INTERVIEW PROF. DR. CASPAR

Prof. Dr. Caspar ist seit 2009 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. Auf unserem Forum am 13. Dezember stellte er den Teilnehmern die Sicht der Datenschutzbehörde auf die EU-Datenschutz-Grundverordung (DS-GVO) vor. In den vielen nachfolgenden Gesprächen mit unseren Kunden und Beratern, ergaben sich immer wieder Fragen zur DS-GVO, dies haben wir zum Anlass genommen, mit Prof. Dr. Caspar ein Interview zu führen, in dem wir die häufigsten Fragen aufgegriffen haben.

ANMATHO:

Betrachtet man den sachlichen Anwendungsbereich der DS-GVO, kommt es darauf an, ob personenbezogenen Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nichtautomatisierten Verarbeitung eine Speicherung in einem Dateisystem erfolgt bzw. erfolgen soll. Nur in diesen Fällen ist der sachliche Anwendungsbereich der DS-GVO eröffnet. Hier stellt sich die Frage, ob auch handgeschriebene Notizen durch die DS-GVO geschützt sind?

Prof. Dr. Caspar:

Handgeschriebene Notizen sind dann durch die DS-GVO geschützt, wenn sie in einem Dateisystem (= jede strukturierte Sammlung personenbezogener Daten, die nach bestimmtem Kriterien zugänglich sind) gespeichert werden sollen. Sofern dies nicht der Fall ist, ist die DS-GVO nicht anwendbar.

ANMATHO:

Die DS-GVO normiert u.a. das „Recht auf Vergessenwerden“. Wurden hier personenbezogene Daten von einem Verantwortlichen öffentlich gemacht, so hat er unter Berücksichtigung der verfügbaren Technologie und der entsprechenden Kosten angemessene Maßnahmen zu treffen, um andere für die Datenverarbeitung Verantwortliche darüber zu informieren, dass die betroffene Person die Löschung aller Daten verlangt. Interessant ist hierbei, ob es mit der Information allein schon getan ist oder ob der Löschungsanspruch gegen die anderen Stellen im Namen der betroffenen Personen durchgesetzt werden muss. Und was passiert, wenn Unternehmen die schwammigen Formulierungen des Gesetzes ausnutzen werden, um technische Probleme als Hinderungsgrund anzuführen?

Prof. Dr. Caspar:

Gesetzlich verpflichtet ist der Verantwortliche nur zur Information weiterer Verantwortlicher über das Löschungsverlangen Betroffener.

Angesichts der gesetzlichen Formulierung „unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten“ scheint das Ausnutzen der gesetzlichen Formulierung schwierig. Die Frage, ob der Verantwortliche unter Zugrundelegung des Wortlauts der DS-GVO angemessene Maßnahmen getroffen hat, um seinen Verpflichtungen nachzukommen, ist durch die zuständigen Aufsichtsbehörden nachprüfbar und bei Verstößen ordnungswidrig, vgl. § 41 DSAnpUG-EU i.V.m. Art. 83 Abs. 5 lit. b) DS-GVO.

ANMATHO:

Mit dem „Recht auf Datenübertragbarkeit“ soll insbesondere ein einfacher und unkomplizierter Anbieterwechsel ermöglicht werden. Fraglich ist hier, welche Daten von Art. 20 DS-GVO erfasst sind. Fallen hierunter nur solche Daten, die der Nutzer aktiv eingegeben hat (etwa Name, Gewicht, Größe, Kontodaten, Social-Media-Posts) oder auch Daten, die durch die Nutzung des Dienstes entstehen (Fitnessprofil, Kaufhistorie, Finanzkonzept)? Und wie können hier vor allem auch Geschäftsgeheimnisse oder das geistige Eigentum eines Verantwortlichen – etwa eines Online-Shops – geschützt werden?

Prof. Dr. Caspar:

Gemäß Art. 2 Abs. 1 DS-GVO sind solche Daten herauszugeben, die der Betroffene „bereitgestellt“ hat. Darunter fallen nicht nur die direkt in ein Textfeld eingegebenen Daten, sondern auch weitere Rohdaten, die auf aktivem Verhalten des Betroffenen beruhen. Dies betrifft etwa die Kaufhistorien in einem Onlineshop sowie die Standortdaten oder Herzfrequenzmessungen, die ein Fitnesstracker aufzeichnet. Nicht „bereitgestellt“ sind hingegen die aus der Analyse generierten Daten, also etwa Bewertung der Gesundheit durch die Software eines Fitnesstrackers.

Auch Geschäftsgeheimnisse und geistiges Eigentum fallen grundsätzlich unter Art. 20 Abs. 4 DS-GVO. Diese Einschränkung ist aber eng auszulegen und darf nicht dazu führen, dass jegliche Auskunft verweigert wird. In der Regel sind Geschäftsgeheimnisse dadurch ausreichend geschützt, dass nur die Rohdaten, nicht aber die Analyseergebnisse herausgegeben werden müssen.

ANMATHO:

Sind in diesem Zusammenhang auch Daten, die Dritte betreffen, erfasst oder vielmehr ausgeschlossen? Davon hängt ab, ob insbesondere Gruppenfotos aus sozialen Netzwerken oder E-Mail-Verläufe an einen neuen Anbieter übermittelt werden dürfen.

Prof. Dr. Caspar:

Gemäß den Festlegungen der europäischen Art.-29-Gruppe ist die Ausnahmeklausel des Art. 20 Abs. 4. DS-GVO nicht zu restriktiv auszulegen. Danach dürfen etwa Chatverläufe komplett angefordert werden. Die Übermittlung der Chatverläufe an einen neuen Verantwortlichen ist hingegen nur zulässig, wenn eine Rechtsgrundlage oder Einwilligung dafür vorliegt beziehungsweise die Haushaltsausnahme greift und die Rechte und Freiheiten Anderer nicht beeinträchtigt werden. Dies ist vor allem dann zumeist nicht der Fall, wenn der neue Verantwortliche die Daten zu anderen Zwecken verarbeitet als der alte.

ANMATHO:

Die ePrivacy-Verordnung sollte zeitnah neben die Datenschutz-Grundverordnung (DS-GVO) treten und die sog. ePrivacy-Richtlinie ablösen. Dies wird so jedoch bisher nicht umgesetzt, da die ePrivacy-Verordnung noch im Entwurfsstadium steckt. Dies bedeutet, dass ab dem 25. Mai 2018 ein Zusammenspiel zwischen DS-GVO, dem TMG und der Richtlinie eintritt. Hier stellt sich die Frage, welche Rechtslage dann gilt?

