Update: Facebook-Fanpage-Betreiber haften für potentielle Datenschutzverstöße durch Facebook

Ein Beitrag unserer Kooperationspartnerin Inge Seher. Inge Seher ist Fachanwältin für gewerblichen Rechtsschutz bei Kramer und Partner Rechtsanwälte (http://www.anwaltskanzlei-online.de/) und zertifizierte Datenschutzbeauftragte (TÜV).

Kurz nach Veröffentlichung des Urteils des EuGH vom 5.06.2018 (wir berichteten) zur gemeinsamen Verantwortlichkeit von Facebook-Seitenbetreibern und Facebook hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort gemeldet und eine Entschließung veröffentlicht (pdf).

EuGH Urteil: Facebook-Seiten-Betreiber haften für potentielle Datenverstöße durch Facebook

Ein Beitrag unserer Kooperationspartnerin Inge Seher. Inge Seher ist Fachanwältin für gewerblichen Rechtsschutz bei Kramer und Partner Rechtsanwälte (http://www.anwaltskanzlei-online.de/) und zertifizierte Datenschutzbeauftragte (TÜV).

Der Europäische Gerichtshof (EuGH) hat in dieser Woche für großes Aufsehen gesorgt.

PSD2 – Herausforderungen für die Interne Revision und Hinweise zur Prüfungsplanung

Die Umsetzung der Anforderungen aus der PSD2 prägt derzeit die Projektlandschaft der Zahlungsdienstleister. Während das Zivilrecht (größtenteils) Anfang 2018 zur Anwendung kommt, haben sich die Institute aufgrund von Fristverschiebungen und der Abhängigkeit von EBA-Veröffentlichungen etwas Zeit in der Umsetzung von einzelnen Teilen des Aufsichtsrechts verschafft.

Dennoch: Obwohl einige Zieltermine für umfangreiche Themen in der Zukunft liegen, empfiehlt es sich, sich für die Interne Revision bereits jetzt mit der Thematik zu befassen, die Änderungen im Zahlungsverkehr einzuplanen und ggf. mit Prüfungen zu starten oder in Form von Projektberatung zu unterstützen. Z.B. kann die Umsetzung der MaSI (Mindestanforderungen an die Sicherheit von Internetzahlungen) geprüft werden, da diese sich als Vorbote der PSD2 darin in Teilen wiederfindet. Zeitnah kann auch die Umsetzung des (PSD2-)Meldeprozesses an die Aufsicht oder die Umsetzung des Zivilrechts (u.a. Durchführung von Zahlungen, Entgelte, Haftungsfragen) überprüft werden, da die Änderungen Anpassungen in den Prozessen erfordern (vgl. z.B. BGB §675y Absatz 3-5 – verspätete Ausführung und Nachforschung bei Angabe falscher IBAN).

Bestellung eines Datenschutzbeauftragten nach EU-DSGVO – was ändert sich?

Die neue Datenschutzgrundverordnung, die am 25.05.2018 in Kraft tritt, bringt auch Änderungen in Bezug auf die Bestellung des Datenschutzbeauftragten mit sich. Hier gelten nicht nur die EU-DSGVO, sondern zusätzlich das sogenannte „BDSG-NEU“ und die sogenannten „Erwägungsgründe“. Diese Erwägungsgründe dienen als Hilfestellung zur Interpretation der offiziellen Rechtnormen.

Eine wesentliche Neuerung ist die Pflicht, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.

Nach aktuellem Gesetz muss ein Datenschutzbeauftragter schriftlich bestellt werden (§ 4f BDSG). Die Pflicht der schriftlichen Ernennung erlischt jedoch mit der EU-DSGVO und dem BDSG-NEU. Ab dem 25.05.2018 müssen lediglich die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde gemeldet werden, womit die Benennung offiziell vollzogen ist (Artikel 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG-NEU). Der Formzwang „schriftlich“ entfällt und ein Datenschutzbeauftragter kann somit formfrei ernannt werden; die Meldepflicht zur Übermittlung der Kontaktdaten an die Aufsichtsbehörde muss allerdings zwingend erfüllt sein.

