Hallo {title} ,
ich vermute, dass Sie diesen Newsletter erst am Freitag den 13. Oktober 2017 lesen. Wenn das der Fall ist, sind es nur noch 224 Tage bis zum Gültigwerden der DSGVO oder anders ausgedrückt: 32 Wochen. 160 Arbeitstage wären dies bei einer Fünf-Tage-Woche. Allerdings gehen da noch ein paar Feiertage ab. Vom Reformationstag am 31. Oktober (ja, der ist dieses Jahr bundesweit ein Feiertag) über Weihnachten, Neujahr und Ostern bis hin zum Tag der Arbeit und Christi Himmelfahrt sind es ganze acht bundesweite Feiertage, die uns bei der Umsetzung fehlen. Es sind also zwischen 150 Arbeitstagen in Bayern und 152 Tagen in Berlin, die wir Zeit haben, die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) umzusetzen. Heute habe ich folgende Themen für Sie:
Wie verschiedenen Medienberichten zu entnehmen ist, hat der Irische High Court entschieden, die Frage der Rechtmäßigkeit der Standard-Vertragsklauseln dem EuGH zur Prüfung vorzulegen. Die genauen Vorlagefragen sollen noch formuliert werden. Damit dies die Wahrscheinlichkeit groß, dass die Standard-Vertragsklauslen - genauso wie Safe Harbor - vom EuGH gekippt werden. Die Folgen wären allerdings weitreichender. Viele Unternehmen sind nach dem Wegfall von Safe Habor für Datenübermittlungen in den USA auf die Standardvertragsklauseln umgestiegen. Das EU-US Privacy Shield war damals ja noch in der Verhandlung. Allerdings wurden und werden die Standard-Vertragsklauseln für Datenübermittelungen in alle möglichen Drittstaaten (Staaten außerhalb von EU und Europäischen Wirtschaftsraum - EWR) genutzt. Wenn die Standard-Vertragsklauseln kein Instrument zur Herstellung des angemessenes Datenschutzniveaus sind, fehlt ein für den internatinalen Datenverkehr wichtiges Mittel.
Das EU-US-Privacy Shield wird - solange es gilt - für Datenübermittlungen an Bedeutung gewinnen. Aber für Datenübermittlungen nach Drittstaaten, für die es keinen Kommissionsbeschluß gibt, der ihnen eine angemessenes Datenschutzniveau bestätigt, sieht es dann schlecht aus. Die Instrumente "genehmigte Verhaltensregeln" nach Art. 40 DSGVO und Zertifizeriungen nach Art.42 DSGVO können grundsätzlich auch genutzt werden, um ein angemessenes Datenschutzniveau bei der Stelle festzustellen, an die die Daten übermittelt werden. Aber bis es soweit ist und die ersten Verhaltensregeln nach Art. 40 genehmigt sind und die ersten Zertifizierungen nach Art. 42 DSGVO erfolgt sind, werden noch einige Monate ins Land gehen. Bis dahin können die Standard-Vertragsklauseln vom EuGH schon gekippt sein. Und dann werden Unternehmen, die für ihre Geschäftsprozesse auf Datenübermittlungen in Drittstaaten, denen kein angemessenes Datenschutzniveau bestätigt wird, vermutlich Propleme bekommen. Von daher sollten die Themen "genehmigte Verhaltensregeln" und Zertifzierungen - gerade auch im Zusammenhang mit internationalem Datenaustausch - so früh wie möglich angegangen werden. Dass auch für die EU-Kommission das Thema Zertifizierung können Sie weiter unten nachlesen.
(Weitere Infos u.a.: https://www.golem.de/news/schrems-vs-facebook-eugh-soll-ueber-standardvertragsklauseln-entscheiden-1710-130429.html)
Als erstes Bundesland hat Bayern seinen Entwurf für die Anpassung seines Landesdatenschutzgesetzes und weitere bereichspezifischer landesrechtlicher Datenschutzregelungen veröffentlicht:
https://www.datenschutz-bayern.de/datenschutzreform2018/baydsg_neu_28_09_2017.pdf - Die weitere Entwicklung düfte dann auch auf der Website des Bayerischen Landesdatenschutzbeauftragten zur Datenschutzrefom 2018 finden sein. Ich bin gespannt, wann die anderen Bundesländer folgen. Zumindest für die öffentlichen Einrichtungen ist es ja wichtig zu wissen, inwieweit in den neuen Landesdatenschutzgesetzen von den sogenannten Öffnungsklauseln Gebrauch gemacht wird.
Es gibt neues zur EU-ePrivacy-Verordnung. Am 19. Oktober will der LIBE-Ausschuss des EU-Parlaments über den Bericht abstimmen. Dieser Tagesordnungspunkt stand zwar auch schon auf der heutigen Tagesordnung, da es aber noch einige Punkte gab, in denen keine Einigkeit herrschte, wurde die Abstimmung auf die Sitzung in der kommenden Woche verschoben. Wenn der LIBE-Ausschuss dieses Bericht beschlossen hat, muss er noch vom EU-Parlamant bestätigt werden. Dann fehlt noch die Stellungnahme des Ministerrates und dann können die Trilog-Verhandlungen beginnen. Derzeit ist noch nicht abzusehen, wann das Ergebnis der Trilogverhandlungen feststehen wird. Aber bisher hat sich an dem geplanten Zeitpunkt für das Gültigwerden nichts geändert. Es ist immer noch der 25. Mai 2018 vorgesehen, das sind noch 32 Wochen oder 150 bis 152 Arbeitstage...