Prof. Dr. Caspar:

Es ist davon auszugehen, dass die datenschutzrechtlichen Teile des TMG durch die DS-GVO größtenteils verdrängt werden. Das genaue Verhältnis von DS-GVO und TMG sowie einer künftigen ePrivacy-Verordnung ist Gegenstand aktueller Diskussionen der deutschen Aufsichtsbehörden. Vor dem Hintergrund der Auswirkung auf nahezu alle Telemedienangebote ist es entscheidend, ein gemeinsames Ergebnis in dieser rechtlichen Bewertung zu erzielen.

ANMATHO:

In einem CRM (Customer-Relationship-Management) werden nicht nur Daten von juristischen Personen, sondern auch personenbezogene Daten – etwa von Ansprechpartnern –gespeichert. Ist eine Verarbeitung personenbezogener Daten mit einem CRM rechtmäßig oder bedarf es hier einer Einwilligung der betroffenen Person?

Prof. Dr. Caspar:

Das Abspeichern von Ansprechpartnern anderer Unternehmen im firmeneigenen CRM-System kann auf Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO gestützt werden, solange keine entgegenstehenden Betroffeneninteressen überwiegen. Insbesondere dann, wenn die berufliche Aufgabe des Betroffenen in der Kontaktpflege zu anderen Unternehmen besteht, wird er in der Regel hinnehmen müssen, dass diese seinen Namen notieren.

ANMATHO:

Bewerberdaten sind nach altem als auch neuem Datenschutzrecht geschützt. Zudem wird regelmäßig gerade bei postalisch versandten Bewerbungsunterlagen keine Einwilligung für die Verarbeitung zu anderen Zwecken vorliegen, so dass die jeweiligen Daten gerade nach dem Abschluss des Bewerbungsprozesses für eine konkrete Stelle gelöscht werden müssen. Einer Löschung stehen aber möglicherweise bestehende Aufbewahrungsfristen oder Interessen des mitarbeitersuchenden Unternehmens entgegen. Welche Bewerberdaten darf ein Unternehmen aufbewahren und welche Aufbewahrungsfristen gibt es?

Prof. Dr. Caspar:

Die Daten aller Bewerber dürfen auch künftig aufbewahrt werden, solange mit rechtlichen Schritten einzelner im Auswahlverfahren unterlegener Kandidaten zu rechnen ist. Dies ist regelmäßig nach sechs Monaten nicht mehr der Fall. Spätestens dann sind die Unterlagen zu vernichten, mit Ausnahme der Dokumente, die bei eingestellten Bewerbern in die Personalakte gelangen. Sollen Bewerbungsunterlagen im Hinblick auf später freiwerdende Stellen weiter vorgehalten werden, ist eine entsprechende Einwilligung erforderlich.

ANMATHO:

Insbesondere im Rahmen der Auftragsverarbeitung stellt das zukünftige Datenschutzregime neue Anforderungen an die Zusammenarbeit mit Dienstleistern und Lieferanten. Können Unternehmen weiterhin mit Dienstleistern und Lieferanten aus Drittländern zusammenarbeiten? Welche Anforderungen der DS-GVO müssen diese erfüllen?

Prof. Dr. Caspar:

Ja, Unternehmen können weiterhin mit Dienstleistern und Lieferanten aus Drittländern zusammenarbeiten. Dabei müssen Sie – wie bisher auch – sicherstellen, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Hierfür stellen die Art. 44 bis 50 DS-GVO verschiedene Instrumente (z.B. Angemessenheitsbeschluss, Vereinbarung geeigneter Garantien, interne Datenschutzvorschriften etc.) zur Verfügung.

Daneben sind die Vorgaben des Art. 28 DS-GVO (Auftragsverarbeiter) zu beachten.

ANMATHO:

Stellt eine IP-Adresse ein personenbezogenes Datum gemäß Art. 4 Nr. 1 DS-GVO dar, unterliegt sie regelmäßig dem Datenschutz, was für Unternehmen einen erheblichen Mehraufwand beim Umgang mit IP-Adressen bedeutet. Dies trifft häufig auf Unverständnis und viele stellen sich die Frage, weshalb eine IP-Adresse ein personenbezogenes Datum ist?

Prof. Dr. Caspar:

Zur Frage des Personenbezugs von (auch dynamischen) IP-Adressen hat sich der EuGH zuletzt im Okt. 2016 geäußert (C-582/14). Dabei stellt er klar den Personenbezug fest (RN 49), wenn „er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen“. Diese rechtlichen Möglichkeiten bestehen in Deutschland.

Diese Auffassung steht mit der Definition personenbezogener Daten in Art 4 Nr. 1 DS-GVO im Einklang.

Mehr zu Herrn Prof. Dr. Caspar finden Sie auf seiner Webseite.

/von

Grundlage DSMS

Die Datenschutz-Grundverordnung (DSGVO) hält zahlreiche Veränderungen zum bisherigen Datenschutzgesetz. Unternehmen kommen damit, um ein geordnetes System zur Sicherstellung des Datenschutzes nicht herum. Die ANMATHO AG hat hierzu einen Beitrag in der aktuellen Ausgabe der kes geschrieben.

Mehr…

/von

Warum sind IP-Adressen personenbezogene Daten?

Seit dem 25.05.2016 steht fest – IP-Adressen sind, genauso wie der Name, eine Adresse oder das Geburtsdatum, personenbezogene Daten. Aber welchen Personenbezug kann eine IP-Adresse eigentlich haben?

Kleiner Exkurs

Zu Beginn der Digitalisierung hingen nur Personal Computer (PC) im Netz und benötigten zur Kommunikation im Internet eine sogenannte IP-Adresse. Heute sind immer mehr Devices an das Internet angebunden, um uns den Alltag zu erleichtern – die Armbanduhr, das Mobiltelefon, der Kühlschrank, die Lampen in der Wohnung unser Smart TV und vieles mehr. Jedes dieser Geräte benötigt eine IP-Adresse, um Datenpakte im Internet versenden und empfangen zu können. Mit IPv4 ist die Anzahl an verfügbaren IP-Adressen allerdings begrenzt. Eine IPv4-Adresse besteht aus 32 Bit. Insgesamt sind so 4.294.967.296 Adressen darstellbar. Die Weltbevölkerung liegt aktuell bei 7,5 Milliarden Menschen, hiervon besitzen etwa 50% einen Zugang zum Internet. Hierbei ist zu berücksichtigen, dass die meisten Menschen nicht nur ein internetfähiges Gerät, sondern mehrere davon besitzen. Diese Zahlen zeigen, dass IPv4 in Zukunft nicht mehr ausreichen wird, um alle Geräte an das Internet anzubinden. Deshalb wird der Adressraum gerade durch die Umstellung auf IPv6 erweitert. IP-Adressen der Version 6 besitzen 128 Bit, somit bestehen 25616 verschiedene Kombinationsmöglichkeiten. Mit dieser Anzahl an möglichen Adressen können für jeden Quadratmillimeter der Erdoberfläche 665.570.793.348.866.944 IP-Adressen bereitgestellt werden.

