Beratung des Verantwortlichen durch die Datenschutzaufsichtsbehörden

Beratung des Verantwortlichen durch die Datenschutzaufsichtsbehörden

– Reposting –

Die Aufsichtsbehörden haben eine Vielzahl verschiedener, in der DSGVO verankerter Aufgaben und Befugnisse, wie die Verhängung von Sanktionen oder die Prüfung von Zertifizierungen. Dieser Beitrag geht hingegen auf die Frage ein, inwieweit auch die Beratung des Verantwortlichen zu den Aufgaben der Datenschutzaufsichtsbehörde gehört.

Die Beratungsfunktion der Datenschutzaufsichtsbehörde

Im alten Bundesdatenschutzgesetz war die Beratungsfunktion der Datenschutzaufsichtsbehörde gegenüber dem Verantwortlichen und dessen Datenschutzbeauftragten klar in § 38 Abs. 1 BDSG a.F. geregelt, wie in unserem Blog dargelegt. Diese Beratung sollte sogar unter Berücksichtigung der typischen, also praxisorientierten, Bedürfnisse des Verantwortlichen und dessen Datenschutzbeauftragten präventiv und konstruktiv erfolgen, um Datenschutzverstößen vorzubeugen.

Gesetzliche Reglung

Hingegen gibt es in der DSGVO hinsichtlich der Beratung des Verantwortlichen und dessen Datenschutzbeauftragen keine explizite Regelung mehr. Vielmehr wurde in § 40 Abs. 1 BDSG nachweislich die Beratung des Datenschutzbeauftragten und dessen Verantwortlichen gestrichen.

Gesetzlich verankert bleiben noch drei Beratungsleistungen:

  • Art. 58 Abs. 3 DSGVO, der der Aufsichtsbehörde sämtliche Genehmigungsbefugnisse und beratende Befugnisse zuschreibt, um in den in Art. 58 Abs. 3 lit. a bis j DSGVO vorgesehenen Bereichen agieren zu können.
  • Art. 57 Abs. 1 lit. c DSGVO, der der Aufsichtsbehörde die Beratung des nationalen Parlaments zuschreibt.
  • § 40 Abs. 6 S. 1 BDSG, der der Aufsichtsbehörde die Beratung des Datenschutzbeauftragten zuschreibt.

Dementsprechend reagieren die Aufsichtsbehörden zunehmend zurückhaltend, was die Beratung des Verantwortlichen anbelangt. Gerade kurz nach Anwendbarkeit der DSGVO wurde dies offen kommuniziert. Entsprechende Anfragen werden abgelehnt oder es werden Antwortschreiben verfasst, die für den Verantwortlichen faktisch ohne die gewünschte praxisnahe Aussagekraft sind. Begründet wird das u.a. damit, dass keine Verpflichtung zur Beratung eingegangen werden, bzw. keine Wettbewerbsverzerrung durch staatliche Hilfeleistung mittels Beratung erfolgen soll und darüber hinaus keine explizite gesetzliche Befugnis zur Beratung vorläge. Im Hintergrund spielt oft auch die mangelnde Ausstattung sämtlicher Datenschutzbehörden eine Rolle.

Kann der Verantwortliche, eine Datenschutzberatung einfordern ?

Kein expliziter Rechtsgrund für die Beratung in der DSGVO

Ebenso wenig wie es keine Befugnis zur Beratung des Verantwortlichen durch die Datenschutzaufsichtsbehörde gibt, besteht auch keinen Rechtsgrund den Verantwortlichen nicht zu beraten.

Rechtsgrund für die Beratung aufgrund systematischer Betrachtung

Eine solche Beratungsbefugnis könnte sich etwa aus der Zusammenschau von anderen Befugnissen ergeben, für deren Erfüllung die Beratung des Verantwortlichen eine notwendige Voraussetzung darstellt. Dies ist etwa bei Art. 58 Abs. 1 lit. d DSGVO der Fall

„Jede Aufsichtsbehörde verfügt über sämtliche folgende Untersuchungsbefugnisse, die es ihr gestatten, den Verantwortlichen […] auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen“.

Dies setzt voraus, dass Verarbeitungsvorgänge und Rechtsgründe eigenständig durch die Datenschutzaufsichtsbehörde geprüft werden, um ggf. einen Verstoß gegen die DSGVO feststellen zu können. Stellt die Behörde diesen fest, gibt Sie dem Verantwortliche einen Hinweis. Dieser Hinweis enthält zwangsläufig die Bewertung der vermeintlichen Rechtsgrundlage für die Datenverarbeitung und somit eine uneigenständige Beratungsleistung.

Selbst wenn man hieraus keine Beratungspflicht der Datenschutzaufsichtsbehörden gegenüber dem Verantwortlichen im Allgemeinen begründet, so gibt es doch eine Hintertür, für eine Beratung durch die Datenschutzaufsichtsbehörde.

Kann der Datenschutzbeauftragte eine Beratung einfordern?

Die Stellung des Datenschutzbeauftragten ist hinsichtlich der Stellung gegenüber der Datenschutzaufsichtsbehörde eine andere als die des Verantwortlichen, obwohl er für den Verantwortlichen tätigt wird. Denn grundsätzlich wird eine Zusammenarbeit des Datenschutzbeauftragten mit den Aufsichtsbehörden in Art. 39 DSGVO geregelt. Zu unterscheiden ist hierbei die Zusammenarbeit nach Art. 39 Abs. 1 lit. d DSGVO und die Tätigkeit des Datenschutzbeauftragten als Anlaufstelle der Datenschutzaufsichtsbehörde aus Art. 39 Abs. 1 lit. e DSGVO.

Proaktive Zusammenarbeit mit der Datenschutzaufsichtsbehörde

In § 4g Abs. 1 S. 1 BDSG a.F. war damals vorgesehen, dass der Datenschutzbeauftragte sich nur in Zweifelsfällen an die Aufsichtsbehörde wenden konnte.

Das gilt heute so nicht mehr. Vielmehr liegt die Zusammenarbeit nach Art. 39 Abs. 1 lit. d DSGVO im Ermessen des Datenschutzbeauftragten und ist weit zu verstehen. Sie ist nicht auf Zweifelsfälle beschränkt und ist als umfassende, allgemeine und proaktive Zusammenarbeit seitens des Datenschutzbeauftragten zu verstehen.

Nachdem die Zusammenarbeit im Ermessen des Datenschutzbeauftragten steht, besteht auch keine Pflicht hierzu. Das heißt, der Datenschutzbeauftragte ist nicht verpflichtet ein Vorgehen des Verantwortlichen, welches er als unzulässig betrachtet, bei der Datenschutzaufsichtsbehörde zu melden. Lediglich bei strafrechtlich relevanten Vorgängen, dürfte der Datenschutzbeauftragte verpflichtet sein, die Datenschutzaufsichtsbehörde zu konsultieren.

Jedenfalls kann der Datenschutzbeauftragte die für ihn kostenlose Beratung nach Art. 57 Abs. 1 i.V.m. Abs. 3 DSGVO in Anspruch nehmen.

Rechtsgrund für die Beratung des Datenschutzbeauftragten

Wie oben dargestellt, gibt es keine explizite Beratungsfunktion der Datenschutzaufsichtsbehörde gegenüber dem Verantwortlichen. Jedoch kann der Verantwortliche über die Hintertür des Datenschutzbeauftragten, dem nach Art. 39 DSGVO i.V.m. § 40 Abs. 6 S. 1 BDSG gegenüber der Datenschutzaufsichtsbehörde eine Beratung zusteht, eine Beratung erreichen, indem der Datenschutzbeauftragte die Anfrage in seinem Namen stellt.

Beratung des Verantwortlichen als Ziel für die Zukunft

Letztendlich sollten sich die Datenschutzaufsichtsbehörden jedoch gegenüber der Beratung der Verantwortlichen nicht verschlossen zeigen und diese auch im eigenen Interesse, unabhängig von einer Verankerung im Gesetz, anbieten. Dies würde weder zu Wettbewerbsverzerrungen führen, noch ist eine Befangenheit der Behörde zu befürchten. Vielmehr wird durch die Beratung Rechtssicherheit und eine zügige Umsetzung eines gleichhohen Datenschutzniveaus erreicht.

Dies gilt umso mehr, als das die Beratung deshalb angefragt wird, weil Rechtsbegriffe unbestimmt sind, Unklarheit über deren Auslegung besteht und der datenschutzrechtlich sensibilisierte Verantwortliche sich von vornherein gesetzeskonform verhalten will. Dieses Verhalten sollte in einem Rechtsstaat unterstützt werden, schafft es doch für alle Beteiligten Rechtsklarheit. Letztendlich wird bei gleicher Handhabung über alle 16 Datenschutzaufsichtsbehörden hinweg auch Gerechtigkeit unter Berücksichtigung des Gleichbehandlungsgrundsatzes in Art. 3 Abs. 1 GG erreicht und damit auch einer Wettbewerbsverzerrung entgegengewirkt.

Im Übrigen bleibt es der Datenschutzaufsichtsbehörde unbenommen, eine einmal geäußerte Rechtsmeinung zu revidieren. Man darf wohl in einem Rechtsstaat davon ausgehen, dass diese Änderung der Rechtsauffassung nicht willkürlich erfolgt, sondern aufgrund einer beobachteten Markt- und Rechtsentwicklung, aus der heraus sich unter Berücksichtigung des Gesetzeszweckes, nämlich dem Erreichen eines einheitlichen Datenschutzniveaus, eine Notwendigkeit für die Änderung der Rechtsauffassung ergibt. Diese Änderung der Rechtsauffassung kann für die Zukunft auf vielfältige Weise, z. B. Aufsätze, Handlungsanweisungen etc. eingeleitet werden.

