BvD News 2013/2 - BvD eV

Empfehlungen

Info

Aus der PraxisDatenschutz-Prüfungsaktiondes BayLDA im Jahr 2013Fragebogen zur Erhebung datenschutzrelevanter AngabenOft wird von vielen Seiten bemängelt, die datenschutzrechtlichen Aufsichtsbehörden seien personell zuschlecht ausgestattet, um auch eine effektive, anlasslose Kontrolle bei verantwortlichen Stellen durchzuführen.Dieser Situation begegnen die Aufsichtsbehörden zunehmend mit einer eigentlich ungewöhnlichenMethode: einem Fragebogen. So wurden in Hamburg beispielsweise Fragebogen zur Videoüberwachungdurch öffentliche Stellen oder zum Datenschutzmanagement bei nicht-öffentlichen Stellen eingesetzt(vgl. z.B. Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit fürdie Jahre 2012/2011) oder der Einsatz eines Fragebogens auf bestimmte Branchen beschränkt, wie inRheinland-Pfalz auf Hotelbetriebe (vgl. die Pressemeldung des LfDI Rheinland-Pflanz vom 30.4.2013).Auch durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) wurde in 2013 ein Fragebogeneingesetzt. Oberregierungsrat Manfred Ilgenfritz, Referatsleiter im BayLDA, leitete und koordinierte dieseaufsichtsrechtliche Maßnahme und berichtet hierüber. Der Fragebogen ist in aktualisierter Form auf denWebseiten des BvD hinterlegt (https://www.bvdnet.de/bvd-news-links.html, siehe auch QR-Code links). Erkann durch Datenschutzbeauftragte auch außerhalb Bayerns zur Eigenkontrolle verwendet werden, mitwelchen Fragestellungen man bei Prüfungen durch Aufsichtsbehörden rechnen kann oder auch zur Vorbereitungeines internen Audits dienen.DownloadFragebogen des BayLDASo geht‘s: EinfachQR-Codemit Smartphoneoder Tableteinscannen.Es heißt ja: „Vertrauen ist gut, Kontrolle ist besser“.Nach diesem Prinzip sieht § 38 Abs. 1Satz 1 BDSG bei den nicht-öffentlichen Stellen eineKontrolle der Ausführung des BDSG sowie andererVorschriften über den Datenschutz durch die Aufsichtsbehördenvor.In der Praxis stellt sich für Aufsichtsbehörden hierzudie Frage, wie am Besten möglichst viele und effektiveKontrollen rationell durchgeführt werden können,um eine gewisse Breitenwirkung zu erzielen.Vor-Ort-Prüfungen in den Unternehmen, bei Freiberuflern,bei Vereinen usw., sind zweifellos amwirkungsvollsten, beanspruchen aber mit Vorbereitung,Außendiensttermin und Nachbearbeitungsehr viel Zeit. Deshalb führen Aufsichtsbehördenhäufiger auch Kontrollen mittels schriftlicher Abfrageaktionendurch.ausgewählt. Zusätzlich wurden etwa 50 Bankinstitutemit einbezogen.Die Unternehmen erhielten ein Schreiben mit Info-Blättern und einem Fragenkatalog zugesandt, densie innerhalb einer 6-Wochen-Frist mit Vorlage derrelevanten Dokumente beantworten sollten.Dieser Fragenkatalog betraf hauptsächlich• die Erlaubnis-Rechtsvorschriften für dieAutorManfred IlgenfritzReferatsleiter im BayerischenLandesamt für Datenschutzaufsicht(BayLDA), Promenade 27 (Schloss),91522 Ansbach, www.lda.bayern.deDas BayLDA, die Aufsichtsbehörde nach § 38BDSG für Bayern, hat insoweit im Januar 2013 einegrößer angelegte Kontrolle bei über 150 Unternehmengestartet. Aus einem Internetportal der Vereinigungder Bayerischen Wirtschaft e.V. wurdennach dem Zufallsprinzip stichprobenmäßig ca. 100Unternehmen verschiedener Branchen und GrößePer Fragebogen hat das BayLDA datenschutzrelevanteAngaben erhoben.22 | BvD-News 2/2013