IP-Adressen der Version 4 können statisch oder dynamisch sein. Wenn man von statischen IP-Adressen spricht, wird immer genau eine Adresse einem Gerät zugeordnet, welche es für immer behält. Dynamische IP-Adressen werden bei jedem Login geändert. Bei IPv6-Adressen handelt es sich immer um eine statische Vergabe der Adressen.

Warum sind IP-Adressen personenbezogene Daten?

Kommen wir nach dem kleinen Exkurs zurück zu der Frage, warum IP-Adressen personenbezogene Daten sind. Beispielsweise erhält der Betreiber einer Webseite mit der IP-Adresse des Absenders alle relevanten Informationen, um alle erforderlichen Daten an den Nutzer übertragen zu können und die Webseite entsprechend aufbauen zu können. Hierbei wird die IP-Adresse bei den meisten Webseiten-Betreibern gespeichert. Wenn die Geräte dynamische IP-Adressen verwenden, besteht kaum eine Möglichkeit für den Anbieter Profiling zu betreiben. Ist die verwendete IP-Adresse allerdings statisch, können durchaus Rückschlüsse auf das Surfverhalten getroffen werden.

IP-Adressen sind also personenbezogen, weil durch diese Information Nutzer-Profile erstellt werden können, anhand derer beispielsweise Rückschlüsse auf das Surf- und Kaufverhalten, den Gesundheitszustand oder den Familienstand gezogen werden können. Um die Betroffenen vor Schäden auf Grund von Missbrauch dieser Daten zu schützen, gibt es entsprechende Datenschutzregelungen in der neuen DS-GVO, dem BDSG (neu) sowie in weiteren speziellen Gesetzen. Dieses Fazit wird durch das Urteil des BGH vom 16.05.2017 manifestiert, in dem auch dynamische IP-Adressen zu personenbezogenen Daten erklärt werden (Urt. V. 16.05.2017, Az. VI ZR 135/13).

Quellen:
https://techterms.com/definition/ipv4
https://www.itwissen.info/IPv6-Adresse-IPv6-address.html
https://www.welt.de/print/welt_kompakt/webwelt/article168773209/Milliarden-Menschen-weltweit-ohne-Internet.html
https://www.umrechnung.org/weltbevoelkerung-aktuelle-momentane/weltbevoelkerungs-zaehler.htm
https://praxistipps.chip.de/dynamische-und-statische-ip-adressen-das-sind-die-unterschiede_13536
https://www.lto.de/recht/hintergruende/h/bgh-urteil-vizr13513-dynamische-ip-adressen-personenbezogene-daten-speicherung-internetseiten-bundesrepublik/
/von

Neue Gesetze zum kirchlichen Datenschutz in Deutschland

Die Datenschutz-Grundverordnung (DS-GVO) hat auch auf die Datenschutzgesetze der Religionsgemeinschaften einen nicht unerheblichen Einfluss. Nachdem die Katholische Kirche mit dem KDG ein neues Gesetz zum Datenschutz geschaffen hat, folgte ihr anschließend auch die Evangelische Kirche mit dem DSG-EKD.

Hervorzuheben sind in beiden Gesetzen die Bereiche:

• Sanktionen und Rechtsweg zu den kirchlichen Verwaltungsgerichten;
• Einwilligung Minderjähriger in Bezug auf elektronische Angebote;
• IT-Sicherheit;
• Beschäftigtendatenschutz;
• Videoüberwachung bei Gottesdiensten und kirchlichen Veranstaltungen.

Insgesamt ist festzustellen, dass auch mit der Geltung der DS-GVO weiterhin Besonderheiten im kirchlichen Datenschutz bestehen.

Weitere Informationen finden Sie auf der Seite des “Bundesbeauftragten für Datenschutz und Informationsfreiheit” unter:

https://www.bfdi.bund.de/DE/Service/Anschriften/Kirchen/Kirchen-node.html

/von

Können wir Sie heute für ein bisschen Datenschutz begeistern?

Datenschutz wird häufig als eine Art Störung empfunden, eine sehr lästige Pflicht. Manchmal wird Datenschutz auch als Ausrede missbraucht. Aber wie immer im Leben, hat jede Medaille zwei Seiten. Wollen wir heute mal gemeinsam einen Blick auf die helle, die positive Seite des Datenschutzes werfen?

Was ändert sich eigentlich mit dem neuen Datenschutzrecht?

Mit der Einführung der Datenschutz-Grundverordnung (DS-GVO) werden den Unternehmen in Europa und – zumindest mittelbar – in anderen Regionen der Welt, umfassende Vorgaben betreffend den Datenschutz gemacht, was für alle Unternehmen – so nehmen zumindest wir es momentan wahr – eine erhebliche Belastung bedeutet. So müssen unterschiedlichste Aspekte in einem Unternehmen geprüft und verändert werden, es müssen Prozesse etabliert und anschließend auch gelebt werden, man muss sich Maßnahmen erarbeiten, etc. All diese Veränderungen benötigen Zeit, Geld, Kommunikation und manchmal auch Nerven.

Doch vergessen Sie bitte nicht, das neue Datenschutzrecht wird in der gesamten Europäischen Union (EU) eingeführt und betrifft sowohl den privaten als auch den öffentlichen Bereich. Die gesamte EU bekommt jetzt ein einheitliches Datenschutzrecht. Damit haben auch alle Ihre Mitbewerber denselben Aufwand und stehen wie Sie vor den gleichen Problemen. Und das nicht nur deutschlandweit, sondern es hat auch Ihre Mitbewerber in den anderen EU-Mitgliedstaaten getroffen.