Synopse: EU-DSGVO, BDSG (alt) und BDSG (neu) gegenübergestellt

Screenshot der SynopseKomplexe Welt: Wir hatten (und haben noch) ein Bundesdatenschutzgesetz (BDSG), das bis Mai 2018 vollständig in Kraft ist. Jetzt kommt aber die EU-Datenschutzgrundverordnung (EU-DSGVO), die für uns unmittelbar Gesetzescharakter hat und insofern nicht in nationales Recht umzusetzen ist.

Die EU-Verordnung läßt aber Spielraum (und Notwendigkeiten) für nationale Anpassungen. Diese werden bei uns im BDSG (neu) umgesetzt. Wer sich also mit den neuen Vorschriften auseinandersetzen möchte, kommt nicht umhin, die EU-Verordnung in Kombination mit dem BDSG (neu) zu lesen. Als Interpretationshilfe sind der EU-DSGVO noch die ausführlichen Erwägungsgründe mitgegeben, die sehr hilfreich sind.

Um dem Leser hier eine Hilfestellung zu bieten und zu erkennen, welche Regelungen wie miteinander korrespondieren, haben wir eine kleine Synopse erstellt, die versucht, die Zusammenhänge darzustellen. Die einzelnen Themen sind über Links mit den Originaltexten verbunden und können so leicht eingesehen werden.

EU-DSGVO: Das neue Datenschutzrecht – Wissenswertes zusammengefasst

DSGVO: Maßnahmen zur DatensicherheitDie neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Damit wird sie ab dem 25.05.2018 die bereits seit 1995 geltende EU-Datenschutzrichtlinie Richtlinie 95/46/EG und das Bundesdatenschutzgesetz (BDSG) mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.

Verglichen mit anderen Ländern wird sich in Deutschland nicht alles grundsätzlich ändern. Viele der datenschutzrechtlichen Konzepte und Grundsätze der EU-DSGVO sind ähnlich dem in Deutschland bisher geltenden Bundesdatenschutzgesetz (BDSG). 

KRITIS – was bedeutet das für uns?

KRITIS – Ist mein Unternehmen betroffen und was heißt das?

Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um

  1. einen Überblick über die aktuelle Lage von kritischen Infrastrukturen zu bekommen,
  2. schnell auf Probleme reagieren zu können,
  3. die Cyber-Sicherheitsstrategie des Bundes zu unterstützen und
  4. die NIS-Richtlinie zu erfüllen.

Was eine kritische Infrastruktur ist, wird vom BMI (Bundesministerium des Inneren) festgelegt und über Kriterien mit dem KRITIS-V-Gesetz geregelt. Die IT in diesem Fall wird über das IT-Sicherheitsgesetz unter der Schirmherrschaft des BSI abgedeckt.

Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung

Relevante Aspekte der Cloud-Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.

Das BSI empfiehlt, zumindest die nachfolgenden Punkte bei der Erstellung von SLAs zu berücksichtigen:

  • Ort der Leistungserbringung durch den Cloud-Anbieter

Der Standort, an dem die beauftragten Cloud-Services erbracht werden, muss vertraglich festgehalten werden. Dabei sind beispielsweise nationale Einschränkungen, Einschränkungen auf EU oder auf bestimmte Rechenzentren möglich.

  • An der Erbringung des Services beteiligte Subunternehmer oder andere Dritte

Werden Subunternehmer oder andere Dritte an der Leistungserbringung beteiligt, so ist dies vertraglich festzuhalten und bei Änderungen der Cloud-Anwender zu informieren.

Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil C – Compliance

Datenschutz

Wie in Teil 3: "Rechtliche Aspekte beim Cloud Computing" beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen weiteren wichtigen Aspekt stellt die Löschung personenbezogener Daten dar. Diese müssen gelöscht werden, sobald sie nicht mehr für den Zweck benötigt werden, zu dem sie erhoben wurden. Ausnahmen stellen z.B. aufbewahrungspflichtige Daten dar.

Seiten