Personelle Kapazitäten, die die Datenschutzbehörde von der „zeitaufwendigen“ Beratung abhalten, sollten auch nicht als Argument angeführt werden. Alles was an Beratung nicht geleistet wird, muss hinterher bei der Überwachung in doppelter und dreifacher Weise aufgewendet werden. Es sei denn, eine flächendeckende Einhaltung des Gesetzes ist nicht intendiert.

Aus all diesen Gründen sollte weiterhin eine Beratungsleistung der Datenschutzaufsichtsbehörden angeboten werden. Und immerhin ist im eingangs verwiesenen Fall das BayLDA zu einer ähnlichen Schlussfolgerung gekommen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de


HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Beratung des Verantwortlichen durch die Datenschutzaufsichtsbeh√∂rden.

Millionen-Bußgeld gegen AOK

Millionen-Bußgeld gegen AOK

– Reposting –

Ein Bu√ügeld in H√∂he von 1,2 Millionen Euro muss die AOK Baden-W√ľrttemberg zahlen. Der Landesbeauftragte f√ľr den Datenschutz und die Informationsfreiheit Baden-W√ľrttemberg (LfDI BW) verh√§ngte das Millionen-Bu√ügeld wegen eines massiven Versto√ües gegen die europ√§ische Datenschutz-Grundverordnung (DSGVO).

The post Millionen-Bußgeld gegen AOK appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Millionen-Bu√ügeld gegen AOK.

(Bild: succo √ľber Pixabay)

Privacy by Design: Wie wird die Plattform datenschutzkonform?

Privacy by Design: Wie wird die Plattform datenschutzkonform?

– Reposting –

Eine Vielzahl privater und beruflicher Lebensprozesse lassen sich durch die Nutzung von Plattformen oft erheblich effizienter und einfacher gestalten. Dieser Beitrag beleuchtet, wie bei der Entwicklung einer Plattform der Grundsatz Privacy by Design eingehalten werden kann.

Was kennzeichnet eine Plattform?

Bei Plattformen denken viele zuerst an Social-Media-, Chat-, oder Video-Plattformen. Kein Wunder: laut Statista.com z√§hlen Facebook, YouTube und Twitter immer noch zu den beliebtesten und am h√§ufigsten genutzten Plattformen. Vermutlich, weil sie das soziale Bed√ľrfnis des Menschen bedienen mit anderen in Kontakt zu treten. Gepaart mit Algorithmen, damit immer genau das pr√§sentiert wird, was der Nutzer gerade sehen will. Im Kern geht es bei plattformbasierter Software auch genau darum: Menschen und Daten miteinander zu verbinden.

Auch im beruflichen Umfeld arbeiten wir immer mehr mit plattformbasierten Software-Dienstleistungen. Bei n√§herer Betrachtung gibt es kaum noch einen Bereich, in dem nicht auf eine funktionale Plattform zur√ľckgegriffen werden kann: Zeiterfassung, Geb√§udemanagement, Gehaltsabrechnungen, Social-Enterprise-Networking, Steuerberatung, Wissensmanagement. Die Liste ist lang und die Angebote sind vielseitig.

Der Grundsatz Privacy by Design

Um eine Plattform datenschutzkonform am Markt zu halten, gilt es zun√§chst den Grundsatz ‚ÄěPrivacy by Design‚Äú einzuhalten. Das hei√üt, den Datenschutz durch Technikgestaltung schon im Entwicklungsprozess umzusetzen.

Dieser Grundsatz ist in Art. 25 Abs. 1 DSGVO normiert. Dort heißt es:

‚Äě[‚Ķ] trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel f√ľr die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Ma√ünahmen ‚Äď wie z. B. Pseudonymisierung ‚Äď, die daf√ľr ausgelegt sind, die Datenschutzgrunds√§tze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu gen√ľgen und die Rechte der betroffenen Personen zu sch√ľtzen.‚Äú

Mehr Klarheit verschafft der hierzu passende und ungewohnt eindeutige Erwägungsgrund Nr. 78 DSGVO:

‚ÄěUm die Einhaltung dieser Verordnung nachweisen zu k√∂nnen, sollte der Verantwortliche interne Strategien festlegen und Ma√ünahmen ergreifen, die insbesondere den Grunds√§tzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Gen√ľge tun.‚Äú

Nicht mehr und nicht weniger als Datenschutzgrundsätze

Mit seiner herrlich unkonkreten Definition in Art. 25 DSGVO stellt der europ√§ische Gesetzgeber die Entwickler vor die Herausforderung, genau die passende technische Ma√ünahme zu treffen, die es nach eigener Auslegung des Betreibers f√ľr die Wahrung des Datenschutzes auf der Plattform bedarf.

Privacy by Design meint daher wohl bei wörtlicher Auslegung nicht mehr und nicht weniger als die Plattform so zu konstruieren, dass zu jedem Zeitpunkt der Verarbeitung von personenbezogenen Daten die Anforderungen des Datenschutzes eingehalten werden können.

Strenggenommen h√§tte es hierf√ľr wohl keines eigenen Artikels bedurft. Die Datenschutz-Grundverordnung legt dem Verantwortlichen die Einhaltung dieser Pflicht in Art. 32 DSGVO ohnehin auf. Vielmehr scheint hinter Art. 25 DSGVO ein deklaratorisch erhobener Finger zu stehen: erst denken, dann entwickeln!

Wohin eine Missachtung dieses Grundsatzes bei Softwareanwendungen f√ľhren kann, hat die Deutsche Wohnen SE im vergangenen Jahr eindr√ľcklich demonstriert und f√ľr nicht l√∂schbare Mieterdaten in ihrer Datenbank ein saftiges Bu√ügeld kassiert. Der erste Merkposten f√ľr Entwickler ist daher, fr√ľhzeitig Ma√ünahmen zu implementieren, die die Gew√§hrleistungsziele des Datenschutzes sicherstellen. Das Beispiel der Deutsche Wohnen lehrt uns: L√∂schen muss m√∂glich sein.

Orientierungshilfe f√ľr Einzelma√ünahmen

Um den Umsetzungsprozess nicht im Nebel der allgemeinen Grundsätze von Rechtmäßigkeit, Datensparsamkeit, Transparenz und Datensicherheit verschwimmen zu lassen, kann bei der Entwicklung von Plattformfunktionalitäten mit Kontrollfragen gearbeitet werden. Im Wesentlichen geht es darum, durch technische Maßnahme die Gewährleistung von Datenschutzgrundsätzen sicherzustellen.

Die in Art. 25 DSGVO konkret benannte Maßnahme zur datenschutzkonformen Technikgestaltung ist die Pseudonymisierung von personenbezogenen Daten immer dort, wo es möglich erscheint.

Dar√ľber hinaus gilt es sich an der Nomenklatur der DSGVO abzuarbeiten und stets die Frage zu stellen: welche Gew√§hrleistungsziele des Datenschutzes m√ľssen wir beachten und wie k√∂nnen wir diese Ziele durch technischen Ma√ünahmen erreichen?

Typische Ma√ünahmen zur datenschutzkonformen Technikgestaltung f√ľr Plattform-Entwickler

Nicht √ľberraschend, dass bei der Entwicklung einer Plattform nat√ľrlich immer und in erster Linie an die Gew√§hrleistung der Datensicherheit und den Grundsatz der Datensparsamkeit zu denken ist.

Eine plattformtypische Ma√ünahme ist das Nutzerprofil-Management. Dazu geh√∂rt die Umsetzung von Authentifizierungsmechanismen und die Trennung von personenbezogenen Daten. Hiermit kann die Vertraulichkeit ebenso wie die Rechte Betroffener durch vollst√§ndige und getrennte Ausk√ľnfte bzw. L√∂schungen gew√§hrleistet werden.

Bei der Frage, welche personenbezogenen Daten zu welchem Zweck an welchem Ort gespeichert werden, ist immer zun√§chst an die Gew√§hrleistung der Rechtm√§√üigkeit der Verarbeitung zu denken und die Rechtsgrundlagen f√ľr die verschiedenen Verarbeitungen zu definieren und zu dokumentieren. Wenn die Rechtsgrundlage z.B. die Einwilligung ist, sollte technisch sichergestellt sein, dass eine Verarbeitung auch erst nach dokumentierter Einwilligung der betroffenen Person einsetzt. Hieran kn√ľpft denklogisch die Implementierung eines L√∂schkonzepts an.

Schon fr√ľhzeitig sollte sich ein Plattform-Entwickler auch Gedanken dar√ľber machen, ob er oder ein anderer die personenbezogenen Daten auf der Plattform als Verantwortlicher verarbeitet. Verarbeitet er personenbezogene Daten im Auftrag seiner Kunden, dann wird er regelm√§√üig Auftragsverarbeiter i.S.d. Art. 28 DSGVO sein und einen entsprechenden Vertrag abschlie√üen m√ľssen. In einem solchen Fall sollte auch sichergestellt werden, dass die Plattform mandantenf√§hig ist. Das hei√üt, dass die Plattform f√ľr verschiedene Kunden voneinander getrennt bereitgestellt werden kann.

Nicht zuletzt sollte eine Plattform √ľber ein Berechtigungskonzept verf√ľgen und die n√∂tigen Voraussetzungen geschaffen werden, um ggf. dem Wunsch auf Daten√ľbertragung nachkommen zu k√∂nnen.


Gefällt Ihnen der Beitrag?
Dann unterst√ľtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Privacy by Design: Wie wird die Plattform datenschutzkonform?.

Anonymisierung von Daten ‚Äď Der BfDI informiert

Anonymisierung von Daten ‚Äď Der BfDI informiert

– Reposting –

Die Anonymisierung von personenbezogenen Daten ist immer noch ein Dauerbrenner im Datenschutzrecht. Was muss man hierbei beachten, wenn dies im Einklang mit den gesetzlichen Vorschriften geschehen soll? Der Bundesbeauftragte f√ľr den Datenschutz und die Informationsfreiheit (BfDI) hat dazu ein Positionspapier ver√∂ffentlicht. Wir haben uns das einmal angeschaut.