Bisher hatten alle 28 Mitgliedstaaten in der EU eigene Datenschutzvorschriften, basierend auf eher laxen Vorgaben der EU aus dem Jahre 1995. Dies führte bis heute innerhalb der EU zu einem sehr unterschiedlichen Datenschutzniveau, weshalb es für manchen Konzern attraktiv war sich gerade in bestimmten Mitgliedstaaten niederzulassen.

Die DS-GVO schafft nun einen einheitlichen belastbaren Rechtsrahmen mit einem hohen Datenschutzstandard für alle 500 Millionen EU-Bürger und damit auch gleiches Recht für alle, wobei die DS-GVO sehr nah am bisher bestehenden deutschen Datenschutzrecht ist. Das wiederum bedeutet für diejenigen Unternehmen, die bisher Ihre Hausaufgaben in Sachen Datenschutz gemacht haben, dass Sie deutlich weniger Aufwand in die Umsetzung der DS-GVO investieren müssen, als ihre europäischen Mitbewerber.

Sie sind also nicht ganz so schlecht dran, wie so mancher ihrer Mitbewerber aus dem europäischen Ausland!

Was bringt mir aber nun dieser Datenschutz?

Eine wesentliche Forderung der DS-GVO ist etwa die Erstellung eines „Verzeichnisses von Verarbeitungstätigkeiten“. In einem solchen werden alle Prozesse erfasst, in denen personenbezogene Daten in Ihrem Unternehmen verarbeitet werden. So eine Systematisierung von Unternehmensprozessen kennen wir insbesondere aus dem Qualitätsmanagement (QM), hier werden die entsprechenden Prozesse analysiert, um eine Verbesserung der Prozessqualität und letztlich der Produkte zu erreichen. Sie werden mithin bei der Erstellung eines „Verzeichnisses von Verarbeitungstätigkeiten“ erleben, dass Sie neben Ihren Prozessen auch Grauzonen – ungeklärte Verantwortungen und evtl. informelle Prozesse – entdecken, die in Ihrem Unternehmen vorhanden sind. Die Klärung dieser Prozesse dient dabei nicht nur dem Datenschutz, sondern auch Ihrem Qualitätsmanagement sowie Ihrem Wissensmanagement.

Zudem wird Datenschutz immer mehr ein eigenständiges Qualitätsmerkmal Ihres Unternehmens. Während andere Unternehmen von Datenskandalen erschüttert werden, werben Sie doch einfach mal mit Ihrem Datenschutzkonzept. Es geht um Kunden- und Mitarbeiterorientierung, wenn Sie Datenschutz nicht nur umsetzen, sondern es geschafft haben Datenschutz in der Praxis zu leben, ohne dass er Ihnen lästig erscheint. Dies stellt immer mehr einen Wettbewerbsvorteil gegenüber Mitbewerbern dar. Bei einem professionellen Umgang mit dem Thema „Datenschutz“, möglicherweise auch in Kombination mit einer entsprechenden Zertifizierung, können Sie gerade als Dienstleister bei großen Kunden oder bei öffentlichen Ausschreibungen punkten.

Im Übrigen deckt ein umfassendes Managementsystem in diesem Bereich in Ihrem Unternehmen etwaige Risiken sowie mögliche Schadensszenarien auf. Durch den systematischen Aufbau eines entsprechenden Managementsystems für die Informationssicherheit (ISMS) und den Datenschutz (DSMS) wird Ihrem Unternehmen klar vor Augen geführt, welchen Risiken und möglichen Schäden es ausgesetzt ist. Durch die Schnittmengen zwischen ISMS und DSMS können Sie zudem zwei Fliegen mit einer Klappe schlagen.

Zugleich weisen Sie mit einem Datenschutz-Managementsystem auch die Umsetzung der gesetzlichen Anforderungen nach.

Tue Gutes und rede darüber

Auch unsere eigenen Erfahrungen belegen immer wieder: Ihre Mitarbeiter werden nur dann aktiv am Datenschutz mitwirken – und somit auch an einem guten Datenschutz-Managementsystem –, wenn sie den Nutzen und die Vorteile von gutem Datenschutz erkennen. Hierfür ist es wichtig, dass die Ziele und alle Vorteile des Datenschutzes klar kommuniziert werden.

/von

Was die Kita wissen darf – Datenschutz in der Krippe und im Kindergarten

Haben Sie auch ein Kind? Haben Sie schon mal versucht, es in der Krippe oder dem Kindergarten anzumelden? Wurde Ihnen bei der Anmeldung auch so ein Bogen vorgelegt, der ganz erstaunliche Dinge abfragt und einen nicht unerheblichen Umfang hat?

Was darf die Kita eigentlich alles wissen?

Grundsätzlich können in einem Aufnahmevertrag in der Regel unproblematisch die folgenden Angaben erhoben werden:

  • Vor- und Nachname des Kindes, dessen Geburtsdatum sowie seine Anschrift;
  • Name und Anschrift der Eltern sowie deren Telefonnummern, unter denen sie in Notfällen zu erreichen sind;
  • Vor- und Nachname der Geschwister des anzumeldenden Kindes sowie deren Geburtsdatum, wenn die Gebühr der jeweiligen Kita für die Betreuung vom Alter und/oder der Anzahl der betreuten Kinder einer Familie abhängt;
  • Krankheiten wie Diabetes, Epilepsie oder Asthma, die der jeweiligen Einrichtung bekannt sein müssen, um ggf. angemessen und richtig reagieren zu können.

Handelt es sich um eine konfessionelle Einrichtung, darf auch die Konfession des Kindes abgefragt werden.

Die Erhebung weiterer Daten ist grundsätzlich unzulässig, soweit nicht ein gewisses Interesse der Einrichtung dahintersteht diese Daten doch erheben zu dürfen. Der Grund für die Erhebung dieser Daten sollte dabei regelmäßig hinreichend begründet werden. So ist beispielsweise die Frage nach der Berufstätigkeit der Eltern zulässig, wenn von dieser die Vergabe von Ganztagesplätzen abhängig ist.

Ebenso ist die Zulässigkeit der Erhebung von Staatsangehörigkeit sowie Bildungsstand der Eltern nicht grundsätzlich gegeben, sondern vielmehr eine Frage des Einzelfalles. Eigentlich sind diese Angaben für die Betreuung des Kindes nicht erforderlich.