Aus der PraxisErhebung, Verarbeitung und Nutzungpersonenbezogener Daten, auf die sich dasbetreffende Unternehmen stützt,• den Datenschutzbeauftragten, seineStellung und seine konkrete Tätigkeit,• die Vorlage des öffentlichen Verfahrensverzeichnisses,• die Verpflichtungen auf das Datengeheimnis,• die Vorlage der Verträge über Auftragsdatenverarbeitung,• ausgewählte Punkte zum Beschäftigtendatenschutz,wie die Regelungen zurprivaten Nutzung von Internet und E-Mailund zur Verwendung privater Kommunikationsmittelam Arbeitsplatz,• die Videoüberwachung, einschließlich derkonkreten Zweck-Festlegungen im Sinnevon § 6b Abs. 1 Nr. 3 BDSG,• die bestehenden Regelungen zur Sperrungbzw. Löschung von Daten,• die Vorlage des Konzepts zu den getroffenentechnischen und organisatorischenMaßnahmen nach § 9 BDSG und derAnlage zu § 9 BDSG,• den Maßnahmenplan für eventuelleDatenpannen nach § 42a BDSG.Nach Ablauf der Frist hatten sich nur neun derangeschriebenen Unternehmen noch nichtgemeldet, die aber dann nach einer Anmahnungreagiert haben.5 Prozent der Geprüften setzenDatenschutz jetzt erst umEtwa 5 Prozent der insoweit Geprüften (kleineund mittlere Größenordnungen) haben aufgrundunseres Prüfungsanschreiben erst mitder Datenschutzumsetzung im Sinne der gesetzlichenAnforderungen begonnen.Der größere Teil der Unternehmen hatteschon einige grundlegende Vorgaben ausdem BDSG erfüllt, wie die Bestellung einesDatenschutzbeauftragten oder die Verpflichtungder Beschäftigten auf das Datengeheimnis,es gab aber noch deutliche Lückenbei der Umsetzung des BDSG, die erst aufgrunddes Prüfungsanschreibens aufgearbeitetwurden. Nur bei wenigen Unternehmenkonnte die Prüfung ohne jede Anmerkungabgeschlossen werden.Mängel waren häufiger festzustellen bei:• der Bestellung und Tätigkeit des Datenschutzbeauftragten,z. B. nicht vertretbareInteressenkollision (Datenschutzbeauftragtergleichzeitig DV-Administrator, Personalchef,Vorstand oder ähnliches), wenigAktivität als Datenschutzbeauftragter,• der Videoüberwachung ohne schriftlichesKonzept (siehe dazu z. B. aktuell im Urteildes BGH vom 24.5.2013, V ZR 220/12),• der ungeregelten Gestattung der privatenInternet- und E-Mail-Nutzung oder des Einsatzesprivater DV-Technik am Arbeitsplatz,• der Erstellung des im BDSG vorgesehenenöffentlichen Verzeichnisses der DV-Verfahren,• fehlenden bzw. unzureichenden Verträgenzu Auftragsdatenverarbeitung.Inzwischen ist die Prüfungsaktion zu etwa 75Prozent abgeschlossen, im verbleibendenRest sind noch Kritikpunkte aufzuarbeiten.In Einzelfällen werden von uns im Nachgangnoch Vor-Ort-Prüfungen stattfinden, um nichtnur auf schriftliche Antworten und Unterlagenvertrauen zu müssen.Das Ergebnis dieser aufsichtlichen Kontrolleim schriftlichen Verfahren hat uns gezeigt,dass solche Prüfungsaktionen eine gut geeigneteMöglichkeit sein können, um in kürzererZeit eine größere Zahl von Unternehmen,Freiberuflern, Vereinen etc. zu erreichen. Wirplanen deshalb für die Zukunft, weitere solchePrüfungsaktionen durchzuführen. Die Zufallsauswahlder in eine Prüfungsaktion einbezogenenStellen wird dabei einerseits relevanteBranchen mit umfangreicherer oder kritischerVerarbeitung personenbezogener Daten betreffen,darüber hinaus aber auch wieder diegesamte Breite der Wirtschaft erfassen. UnserHauptziel ist dabei, durch Information undBeratung einen gesetzeskonformen Umgangmit den persönlichen Daten von