit. b) und c) DSGVO gilt gemäß § 38 Abs. 1 BDSG-Neu eine Bestellpflicht für folgende Fälle:

• Der Verantwortliche oder Auftragsverarbeiter beschäftigt in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (§ 38 Abs. 1 S. 1 BDSG-Neu).
• Der Verantwortliche oder Auftragsverarbeiter nimmt Verarbeitungen personenbezogener Daten vor, die einer Datenschutz-Folgenabschätzung i.S.v. Art. 35 DSGVO unterliegen (§ 38 Abs. 1 S. 2 BDSG-Neu); dabei ist es unerheblich, wie viele Personen mit der Datenverarbeitung beschäftigt sind.
• Der Verantwortliche oder Auftragsverarbeiter verarbeitet personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (§ 38 Abs. 1 S. 2 BDSG-Neu); hier spielt die Anzahl der Personen, die mit der Datenverarbeitung beschäftigt sind, ebenfalls keine Rolle.

Der Verstoß gegen die Pflichten aus Art. 37 DSGVO ist gemäß Art. 83 Abs. 4 lit. a) DSGVO bußgeldbewehrt.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Beim Aufbau einer geeigneten Infrastruktur zum IT Governance, Risk & Compliance Management (IT GRC Management) sollten folgende Schritte durchgeführt werden:

Aktivitäten in der Plan-Phase:

1. Einbindung der zu beteiligenden Stellen ins Projekt:
   1. IT-Sicherheitsbeauftragter zur Projektsteuerung (dieser ist i.d.R. der Eigner der aufzubauenden IT GRC Infrastruktur)
   2. Datenschutzbeauftragter im Rahmen der durchzuführenden Datenschutz-Folgenabschätzung nach der EU-Datenschutzgrundverordnung, da im Zuge eines IT GRC Managements stets personenbezogene Profilingdaten verarbeitet werden
   3. Betriebsrat bzw. Personalrat im Rahmen betrieblicher Mitbestimmung, da im Zuge eines IT GRC Managements i.d.R. auch Verhaltenskontrollen unter Zuhilfenahme von technischen Einrichtungen durchgeführt werden
   4. Rechtsabteilung zur Bestimmung weiterer rechtlicher Anforderungen, die beim Aufbau der IT GRC Infrastruktur zu beachten sind (z.B. zur Revisionsfestigkeit von Protokollen und der Einhaltung bestehender Aufbewahrungs- und Löschungspflichten)
2. Festlegung der einzuhaltenden Sicherheitsziele, die u.U. (z.B. aufgrund gesetzlicher Vorgaben) auch über die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit hinausgehen können, um z.B. die Authentizität (zusätzlich nach dem IT-Sicherheitsgesetz), die Nichtabstreitbarkeit von Aktionen (zusätzlich nach Basel II/III) oder die Belastbarkeit (zusätzlich nach der EU-Datenschutzgrundverordnung) nachweisen zu können – hier liefern internationale Standards wie z.B. die ISO/IEC 27001 eine strukturierte Vorgehensweise
3. Bestimmung der zu schützenden Information Assets (darunter sind sowohl Informationen – inkl. personenbezogener Daten – als auch Prozessbeschreibungen – inkl. notwendiger Compliance-Prozesse – zu verstehen) und deren Kritikalität sowie Wertigkeit – dabei ist der Schutzbedarf ausschlaggebend und leiten sich daraus insbesondere datenschutzrechtliche Anforderungen bzw. für kritische Infrastrukturen auch Anforderungen aus dem IT-Sicherheitsgesetz ab
4. Bestimmung der zu schützenden Supporting Assets (wie Hardware, Software, Netzwerkkomponenten, Personal, Gebäude, Räume und organisatorische Strukturen und der jeweiligen Abhängigkeiten der Assets untereinander). Deren Schutzbedarf leitet sich aus den Primary Assets ab, die durch diese Supporting Assets unterstützt werden.

Aktivitäten in der Do-Phase:

1. Anwendung der festgelegten Sicherheitsziele auf die Gestaltung und Verwendung der Information Assets – dies erfordert eine umfangreiche Modellierung und geschieht zweckmäßigerweise unter Beachtung internationaler Standards
2. Zusammentragung relevanter organisatorischer Anweisungen und deren (i.d.R. checklistenartige) Abbildung im Rahmen des einzusetzenden IT GRC Tools – ein entsprechender Transfer papierner Regeln und technischer Parametereinstellungen in entsprechende Tools erfordert i.d.R. nicht unerhebliche Anpassungsarbeiten
3. Zusammentragung technischer Basisdaten (möglichst automatisiert!) ins IT GRC Tool – dabei ist darauf zu achten, dass die eingesetzten Tools erst mal eine einheitliche "Sprache" sprechen müssen, um überhaupt vergleichbare Ergebnisse liefern zu können.

