Skip to content

Weihnachtsüberraschung vom TLfDI

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) verschickte in den letzten Tagen eine freiwillige Umfrage an 17.000 Thüringer Unternehmen. Wie der MDR berichtet, soll damit ein besserer Überblick über den Datenschutz und die Umsetzung der DS-GVO in Thüringen erreicht werden. Mich haben auch schon einige Unternehmen angesprochen, die den Bogen erhielten und wissen möchten, wie sie sich verhalten sollen.

Die Teilnahme ist freiwillig. Das heißt, Unternehmen können sich selbst entscheiden, ob sie teilnehmen wollen. Dr. Hasse sagte dem MDR, dass er aber auch eine verpflichtende Umfrage in Erwägung zieht, sofern zu wenige Anworten kommen.

Unternehmen haben für die Antwort eine Woche Zeit. Ich finde diese Frist recht kurz. Gerade in der Weihnachtszeit liegen meist die Prioritäten an anderer Stelle und so landete das Schreiben in vielen, mir bekannten Fällen entweder im Papierkorb oder auf einem Stapel von später zu bearbeitenden Vorfällen. Meine Vermutung ist, dass der Rücklauf bis Weihnachten eher dürftig ist. Eine längere Antwortfrist wäre hier durchaus angemessen gewesen.

Der Fragenbogen (lokale Kopie) gliedert sich in sieben Teile:

  1. Datenschutzbeauftragter (DSB)
  2. Verzeichnis von Verarbeitungstätigkeiten
  3. Rechtsgrundlagen nach Art. 6 DS-GVO
  4. Informationspflichten
  5. Betroffenenrechte
  6. Datenschutz-Folgenabschätzung
  7. Auftragsverarbeitung

Dies sind auch wichtige Bereiche im Rahmen der Umsetzung der DS-GVO, die von allen Unternehmen berücksichtigt werden sollten. Einzig das Thema IT-Sicherheit spiegelt sich nicht in der Umfrage wider.

Viele Unternehmen fragen sich nun, ob es Probleme bei der Beantwortung des Fragebogen gibt. Ich würde ja erwarten, dass Unternehmen den Fragenbogen nur dann beantworten, wenn sie sich Gedanken zum Datenschutz gemacht haben. Andere werden vermutlich die Freiwilligkeit eher so auslegen, dass die den nicht abschicken. ;-) Die offene Frage ist nun, wo Probleme bei den Antworten entstehen können.

Datenschutzbeauftragter

Im Bereich zum Datenschutzbeauftragten versuchen die ersten vier Fragen zu eruieren, ob es eine Pflicht zur Benennung eines DSB gibt und die fünfte Frage klärt dann, ob ein DSB ernannt wurde.  Wenn es hier ein Unternehmen gibt, welches einerseits die Pflicht zur Benennung eines DSB hat, andererseits aber keinen ernannt hat, wäre das aus meiner Sicht ein eindeutiges Signal, genauer hinzuschauen. Als Behörde würde ich hier mal genauer hinschauen.

Gerade Unternehmen, die sich dieser Pflicht entziehen, fahren ein größeres Risiko. Denn der DSB muss der Behörde gemeldet werden. Eine Behörde könnte auf die Idee kommen, sich eine Auflistung aller Unternehmen mit mehr als 20 Beschäftigten (oder einer anderen Zahl) zu besorgen. Diese könnte mit der Liste der gemeldeten Verantwortlichen abgegllichen werden. Die Unternehmen mit mehr als 20 Beschäftigten ohne DSB könnte sich die Behörde zumindest genauer anschauen. Wenn man dann hier noch nach den Schwerpunkten unterscheidet (Eine IT-Firma mit den Kriterien wird eher einen haben müssen als ein Produktionsbetrieb.), ließen sich vermutlich recht schnell die Firmen ermitteln, die einen DSB haben müssen, aber keinen haben.