Mitarbeitern,Kunden, Mandanten, Patienten usw. sowieeine angemessene Datenschutz- und Datensicherheitsorganisationzu erreichen und dadurchdie Anzahl der Datenschutzbeschwerdefällebei uns zu reduzieren.Seminare und Lehrgänge.Für eine gesetzeskonforme undprofessionelle UmsetzungDer Bereich Training und Consulting vonTÜV Rheinland bietet ein breit gefächertesPortfolio an Bildungs- und Beratungsdienstleistungenauf höchstem fachlichenNiveau. Mehr als 7.500 Angebote, über2.500 Referenten. Deutschlandweit. Unddarüber hinaus.Auch zum Thema Datenschutz undCompliance bieten wir zahlreicheSeminare und modulare Lehrgänge mitder Möglichkeit, ein Zertifikat der unabhängigenPersonenzertifizierungsstellePersCert von TÜV Rheinland zu erwerben:DatenschutzJ DatenschutzassistentJ Datenschutzbeauftragter (TÜV)J DatenschutzmanagerJ Datenschutzauditor (TÜV)J Externer Datenschutzbeauftragter (TÜV)ComplianceJ Compliance Officer (TÜV)J Compliance Auditor (TÜV)Mitglieder des BvD erhalten im Jahr 2013bei Teilnahme an den genannten und weiterendefinierten Seminaren zum ThemaDatenschutz und/oder Compliance einenPreisnachlass.Weiter Informationen erhalten Sie bei:TÜV Rheinland Akademie GmbHAm Grauen Stein · 51105 KölnSandra FahlingTel. 0221 806-3561sandra.fahling@de.tuv.comwww.tuv.com/datenschutzwww.tuv.com/complianceBvD-News 2/2013 | 23
Seite 1 und 2: BvD-NewsDas Fachmagazin für den Da
Seite 3 und 4: EditorialLiebe Leser,mit dieser BvD
Seite 5 und 6: Inhaltsverzeichnis / ImpressumInhal
Seite 7 und 8: Der neue DatenschutzstandardBvD und
Seite 9 und 10: Der neue DatenschutzstandardGütesi
Seite 11 und 12: Der neue DatenschutzstandardDer neu
Seite 13 und 14: Kolumnentitel (Thema)g Versiegelter
Seite 15 und 16: GastbeitragNSA-Affäre offengelegt.
Seite 17 und 18: Gastbeitragdie sich Europa selbst d
Seite 19 und 20: Die EU-DSGVOAuch beim Infotag des B
Seite 21: Die EU-DSGVOmeine Daten auch anderw
Seite 25 und 26: Aus der PraxisWeiterbearbeitung in
Seite 27 und 28: Aus der Praxisalismus vor, dieses P
Seite 29 und 30: Aus der Praxisgrüßt daher die Ver
Seite 31 und 32: Aus der PraxisJugendschutzfilter fu
Seite 33 und 34: Aus der PraxisDie Stiftung Datensch
Seite 35 und 36: DREGER INFORMATION TECHNOLOGYAus de
Seite 37 und 38: Aus der Praxisdazu entsprechende In
Seite 39 und 40: Aus der Praxisals erfüllt bestäti
Seite 41 und 42: Aus der Praxisund Dienstleistungszw
Seite 43 und 44: Aus der Praxissind dabei nicht ausr
Seite 45 und 46: Aus der Praxissystem ≠ Android Be
Seite 47 und 48: Aus der Praxisdurchgesetzt.• Der
Seite 49 und 50: Eine gute Adresse für Datenschutz:
Seite 51 und 52: Aus der Praxisist das Schutzniveau
Seite 53 und 54: BvD internGut schreiben könnenSie
Seite 55 und 56: BvD internSichern Sie sich Ihren Sc
Seite 57 und 58: BvD internser-Schnarrenberger pläd
Seite 59 und 60: BvD internNeue Möglichkeiten derDi
Seite 61 und 62: BvD internJe nach verwendetem Progr
Seite 63 und 64: den Krankenrückkehrergespräche. S
Seite 65 und 66: AktuellesRunder Tisch zurDatenträg
Seite 67 und 68: AktuellesBvD: Wäre für die Auswah
Seite 69 und 70: Aus der PraxisSpontanes Gruppenbild
Seite 71 und 72: BvD interndie Verordnung in den jew
Seite 73 und 74:
TermineNächste Seminare der udisAl
Seite 75 und 76:
Aus dem BvDBvD-Datenschutztage 2014
Alle anzeigen

BvD News 2013/2 - BvD eV

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?