Um möglichst viele Daten erheben zu können, sind einige Krippen und Kindergärten mittlerweile dazu übergegangen, die Erhebung dieser Daten mit einer Einwilligung der Eltern zu legitimieren. Allerdings ist hier zu beachten, dass gerade im öffentlichen Bereich (kommunale Einrichtungen) eine solche Einwilligung regelmäßig nicht wirksam sein wird.

Eine Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten kann zwar grundsätzlich auf eine Einwilligung oder eine Rechtsvorschrift gestützt werden und bewirkt in der Regel deren Zulässigkeit, allerdings ist der Rückgriff auf eine Einwilligung vor allem im öffentlichen Bereich nicht ohne Weiteres unproblematisch, da gerade auch in diesem der Umgang mit personenbezogenen Daten durch das jeweilige Aufgabenfeld der Einrichtung vorgezeichnet ist. Zwischen den jeweiligen personenbezogenen Daten und den wahrzunehmenden Aufgaben durch die Einrichtung muss ein enger Zusammenhang bestehen. Sind die entsprechenden personenbezogenen Daten für die eigentliche Aufgabenwahrnehmung nicht erforderlich, ist eine Erhebung, Verarbeitung oder Nutzung dieser auf der Grundlage einer Einwilligung grundsätzlich unzulässig, die jeweilige Einwilligung wäre unwirksam.

Wann ist eine Einwilligung trotzdem wirksam und die Datenabfrage zulässig?

Eine entsprechende Einwilligung ist allerdings dann wirksam, wenn eine gesetzliche Regelung fehlt und die Verwendung einer Einwilligung Entscheidungsprozesse im Interesse des Betroffenen beschleunigt sowie erleichtert.

Ergebnis

Im Ergebnis ist damit die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten wie etwa Informationen zur Schwangerschaft oder zur Geburt (beispielsweise die Anwesenheit des Vaters, Lage des Kindes vor der Geburt, etc.) regelmäßig unzulässig, soweit diese auf eine Einwilligung gestützt wird.

/von
,

WLAN-Tracking beim Bummeln in der Stadt

Nicht nur das eine oder andere Stadtmarketing zählt Besucher in Innenstädten, sondern auch immer mehr Betreiber eines Ladengeschäftes erfassen ihre Kunden sowie vorbeigehende Passanten. Dies geschieht nicht nur in Hamburg, Berlin oder Pinneberg, sondern auch im beschaulichen Parchim in Mecklenburg-Vorpommern.

Aber was machen die nun? Wie erfassen etwa Stadtmarketing sowie Ladeninhaber Kunden und Passanten? Über Studenten, die sich etwas dazuverdienen?

Nein! Sondern mit der Hilfe all derer, die das WLAN ihres mobilen Endgerätes – etwa des Smartphones – aktiviert haben.

Aus persönlichen Daten wird ein persönliches Produkt

Der deutsche Einzelhandel hat bislang vor allem Kundenkarten ausgegeben, also das sogenannte Clubmodell ausprobiert: Damit hat er die Einkäufe und Vorlieben von Kunden ausgewertet sowie hin und wieder Papiercoupons mit grob individualisierten Angeboten in deren Briefkästen werfen lassen. Allerdings hält auch hier nunmehr eine verstärkte Digitalisierung Einzug, weshalb sich auch das Kosten-Nutzen-Verhältnis positiv verändert, und so entdecken auch immer mehr Kommunen für ihre Innenstädte das WLAN-Tracking, um ihre Besucher noch besser kennenzulernen.

Ziel ist die Erfassung von Kundenströmen, die Neuansiedlung von Unternehmen und die Ergründung sowie Erzeugung von Kundenwünschen. So könnte es möglicherweise von Vorteil sein, dem Kunden, der eine bestimmte Einkaufsstraße betritt, entsprechende Rabattcoupons für die in der Nähe befindlichen Geschäfte auf sein Mobilgerät zu schicken.

Wie funktioniert das?

Das entsprechende Verfahren kommt bereits millionenfach täglich in Deutschland zur Anwendung, wenn auch – trotz mancher Fernsehwerbung, die Rabatte verspricht, die nur aufgrund dieser Technologie möglich sind – ziemlich unbemerkt und basiert auf einem sehr simplen Prinzip.

Jedes elektronische Gerät, dass die Möglichkeit des Zugangs zu einem Netzwerk – etwa einem WLAN – besitzt, verfügt über eine sogenannte MAC-Adresse. Diese Adresse macht das Gerät in der Regel weltweit einzigartig. Wenn nun dieses Gerät über eine WLAN-Funktion verfügt und diese auch aktiviert ist, wird es ununterbrochen versuchen, sich mit den in der Nähe befindlichen WLAN-Netzen zu verbinden. Damit dies möglich ist, wird die MAC-Adresse stets an das jeweilige WLAN übermittelt, um im Falle einer erfolgreichen Verbindung mit diesem WLAN Datenpakete austauschen zu können. Erkennt das WLAN bzw. der dahinterstehende Router das anfragende Gerät als berechtigt, wird der Zugriff auf das WLAN gewährt. Andernfalls wird der Zugriff verweigert. In jedem Fall dokumentiert der Router die Anfrage und damit die jeweilige MAC-Adresse.

Diesen Prozess kann jeder zu Hause nachvollziehen, der einen Router mit einem aktivierten sowie sichtbaren WLAN besitzt. Auch in diesem werden erfolglose Anmeldeversuche von WLAN-fähigen Geräten dokumentiert.

Nach dem gleichen Prinzip erfolgt die Erfassung der Kunden bzw. Passanten mittels suggerierter WLAN-Netze. Auch hier interagiert das mobile Gerät des Passanten – bei eingeschalteter WLAN-Funktion – mit der sich in der Nähe befindenden Technik des Zählenden und überträgt dabei auch die MAC-Adresse.

Einige Betreiber solcher „Zählanlagen“ geben zwar an, dass die jeweilige MAC-Adresse gehasht wird, was nichts anderes bedeutet, als dass die Adresse nach einem definierten mathematischen Verfahren verändert wird und der sich ergebende Hashwert nicht in die MAC-Adresse zurückgerechnet werden kann, allerdings ergibt dieselbe MAC-Adresse bei demselben definierten mathematischen Verfahren immer den gleichen Hashwert. Hierdurch kann zwar eine erneute Erhebung festgestellt und dadurch Mehrfachzählungen ausgeschlossen werden, dies führt aber auch dazu, dass durch ein Ausprobieren von MAC-Adressen die dazugehörenden Hashwerte individuell ermittelt werden können. So etwas kann nur durch die Verwendung eines „Salt“ unterbunden werden, wobei hierbei der jeweilige Hash um eine zufällig gewählte Zeichenfolge ergänzt wird, die bei jeder Umrechnung wechselt und so eine Zuordnung zwischen MAC-Adresse sowie Hashwert unmöglich macht.

