RKW-Bayern-Online-Seminar, Termin: 14. März 2023, 09:00 – 12:30 Uhr)Ismaning, 03. März 2023
mein letzter Newsletter hat sich - entgegen seiner Überschrift - keineswegs nur mit dem neuen Schweizer Datenschutzrecht beschäftigt. Es waren auch folgende Themen enthalten:
"Windows10-Lifecycle-Ende", "Digitalisierung und Datenschutz sind keine Gegensätze", "Datenschutzverstöße können teuer werden", "... oder auch ziemlich billig sein" und "Deutsche Datenschutzkonferenz hat neue Version der Orientierungshilfe Telemedien veröffentlicht". Falls Sie ihn also wegen dem Titel nicht gelesen haben, könnte ein erneuter Blick in den letzen Newsletter - https://dsgvo.expert/wp/newsletter/bisher-erschienene-newsletter/?email_id=36 - nun doch interessant sein.
Am Ende des letzen Newsletters gab es - wie auch am Ende diesen Newsletter - noch einen Hinweis auf zwei Datenschutzseminare geben, bei denen ich der Referent bin. Warum ich das jetzt schon weiß: Weil ich diesen Hinweis als erstes schreiben werde, da die Seminare am 14. und 16. März stattfinden und noch ein paar wenige Anmeldungen für die Durchführung fehlen. Vielleicht hilft der Hinweis ja.
Und damit das ganze etwas übersichtlicher wird, gibt es heute wieder ein Inhaltsverzeichnis:
Nun wünsche ich Ihnen eine anregende Lektüre und ein schönes Wochenende
Viele Grüße,
Werner Hülsmann
P.S.: Wenn Sie diesen Newsletter weiterempfehlen wollen, reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL
Es sind zwar noch fast 15 Jahre bis dahin, aber im Sinne der Verfügbarkeit von IT-Systemen hier schon mal ein kleiner Hinweis:
"Am 19. Januar 2038 um 3:14:08 Uhr UTC wird es daher bei Computersystemen,
welche die Unixzeit in einer vorzeichenbehafteten 32-Bit-Variable speichern,
zu einem Überlauf, und mithin zu einem Rücksprung kommen."
Quelle: https://de.wikipedia.org/wiki/Unixzeit#Jahr-2038-Problem
Es kann insbesondere bei älteren Systemen und älterer Software, die die Unix-Zeit im 32-Bit-Format benutzen und damit auch bei Embedded-Systemen in der Tat zu Problemen kommen, wenn da die Implementierung der Unix-Zeit wird. Auch wenn der Begriff Unixzeit anderes vermuten lässt: Die Unixzeit wird auch außerhalb der Unixwelt vielfältig genutzt.Und wer jetzt sagt, beim Jahr-2000-Problem ist es ja auch nichts passiert, die:der sei daran erinnert, dass das Jahr-2000-Problem nur deswegen nicht zu größeren Problemen führte, da vor dem 31.12.1999 sehr umfangreich Software und Systeme getestet und auch rechtzeitig angepasst wurden. Wären diese Tests und Anpassungen nicht erfolgt, hätte es ganz anders ausgesehen. Von daher kann es nicht verkehrt sein, mal bei der IT nachzufragen, ob sie das Jahr-2038-Problem auf dem Schirm haben.
Kleine Anekdote am Rande: Ich hatte Anfang der 2000er-Jahre einen Bertriebsrat (BR) zu einem Zeiterfassungssystem beraten. Dabei hatte ich bereits darauf hingewiesen, dass das vorgesehene Zeiterfassungssystem spätestens am 19. Januar 2038 um 3:14:08 Uhr ausfallen würde, vermutlich aber auch schon vorher, wenn z.B. der Urlaubsplan für das Jahr 2038 eingetragen würde oder spätestens dann, wenn die Schichten für den Zeitraum nach dem 19. Januar 2038 um 3:14:08 in das System eingetragen werden. Allerdings hat das damals aber weder den BR noch die Geschäftsführung interessiert. Beide Seiten gingen davon aus, dass es bis zum Jahr 2038 sicher eine neue Zeiterfassungssoftware geben wird.