Die Fragen 6 und 8 überschneiden sich, denn Frage 6 möchte wissen, ob es einen externen DSB gibt, während Frage 8 sich nach einem internem erkundigt. Dies hätte in einer Frage abgehandelt werden können. Ich verstehe hier nicht, warum dies auf zwei Fragen verteilt wurde bzw. was passiert, wenn beide mit Ja beantwortet werden.

In der siebenten Frage soll angekreuzt werden, ob der DSB eine natürliche oder juristische Person ist. In verschiedenen Kommentaren zur DS-GVO wurde immer wieder angemerkt, dass der DSB eine natürliche Person sein sollte. Begründet wird dies nach meiner Erinnerung insbesondere mit dem Fachkundenachweis. Den kann eine natürliche Person führen, für eine juristische wird das schon schwerer.

Die folgenden Fragen beschäftigen sich dann auch mit der Fortbildung. Hier wird gefragt, wann die letzte Fortbildung war. Gerade im Hinblick auf den 25. Mai 2018 sollte die letzte entweder in diesem oder im vorigen Jahr liegen. Ansonsten sollte man sich schon fragen, wie der DSB seine Fachkunde erworben hat.

Frage 13 und 14 möchte wissen, ob der DSB gemeldet und veröffentlicht wurde. Beides sind Pflichten nach der DS-GVO.  Dies sollten die betreffenden Unternehmen also getan haben, wenn sie einen DSB ernannt haben.

Verzeichnis der Verfahrenstätigkeiten

Zunächst wird die Existenz abgefragt. Nach meinem Eindruck müssen 100% der angefragten Unternehmen ein solches Verzeichnis haben. Sollte hier jemand Nein ankreuzen, würde ich das als Gelegenheit nutzen, um genauer nachzufragen. Die nächste Frage möchte nur wissen, ob die bereitgestellten Formulare hilfreich waren.

Erlaubnistatbeständen nach Art. 6 DS-GVO

Die erste Frage möchte wissen, ob jedem Vorgang ein Erlaubnistatbestand zugeordnet werden kann. Das Datenschutzrecht sagt nun, dass alle Verarbeitung personenbezogener Daten verboten ist, es sei denn, es gibt eine Erlaubnis. Das heißt, ein Nein würde hier klar zum Ausdruck bringen, dass das Unternehmen Daten rechtswidrig verarbeitet.

Die weiteren Fragen klären, bei welchen Erlaubnistatbeständen es Probleme gab und wie die Einwilligung eingesetzt wird. Soweit ich es beurteilen kann, haben Leute eher mit der Interessenabwägung Probleme. Nach der landläufigen Meinung würden viele jeden Vorgang über eine Einwilligung regeln. Hier wäre ich sehr gespannt auf die Antworten der Unternehmen.

Informationspflichten

Beim Abschnitt zu Informationspflichten wird gefragt, wie diese umgesetzt werden. Hier gibt es eine Liste mit fünf Möglichkeiten. Die zweite Frage zielt auf die Webseite ab und will wissen, ob die überarbeitet wurde, um Informationspflichten zu erfüllen. Wenn ich ein halbes Jahr (oder etwas länger) zurück denke, so steckten dort viele Unternehmen Aufwand hinein. Wer dies andererseits nicht getan hat, der hat eine wesentliche Pflicht aus der DS-GVO nicht erfüllt.

Betroffenenrechte

Bezüglich der Betroffenenrechte wird nach einem Prozess für die rechtzeitige Bearbeitung der Anfragen und zu eventuell aufgetretenen Problemen gefragt. Hier würde ich keine Probleme erwarten, egal wie geantwortet wird.