Aufgrund der lebenslangen Verknüpfung von MAC-Adresse und mobilem Gerät ist nach Ansicht des Düsseldorfer Kreises ein Personenbezug hinsichtlich des Gerätebesitzers zu bejahen. In seiner Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter stellt er daher klar:

„Eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät bzw. der Karte verbunden sind, können regelmäßig durch verschiedene Stellen einer Person zugeordnet werden. So werden die Kennungen mitunter von den Netzbetreibern gemeinsam mit dem Namen etc. einer Person gespeichert oder die Kennungen in Verbindung mit einer Registrierung der registrierten Person zugeordnet. Die bekanntesten Kennungen sind die:

  • IMEI: International Mobile Equipment Identity (=Gerätenummer);
  • UDID: Unique Device ID (=Gerätenummer eines iOS-Gerätes);
  • IMSI: International Mobile Subscriber Identity (=Kartennummer);
  • MAC-Adresse: Media AccessControl-Adresse (=Hardware-Adresse eines Netzwerkadapters);
  • MSISDN: Mobile Subscriber ISDN-Number (=Mobilfunknummer)“.

Im Ergebnis bedeutet dies: Wird der jeweilige Hashwert nicht mit einem „Salt“ versehen, setzt sich der Personenbezug im Hashwert fort, es liegen unstreitig personenbezogene Daten vor, die unzweifelhaft durch das Datenschutzrecht geschützt sind. Der jeweilige Hashwert kann so für differenzierte Bewegungsprofile der jeweiligen Geräte genutzt werden, die umso aussagekräftiger werden, je öfter sich das Geräte im erfassten Bereich befindet. Besonders Anwohner und Mitarbeiter von entsprechend überwachten Bereichen dürften hier betroffen sein.

Da das gesamte Verfahren von unterschiedlichsten Stimmen sehr kritisch gesehen wird, wurde mittlerweile die Bundesdatenschutzbeauftragte um die Prüfung des Einsatzes entsprechender Technologien gebeten, die dabei insbesondere den Aspekt der fehlenden Benachrichtigung der Betroffenen herausstellte. Diese wüssten gar nicht, dass Informationen ihres mobilen Gerätes weiterverarbeitet werden.

Ergebnis

Das hier beschriebene Verfahren ist – wenn eine Zuordnung der Hashwerte bestehen bleibt – durchaus kritisch zu sehen. Im Hinblick auf die DS-GVO wird in diesem Zusammenhang sehr interessant werden, wie der Betreiber einer entsprechenden Technik vor allem den proaktiven Informationspflichten nach Art. 13 DS-GVO, die bereits bei der Datenerhebung zu erfüllen sind, entsprechen kann.

Die ANMATHO AG empfiehlt, nicht genutzte Kommunikationsfunktionen in mobilen Geräten – hier etwa auch Bluetooth – grundsätzlich zu deaktivieren, um eine entsprechende Erkennung zu verhindern. Ein positiver Nebeneffekt ist dabei sicherlich die längere Akkulaufzeit Ihres Mobilgerätes.

/von

Der Einsatz von Google Analytics

Gerade aufgrund der Entscheidung des Europäischen Gerichtshofes (EuGH) vom 06.10.2015 (Rechtssache C-362/14 – Schrems) hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gemeinsam mit anderen deutschen Aufsichtsbehörden in der Vergangenheit mehrfach den Einsatz von Google Analytics mit Blick auf den Datenschutz überprüft, weshalb in regelmäßigen Abständen intensive Debatten darüber geführt werden, unter welchen Voraussetzungen ein datenschutzkonformer Einsatz von Google Analytics möglich ist.

Dieser Kurzartikel soll nüchtern Hinweise für die datenschutzkonforme Verwendung von Google Analytics bieten, die im Einklang mit den bisherigen Vorgaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit stehen.

Bitte beachten Sie, dass auch die Europäische Datenschutz-Grundverordnung (DS-GVO), die ab Mai 2018 Anwendung findet, das Thema der Datenerhebung mit Web-Analyse-Systemen erneut erheblich verändern wird.

Vorangestellt sei zudem auch hier, dass sich die bisherigen Prüfungen der Aufsichtsbehörden vorrangig auf eine Klausel im Auftragsdatenverarbeitungsvertrag Google Analytics betreffend bezogen, die Bezug auf das aufgehobene Safe-Harbor-Abkommen nimmt, sowie andere Aspekte des transatlantischen Datenverkehrs.

Zertifizierung der Google Inc. für das EU-US-Privacy Shield

Die Google Inc. hat mittlerweile die Zertifizierung für das EU-US-Privacy Shield durchgeführt (vgl. https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI) und damit überhaupt die rechtlichen Voraussetzungen für die Angemessenheit des Datenschutzniveaus gemäß § 4b BDSG aF auch für die Erbringung des Dienstes Google Analytics im Wege der Auftragsverarbeitung geschaffen. Bereits am 27.09.2016 wurden Verwender des Dienstes über eine In-Product-Notice auf diese Zertifizierung hingewiesen.

Voraussetzungen für einen beanstandungsfreien Einsatz

Mit Abschluss der letzten formalen Prüfung stellte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit für seinen Zuständigkeitsbereich fest, dass ein beanstandungsfreier Einsatz des Dienstes Google Analytics weiterhin möglich ist, soweit folgende Voraussetzungen erfüllt sind:

1. Erstellung pseudonymer Nutzungsprofile – Widerspruchsrecht und Trennungsgebot

Die Nutzung von Google Analytics erfolgt ausschließlich zur Erstellung pseudonymer Nutzungsprofile unter Beachtung der in § 15 Abs. 3 Telemediengesetz (TMG) beschriebenen Zwecke und der dort genannten datenschutzrechtlichen Rahmenbedingungen. Dies erfordert den Hinweis auf das Widerspruchsrecht und dessen Umsetzung sowie die Beachtung des Trennungsgebotes.

Bitte beachten Sie hier die Bußgeldandrohung des § 16 Abs. 2 Nr. 5 TMG.

2. Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google

Zudem bedarf es weiterhin des Abschlusses eines Auftragsdatenverarbeitungsvertrages zwischen der Google Inc. und den jeweiligen Verwendern.