Das Thema Facebook-Fanpages nimmt kein Ende. Und das obwohl es eigentlich allen Behörden klar sein solle, dass ein datenschutzkonformer Betrieb von Facebookfanpages durch Behörden kaum möglich ist (vgl. hierzu das Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages V. 1.1 der Dt. Datenschutzkonferenz: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/103DSK-Kurzgutachten-Facebook.pdf?__blob=publicationFile&v=3 ) und https://www.datenschutzzentrum.de/artikel/1412-Kurzgutachten-zur-datenschutzrechtlichen-Konformitaet-des-Betriebs-von-Facebook-Fanpages.html .
So hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI)mit einem Bescheid vom 17. Februar 2023 - https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Dokumente-allg/2023/Bescheid-Facebook-Fanpage.pdf?__blob=publicationFile&v=1 - das Bundespresseamt der Bundesregierung (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen.
"Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI zu Beginn der Woche versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.
Der BfDI sagte dazu: 'Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.'" (Quelle: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/06-Untersagung-Betrieb-Fanpage-BReg.html?nn=251944 )
Laut heise.de - https://www.heise.de/news/Bundesregierung-haelt-vorerst-an-Facebook-Seite-fest-7529386.html - werde das BPA innerhalb der gesetzten Frist von vier Wochen "sorgfältig alle rechtlichen Fragen prüfen". Der stellvertretende Regierungssprecher Wolfgang Büchner ergänzt hierzu "das schließt auch nicht aus, dass wir gegen diesen Bescheid des Bundesdatenschutzbeauftragten klagen".
Ein aus meiner Sicht ganz interessanter Aufsatz von Annika Selzer und Ingo J. Timm mit dem Titel: "Ein Vorschlag für die datenschutzkonforme Gestaltung von Datenschutz-Grundsätzen und -Schutzmaßnahmen in IT-Systemen – Angemessene technische und organisatorische Schutzmaßnahmen nach Art. 32 DSGVO" findet sich im Volltext hier: https://link.springer.com/article/10.1365/s40702-022-00897-2 . Aus der Zusammenfassung: "Der vorliegende 17-seitige Aufsatz möchte vor diesem Hintergrund einen Beitrag dazu leisten, Planern von IT-Systemen die wichtigsten einschlägigen Datenschutzanforderungen aufzuzeigen sowie Empfehlungen zur Umsetzung dieser Anforderungen zu geben."
Am 08. Februar 2023 ist der ISO-Standard 31700 in Kraft getreten, der dazu führen soll, dass der Datenschutz bei Produkten für Verbraucher:innen bereits von der Konzeptphase an in den gesamten Produktzyklus berrücksichtigt wird. Im Gegensatz zu Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) ist dieser ISO-Standard nicht verbindlich, soll aber bei der Umsetzung von Art. 25 DSGVO helfen können. Der ISO-Standard 31700 besteht aus zwei Teilen:
Ja, solche Standards kosten Geld und es gibt nicht mal eine Ermässigung, wenn beide zusammen gekauft werden. Aber das Inhaltsverzeichnis sowie die Abschnitte
lassen sich als Vorschau kostenfrei betrachten. Falls jemand ein Exemplar übrig hat, meine Postadresse findet sich ganz unten. :-)
Am 28. Februar 2023 hat der Europäische Datenschutz-Ausschuss (EDSA, englisch: European Data Protection Board - EDPB) seine Stellungnahme zum EU-U.S. Data Privacy Framework (EU-U.S. DPF) veröffentlicht. Diese ist hier zu finden:
https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-52023-european-commission-draft-implementing_en.
"Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber: 'Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.'" (Quelle: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/07_Stellungnahme-EDSA-EU-US-DPF.html?nn=251944).
Der EDSA kritisiert nicht nur die komplexe Struktur des EU-U.S. DPF, die ein Auffinden der relevanten Informationen unnötig erschwert. Am Ende der Zussammenfassung schreibt der EDSA:
"Insgesamt nimmt der EDSA positiv zur Kenntnis, dass die EO [Executive Order es US-Präsdenten] im Vergleich zum vorherigen Rechtsrahmen wesentliche Verbesserungen bietet, insbesondere im Hinblick auf die Einführung der Grundsätze der Notwendigkeit und Verhältnismäßigkeit und des individuellen Rechtsbehelfs für betroffene Personen in der EU. In Anbetracht der geäußerten Bedenken und der geforderten Klarstellungen schlägt der EDSA vor, dass diese Bedenken ausgeräumt werden und die Kommission die geforderten Klarstellungen liefert, um die Begründung des Beschlussentwurfs zu festigen und eine genaue Überwachung der konkreten Umsetzung dieses neuen Rechtsrahmens, insbesondere der darin vorgesehenen Garantien, in den künftigen gemeinsamen Überprüfungen sicherzustellen." (übersetzt mit https://www.deepl.com/translator - Übersetzung von mir redigiert).