Datenschutz-Folgenabschätzung

Dem schließen sich Fragen zur Datenschutz-Folgenabschätzung (DSFA) an. Hier frage ich mich insbesondere, wie die Antwort auf die dritte Frage gewertet wird. Das TLfDI möchte wissen, ob der DSB (sofern benannt) einbezogen wurde. Das Wort “einbezogen” klingt für mich eher passiv und würde der DS-GVO entsprechen. Denn der Art. 35 Abs. 2 DS-GVO sagt, dass der Rat des DSB einzuholen ist. Das heißt, falls überhaupt eine DSFA durchgeführt wurde, so sollte der DSB mit einbezogen worden sein. Antwortet man hier jedoch Nein, stellt sich für mich die Frage, warum nicht. Die Antwortmöglichkeit “nicht zutreffend” wirft bei mir weitere Fragezeichen auf. Denn einerseits könnte dies angekreuzt werden, wenn keine DSFA durchgeführt wurde. Wenn jedoch eine durchgeführt wurde, so würde ich das nur ankreuzen, wenn es keinen DSB gäbe. Dies kann aber wiederum ein Verstoß gegen § 38 Abs. 1 BDSG-neu sein.

Auftragsverarbeitungsverträge

Der letzte Abschnitt möchte wissen, ob bestehende Auftragsverarbeitungsverträge an die DS-GVO angepasst wurden und ob die Formulierungshilfe nützlich war. Die Erneuerung von Auftragsverarbeitungsverträgen war einer der Hauptaufwände, die ich bei verschiedenen Unternehmen sah. Nach gängiger Ansicht mussten auch alle erneuert werden. Was kreuzt aber ein Unternehmen an, welches nur einige, aber nicht alle erneuert hat? Oder was kreuzt ein Unternehmen an, welches keine solche Verträge hat? Gerade im letzten Fall läge hier nahe, Nein auszuwählen. Wenn ich eine Behörde wäre, würde ich bei einem Nein jedoch wiederum stutzig werden.

Abschluss

Insgesamt bietet der Fragebogen aus meiner Sicht einige Stolperfallen. Ich würde erwarten, dass Unternehmen, die sich bisher nicht um die DS-GVO gekümmert haben, den Fragebogen eher links liegen lassen. Allerdings fände ich es wunderbar, wenn diese Unternehmen zumindest den Fragebogen als Anstoß nehmen, um sich mit den Pflichten nach der DS-GVO auszusetzen.

CNIL veröffentlicht Statistik zur DS-GVO

Die französische Datenschutzbehörde CNIL hat sich kürzlich zum Arbeitsaufwand seit der Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) geäußert. Die Zahlen finde ich recht beeindruckend.

Sie schreiben, dass im Gesamtjahr bisher 9.700 Beschwerden eingegangen sind. Davon sind etwa 6.000 seit dem 25. Mai entstanden. Das heißt, es gab einen enormen Anstieg der Beschwerden seit der Anwendbarkeit der DS-GVO.

Interessant finde ich auch die Zahl der gemeldeten Datenpannen. Sofern ich den Artikel richtig verstehe, gab es durchschnittlich sieben Meldungen am Tag oder insgesamt 1.000. Weiterhin gibt es 32.000 Datenschutzbeauftragte.

Der Bericht listet dann weitere Maßnahmen, die das CNIL gemacht hat. Insgesamt finde ich das sehr interessant und mich würde interessieren, wie die Lage in Deutschland ist. Vielleicht äußern sich die Aufsichtsbehörden in den nächsten Tagen.

(Übersetzung kam von Google Translate bzw. Deepl ;-))

Bad Bank von Dirk Laabs

Bad BankVor kurzem stöberte ich durch die Regale des lokalen Buchhändlers. Dabei fiel mir u.a. das Buch Bad Bank von Dirk Laabs auf. Der Autor schrieb zusammen mit Stefan Aust vor einigen Jahren ein Buch zum NSU, Heimatschutz. Das gefiel mir damals inhaltlich und vom Stil her sehr gut und so überlegte ich kurz, ob ich auch dieses Buch kaufen solle. Zunächst entschied ich mich dagegen.