So müssen alle Nutzer den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Dieser Vertrag steht jedem Nutzer unter http://www.google.com/analytics/terms/de.pdf zur Verfügung. Dabei ist zu beachten, dass alle Nutzer trotz des vorformulierten (und mit den Datenschutzaufsichtsbehörden abgestimmten) Vertragstextes formal Auftraggeber sind und Google in Bezug auf die Verarbeitung personenbezogener Daten lediglich entsprechend Ihrer Weisungen handelt. Die Verarbeitung personenbezogener Daten im Auftrag schließt auch hier bestimmte Kontrollpflichten auf der Seite jedes Nutzers ein, bei denen Google alle Nutzer durch Vorlage entsprechender Nachweise unterstützt (Ziffer 5 des Auftragsdatenverarbeitungsvertrages).

Bestehende Verträge sind dahingehend anzuwenden, dass der Verweis in Ziffer 4.7 der Anlage 1 “Regelungen zur Auftragsdatenverarbeitung” auf die überholte Safe-Harbor-Regelung nichtig ist. Die Rechtmäßigkeit der restlichen vertraglichen Bedingungen, soweit diese im Einklang mit geltendem Datenschutzrecht stehen, wird dadurch nicht berührt.

3. Anpassung der Datenschutzerklärung

Weiter sind alle Nutzer der jeweiligen Website in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufzuklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinzuweisen. Hierbei sollte möglichst auf die entsprechende Seite http://tools.google.com/dlpage/
gaoptout?hl=de verlinkt werden.

Die ANMATHO AG unterstützt Sie hier gerne mit auf Ihre Datenschutzerklärung zugeschnittenen Textbausteinen.

Wichtig ist auch, dass der Anbieter der jeweiligen Website gem. § 13 Abs. 1 S. 1 TMG alle Nutzer ggf. darauf hinweist, wenn die Datenverarbeitung außerhalb des Anwendungsbereiches des EU-Rechts stattfindet. Dies wird in der Regel nicht der Fall sein, kann aber nicht gänzlich ausgeschlossen werden.

4. Implementierung eigener Widerspruchslösungen

Soweit das jeweilige Internetangebot mittels Browsern genutzt wird, für die die unter Ziffer 3 beschriebenen Widerspruchsmöglichkeiten nicht gegeben sind (insbesondere Browser von Smartphones, beispielsweise bei einem Webangebot, das speziell für die mobile Nutzung ausgelegt ist), müssen alle Websitebetreiber eine eigene Widerspruchslösung implementieren. Diese sollte den Schalter ‘ga-disable-UA-XXXXXX-Y’ (siehe https://developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable oder https://developers.google.com/analytics/devguides/collection/analyticsjs/user-opt-out?hl=de abhängig von der Implementierung) verwenden, der das Tracking programmgesteuert unterbindet.

Google bietet eine beispielhafte Umsetzung auf der oben genannten Website an, die verwendet werden kann, um allen Nutzern die Möglichkeit für ein Google Analytics-Opt-Out zu geben. Dieses Beispiel muss insbesondere im Hinblick auf den erläuternden Text des Widerspruchs-Links vom jeweiligen Anbieter der Website geeignet angepasst werden.

Im Zweifel sollte jeder Anbieter seine jeweilige Webdesign-Agentur nach einer Best-Practice-Lösung fragen, die die ANMATHO AG im Anschluss gerne für Sie überprüft.

5. Kürzung der IP-Adressen

Des Weiteren muss jeder Websiteinhaber durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „anonymizeIp“ zu ergänzen. Weitere Details können der technischen Anleitung von Google auf der Seite https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization entnommen werden.

6. Löschung von Altdaten bei unrechtmäßiger Erhebung

Wurde schon bisher Google Analytics in eine Webseite eingebunden, ist möglicherweise davon auszugehen, dass dabei Daten unrechtmäßig erhoben wurden. Diese Altdaten müssen bei unrechtmäßiger Erhebung gelöscht werden.

Bitte halten Sie hier ggf. mit der ANMATHO AG Rücksprache.

Google bietet für eine Löschung offensichtlich nur den Weg an, das bestehende Google-Analytics-Profil zu schließen und anschließend ein neues zu eröffnen. Bitte beachten Sie, dass Sie dabei möglicherweise einen anderen Trackingcode bzw. eine andere Web-Property-ID (UA-XXXXX-YY) erhalten und Ihre Webseiten entsprechend anpassen müssen.

Bitte beachten Sie, dass eine Bewertung der datenschutzrechtlichen Zulässigkeit anderer, im Zusammenhang mit Google Analytics angebotener Marketing-Instrumente und Werbe-Dienste (beispielsweise AdSense, AdWords oder erweiterte Funktionen von Google Universal Analytics), nicht im Rahmen der Prüfung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erfolgte. Diese waren ausdrücklich nicht Gegenstand der Prüfungen. Die vorstehenden Hinweise treffen damit auch keine Aussage über die datenschutzrechtliche Zulässigkeit des Einsatzes dieser Dienste, bei Fragen zu diesen, stehen wir Ihnen jedoch gerne zur Verfügung.

Bitte beachten Sie weiter, dass die hier beschriebenen Anforderungen den Stand von Januar 2018 widerspiegeln. Insbesondere im Zusammenhang mit der Datenschutz-Grundverordnung (DS-GVO) und einer geplanten Änderung der E-Privacy-Richtlinie können sich spätestens ab Mai 2018 weitere Änderungen ergeben.

Sollten Sie noch Fragen haben oder Unterstützung bei diesem Thema benötigen, kommen Sie gerne auf uns zu.

/von

Eine kleine Ära geht zu Ende: aus PIWIK wird Matomo

Wie am 09.01.2018 bekannt wurde, ändert der Webanalysedienst „Piwik“ seinen Namen in Matomo. Laut Piwik-Gründer Matthieu Aubry wird sich jedoch – außer dem Namen und dem Logo – nichts ändern, was die angestrebte Auffrischung zunächst ziemlich althergebracht erscheinen lässt. Allerdings dürfte dies viele Websitebetreiber beruhigen, die das Open Source Webtracking-Tool einsetzen. Mit dem Release 3.3.0, dass in den nächsten Tagen zur Verfügung stehen soll, wird für alle Nutzer der neue Name erscheinen. Matomo ist japanisch und bedeutet „Ehrlichkeit“.