Die (bislang nur auf englisch vorliegenden) 54 Seiten sind auf alle Fälle lesenswert.
Dr. h.c. Marit Hansen, die Vorsitzende der Dt.Datenschutz-Konferenz äußert zur Stellungname: "Die Daten vieler EU-Bürgerinnen und EU-Bürger werden in die USA übermittelt. Für einen umfassenden Grundrechtsschutz ist es wichtig, dass das Schutzniveau auch in diesen Fällen gleichwertig mit dem in der EU garantierten Datenschutzniveau ist. Der Europäische Datenschutzausschuss hat unter Beteiligung deutscher Aufsichtsbehörden das in dem EU-U.S. Data Privacy Framework beschriebene Schutzniveau sorgfältig geprüft. Ich begrüße den erzielten Fortschritt und hoffe, dass die verbliebenen offenen Punkte, die wir gemeinsam aufgezeigt haben, nun ebenfalls geklärt werden." (Quelle: https://www.datenschutzzentrum.de/artikel/1431-Europaeischer-Datenschutzausschuss-nimmt-Stellung-zum-Entwurf-des-Angemessenheitsbeschlusses-zum-EU-U.S.-Data-Privacy-Framework.html)
RKW-Bayern-Online-Seminar, Termin: 14. März 2023, 09:00 – 12:30 Uhr)Durch die EU-Datenschutzgrundverordnung (DSGVO) wurden u. a. die Informationspflichten gegenüber den betroffenen Personen - unabhängig davon ob ihre Daten direkt bei Ihnen erhoben werden oder nicht - deutlich erhöht und die nach dem alten BDSG möglichen Ausnahmen deutlich reduziert.
In diesem Workshop erfahren Sie, welche Informationspflichten gegenüber den betroffenen Personen durch die Verantwortlichen bestehen und wie Sie diese rechtssicher und effizient umsetzen können.
RKW-Bayern-Online-Seminar, Termin: 16. März 2023, 09:00 – 12:30 Uhr)Im Juni 2021 hat die EU-Kommission zwei verschiedene Sets von Standardvertragsklauseln (SDK) veröffentlicht:
Während die Nutzung der SDK für die Auftragsverarbeitung freiwillig ist, dürfen die bisher genutzten Standardvertragsklauseln für Datenübertragungen in Drittländer seit 26.09.2021 nicht mehr vereinbart werden. Alle bis dahin abgeschlossen Verträge auf Basis der alten Standardvertragsklauseln mussten spätestens zum 27.12.2022 durch die neuen Standardvertragsklauseln für Datenübertragungen in Drittländer ersetzt werden.
_________________________________________________
Um Ihre Newsletter-Einstellungen zu ändern oder Ihre Daten zu berichtigen, bitte hier klicken. - Um Ihre Daten zu Auskunftszwecken gemäß Art. 15 der EU-Datenschutz-Grundverordnung (DSGVO) oder zum Zwecke der Datenübertragbarkeit gemäß Art. 20 DSGVO herunterzuladen, bitte hier klicken - Sollten Sie Ihre Einwilligung widerrufen und sich wieder abmelden wollen, dann bitte hier klicken - Die Datenschutzerklärung finden Sie hier
-----------------------------------------------
Meine Infoseite zur Europäischen Datenschutz- grundverordnung (DSGVO): <https://dsgvo.expert> ----------------------------------------------- -- Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann - Datenschutzgutachter - Datenschutzexperte - * Münchener Str. 101 - Gebäude 1 / 1. OG - D-85737 Ismaning FAX.: 089 / 51 30 569-8 * Pappelhof 12 - D-14478 Potsdam Mobil: 0177 / 28 28 681 E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de