Später stolperte ich über die Ankündigung von Dirk Laabs auf Twitter. Er schrieb, dass sein Buch in zehn Tagen erscheinen würde. Ich warf einen Blick auf die Inhalte und entschied mich, das Buch zu kaufen. Sozusagen als Early Bird. ;-)

Die Finanzkrise jährt sich gerade zum zehnten Mal und das Buch wirft einen Blick auf die Rolle der Deutschen Bank. Der Startpunkt und Rahmen ist die Geschichte von Bill Broeksmit. Hiervon ausgehend erzählt Dirk Laabs die Geschichte verschiedener Probleme im Bankensektor. Der Zusammenbruch der Continental Illinois im Jahr 1984 hat bereits alle Zutaten der späteren Bankenkrisen. Aber auch die verschiedenen Krisen in den 1990er Jahren, die Insolvenz von Orange County, die Krise des Hedgefonds LTCM und anderen.

Daneben wird die Geschichte der Deutschen Bank erzählt. Mit der Übernahme der Morgan Grenfell wollte diese in das Investmentbanking einsteigen. Dies wurde später mit der Einstellung verschiedener wichtiger Personen sowie der Übernahme von Bankers Trust weiter ausgebaut. Ich hatte beim Lesen den Eindruck, dass diese Schritte halbwegs konzeptionslos durchgeführt wurden. Das heißt, es gab die Vorstellung, dass das Investmentbanking Gewinne abwerfen wird. Aber dem Vorstand der Bank schien unklar zu sein, wie das Geschäft genau integriert wird und wie damit umgegangen werden soll. Dies legte dann den Grundstein für die weiteren Fehlentwicklungen. Das Buch schildert sehr schön, wie sich die diversen Abteilungen verselbstständigten, Geschäfte machten und wie wenig auf die entstehenden Risiken geachtet wurde. Am Ende stand dann ein Konzern, dem wenig klar war, wie es genau um die Geschäfte bestellt ist. Und am Beispiel von Eric Ben-Artzi wird gezeigt, wie mit Leuten umgegangen wurde, die genauen auf die Risiken schauen wollten. Er endete als Whistleblower, nachdem er von der Bank kaltgestellt wurde. Das Buch schließt mit dem Tod von Bill Broeksmit und einem Ausblick auf den aktuellen Vorstand der Bank.

Wie schon Heimatschutz fand ich das Buch sehr gut zu lesen. Es erzählt die Vorgänge in Form einer spannenden Geschichte. Neben den eigentlichen Vorfällen bei der Deutschen Bank werden auch andere Vorfälle beleuchtet und so gewinnt man einen guten Überblick über den geschichtlichen Verlauf. Das Buch korrigiert auch den Eindruck, dass bei der Deutschen Bank immer alles glatt lief, nie staatliche Gelder entgegengenommen wurden usw. Insofern kann ich dies nur allen zur Lektüre empfehlen. Einzig eine Sache störte mich: Naturgemäß wird im Buch immer wieder von Derivaten, Swaps, CDOs, RMBS’ usw. gesprochen. Diese Instrumente werden aus meiner Sicht zu kurz erklärt. Hier würde ich mir eine bessere Erklärung wünschen. Dies könnte als Anhang oder auf einer speziellen Webseite passieren.

Insgesamt bietet das Buch einen erschreckenden und gut geschriebenen Einblick in die Finanzszene, speziell die Deutsche Bank. Ich kann das nur uneingeschränkt zur Lektüre empfehlen.

Eine Auskunft nach der DS-GVO bitte

Viele von euch werden Ende Mai viele E-Mails erhalten haben. Firmen wollten unbedingt Informationen über deren hervorragenden Datenschutz loswerden und in einigen Fällen wurde dazu aufgerufen, in irgendetwas einzuwilligen. Doch ging es euch auch so, dass da Firmen dabei waren, von denen ihr noch nie gehört habt?

Mir ging es so. Ich bekam einige E-Mails von Firmen, die ich nicht kenne und wo ich mich nicht erinnern kann, mit denen in einer Beziehung zu stehen. Ein Blick in die Datenschutz-Grundverordnung zeigt, dass es da ein wichtiges Recht für mich als Bürger gibt: das Auskunftsrecht.