In meinem letzten Newsletter hatte ich es schon erwähnt: Ich wurde als Vertreter der Deutschen Vereinigung für Datenschutz (DVD) e.V. in die Multistakeholder expert group to support the application of Regulation (EU) 2016/679 berufen. Die Aufgaben (Tasks) dieser Expertengruppe sind:
Seit ein paar Tagen ist der Entwurf für die Tagesordnung der ersten Sitzung am 19. Oktober 2017 in Brüssel veröffentlicht worden. Eines der Themen dieser Sitzung wird die Zertifzierung sein.Es zeigt sich also, dass auch die EU-Kommission dieses Thema für wesentlich hält
In einer Woche wird es also wieder einiges Neues geben. Sie werden daher vermutlich nicht so lange - wie dieses Mal - auf den nächsten Newsletter warten müssen.
In dieser Rubrik werde ich künftig ab und an auf Pressemitteilungen und andere Informationen verweisen, die zwar nicht direkt mit der DSGVO und dem BDSG-neu zu tun haben, aber zumindest für betriebliche und behördliche Datenschutzbeauftragte sowie für Unternehmen und Behörden interessant sein können. Heute sind es drei Prüfungen des Bayerischen Landesamtes für Datenschutz (BayLDA). Da das BayLDA für die nichtöffentlichen Stellen zuständig ist und damit diese Prüfungen auf der Basis des derzeitigen BDSG und bundesweit geltender weiterer relevanter Datenschutzvorschriften prüft, sind dieses Aussagen auch für Unternehmen in anderen Bundesländern relevant.
Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 04.10.2017:
"Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) startet seine „Cybersicher-heitsinitiative zum Schutz personenbezogener Daten“. Dazu wird als erster Baustein ein neuer Online-Service angeboten, über den die HTTPS-Verschlüsselung einer Webseite zur Überprüfung gemeldet werden kann.
Aktuelle Gefährdungslage
Cyberangriffe haben in den vergangenen Jahren spürbar zugenommen. Dafür gibt es verschiedene Gründe, wobei der Profit durch den gezielten Verkauf personenbezogener Daten im Darknet als Hauptmotivation relativ weit oben steht. Für Cyberkriminelle ist dieses „Geschäft“ rentabel, für Unternehmen dagegen der blanke Horror: schließlich drohen durch solche Angriffe einerseits empfindliche finanzielle Verluste, andererseits aber auch nachhaltige Imageschädi-gungen, die eine Abwanderung von Kunden zur Folge haben können. Für die Betroffenen sind neben finanziellen Schäden auch die Verletzung ihrer Persönlichkeitsrechte, wie z. B. Rufschädigung oder Diskriminierung, zu befürchten." (Quelle und vollständig lesen: https://www.lda.bayern.de/media/pm2017_08.pdf)
Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 04.10.2017:
"Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor Kurzem in einer bayernweiten Prüfaktion 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird. (...) Wegen zahlreicher Beratungsanfragen bayerischer Unternehmen, die dieses Produkt zur gezielten Werbeschaltung auf Facebook nutzen wollten, aber nicht wissen, ob und wie sie es datenschutzkonform einsetzen können, hatten wir [das BayLDS] uns entschlossen, das Produkt näher zu prüfen." (Quelle und vollständig lesen: https://www.datenschutz.de/pruefung-von-facebook-custom-audience/)
Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom18.09.2017
"Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat dieses Jahr das Betriebssystem Windows 10 Enterprise etwas näher unter die Lupe genommen. Ergeb-nis der Untersuchung ist, dass ein datenschutzkonformer Einsatz von Windows 10 in der geprüften Version bei bayerischen Unternehmen möglich ist." (Quelle und vollständig lesen: https://www.lda.bayern.de/media/pm2017_06.pdf)
Freundliche Grüße,
Werner Hülsmann
Um Ihre Einstellungen zu ändern, bitte hier klicken. Sollten Sie sich wieder abmelden wollen, dann bitte hier klicken, - Datenschutz
Wenn Sie diesen Newsletter weiterempfehlen wollen, reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL
-----------------------------------------------
Meine Infoseite zur Europäischen Datenschutz- grundverordnung (DSGVO): <https://dsgvo.expert> ----------------------------------------------- -- Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann - Anerkannter Datenschutzsachverständiger* * Münchener Str. 101 - Gebäude 1 / 1. OG - D-85737 Ismaning Tel.: 089 / 51 30 569-7, FAX: -8 * Pappelhof 12 - D-14478 Potsdam Tel. 030 / 22 43 84 36 Mobil: 0177 / 28 28 681 E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de