Anonym oder pseudonym?

Warum ist das mit dem Anonymisieren eigentlich so wichtig? Der Grund daf√ľr ist ganz einfach: Anonymisierte Daten k√∂nnen ‚Äď das ergibt sich bereits aus dem Wortsinn ‚Äď keiner nat√ľrlichen Person zugeordnet werden. Solche Daten weisen also keinen Personenbezug auf und unterfallen daher nicht den datenschutzrechtlichen Vorschriften. Obwohl die Unterscheidung also elementar f√ľr die Beurteilung datenschutzrechtlicher Sachverhalte ist, finden sich in der DSGVO praktisch keine Regelungen oder Definitionen, was unter anonymen Daten zu verstehen ist.

Lediglich in Erwägungsgrund 26 wird auf anonymisierte Daten Bezug genommen. Danach sollen die datenschutzrechtlichen Grundsätze nicht gelten

‚Äěf√ľr Informationen, die sich nicht auf eine identifizierte oder identifizierbare nat√ľrliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann‚Äú.

Die Pseudonymisierung ist hingegen ausdr√ľcklich in der DSGVO definiert. Gem√§√ü Art 4 Nr. 5 DSGVO f√§llt darunter

‚Äědie Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zus√§tzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden k√∂nnen, sofern diese zus√§tzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Ma√ünahmen unterliegen, die gew√§hrleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren nat√ľrlichen Person zugewiesen werden‚Äú.

Anonymisierung nach Stand der Technik

Ist das ein Versehen vom europ√§ischen Gesetzgeber gewesen? Handelt es sich hier um eine ungewollte Regelungsl√ľcke, die nun anderweitig geschlossen werden muss? Nein, denn dieser scheinbare Widerspruch l√§sst sich recht gut aufl√∂sen. Der Vorgang der Anonymisierung ist ein hochkomplexer Prozess, der f√ľr den Verantwortlichen einen hohen Aufwand bedeutet. Hinzu kommt, dass sich eine valide Anonymisierung stets am neuesten Stand der Technik zu orientieren hat.

Aber was ist der Stand der Technik? Was heute noch gilt, kann morgen schon veraltet sein. Der Stand der Technik definiert sich immer wieder neu. Es w√§re daher nicht sinnvoll gewesen, feste Voraussetzungen f√ľr die Anonymisierung zu definieren in dem sicheren Wissen, dass diese in absehbarer Zeit √ľberholt sein werden. So hat man zwar weniger Rechtssicherheit im engeren Sinne. Bei der Beurteilung, ob eine Anonymisierung tats√§chlich valide ist, k√∂nnen der Verantwortliche, aber auch die jeweilige Aufsichtsbeh√∂rde deutlich flexibler agieren.

Ein dauerhafter Prozess

Aus diesen Gr√ľnden kann es auch keine ‚Äěabsolute‚Äú Anonymisierung von Daten geben. Theoretisch wird es immer die M√∂glichkeit geben, dass man die Anonymisierung, und sei es erst in der Zukunft, r√ľckg√§ngig machen kann. Das BfDI stellt in dem Positionspapier auch heraus, dass diese Absolutheit auch gar nicht notwendig ist. Es sei in der Regel ausreichend, dass eine

‚ÄěRe-Identifizierung praktisch nicht durchf√ľhrbar ist, weil der Personenbezug nur mit einem unverh√§ltnism√§√üigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann‚Äú.

Dies deckt sich auch mit den Vorgaben von Erw√§gungsgrund 26 zur DSGVO. Danach m√ľssen bei der Beurteilung einer Anonymisierung alle verf√ľgbaren Mittel ausgesch√∂pft worden sein. Zudem sind neben den technischen M√∂glichkeiten auch Zeit- und Kostenfaktoren, welche man zur Wiederherstellung aufwenden m√ľsste, zu ber√ľcksichtigen. Das BfDI weist daher ausdr√ľcklich darauf hin, dass der Verantwortliche die Validit√§t der Anonymisierung dauerhaft zu √ľberpr√ľfen hat.

Anonymisierung ist eine Verarbeitung

Der BfDI vertritt die Auffassung, dass es sich bei der Anonymisierung um eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO handelt. Konkret wird der Vorgang auf den Begriff der ‚ÄěVer√§nderung‚Äú gest√ľtzt. Dies ist konsequent, da die Daten durch die Anonymisierung ihren Personenbezug verlieren und somit tats√§chlich eine √Ąnderung eintritt. Dies muss dann erst Recht gelten, wenn es sich, wie hier, um eine rechtlich ganz entscheidende Wesens√§nderung der Daten handelt.

Die DSGVO geht von einem sehr umfassenden Begriff der Verarbeitung aus. Bei praktischer Anwendung kann jede T√§tigkeit mit personenbezogenen Daten unter das ‚ÄěVerarbeiten‚Äú im Sinne des Art. 4 Nr. 2 DSGVO gefasst werden. Das BfDI nimmt daher an, dass zumindest stets ein ‚ÄěVerwenden‚Äú der Daten vorliegt, auch wenn im Einzelfall kein ‚ÄěVer√§ndern‚Äú zutreffend sein sollte.

Ohne Rechtsgrundlage geht es nicht

Eine Datenverarbeitung bedarf stets einer Rechtsgrundlage! Dies sollte inzwischen selbstverständlich sein. Fraglich ist allerdings, welche Rechtsgrundlagen in Betracht kommen. Auch dazu hat sich der BfDI seine Gedanken gemacht. Grundsätzlich kommen sämtliche Rechtsgrundlagen aus Art. 6 DSGVO in Betracht. Vor allem die folgenden sind hierbei besonders interessant:

Zweckänderung

Das Zweckbindungsgebot aus Art. 5 Abs. 1 lit. b) DSGVO bestimmt, dass personenbezogene Daten nur einem bestimmten Zweck verarbeitet werden d√ľrfen. Die Vorschrift des Art. 6 Abs. 4 DSGVO greift dieses Gebot dahingehend auf, dass eine Weiterverarbeitung mit dem urspr√ľnglichen Zweck vereinbar sein muss. Streng genommen stellt Art. 6 Abs. 4 daher keine eigene Rechtsgrundlage dar, sondern ist stets im Zusammenhang mit der urspr√ľnglichen Rechtsgrundlage zu nennen.

Wann die Weiterverarbeitung mit dem Ausgangszweck vereinbar ist, wird in Abs. 4 beispielhaft aufgef√ľhrt. Im Hinblick auf eine Anonymisierung erscheint dies insbesondere deswegen interessant, weil Unternehmen diese Daten, auch wenn sie dann keinen Personenbezug mehr aufweisen, auf andere Weise verwenden k√∂nnen, zum Beispiel zu statistischen Zwecken. Das BfDI hat hier folgende Leitlinien entwickelt:

  • Zwischen der Anonymisierung und einer beispielsweise bezweckten Optimierung der Dienstleistungen muss eine hinreichende Verbindung mit dem urspr√ľnglichen Zweck der Begr√ľndung und der inhaltlichen Ausgestaltung des Vertragsverh√§ltnisses im Sinne des Art. 6 Abs. 4 Buchst. a) DSGVO bestehen.
  • Dies ist regelm√§√üig erf√ľllt, wenn sowohl die Erhebung der Daten als auch deren Anonymisierung zum Zweck der Optimierung der Dienstleistungen das Vertragsverh√§ltnis zwischen Unternehmen und Kunde betrifft.
  • Mit Blick auf die Art der personenbezogenen Daten ist gem√§√ü Art. 6 Abs. 4 Buchst. c) DSGVO der Umstand in die Abw√§gung einzubeziehen, ob es sich bei den Daten um besonders sensible Daten handelt.
  • Etwaige Folgen der mit der Anonymisierung verbundenen Weiterverarbeitung f√ľr die betroffenen Personen (Art. 6 Abs. 4 Buchst. d) DSGVO), die die Annahme einer Inkompatibilit√§t der Weiterverarbeitung nahelegen w√ľrden, d√ľrfen nicht ersichtlich sein.
  • Angesichts der Tatsache, dass Verschl√ľsselung und Pseudonymisierung ausreichende Garantien gem√§√ü Art. 6 Abs. 4 Buchst. e) DSGVO sein k√∂nnen, muss dies ebenso f√ľr die Anonymisierung gelten.

Hier kommt es wie oft auf die Abw√§gung im Einzelfall an. Entscheidend d√ľrfte in vielen F√§llen sein, ob es sich m√∂glicherweise um sensible Daten im Sinne des Art. 9 DSGVO handelt oder welche Folgen die Anonymisierung f√ľr die betroffenen Personen haben k√∂nnte.

Daten löschen als rechtliche Verpflichtung

Art. 17 DSGVO beinhaltet das sogenannte ‚ÄěRecht auf Vergessenwerden‚Äú, um welches in der Vergangenheit schon vielfach gestritten worden war. Das soll hier aber nicht das Thema sein. Aus datenschutzrechtlicher Sicht ist n√§mlich ebenfalls sehr wichtig, ob und inwiefern das Anonymisieren von Daten mit dem L√∂schen von Daten gleichgesetzt werden kann. Auch hierzu werden durchaus unterschiedliche Meinungen vertreten. Nach Ansicht des BfDI kann eine Anonymisierung durchaus ein L√∂schen im Sinne des Art. 17 Abs. 1 lit. a) DSGVO darstellen. Nach dieser Vorschrift sind Daten immer dann zu l√∂schen, wenn die personenbezogenen Daten f√ľr die Zwecke, f√ľr die sie erhoben oder in anderer Weise verarbeitet wurden, nicht mehr notwendig sind. So kann man dann eine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c) DSGVO erf√ľllen.