Also werde ich das jetzt mal anwenden. Mit dem untenstehenden Muster schreibe ich die Firmen an und bitte um Auskunft. Falls ihr mögt, könnt ihr dies ebenfalls verwenden. Das lässt sich aber auch noch erweitern bzw. anpassen.

Sehr geehrte Damen und Herren,


die untenstehende E-Mail erreichte mich auf meiner persönlichen E-Mail-Adresse <FOO@example.com>. Nach Art. 15 DS-GVO habe ich ein Auskunftsrecht über meine personenbezogenen Daten.


Bitte teilen Sie mir daher gemäß Art. 15 Abs. 1 DS-GVO mit, ob Sie personenbezogene Daten verarbeiten und geben Sie ggf. Auskunft über diese Daten. Insbesondere möchte ich Sie bitten, mir die folgenden Informationen mitzuteilen:

  1. Welche Daten über meine Person sind bei Ihnen gespeichert oder werden durch Sie verarbeitet?
  2. Zu welchem Zweck wurden diese Daten verarbeitet?
  3. Welchen Empfängern oder Kategorien von Empfängern wurden meine personenbezogenen Daten offengelegt?
  4. Sofern die personenbezogenen Daten nicht bei mir erhoben wurden, geben Sie mir bitte alle verfügbaren Informationen über die Herkunft der Daten.
  5. Falls meine personenbezogenen Daten an ein Drittland oder eine internationale Organisation übermittelt wurden, bitte ich Sie, mir mitzuteilen, welche Garantien gemäß Art. 46 DS-GVO vorgesehen sind.

Gemäß Art.15 Abs. 3 DS-GVO bitte ich um eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.


Ich bitte Sie, mir diese Auskunft unverzüglich zu erteilen. Sollte ich binnen eines Monats nach Versand dieser E-Mail keine Rückmeldung erhalten, werde ich mich an die zuständige Aufsichtsbehörde wenden.

Mit freundlichen Grüßen

Der oben zitierte Art. 15 bietet noch das Recht auf mehr Informationen. Die in dem oben genannten Schreiben sind mir aber die wichtigsten Punkte. Daher habe ich das etwas eingekürzt.

Wenn ihr den Brief ebenfalls verwendet, würde ich mich über eure Erfahrungen freuen. Ich werde ggf. ebenfalls interessante Begebenheiten bloggen.

Firefox verbessert den Schutz der Privatsphäre

Als das Tor-Projekt den Tor-Browser entwarf, machten sie sich viele Gedanken zum Schutz der Privatsphäre. Sie versuchten jegliche Gefahren zu identifizieren und diese zu umschiffen. Daraus entstand das Design zum Tor-Browser. Seitdem versuchen die Entwickler, die Schwachstellen in Bezug auf die Privatsphäre im Mozilla Firefox im Griff zu behalten. Neben dem Tor-Button kommen viele individuelle Patches zum Einsatz. Die meisten davon wurden bisher von Mozilla nicht in den Firefox eingepflegt. Doch dies ändert sich jetzt.

Seit Anfang Mai gibt es im Wiki von Mozilla eine Seite, die sich Tor Uplift nennt. Mozilla fängt nämlich nun doch an, Patches vom Tor-Projekt in den Firefox wieder einzubauen. Auf der Wikiseite wird der Fortschritt festgehalten. Bisher kamen 26 Änderungen weiter und an sechs wird gerade aktiv gearbeitet. Sören Hentzschel beschreibt in seinem Blogbeitrag, welche neuen Optionen es im Firefox gibt und wie diese aktiviert werden können.

Insgesamt ist das ein guter Schritt der Entwickler, den Schutz der Privatsphäre im Firefox weiter zu erhöhen. Wie Sören in seinem Beitrag schreibt, engagiert sich Mozilla auch weiterhin stark im Tor-Projekt. Weiter so! :-)

cronjob