Aktivitäten in der Check-Phase:

1. Durchführung ergänzender Audits und automatisierter Tests. Um die Wirksamkeit der umgesetzten Maßnahmen innerhalb des IT GRC Tools bewerten zu können, sind ergänzende, i.d.R. semi-automatisierbare Prüfungen durchzuführen. Deren Ergebnisse sind ins IT GRC Tool einzuspeisen. Zusammen mit den automatisierten Prüfungen (durch Abgleich technischer Basisdaten mit Vorgaben aus dem umzusetzenden Regelwerk) dient dies als Beleg für die Wirksamkeit des verwendeten Rahmenwerks und damit der Haftungsentlastung.
2. Bewertung der Ergebnisse unter Zuhilfenahme bereitgestellter Metriken (Key Risk / Goal / Performance Indicators) des IT GRC Tools – unter dem besonderen Fokus auf eine ganzheitliche Sicht. Hierbei wird insbesondere dargestellt, welchen Einfluss die aktuelle Ist-Lage auf die Primary Assets hat.

Aktivitäten in der Act-Phase:

1. Report der Bewertung, Behebung festgestellter Mängel und Monitoring der Langzeitentwicklung – die eingesetzte Infrastruktur sollte hierzu möglichst zeitnahe Berichte "auf Knopfdruck" liefern. Diese müssen sowohl managementtauglich sein (Überblick zur Steuerung) als auch dem technischen Personal eine klaren Hinweis zur Mängelbeseitigung bzw. Administration liefern.
2. Anpassung der bestehenden IT GRC Infrastruktur und ggf. geeignete Modifikation von deren Konfiguration – im Rahmen der kontinuierlichen Fortentwicklung

Bernhard C. Witt
Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit
bcwitt@it-sec.de

Am 26.07.2017 hatten wir darüber berichtet, dass das geplante Fluggastdaten-Abkommen der EU mit Kanada nach einem Gutachten des EuGH nicht mit den Grundsätzen der Europäischen Grundrechtecharta zu vereinbaren ist (das Gutachten 1/15 des EuGH vom 26.07.2017 ist abrufbar hier.).

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 09.11.2017 an die jeweils zuständigen Gesetzgeber appelliert, die bestehenden Instrumente der Verwendung von Fluggastdaten (PNR-Daten) zur Abwehr terroristischer Straftaten und schwerer Kriminalität hinsichtlich der Aussagen im Gutachten des EuGH zu überprüfen und entsprechend „nachzubessern“ (die Entschließung ist abrufbar hier.)

Zwar sei die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität „eine dem Gemeinwohl dienende Zielsetzung der Union (…), die auch schwere Eingriffe rechtfertigen kann“, so dass die „Übermittlung der PNR-Daten (…) und ihre anschließende Verarbeitung geeignet sind, die Verwirklichung des (…) verfolgten Ziels des Schutzes der öffentlichen Sicherheit zu gewährleisten“. Dennoch sei es nicht erforderlich, besondere Kategorien personenbezogener Daten oder solche, die die Rekonstruktion eines solchen Datums zulassen, zu verarbeiten. Zudem muss die Speicherdauer der PNR-Daten sämtlicher Fluggäste auf das absolut Notwendige beschränkt werden - eine anlasslose Vorratsspeicherung von Reisedaten einschließlich sensibler Daten ist nach wie vor grundrechtswidrig.

Zu den PNR-Instrumenten gehören neben dem geplanten Fluggastdaten-Abkommen der EU mit Kanada ebenso das deutsche Gesetz über die Verarbeitung von Fluggastdaten zur Umsetzung der Richtlinie (EU) 2016/681 (FlugDaG) als auch das geplante Entry-Exit-System (EES), mit dem die Ein- und Ausreisedaten von Nicht-EU-Staatsangehörigen an den Außengrenzen der EU-Mitgliedstaaten erfasst werden, sowie das EU-weite Reiseinformations- und -genehmigungssystem (ETIAS) für die Sicherheitsüberprüfung von nicht visumpflichtigen Personen vor ihrer Einreise in die EU.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Monatlich gehen in Deutschland um die 50.000 neue Webseiten online. Alle diese Seiten sind gesetzlich verpflichtet, eine Datenschutzerklärung bereitzustellen. Dass ist jedoch häufig nicht der Fall.

Ab Mai 2018 kann dies empfindliche Bußgelder nach sich ziehen. Vor allem eine Webseite bietet für Aufsichtsbehörden und Verbände eine einfache Möglichkeit zu kontrollieren, ob die datenschutzrechtlichen Vorgaben umgesetzt wurden.

§ 13 TMG und auch Art 12 ff DSGVO legt jedem Webseitenbetreiber die Pflicht auf, eine Datenschutzerklärung auf seiner Webseite einzupflegen. Diese sollte im Idealfall mit nur einem Klick von jeder Seite aus erreichbar sein.

In dieser Datenschutzerklärung muss der Betreiber der Webseite den Nutzer in allgemein verständlicher Form u.a. über Art, Umfang, Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über mögliche Weitergaben von Daten an Staaten außerhalb der Europäischen Union bzw. des EWR unterrichten.

Die Nutzer müssen u.a. über Folgendes informiert werden:

• die Erhebung von IP-Adressen,
• die vom Browser übermittelten Daten,
• Gewinnspiele,
• Benutzerkonto,
• Newsletter,
• Webtracking,
• Cookies,
• Online-Bewerbungen,
• Kontaktformulare,
• Foren,
• Plugins,
• Widerspruchsrecht.

Es müssen stets die Zwecke angegeben werden, zu denen die Daten verarbeitet und an wen sie weitergegeben werden, sowie die jeweilige Rechtsgrundlage der Datenverarbeitung.

Wer den Nutzer einer Webseite nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, begeht gemäß § 16 TMG und Art 83 Abs. 5 DSGVO eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 4 % des weltweit erzielten Vorjahresumsatzes oder bis zu 20.000.000 € geahndet werden kann. Auch kann ein Verstoß gegen das Wettbewerbsrecht vorliegen, so dass eine Abmahnung erfolgen kann.

Dr. Bettina Kraft
Volljuristin, Senior Consultant für Datenschutz

In seiner Pressemitteilung vom 04.10.2017 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass das Profiling der Webseitenbesucher und Facebook-Nutzer mit Hilfe des Trackingverfahrens ‚Facebook Custom Audience‘ nur mit Einwilligung der betroffenen Personen möglich ist (die Pressemitteilung ist abrufbar unter https://www.lda.bayern.de/media/pm2017_07.pdf).

Das Marketing-Werkzeug ‚Facebook Custom Audience‘ kann durch Unternehmen auf zwei verschiedene Arten genutzt werden: Zum einen können Listen mit personenbezogenen Kundendaten, wie z.B. E-Mail-Adressen, an Facebook Inc. übermittelt werden. Facebook Inc. gleicht diese Daten dann wiederum mit ihren Nutzerkonten ab, um so dem Unternehmen eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform zu ermöglichen. Zum anderen kann ‚Facebook Custom Audience‘ über ein Pixel in die Webseite eingebunden werden, um die Internetaktivitäten der Webseitenbesucher zu tracken und diese Informationen direkt an Facebook Inc. weiterzuleiten, damit dem Unternehmen auch hier wieder eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform möglich wird. Auch bei diesem Verfahren werden personenbezogene Daten an Facebook Inc. übermittelt.

Obwohl Unternehmen in beiden Fällen personenbezogene Daten (u.a. Name, E-Mail-Adresse, Internetaktivitäten) an einen Dritten (= Facebook Inc.), zudem in einen Drittstaat, zu Werbezwecken übermitteln, stellt die Aufsichtsbehörde fest, dass ‚Facebook Custom Audience‘ oftmals nicht in datenschutzrechtlich zulässiger Weise eingesetzt wird, entweder weil Unternehmen keine Ahnung haben, wie diese Trackingverfahren funktionieren, oder sich keine Gedanken darüber machen, welche Vorgaben eigentlich für eine solche Datenverarbeitung gelten (-> Art. 6 Abs. 1, Art. 44 ff, Art. 13 DSGVO, § 7 UWG).

Daher gibt das BayLDA den verantwortlichen Unternehmen in seiner Pressemitteilung Vorgaben an die Hand. Die Aufsichtsbehörde weist zudem darauf hin, dass der Einsatz von ,Facebook Custom Audience‘ zukünftig Gegenstand von Prüfaktionen sein wird und Unternehmen, die dieses Produkt in unzulässiger Weise einsetzen, mit Bußgeldern rechnen müssen: „Unternehmen, die (…) nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen. (…) Adressat (…) eines Bußgeldbescheides [ist] nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.“

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Im Kontext des Safe Harbor-Urteils des EuGH vom 06.10.2015 stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage. Da die derzeitige Gesetzeslage in den USA den Sicherheitsbehörden eine grundrechtswidrige Massenüberwachung erlaube, kann der Datenimporteur eben gerade nicht garantieren, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen bzw. sich nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen (vgl. Klausel 5 der Standardvertragsklauseln).

Die Aufsichtsbehörden haben daher gemäß den Beschlüssen der EU-Kommission, die im Annex die Standardvertragsklauseln enthalten, die Möglichkeit, Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln per verwaltungsrechtlicher Anordnung zu verbieten (vgl. Art. 4 Abs. 1 lit. a) des Beschlusses 2010/87/EU). Max Schrems hatte die irische Aufsichtsbehörde mittels einer Beschwerde darauf verwiesen.

Daraufhin hatte die Aufsichtsbehörde die rechtliche Prüfung der Wirksamkeit der Standardvertragsklauseln an den irischen High Court weitergeleitet. Dieser legte die Frage zur Gültigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlungen in Drittstaaten dem EuGH zur Entscheidung vor.

Es bleibt abzuwarten, wie das Urteil des EuGHs ausfallen wird. Sollte er entscheiden, dass eine Datenübermittlung nicht rechtssicher auf der Grundlage der Standardvertragsklauseln möglich ist, könnte dies die Beauftragung von Dienstleistern in den USA aufgrund der damit verbundenen Datenübermittlungen erheblich erschweren. Denn bei weitem nicht alle US-Unternehmen sind Privacy Shield-zertifiziert.

Insbesondere, wäre dann zu klären, ob die Klauseln dennoch einbezogen werden können, wenn aus den USA zwar auf Daten zugegriffen wird, die Daten dort selbst aber nicht physisch gespeichert werden, sondern in der EU verbleiben (z.B. bei Fernwartungsdienstleistungen). Ein US-Berufungsgericht urteilte unlängst, dass Unternehmen den amerikanischen Sicherheitsbehörden auf deren Anforderung hin den Zugang zu Servern in der EU verweigern dürfen, und hatte damit die Gesetzeslage in den USA etwas abgemildert.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die Möglichkeit einer automatischen Weiterleitung von der geschäftlichen auf die private E-Mail-Adresse erscheint als Vereinfachung für den Arbeitnehmer, da er damit alle notwendigen Mails an einem Ort abrufen kann.

Ein solches Vorgehen ist allerdings datenschutzrechtlich äußerst bedenklich. Eine automatische Weiterleitung auf die private E-Mail-Adresse stellt eine Datenübermittlung an Dritte dar, da der Anbieter des privaten Accounts in der Regel nicht auch Teil des Unternehmens des Mitarbeiters ist. Darüber hinaus kann durch eine solche Übertragung auch eine Übermittlung in einen Drittstaat ohne angemessenes Datenschutzniveau stattfinden, weil z.B. die Server des Dritten dort angesiedelt sind.

Eine solche Übermittlung wäre nur mit der Einwilligung der betroffenen Person (also des Absenders) oder mit einer anderen geltenden Rechtsgrundlage zulässig. Beides liegt regelmäßig nicht vor. Daher sollte von einer derartigen Weiterleitung unbedingt abgesehen werden.

Daher sollte der Verantwortliche solche unbefugten Datenübermittelungen verhindern und den Mitarbeitern die Einrichtung und Nutzung einer solchen Weiterleitung nachweislich verbieten. Dies ist insbesondere wichtig, da unbefugte Datenübermittlungen gemäß der Datenschutzgrundverordnung (DSGVO) bußgeldbewehrt sind.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Die bemerkenswerten Ergebnisse einer repräsentativen Bitkom-Umfrage (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.), abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Jedes-dritte-Unternehmen-hat-sich-noch-nicht-mit-der-Datenschutzgrundverordnung-beschaeftigt.html, liegen vor: Demnach beschäftigen sich aktuell nur 49 Prozent der befragten Unternehmen mit der Umsetzung der Datenschutzgrundverordnung (DSGVO). Weitere 13 Prozent haben erste Maßnahmen begonnen und umgesetzt. Dagegen haben sich 33 Prozent gar nicht mit der Umsetzung der Datenschutzvorgaben beschäftigt, 13 Prozent tun dies bewusst nicht. Über die Gründe kann man nur spekulieren.

Wir können angesichts der Höhe möglicher Bußgelder, die bei Verstößen gegen die DSGVO ausgesprochen werden können, nur dazu raten, sich mit dem Thema zu beschäftigen. Zum einfachen Einstieg hat der Bitkom vier kostenlose Leitfäden für die Praxis erstellt, abrufbar unter https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html. Ab dem 25. Mai 2018 gilt das neue Datenschutzrecht!

Dr. Wolfhard Steinmetz
Consultant für Datenschutz