Sobald eine valide Anonymisierung vorgenommen worden ist, haben die Daten ihren Personenbezug verloren. Die Grunds√§tze des Datenschutzrechts aus Art. 5 DSGVO sind dann nicht mehr anwendbar. In dem Fall kann dann keine weitere Verpflichtung mehr f√ľr den Verantwortlichen bestehen, die Daten anderweitig zu ver√§ndern. Zwar gibt es immer zumindest die theoretische M√∂glichkeit zur De-Anonymisierung, allerdings d√ľrfte im Regelfall auch das eigentliche L√∂schen von Daten nicht zu einer v√∂lligen Nichtwiederherstellbarkeit f√ľhren. Insofern sind die Sachverhalte durchaus vergleichbar. Das BfDI kommt hier zu einer pragmatischen L√∂sung, welche die Interessen aller Beteiligten noch am meisten ber√ľcksichtigt.

Datenschutz-Folgenabschätzung notwendig

Der BfDI kommt dar√ľber hinaus zu dem Ergebnis, dass vor einer Anonymisierung in der Regel eine Datenschutz-Folgenabsch√§tzung gem√§√ü Art. 35 Abs. 1 DSGVO durchzuf√ľhren ist, da es sich meist um eine Verarbeitung in gro√üem Umfang handeln d√ľrfte. Zumindest soll aber das Kriterium ‚Äěneue Technologien‚Äú zutreffend sein.

Hier stellt sich aber die Frage, ob dies wirklich praxisnah ist. Nicht nur der Anonymisierungsvorgang an sich, sondern auch die Durchf√ľhrung einer Datenschutz-Folgenabsch√§tzung ist mit einem nicht unerheblichen Aufwand f√ľr den Verantwortlichen verbunden. Hier besteht die Gefahr, dass Verantwortliche den Gesamtaufwand einschlie√ülich der Kosten scheuen und im Einzelfall ihren Pflichten aus Art. 17 Abs. 1 DSGVO nicht nachkommen. Die Aufsichtsbeh√∂rden sollten daher bei der √úberwachung der Umsetzung besonderes Augenma√ü walten lassen.

Im Westen nichts Neues?

Im Ergebnis l√§sst sich festhalten, dass die Ausf√ľhrungen des BfDI inhaltlich zwar nur wenig neue Erkenntnisse beinhalten. Allerdings bietet das Positionspapier dennoch einen Mehrwert dahingehend, dass es den aktuellen Stand zu einer der wichtigsten Thematiken im Datenschutzrecht aufbereitet und zu sinnvollen und gut vertretbaren L√∂sungen kommt. F√ľr den Bereich der Anonymisierung d√ľrfte das Positionspapier zumindest zu einer erh√∂hten Rechtssicherheit f√ľhren.


Gefällt Ihnen der Beitrag?
Dann unterst√ľtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Anonymisierung von Daten ‚Äď Der BfDI informiert.

Vorratsdatenspeicherung im Kampf gegen Kindesmissbrauch?

Vorratsdatenspeicherung im Kampf gegen Kindesmissbrauch?

– Reposting –

Noch nicht lange ist es her, da hat der Skandal um den Kindesmissbrauch in M√ľnster ganz Deutschland ersch√ľttert. Nun fordert die Innenministerkonferenz Konsequenzen digitaler Art: Eine Vorratsdatenspeicherung m√ľsse her ‚Äď wen interessiert schon Datenschutz?

Voller Tatendrang

Nicht schon wieder! Dass Politiker regelm√§√üig f√ľr Kopfzerbrechen und Unverst√§ndnis (nicht nur) in der Datenschutzwelt sorgen, ist bekannt. Neuester Anlass: Die im Rahmen einer Konferenz in Erfurt letzten Freitag versammelten Innenminister und ‚Äďsenatoren der L√§nder sowie des Bundes kamen zu dem Entschluss, erneut eine Vorratsdatenspeicherung anzustreben. Eine genauere Analyse zeigt, wie unter dem Deckmantel des Kampfes gegen sexuellen Kindesmissbrauch und Kinderpornografie reinster politischer Aktionismus betrieben wird ‚Äď un√ľberlegt, vorschnell und mithilfe eines Rundumschlags gegen B√ľrgerinnen und B√ľrger, deren Datenschutz Politikern eigentlich am Herzen liegen sollte.

M√ľnster ist √ľberall

Seitdem der schwere sexuelle Missbrauchsfall in M√ľnster bekannt wurde, herrscht Entsetzen ‚Äď wie konnten die T√§ter so lange unentdeckt Kinder qu√§len und einschl√§giges Material im Darknet vertreiben? Aus Sicht von Politikern k√∂nne eine Vorratsdatenspeicherung derartige Straftaten k√ľnftig verhindern. Dass diese nicht ohne Grund umstritten ist, spielt anscheinend keine Rolle mehr. So m√ľsse laut Bundesfamilienministerin Franziska Giffey (SPD) zur Aufkl√§rung von Kindesmissbrauch jetzt ‚Äěalles, was n√∂tig und m√∂glich ist‚Äú, gepr√ľft und getan werden:

‚ÄěWenn die Vorratsdatenspeicherung ein Punkt ist, der dazu geh√∂rt, dann m√ľssen wir uns den ansehen und dann m√ľssen wir das auch machen.‚Äú

Kindesmissbrauch ist abscheulich. Doch heiligt der Zweck jedes daf√ľr ergriffene Mittel?

Anlasslos, jederzeit, allumfassend

Kaum jemand w√ľrde es guthei√üen, wenn Einsicht in sein Tagebuch genommen w√ľrde. Verst√§ndlich, die darin ge√§u√üerten Tr√§ume, W√ľnsche und Sehns√ľchte sind ja privat. Die Online-Welt spiegelt diese jedoch wider: Welche Videos man guckt, welche Gegenst√§nde man shoppt, mit wem man sich austauscht ‚Äď all das wird in einer Art digitalem Tagebuch gespeichert. Wer sich im Internet bewegt, hinterl√§sst nun einmal Spuren. Das alles geschieht bereits jetzt ‚Äď mithilfe von Tracking, Cookies und beim Speichern durch Ihren Provider.

Die Vorratsdatenspeicherung erm√∂glicht ein Anreichern Ihres digitalen Tagebuches um immer mehr Informationen. Irgendwann ist im Zweifel jeder Aspekt Ihrer Pers√∂nlichkeit darin abgebildet. Dieses Profil ist Gold wert, jedes Werbeunternehmen w√§re neidisch. Aber auch Hacker d√ľrften sich nach dem riesigen Datenschatz verzehren, den Provider infolge der massenhaften Speicherung von Daten auf Vorrat anzulegen h√§tten. Datenschutz? Keine Chance: Gespeichert w√ľrde absolut alles, anlasslos, andauernd ‚Äď je nach Ausgestaltung und (b√∂ser) Absicht. Ganz sch√∂n angsteinfl√∂√üend.

Einmal Fuß gefasst…

Kein Grund zur Beunruhigung: Mecklenburg-Vorpommerns Innenminister Lorenz Caffier (CDU) könne sich vorstellen,

‚Äědass die Vorratsdatenspeicherung zun√§chst auf den Bereich Kinderpornografie beschr√§nkt wird.‚Äú

Also halb so wild? Nein. Wie das W√∂rtchen ‚Äězun√§chst‚Äú zeigt, ist eine umfassendere Vorratsdatenspeicherung geplant ‚Äď nur versucht man zuallererst den Fu√ü in die T√ľr zu bekommen. Dann kann man damit beginnen, √úberwachungsma√ünahmen Schritt f√ľr Schritt salonf√§higer zu machen. Und irgendwann ist es zu sp√§t.

Eine Beschr√§nkung auf F√§lle von Kindesmissbrauch wirft aber auch rein praktische Fragen auf: Wenn lediglich Daten von derartigen Sexualstraft√§tern auf Vorrat gespeichert w√ľrden, m√ľsste dann nicht der Provider schon wissen, dass bei dieser und jener Person strafw√ľrdiger Inhalt anf√§llt? Ginge damit nicht die Forderung nach Vorratsdatenspeicherung f√ľr Missbrauchst√§ter und Konsumenten von Kinderpornografie einher mit der Verpflichtung der Provider, s√§mtliche Daten auf derartige Inhalte auszuwerten? M√ľssten Ermittlungsbeh√∂rden den Provider dann nicht auch √ľber m√∂glicherweise verd√§chtige Personen informieren, vielleicht sogar in einem noch sehr fr√ľhen Ermittlungsstadium oder gar rein pr√§ventiv?

Klar w√§re es denkbar, ‚Äězun√§chst‚Äú nur Daten einschl√§giger Websites auf Vorrat zu speichern, um l√§nger auf diese zugreifen zu k√∂nnen. Liegt es aber hier nicht vielleicht eher am mangelnden Personal, an Inkompetenz und der langsamen Beh√∂rdenarbeit, dass nicht rechtzeitig gegen p√§dophile Straft√§ter bzw. Websitebetreiber vorgegangen wird?

So verst√§ndlich es auch ist, Kinderpornografie endlich Einhalt gebieten zu wollen ‚Äď viele Straft√§ter w√ľssten sich trotz Vorratsdatenspeicherung zu sch√ľtzen. Auch im Falle des Kindesmissbrauchs in M√ľnster war es so ‚Äď die elektronischen Ger√§te des Hauptverd√§chtigen waren derart verschl√ľsselt, dass die Ermittler diese lange nicht entsperren konnten. Aber auch Betreiber von Kinderpornografie-Seiten d√ľrften auf Schutz ihrer Konsumenten bedacht sein. Im Zweifel entlohnen sie ihre IT-Fachkr√§fte besser als der Staat.

Und wieder: Totschlagargumente

Viele Datenschutzlaien hierzulande sind sich sicher: Wer die Vorratsdatenspeicherung ablehne, sch√ľtze Kriminelle ‚Äď Datenschutz sei ja im √úbrigen T√§terschutz! Solche Aussagen h√∂ren wir √∂fter und ganz ehrlich, langsam haben wir sie satt. Der Datenschutz zielt nicht darauf ab, irgendwelche Straft√§ter zu sch√ľtzen, sondern die 99 Prozent, die sich nichts zuschulden kommen haben lassen, davor zu bewahren, von vorne bis hinten ausgesp√§ht zu werden.