Version 4.0 von Piwik / Matomo

Die ebenfalls für dieses Jahr angekündigte Version 4.0 von „Piwik“ soll alle Anforderungen an die Datenschutz-Grundverordnung erfüllen können. „Piwik“ kann so bei entsprechender Implementierung datenschutzkonform eingesetzt werden, was das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein bereits mehrfach bestätigte. Trotzdem sollten Websitebetreiber mit dem neuen Release nicht nur den Namen des Tracking-Tools in ihrer Datenschutzerklärung ändern, sondern auch die weitere Entwicklung dieses Tools im Auge behalten.

Für langjährige Datenschutzbeauftragte – nicht nur den Autor selbst – geht mit dieser Namensänderung eine kleine Ära zu Ende, denn der eine oder andere verknüpft mit dem Namen „Piwik“ sicherlich leidenschaftlich geführte Besprechungen im komplizierten Spannungsverhältnis zwischen Marketing und Datenschutz.

/von
,

Rückblick ANMATHO Forum – EU-DSGVO

Was bedeutet die Datenschutz-Grundverordnung (DSGVO) für mein Unternehmen und wie gehe ich mit dem Anforderungskatalog um? Diese und viele andere Fragen rund um die DSGVO wurden am 13. Dezember 2017 auf dem ANMATHO Forum besprochen.

Auch dieses Jahr war der Veranstaltungsort der „Business-Club-Hamburg“ im Heine Park mit Blick auf die Elbe. Bei einem traumhaften Sonnenaufgang fanden sich viele der Teilnehmer bereits früh ein und hatten so die Möglichkeit, sich bei einem Kaffee bekannt zu machen.

Nach einer kurzen Einführung durch Herrn Westerkamp (Mitglied der Geschäftsführung – ANMATHO AG) in die aktuelle Thematik, startete das Forum pünktlich mit dem ersten Vortrag „Die EU-Datenschutz-Grundverordnung: Welche Anforderungen werden an Unternehmen gestellt?“ von Herrn Dr. Freiherr von dem Bussche ( Fachanwalt für Informationstechnologierecht bei der Wirtschaftskanzlei Taylor Wessing). Inhaltlich wurden die rechtlichen Neuerungen erörtert – welche Gesetze gelten für die gesamte EU, welche nationalen Ergänzungen gibt es, wie werden Datenschutzverletzungen gemeldet – und vieles mehr.

Die Sichtweise der Datenschutzbehörde auf die EU-DSGVO

Mit dem Vortrag von Herr Prof. Dr. Caspar (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit) „Die Sichtweise der Datenschutzbehörde auf die EU-DSGVO. Erwartungen und Empfehlungen“ schloss sich die schon lange erwartete Antwort der Aufsichtsbehörde zur Umsetzung der neuen Datenschutzregularien an. Insbesondere wies Prof. Dr. Caspar auf den Umbruch im Datenschutz hin und inwieweit die Betroffenenrechte durch das europaweite Gesetz gestärkt werden. Besonders interessant für die Unternehmen waren die Ausführungen, welcher Instrumente sich die Aufsichtsbehörde im Hinblick auf die Umsetzungsüberprüfung bedienen kann und mit welchen Herausforderungen und Schwierigkeiten die Behörde selbst zu kämpfen hat.

Nach diesen beiden spannenden Vorträgen war es kaum verwunderlich, dass es in der darauf folgenden Pause reichlich Diskussionsstoff gab und die Referenten sich vielen interessierten Fragen der Teilnehmer gegenüber sahen.

Das Datenschutz-Managementsystem

Nach der Pause, die ausreichend Platz für angeregte Gespräche bot, sprach Herr Westerkamp (ANMATHO AG) zur praktischen Umsetzung der DSGVO. Mit dem Vortrag „Das Datenschutz-Managementsystem – Einführung eines Regelprozesses zur Erfüllung der EU-DSGVO“ konnte die ANMATHO AG den Teilnehmern aufgrund ihrer langjährigen Erfahrung beim Aufbau und der Implementierung von Managementsystemen einen bewährten Ansatz liefern, um die Anforderungen und Pflichten der DSGVO strukturiert umzusetzen. Hier war für die Teilnehmer von besonderem Interesse, dass sich das von der DSGVO in Art. 32 Abs. 1 Ziff. d) geforderte Verfahren zum kontinuierlichen Verbesserungsprozess relativ leicht in ein bereits vorhandenes Informationssicherheits-Managementsystem implementiert werden kann. Aber auch die sinnvolle Nutzung und datenschutzrechtliche Umformung des ISO 27001-Standards als Umsetzungsrahmen, fanden offene Ohren.

Während des Lunchbuffets hatten die Teilnehmer die Möglichkeit, sich mit leckeren warmen und kalten Speisen zu stärken und sich untereinander zu den Umsetzungsproblematiken auszutauschen.

Datenschutzrechtliche Zertifizierungen und Siegel im Online-Bereich

Frisch gestärkt ging es nach der Mittagspause in den Vortrag „Datenschutzrechtliche Zertifizierungen und Siegel im Online-Bereich. Was ist für andere Branchen im Bereich Zertifizierungen zu erwarten“ von Herrn Prof. Dr. Bauer (geschäftsführender Gesellschafter der ePrivacy GmbH). Hierbei gab es auch Informationen zu nutzungsbasierter Online-Werbung – sprich die Art von Werbung, die Anzeigen auf Webseiten und in mobilen Anwendungen nach dem Surfverhalten von Internetnutzern ausrichtet und wie man in Zukunft damit umgehen sollte.

Fortbildungsmöglichkeiten für den Bereich Datenschutz

Herr Koßmann (Seminarbereichsleiter Nord der TÜV Rheinland Akademie GmbH) setzte mit seiner Übersicht zu den „Fortbildungsmöglichkeiten für den Bereich Datenschutz“ einen sehr anschaulichen Abschluss der Vorträge.

Beim anschließenden „Get together“ konnten die Teilnehmer den Tag nochmal Revue passieren lassen und die vielen – teils neuen – Informationen untereinander diskutieren. Alles in allem war die Veranstaltung rundum gelungen, interessant und informativ – wozu neben den adäquaten Referenten auch wieder einmal das angenehmen Ambiente, der souveräne Service und die vorzügliche Küche des Business Clubs Hamburg beigetragen haben.

Wir freuen uns schon jetzt auf ein Wiedersehen mit Ihnen beim nächsten ANMATHO Forum im Jahr 2018!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen