16. Mai 2018
Hallo ,
diesmal ist mein letzter Newsletter nur vier Tage her. Je näher der Tag des Gültigwerdens der DSGVO kommt, desto mehr Beiträge und Infos gibt es im Netz. Einiges davon ist mehr oder weniger Panikmache, anderes ist reine Geschäftemacherei und meist wird beides geschickt kombiniert. Es ist erstaunlich mit welcher Geschwindigkeit immer mehr Unternehmen das Feld der Datenschutzberatung für sich entdecken. Und wenn es für Firmen, die diesen Beratungsunternehmen mehr oder weniger blindlings vertrauen (müssen) es nicht so schlimm wäre, könnte mensch über manches was da so geschrieben wird, eigentlich nur lachen. So steht in einer "Lektion" eines "Online-Kurs, der Sie auf dem Weg zur DSGVO-Compliance unterstützen soll" tatsächlich zum Thema Datenschutzbeauftragte: "Einen Datenschutzbeauftragten müssen alle Unternehmen bestellen, die mind. fünf Mitarbeiter regelmäßig mit der automatisierten oder 20 Arbeitnehmer mit der nicht automatisierten Verarbeitung personenbezogener Daten beschäftigen." Okay, die 20 Personen stehen tatsächlich noch in derzeitigen BDSG, dass in 9 Tagen bereits außer Kraft getreten ist. Das mit den 5 Personen ist aber deutlich älter - wenn ich mich richtig erinnere, stand es vor 2001 im damaligen BDSG, es könnte aber auch noch älter sein. Leider ist dies nicht die einzige "Ungenauigkeit" in diesen Lektionen. Wenn eines dort stimmt, dann dieser Satz "Ich möchte ausdrücklich darauf hinweisen, dass dieser Online-Kurs (...) auch keinen Anspruch auf Richtigkeit oder Vollständigkeit hat."
Daher kommen wir lieber zu den heutigen Themen für Sie:
Zwei Leute vom Berufsverband der Datenschutzbeauftragten Deutschland (BvD) e.V. haben sich die Mühe gemacht und auf den Seiten der staatlichen Datenschutzaufsichtsbehörden recherchiert, ob es dort schon ein Online-Formular für die Meldung der Kontaktdaten der oder des Datenschutzbeauftragten gemäß Art. 37 Abs. 7 DSGVO an die Datenschutzaufsichtsbehörde. Beim Vergleich der schon vorhandenen - und sehr unterschiedlichen - Formulare fällt auf, dass der Begriff der Kontaktdaten seitens der Datenschutzaufsichtsbehörden sehr unterschiedliche ausgelegt wird. So gibt es ein Kontaktformular in dem neben den Angaben zum Verantwortlichen nur die E-Mail-Adresse der/des Datenschutzbeauftrgten Pflicht ist, andere Formulare wollen gleich auch Namen sowie das Datum der Benennung wissen. Bei anderen Formularen ist nicht deutlich zu erkennen, was Pflichtfelder und was freiwillige Felder sind. Hier sollte seitens der Aufsichtsbehörden noch nachgebessert werden. Besonders krass finde ich die Aussage auf der Webseite der LfDI NRW zu diesem Thema: "Mitteilungen, die vor der Fertigstellung [des Onlineformulars] eingehen, können nicht berücksichtigt werden. Welche Daten konkret zu melden sind, und weitere Informationen können in den kommenden Monaten auf unserer Homepage an dieser Stelle nachgelesen werden." Ich glaube kaum, dass dies DSGVO-konform ist.
Der Link zu dieser Übersicht ist: https://www.bvdnet.de/aktuelle-infos-zur-mitteilungspflicht-des-datenschutzbeauftragten-nach-art-37-abs-7-dsgvo/
Das Kurzpapier der Deutschen Datenschutzkonferenz (DSK) zum Thema "Risiko für die Rechte und Freiheiten natürlicher Personen" finden Sie hier:
https://www.lda.bayern.de/media/dsk_kpnr_18_risiko.pdf und ist aus meiner Sicht sehr hilfreich. Es gibt zwar schon einiges anderes an Material (vgl. https://dsgvo.expert/MatDS-FA), aberso kompakt und übersichtlich wie dieses sechsseitige Kurzpapier ist das Thema Risikoabschätzung mir bisher noch nicht aufgefallen.
Es gibt noch ein paar Sachen, die ich Ihnen nicht vorenthalten möchte:
"Sie bedauerte daher, dass mit Deutschland, Österreich, Slowenien und Schweden erst vier Mitgliedsstaaten ihr nationales Recht an die Verordnung angepasst hätten. Voraussichtlich schafften es acht Länder nicht mehr bis zum Stichtag, Gesetze zu erlassen. Prinzipiell aber ist die Verordnung in allen Mitgliedsstaaten direkt anwendbar." (Quelle:
https://www.heise.de/newsticker/meldung/DSGVO-EU-Justizkommissarin-will-die-Panik-verringern-4048608.html, 14.05.2018)
https://www.blogmojo.de/av-vertraege/
Es gibt zumindest eine wesentlich datenschutzfreundlichere Alternative: https://dudle.inf.tu-dresden.de/
"Mit PGP und S/MIME verschlüsselte E-Mails können unter bestimmten Umständen von Angreifern aus dem Netz mitgelesen werden. Was man tun muss, um weiterhin verschlüsselte Mails sicher zu lesen, erklärt dieser Artikel."
https://www.heise.de/newsticker/meldung/Efail-Was-Sie-jetzt-beachten-muessen-um-sicher-E-Mails-zu-verschicken-4048988.html
Es tut mir schon ein bißchen leid, dass ich Sie so kurz vor dem Gültigwerden der DSGVO mit so vielen Informationen versorge. Aber besser jetzt, als erst nach dem 25. Mai 2018. Nicht dass Sie dann sagen, "Wenn wir das nur ein paar Tage früher gewußt hätten".
Viele Grüße und angenehme Lektüre,
Werner Hülsmann
Um Ihre Einstellungen zu ändern, bitte hier klicken. Sollten Sie sich wieder abmelden wollen, dann bitte hier klicken, - Datenschutz
Wenn Sie diesen Newsletter weiterempfehlen wollen, reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL
-----------------------------------------------
Meine Infoseite zur Europäischen Datenschutz- grundverordnung (DSGVO): <https://dsgvo.expert> ----------------------------------------------- -- Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann - Anerkannter Datenschutzsachverständiger* * Münchener Str. 101 - Gebäude 1 / 1. OG - D-85737 Ismaning Tel.: 089 / 51 30 569-7, FAX: -8 * Pappelhof 12 - D-14478 Potsdam Tel. 030 / 22 43 84 36 Mobil: 0177 / 28 28 681 E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de