Dass in manchen F√§llen auch Straft√§ter von Datenschutz profitieren, l√§sst sich nicht verhindern ‚Äď das ist jedoch kein Grund, die Grundrechte aller auszuschalten!

An dieser Stelle lasse ich den NRW-Innenminister Herbert Reul zu Wort kommen:

‚ÄěEs muss doch m√∂glich sein, aus diesen ideologischen Kriegen von Vorratsdatenspeicherung ja oder nein rauszukommen und einfach mal zu sagen, dann machen wir es eben f√ľr den Kinderschutz.‚Äú

So ist das also: Der Kinderschutz wird nur vorgeschoben, um die leidige Diskussion um die Vorratsdatenspeicherung ein f√ľr alle Mal zu beenden ‚Äď mit einem f√ľr die CDU und SPD befriedigenden Ergebnis. Politiker wissen, wie man der Bev√∂lkerung unangenehme Sachverhalte am besten verkauft. Man muss sie nur ins richtige Licht r√ľcken. Massen√ľberwachung zwecks Massen√ľberwachung klingt halt nicht so toll. Wer ist schon ernsthaft gegen den Schutz der Schw√§chsten unserer Gesellschaft? Keiner. Kritiker der Vorratsdatenspeicherung setzen sich dem Vorwurf aus, die T√§ter den Opfern vorzuziehen.

Was viele Politiker dabei √ľbersehen: Sie degradieren Kinder zum Objekt, nutzen sie als Mittel zum Zweck, sei es aus Unwissenheit oder Machtgier. Dass der fehlenden Vorratsdatenspeicherung dazu noch die Schuld am unentdeckten Kindesmissbrauch zugeschoben wird, kommt manchen ganz gelegen, lenkt dies doch vom Beh√∂rdenversagen ‚Äď und damit auch dem der eigenen Politik ‚Äď in M√ľnster ab.

Die Odyssee der Vorratsdatenspeicherung

Das Hin und Her beim Thema Vorratsdatenspeicherung besch√§ftigt Politik, Datensch√ľtzer und Gerichte bereits seit 2006 ‚Äď ein Ende ist nicht in Sicht.

EU-Richtlinie und erstes Gesetz

Die im Jahr 2006 erlassene EU-Richtlinie zur sechsmonatigen, anlasslosen Speicherung aller Telefon-, E-Mail- und Internetverkehrsdaten auf Vorrat wurde mit Urteil des EuGH vom 08. April 2014 r√ľckwirkend f√ľr ung√ľltig erkl√§rt. Diese hatte in einem besonders gro√üen Ausma√ü und mit besonderer Schwere in EU-Grundrechte eingegriffen.

Das auf Grundlage der Richtlinie geschaffene erste Vorratsdatenspeicherungsgesetz Deutschlands wurde durch das Bundesverfassungsgericht mit Urteil vom 02. M√§rz 2010 f√ľr verfassungswidrig erkl√§rt. Eine verfassungsgem√§√üe Ausgestaltung der Vorratsdatenspeicherung sei zwar m√∂glich, unterliege allerdings sehr strengen Anforderungen. Neben einem hohen Standard an Datensicherheit und hinreichender Transparenz erfordere eine verfassungsgem√§√üe Ausgestaltung ein effektives Rechtsschutzsystem und klare gesetzliche Regelungen zum Umfang der Datenverwendung. Dabei m√ľssten vorsorglich anlasslose Datenspeicherungen grunds√§tzlich die Ausnahme bleiben. Die Speicherung auf Vorrat d√ľrfe zudem nicht zu einer Rekonstruierbarkeit praktisch aller Aktivit√§ten der B√ľrger f√ľhren. Ob das die Bundesregierung interessiert?

Zweites Gesetz

Zumindest gab diese nicht auf: Mit dem am 11. Dezember 2015 in Kraft getretenen zweiten Vorratsdatenspeicherungsgesetz wagte sie einen neuen Versuch. Darin steht, dass Standortdaten nunmehr vier Wochen und alle √ľbrigen Verkehrsdaten zehn Wochen gespeichert werden sollten. E-Mail-Daten speichere man nicht mehr. Da sich weiterhin aussagekr√§ftige Bewegungsprofile erstellen lie√üen, sind auch gegen dieses Gesetz mehrere Verfassungsbeschwerden anh√§ngig. Immer noch.

Vorläufig ausgesetzt

Derzeit ist die Vorratsdatenspeicherung mehr oder weniger ausgesetzt ‚Äď fast alle Telekommunikationsanbieter sehen von einer derartigen Speicherung ab. Wieso? Mit Beschluss vom 22. Juni 2017 entschied das Oberverwaltungsgericht M√ľnster im Rahmen eines einstweiligen Rechtsschutzverfahrens, dass der Provider Spacenet vorl√§ufig nicht speichern m√ľsse. Der Grund: Die Speicherpflicht k√∂nnte potentiell nicht mit der EU-Grundrechtecharta vereinbar sein. Erst Ende 2016 hatte der EuGH seine Position aus 2014 best√§tigt.

Die Bundesnetzagentur gab infolge des Oberverwaltungsgerichtsbeschlusses bekannt, bis zu einer abschließenden Klärung im Hauptsacheverfahren TK-Anbieter, die der Speicherpflicht nicht bereits ab dem 01. Juli 2017 nachkamen, nicht aufsichtsrechtlich zur Rechenschaft ziehen zu wollen.

Am 25. September 2019 entschied das Bundesverfassungsgericht, dem EuGH im Rahmen eines Vorabentscheidungsverfahrens zu konsultieren. Vielleicht weiß der ja mehr. Es bleibt spannend…

Auf Wählerfang

Die Forderung nach einer erneuten Vorratsdatenspeicherung ist juristisch mehr als wackelig und unausgegoren ‚Äď wieso keimt dieser Vorschlag dann immer wieder auf? Ganz einfach: Ob die massenhafte Datenspeicherung auf Vorrat umgesetzt werden kann oder nicht, ist aus Politikersicht nicht entscheidend! Um W√§hlerfang zu betreiben, reicht der blo√üe Anschein aus, gegen Kindesmissbrauch vorzugehen. Ob man die Ma√ünahmen √ľberhaupt je verwirklicht, ist zweitrangig. Im Zweifel pr√ľft das sowieso keiner.


Gefällt Ihnen der Beitrag?

Dann unterst√ľtzen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Vorratsdatenspeicherung im Kampf gegen Kindesmissbrauch?.

Passwörter hashen: Sicherer mit Salt and Pepper

Passwörter hashen: Sicherer mit Salt and Pepper

– Reposting –

Mittlerweile gibt es viele M√∂glichkeiten, um Passw√∂rter zu knacken und somit an die gesch√ľtzten Daten zu kommen. Umso wichtiger ist es, zus√§tzlich zur Einrichtung von Passwortrichtlinien, Ma√ünahmen zur Steigerung der Sicherheit zu treffen. Wie diese aussehen k√∂nnen und was Salt und Pepper mit dem Sch√ľtzen Ihrer Daten zu tun haben, verr√§t der folgende Beitrag.

Passwörter beschäftigen die Datenschutzaufsichtsbehörden

In seinem letzten T√§tigkeitsbericht informierte das bayrische Landesamt f√ľr Datenschutzaufsicht (BayLDA), dass man aufgrund vermehrter Meldungen von Datenpannen Websitebetreiber kontrollierte, inwieweit diese angemessen mit den Passw√∂rtern ihrer Nutzer umgehen.

‚ÄěObwohl wir ausschlie√ülich Websites von gr√∂√üeren Unternehmen, zum Teil b√∂rsennotierte Gro√ükonzerne, hinsichtlich l√§ngst bekannter Sicherheitsanforderungen untersuchten, mussten wir feststellen, dass zahlreiche Defizite vorhanden waren. Die getroffenen Sicherheitsma√ünahmen mussten oft als unzureichend eingestuft werden. [‚Ķ.] Da das Ergebnis so ern√ľchternd ausfiel, werden wir auch weiter aktive Kontrollen im Cybersicherheitsumfeld durchf√ľhren und bei Verst√∂√üen unser Potential aus dem Ma√ünahmenkatalog aussch√∂pfen.‚Äú

Und auch das erste Bu√ügeld einer deutsche Aufsichtsbeh√∂rde in H√∂he von 20.000 ‚ā¨ erging, weil unverschl√ľsselt und ungehashte Passw√∂rter bei einem Hackerangriff entwendet wurden und sp√§ter im Netz auftauchten. Unternehmen k√∂nnen daher sogar rechtlich verpflichte sein, Ma√ünahmen zur Steigerung der Sicherheit von Passw√∂rter zu treffen. Aufgrund des risikobasierten Ansatzes des Art. 32 DSGVO ist dies immer eine Frage des Einzelfalls. Daf√ľr sollte dem Verantwortlichen aber auch bekannt sein, welche Risiken bestehen.

Wie werden Passw√∂rter verschl√ľsselt?

Passw√∂rter werden mit kryptografischen Hashfunktionen verschl√ľsselt. H√§ufig bekannte Beispielalgorithmen sind MD5, SHA-1 und SHA-256. Hashfunktionen reduzieren zun√§chst nur Zeichenketten beliebiger L√§nge (unterschiedliche Passw√∂rter) auf Zeichen fester L√§nge. (z.B. 128 Bit bei MD5 = 32 Zeichen)

Der Hashwert ist das Ergebnis, welches durch eine Hashfunktion berechnet wurde. Oft wird der Hashwert als eine hexadezimale Zeichenkette codiert d.h. der Hashwert besteht aus einer Zahlen- und Buchstaben-Kombination zwischen 0 und 9 sowie A bis F. Ein Beispiel f√ľr einen MD5 Hash k√∂nnte wie folgt aussehen:

a3cba2e1ba1e3b5c3b5aad87a4329075

Ein winzig kleiner Unterschied in einer Zeichenfolge erzeugt einen v√∂llig unterschiedlichen Hashwert. Zum Beispiel, wenn ein Buchstabe klein- anstatt gro√ügeschrieben wird. Das ist enorm wichtig, da man sonst leicht auf Passw√∂rter schlie√üen k√∂nnte, wenn ein festgelegtes Zeichen f√ľr einen bestimmten Buchstaben steht, wie es bei der klassischen monoalphabetischen Verschl√ľsselung der Fall ist.

Am Beispiel des Windows-Logins

Die Datenbank speichert Passw√∂rter nicht direkt, sondern hasht sie beim Anlegen eines Kontos. Dabei speichert sie diesen Hash mit den Benutzerdaten zusammen. Bei Anmeldung eines Benutzers wird sein dabei eingegebenes Passwort gehasht und mit dem gespeicherten Hash verglichen, um den Benutzer zu authentifizieren. Der Systemdienst lsass.exe (Local Security Authority Subsystem Service) ist f√ľr das Durchsetzen der Sicherheitsrichtlinien auf den Windows-Systemen zust√§ndig. Er √ľberpr√ľft die Benutzerinformation sowohl bei einer lokalen Anmeldung an einer Workstation als auch bei einer Anmeldung an einem Server. Nun stellt sich allerdings die Frage: Ist das absolut sicher?

Nein, denn…

Brute Force, Passwort-W√∂rterb√ľcher und Rainbowtables

Ein Brute-Force-Angriff versucht durch wahlloses Ausprobieren von Zeichenkombinationen Passw√∂rter oder Schl√ľssel herauszufinden. Dabei ist dieser Vorgang meistens vollst√§ndig automatisiert, sodass der Rechner mehrere Passwortkombinationen pro Sekunde durchprobiert. Dies geht allerdings nur, wenn im System keine feste Anzahl an m√∂glichen Fehlversuchen festgelegt ist. Je h√∂her die Rechengeschwindigkeit, desto mehr Passw√∂rter pro Sekunde probiert der Rechner aus. So schaffen moderne, schnelle Rechner bis zu 2 Billionen Passw√∂rter pro Sekunde. Je l√§nger die Passw√∂rter sind, desto l√§nger braucht eine Brute Force-Attacke f√ľr das Knacken.

Bei einem W√∂rterbuchangriff versucht der Angreifer mit Hilfe von elektronischen W√∂rterb√ľchern Passw√∂rter zu erraten. Das ist h√§ufig mit Erfolg gekr√∂nt, weil viele User bekannte W√∂rter f√ľr ihre Passw√∂rter verwenden. Um W√∂rterbuchangriffe zu erschweren, wurden Passwort-Policies eingef√ľhrt, die zus√§tzlich Sonderzeichen und Zahlen bei der Festlegung von Passw√∂rtern verlangen.

Die Rainbowtable, zu Deutsch Regenbogentabelle, erm√∂glicht die Suche nach der urspr√ľnglichen Zeichenfolge (in der Regel ein Passwort) f√ľr einen gegebenen Hashwert. Genau wie Passwortw√∂rterb√ľcher, findet man diese vorgefertigten Tabellen im Internet. In diesen, teilweise mehrere Hundert Gigabyte gro√üen Dateien, liegen passend zum verwendeten Verschl√ľsselungsalgorithmus Passw√∂rter zusammen mit ihren Hashwerten. Allerdings nicht komplett: Stattdessen erzeugt man Ketten, sog. Chains, aus der sich die eigentlichen Werte leicht berechnen lassen und reduziert so den Speicherbedarf der immer noch sehr gro√üen Tabellen.

Möchte man nun ein Passwort anhand eines bekannten Hashwertes ermitteln, durchsucht man zunächst die Liste nach dem vorliegenden Hashwert. Findet man ihn im Anfang oder im Ende einer Kette, ist das Passwort relativ schnell gefunden, denn nun braucht man nur die Wiederholungen der Kette nachzuvollziehen. Ist der Hashwert nicht vorzufinden, folgt eine sogenannte Reduktionsfunktion. Nun reduziert und hasht man den zu knackenden Hashwert immer wieder nach den gleichen Regeln. Durch dieses Verfahren sind alte Algorithmen wie MD5 und SH1 unbrauchbar geworden.

Hier kommt Salt und Pepper ins Spiel

Durch eine Hinzugabe von Salt und Pepper lassen sich Daten sch√ľtzen. Das Salt erschwert das Entschl√ľsselns durch Regenbogentabellen. Wenn ein Nutzer ein Passwort festlegt, erstellt das System zus√§tzlich dazu einen zuf√§lligen Wert, das Salt. Dieser Wert flie√üt zusammen mit dem Passwort in die Hashfunktion und erzeugt einen anderen Wert. Das Salt und der Hashwert liegen gemeinsam in der Datenbank. Der zuf√§llig vergebene Hashwert des Salts ist nicht in den Regenbogentabellen eingetragen und erschwert somit die Suche nach dem urspr√ľnglichen Passwort erheblich.

Der Pepper erschwert wiederum den Angriff mit Brute Force oder Passwort-W√∂rterb√ľchern. Auch Pepper ist eine zuf√§llige Zeichenfolge, die zusammen mit dem Passwort in den Hashwert einflie√üt. Anders als beim Salt, speichert die Datenbank den Pepper nicht zusammen mit den Login-Daten. Den Pepper bewahrt man getrennt und an einem m√∂glichst sicheren Ort auf. Salt und Pepper haben somit viel mit dem Sch√ľtzen Ihrer Daten zu tun ‚Äď sie verhindern das Knacken von Passw√∂rter zwar nicht, erschweren es jedoch erheblich.

Passwortsicherheit: Ein Thema f√ľr IT-Sicherheit und Datenschutz

Beim Thema Passwortsicherheit ist sich das BSI einig ‚Äď als erster Grundsatz zur Steigerung der Sicherheit gilt immer noch: Komplexe Passw√∂rter verwenden! Daneben gibt das BayLDA die folgende Empfehlung als Best-Practice:

  • Mindestl√§nge von 10 Zeichen bei hoher Zeichenkomplexit√§t
  • Bei geringerer Passwortkomplexit√§t Erh√∂hung der Mindestl√§nge (20 Zeichen)
  • Speicherung mit geeigneten gesalzenen Hashverfahren

Zudem sollte die Verifizierung mittels Zwei-Faktor-Authentifizierung in Betracht gezogen werden. Unternehmen sollten regelm√§√üig ihren Umgang mit Passw√∂rtern √ľberpr√ľfen und das Risiko evaluieren. So wurde bspw. k√ľrzlich das Gesetz gegen Hass im Netz verabschiedet, welches es Sicherheitsbeh√∂rden erlaubt, sich von Telemedienanbieter die Passw√∂rter von Nutzern herausgeben zu lassen. Es ist daher nicht unwahrscheinlich, dass die Datenschutzaufsichtsbeh√∂rden hier in Zukunft noch genauer hinschauen werden.


Gefällt Ihnen der Beitrag?
Dann unterst√ľtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Passw√∂rter hashen: Sicherer mit Salt and Pepper.

Erster Bericht der EU-Kommission zur DSGVO

Erster Bericht der EU-Kommission zur DSGVO

Nach etwas mehr als zwei Jahren DSGVO, hat die EU-Kommission gestern erstmalig einen Bericht ver√∂ffentlich, welcher die Anwendung und Auswirkungen der DSGVO untersucht. Neben kleineren und gr√∂√üeren Erfolgen der DSGVO, werden auch Schwachstellen aufgedeckt und √Ąnderungsvorschl√§ge unterbreitet.

Die EU-Kommission kommt ihrer Berichtspflicht nach

Fast am Ende der DSGVO ist geregelt, dass die EU-Kommission zun√§chst bis zum 25 Mai 2020 und danach alle vier Jahre dem Europ√§ischen Parlament und dem Rat einen Bericht √ľber die Bewertung und √úberpr√ľfung der DSGVO vorzulegen hat (vgl. Art. 97 DSGVO). Etwas versp√§tet kommt die EU-Kommission nun dieser Pflicht nach. Durch die Berichtspflicht der EU-Kommission wird eine zus√§tzliche Kontrollinstanz geschaffen, um die Wirkungsweise der DSGVO zu √ľberpr√ľfen.

Positive Bilanz trotz reichlich Handlungsbedarf

Im Großen und Ganzen zieht die EU-Kommission eine positive Bilanz. Die DSGVO habe ihr Ziel erreicht das Recht des Einzelnen auf informationelle Selbstbestimmung zu stärken und gleichzeitig weiterhin den freien Verkehr von personenbezogenen Daten zu garantieren.

Dennoch wird einger√§umt, dass es noch viele Bereiche gibt, welche verbessert werden m√ľssen. Zudem ist zu ber√ľcksichtigen, dass nach zwei Jahren es f√ľr einige Bereich noch nicht m√∂glich ist eine umfassende Evaluierung vorzunehmen.

Die wesentlichen Ergebnisse der EU-Kommission

Die EU-Kommission beleuchtet in ihrem Bericht die Wirkungsweise der DSGVO f√ľr folgenden Bereiche:

Die Aufgaben der Aufsichtsbehörde

Zun√§chst wird festgestellt, dass sich der One-Stop-Shop Mechanismus bew√§hrt hat und hierdurch bereits einige grenz√ľberschreitende F√§lle bew√§ltigt wurden. Dennoch m√ľssen in der Zukunft die Aufsichtsbeh√∂rden enger zusammenarbeiten und bspw. gemeinsame Untersuchungen vornehmen, um so auch die Harmonisierung der DSGVO zu st√§rken. Hierbei wird z.B. auch eine Vereinheitlichung der verfahrensrechtlichen Gestaltungen angesprochen. Zudem betont die EU-Kommission wie wichtig es ist, dass die Aufsichtsbeh√∂rden gen√ľgend Ressourcen zur Verf√ľgung gestellt werden, um ihre tragende Rolle bei der Durchsetzung der DSGVO erf√ľllen zu k√∂nnen. Insbesondere der Aufsichtsbeh√∂rde in Luxemburg und Irland sind hierbei von gro√üer Bedeutung, weil dort viel Tech-Unternehmen angesiedelt seien.

Nationale Regelungen zum Datenschutz

Durch die in der DSGVO verankerten √Ėffnungsklauseln sind die Mitgliedsstaaten angehalten einige Bereiche selbst zu regulieren oder zumindest die Regelungen der DSGVO zu pr√§zisieren. Bis auf Slowenien, sind dem alle Mitgliedsstaaten nachgekommen. Bei grenz√ľberschreitender Verarbeitung stellen mitunter unterschiedliche nationale Reglungen eine gewisse Herausforderung f√ľr den Verantwortlichen dar. So beispielsweise bei der Festlegung des Alters f√ľr die Einwilligung von Kindern f√ľr Dienste der Informationsgesellschaft.

Sensibilit√§t f√ľr Datenschutz w√§chst

Wie bereits von vielen Seiten schon festgestellt, best√§tigt auch die EU-Kommission, dass das Bewusstsein f√ľr Datenschutz gestiegen ist. Nach einer Studie haben 69 % der EU Bev√∂lkerung √ľber 16 Jahre bereits von der DSGVO geh√∂rt. Viele Betroffene machen von ihren Rechten Gebrauch. Daneben r√ľckt auch bei Drittl√§ndern verst√§rkt das Thema Datenschutz in den Fokus, wobei die DSGVO als Vorbild diene.

DSGVO als Herausforderung f√ľr bestimmte Bereiche

Gerade f√ľr kleinere und mittlere Unternehmen (KMU) wird anerkannt, dass die DSGVO teilweise eine Herausforderung darstellt. Auf Grund des risikobasierten Ansatzes der Verordnung lassen sich aber allein auf die Gr√∂√üe von Unternehmen keine Ausnahmen von der DSGVO st√ľtzen. Vielmehr sei es die Pflicht der Aufsichtsbeh√∂rden f√ľr diese Unternehmensgruppe weiter Hilfestellungen anzubieten. Auch in Hinblick auf neue Technologien (z.B. KI oder Blockchain) stellen die Anwendung der bew√§hrten Prinzipien der DSGVO eine Herausforderung dar.

Internationaler Datenschutz

Die EU-Kommission ist bem√ľht mit Drittl√§ndern in den Dialog zu treten, um zu pr√ľfen, ob diesen L√§ndern durch Erlass eines Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau best√§tigt werden kann. F√ľr das Vereinigte K√∂nigreich wird gerade aufgrund des Brexits eine solche ‚ÄěAngemessenheits-Untersuchung‚Äú ausgef√ľhrt. Daneben sollen die erlassenen Angemessenheitsbeschl√ľsse regelm√§√üig √ľberpr√ľft werden. Zudem werden die bereits in der Kritik stehenden EU-Standarddatenschutzklauseln, ein weiterer Mechanismus f√ľr Drittl√§nder um ein angemessenes Datenschutzniveau zu garantieren, √ľberarbeitet.

Weiterer Handlungsbedarf besteht

Ziel ist es k√ľnftig die Harmonisierung des Datenschutzes voranzutreiben und somit den Bed√ľrfnissen der Einzelnen und der Unternehmen Rechnung zu tragen. Neben den bereits oben genannten Verbesserungsvorschl√§gen der EU-Kommission, wird im Bericht u.a. noch aufgef√ľhrt, dass eine ‚ÄěDatenschutzakademie‚Äú von der EU-Kommission eingerichtet wird. Hierdurch soll eine Plattform f√ľr einen Austausch zwischen der europ√§ischen sowie den Datenschutzbeh√∂rden der EU-L√§nder geschaffen werden.

Bez√ľglich konkreter Gesetzes√§nderungen ist die EU-Kommission noch z√∂gerlich und f√ľhrt nur aus, dass unter Beachtung von weiterer Rechtsprechung m√∂gliche √Ąnderungen von DSGVO Normen zu pr√ľfen sind. Ein √Ąnderungsbedarf sieht die EU-Kommission insbesondere in Hinblick auf die Pflicht zur F√ľhrung von Verarbeitungsverzeichnissen f√ľr KMU unter bestimmten Voraussetzungen und bzgl. einer Harmonisierung des Mindestalters f√ľr Kindern im Rahmen von Art. 8 DSGVO.

Auswirkungen des Berichts

Gerade in Hinblick auf die rasanten technischen Entwicklungen ist es sinnvoll, wenn die Wirksamkeit der DSGVO regelmäßig evaluiert wird. Dies hat nicht zuletzt die Erfahrung der Vergangenheit gezeigt, denn neben mangelnder Harmonisierung, war auch die Kluft zwischen technischer Entwicklungen und Regelungen der DS-RL (95/46/EG) groß.

Die Berichterstattung der EU-Kommission ist somit ein wichtiger Beitrag, um im ersten Schritt Anregung zu √Ąnderungen und Verbesserungen zu geben, die dann von europ√§ischen Rat und dem Parlament umgesetzt werden m√ľssen. Wichtig ist, dass hier spezifische √Ąnderungen genannt werden, aus welchen sich klare Handlungen ableiten. Zum Teil ist dies der Kommission gelungen, inwieweit diese nun ausgebaut werden, liegt an den einzelnen Akteuren.


Gefällt Ihnen der Beitrag?

Dann unterst√ľtzen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Erster Bericht der EU-Kommission zur DSGVO.

Rechte & Pflichten: Polizei & Straftaten filmen, Personenkontrolle, u.v.m.

Rechte & Pflichten: Polizei & Straftaten filmen, Personenkontrolle, u.v.m.

Die Randale in Stuttgart l√§sst mehr als eine Frage offen. Dabei d√ľrften datenschutzrechtliche Probleme nicht unbedingt ganz oben auf der Liste stehen. Da der Datenschutz aber besonders seit Inkrafttreten der DSGVO immer wieder in der √∂ffentlichen Diskussion als S√ľndenbock herhalten muss, aus aktuellem Anlass vorab ein paar Klarstellungen.

Personenkontrollen durch die Polizei: D√ľrfen die das (einfach so) und welche Daten muss ich preisgeben?

Nun, ‚Äěeinfach so‚Äú, also aus reiner Willk√ľr, nat√ľrlich nicht. Allerdings mag der Grund f√ľr die Kontrolle nicht offensichtlich f√ľr die kontrollierte Person sein. Fragen Sie also nach dem Grund. Die Polizei kann grunds√§tzlich sowohl repressiv, also aufgrund des Verdachts einer Straftat, oder pr√§ventiv, also Straftaten vorbeugend handeln. Bei einer Identit√§tsfeststellung aufgrund des Verdachts einer Straftat sind die Regelungen deutschlandweit einheitlich: Rechtsgrundlage ist ¬ß 163b Abs. 1 StPO

Polizeirecht dagegen ist L√§ndersache. Die Voraussetzungen f√ľr Personenkontrollen ohne konkreten Straftatverdacht k√∂nnen daher von Bundesland zu Bundesland etwas variieren. Selbstverst√§ndlich gilt aber stets auch bei rein pr√§ventivem Vorgehen der Polizei ein Willk√ľrverbot. Daher muss die pr√§ventive Ma√ünahme der Polizei stets der Gefahrenabwehr dienen. Es muss also eine Gefahr f√ľr ein Rechtsgut bestehen. Eine solche pr√§ventive Ma√ünahme zum Zweck der Gefahrenabwehr kann z.B. ein Platzverweis oder auch die Feststellung der Personalien sein. Bei einer rein pr√§ventiven Ma√ünahme darf die Polizei daher den Namen, Geburtstag und -ort, die Wohnan¬≠schrift und die Staats¬≠angeh√∂rigkeit erfragen. Nach dem Personalausweis darf ebenfalls gefragt werden. Sie als Betroffener trifft aber keine Pflicht, diesen st√§ndig bei sich zu f√ľhren. Fragen zu Ihrer Person sollten Sie wahrheitsgem√§√ü beantworten, da Falschangaben eine Ordnungswidrigkeit darstellen.

Bei einer Personenkontrolle ist der Betroffene √ľber diese Angaben zur eigenen Person hinaus regelm√§√üig nicht zu Ausk√ľnften verpflichtet. Weitere Fragen der Polizei m√ľssen Sie also nicht beantworten.

√úbrigens sind Sie nicht verpflichtet, sich gegen√ľber anderen Personen wie Kaufhausdetektiven, Sicherheitspersonal oder Fahrkartenkontrolleuren ‚Äěauszuweisen‚Äú.

Darf ich als Privatperson Straftaten mit dem Handy filmen?

Smartphones sind allgegenw√§rtig, deswegen ist die Kamera schnell zur Hand, wenn ich in der √Ėffentlichkeit eine (evtl. vermeintliche) Straftat sehe. Ist das Anfertigen einer Aufnahme zul√§ssig?

Vorweg: Wer filmt, wie eine andere Person Opfer einer Straftat wird und dem Opfer nicht zur Hilfe kommt, kann wegen unterlassener Hilfeleistung nach ¬ß 323c StGB bestraft werden. In einer Notsituation sind Sie zur Hilfeleistung verpflichtet. Eine Notsituation besteht, wenn eine erhebliche Gefahr f√ľr andere Personen oder Sachen besteht, z.B. ein Betrunkener auf der Stra√üe niedergeschlagen wird oder wenn auf sonst wehrlose Personen eingepr√ľgelt oder getreten wird. Die Hilfeleistung ist erforderlich, wenn sich die Person nicht selbst helfen kann oder keine anderweitige Hilfe vorhanden ist. Die Hilfeleistung muss Ihnen allerdings zumutbar sein. Dies ist der Fall, wenn f√ľr Sie als Helfendem selbst keine erhebliche Gefahr besteht. Ob dies der Fall ist, m√ľssen Sie selbst vor Ort einsch√§tzen.

Gleiches gilt, wenn Sie beim Filmen Rettungskräften im Weg stehen. Dies kann als unterlassene Hilfeleistung und als Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen (§ 201a StGB) geahndet werden. Auf unseren Blogbeitrag zu Unfallgaffern sei hier empfehlend verwiesen.

Unerlaubtes Filmen stellt einen Eingriff in die Pers√∂nlichkeitsrechte der betroffenen Person dar. Das Recht am eigenen Bild ist ein Teil des Allgemeinen Pers√∂nlichkeitsrechts, das jeder Person zusteht. Sinn und Zweck ist der Schutz der Privat- und Intimsph√§re. Das kann es ja in unserem Beispielsfall, wenn eine Gefahr f√ľr ein Rechtsgut besteht aber doch nicht sein, meinen Sie? Ja, richtig. Angenommen, Sie k√∂nnen ohne erhebliche Eigengef√§hrdung nicht eingreifen, k√∂nnten aber schnell ein Foto der T√§ter machen. Hierdurch kann der oder die T√§ter ggf. erkannt und die Ermittlungst√§tigkeit von Polizei und Staatsanwaltschaft erleichtert werden. Es gibt also einen konkreten Anlass f√ľr das Foto und die Videoaufnahme. Zwar hat nat√ľrlich auch ein T√§ter schutzw√ľrdige Interessen, diese treten in diesem Fall aber zur√ľck. Aus diesem Grund d√ľrfen Sie die Aufnahmen dann auch der Polizei √ľbergeben.

Darf ich die Filme hinterher posten?

Nein. Stellen Sie diese Aufnahmen nicht ins Internet, posten Sie sie nicht auf Facebook und teilen Sie sie nicht in der WhatsApp-Gruppe. Private Fahndungsaufrufe sind unzulässig. Es gibt Hinweisportale der Polizei, bei denen Sie Aufnahmen ggf. sogar anonym hochladen können. Oder Sie gehen direkt mit den Bildern zur Wache.

Darf ich die Polizei fotografieren oder filmen?

Polizeiliche Einsätze zu filmen und zu fotografieren, ist grundsätzlich zulässig. Nach §§ 22, 23 Kunsturhebergesetz (KUG) i.V.m. § 33 KUG macht man sich aber strafbar, wenn Sie die Bilder ohne Einwilligung der Abgebildeten verbreiten oder öffentlich zur Schau stellt.

Da in diesem Zusammenhang bereits des √Ėfteren eine Verletzung der Vertraulichkeit des Wortes nach ¬ß 201 Abs. 1 StGB von Seiten der Polizei geltend gemacht wurde, ist zu Bedenken, ob eine Tonaufnahme gerechtfertigt sein kann oder eher nicht erforderlich ist. Mehr Informationen hierzu finden Sie in unserem Blogbeitrag ‚ÄěAG M√ľnchen: Strafbarkeit der Videoaufnahme einer Polizeikontrolle‚Äě.

Was darf die Polizei in sozialen Netzwerken?

Derzeit kursieren zahlreiche Videos und Fotos aus der Nacht von Samstag auf Sonntag in sozialen Netzwerken. Laut Pressemeldungen ist die Polizei bereits dabei, diese Aufnahmen zu sammeln und auszuwerten. Ist dies rechtlich zulässig?

Grundsätzlich darf die Polizei auch in sozialen Netzwerken ermitteln, soweit es öffentlich zugängliche Profile betrifft:

‚ÄěEine Kenntnisnahme √∂ffentlich zug√§nglicher Informationen ist dem Staat grunds√§tzlich nicht verwehrt. Dies gilt auch dann, wenn auf diese Weise im Einzelfall personenbezogene Informationen erhoben werden k√∂nnen (‚Ķ). Daher liegt kein Eingriff in das allgemeine Pers√∂nlichkeitsrecht vor, wenn eine staatliche Stelle im Internet verf√ľgbare Kommunikationsinhalte erhebt, die sich an jedermann oder zumindest an einen nicht weiter abgegrenzten Personenkreis richten. So liegt es etwa, wenn die Beh√∂rde eine allgemein zug√§ngliche Webseite im World Wide Web aufruft, eine jedem Interessierten offen stehende Mailingliste abonniert oder einen offenen Chat beobachtet.

Ein Eingriff in das Recht auf informationelle Selbstbestimmung kann allerdings gegeben sein, wenn Informationen, die durch die Sichtung allgemein zug√§nglicher Inhalte gewonnen wurden, gezielt zusammengetragen, gespeichert und gegebenenfalls unter Hinzuziehung weiterer Daten ausgewertet werden und sich daraus eine besondere Gefahrenlage f√ľr die Pers√∂nlichkeit des Betroffenen ergibt. Hierf√ľr bedarf es einer Erm√§chtigungsgrundlage.‚Äú

BVerfG, Urteil vom 27. Februar 2008 ‚Äď 1 BvR 370/07

Wenn die Polizei also lediglich im Internet offen verf√ľgbare oder f√ľr einen nicht weiter abgegrenzten Personenkreis gerichtete Informationen ‚Äď wie zum Beispiel auf YouTube f√ľr jeden freigegebene Videos ‚Äď abruft, ben√∂tigt sie f√ľr diese Ermittlungst√§tigkeiten keine spezielle Erm√§chtigungsgrundlage. Die jeweiligen Aufgabenzuweisungen der landesrechtlichen Polizeigesetze reichen hier aus.

Problematisch wird es erst, wenn gezielt Profile erstellt werden oder die Polizei zum Beispiel mittels Tarnidentit√§t ermittelt und das schutzw√ľrdige Vertrauen eines Betroffenen ausnutzt.

Die einfache Antwort ist selten die richtige

Wir sehen ‚Äď die Phrase des Datenschutzrechts als ‚ÄěT√§terschutzrecht‚Äú verf√§ngt nicht. Datenschutz bezieht sich im vorliegenden auf die grundlegenden Freiheitsrechte der B√ľrger im demokratischen Rechtsstaat. Daher k√∂nnen Sicherheitsma√ünahmen, die den Datenschutz ber√ľhren, nie ohne den Bezug auf die Freiheitsrechte diskutiert werden. Man muss sein Vorgehen begr√ľnden k√∂nnen. Diesen Aufwand sollte uns unser Rechtsstaat wert sein.


Gefällt Ihnen der Beitrag?

Dann unterst√ľtzen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original:

.

BGH schränkt Datenverarbeitung durch Facebook ein

BGH schränkt Datenverarbeitung durch Facebook ein

P√ľnktlich zum Ende des zweiten Quartals, und somit noch vor einem m√∂glichen Sommerloch, gibt es wieder etwas Neues in Sachen Facebook. Dieses Mal geht es um einen l√§nger schwelenden Konflikt zwischen dem Social-Media-Riesen und dem Bundeskartellamt (BKartA). Vorl√§ufiger H√∂hepunkt ist nun eine Entscheidung des Bundesgerichtshofs (BGH).

Was ist passiert?

Im Februar 2019 flatterte bei Facebook ein Briefumschlag ein. Darin befand sich eine Verbotsverf√ľgung von einem Bundesamt. B√∂se Zungen w√ľrden behaupten, dass das ja nichts Ungew√∂hnliches ist. Ungew√∂hnlich ‚Äď und somit interessant ‚Äď war aber, dass es sich dabei um eine Verbotsverf√ľgung vom Bundeskartellamt handelte. Darin hatte die Beh√∂rde Einw√§nde dagegen erhoben, wie Facebook Daten √ľber Personen aus Anwendungen von Drittanbietern ‚Äď einschlie√ülich WhatsApp und Instagram ‚Äď zusammenf√ľhrt und Personen, die keine Konten haben, √ľber Facebook-‚ÄěGef√§llt mir‚Äú oder ‚ÄěTeilen‚Äú-Buttons online verfolgt. Gleiches gelte auch f√ľr das Sammeln von Daten von Websites Dritter und deren Zuweisung an Facebook. Ohne eine solche Zustimmung m√ľsste Facebook das Sammeln und Verkn√ľpfen von Daten erheblich einschr√§nken.

Gegen die Verbotsverf√ľgung ging Facebook gerichtlich vor. Die Sache wurde dem Oberlandesgericht D√ľsseldorf vorgelegt, das Zweifel an der Rechtm√§√üigkeit der Verf√ľgung √§u√üerte. Es ordnete daher die Aussetzung der Verf√ľgung an und legte die Sache dem BGH vor (Beschl.v. 26.08.2019, Az. VI-Kart 1/19 (V)).

Wieso √ľberhaupt das Bundeskartellamt?

Diese Frage mag sich so mancher Leser wohl stellen. Auch Datensch√ľtzer kommen nicht um diese Frage herum. Das BKartA, wie der Name es schon nahelegt, ist n√§mlich eine Wettbewerbsbeh√∂rde und hat von Hause aus wenig mit Datenschutz zu tun. Auf der eigenen Webseite definiert es seine eigene T√§tigkeit wie folgt:

‚ÄěAufgabe des Bundeskartellamtes ist in erster Linie die Anwendung und Durchsetzung des GWB und damit der Schutz des Wettbewerbs in Deutschland. (‚Ķ):

  • die Durchsetzung des Kartellverbots
  • die Fusionskontrolle
  • die Missbrauchsaufsicht √ľber marktbeherrschende bzw. marktstarke Unternehmen
  • die √úberpr√ľfung der Vergabe √∂ffentlicher Auftr√§ge des Bundes
  • Verbraucherschutz‚Äú

Das Bundeskartellamt ist, um es auf den Punkt zu bringen, der H√ľter des fairen Wettbewerbs im deutschen Marktsystem. Datenschutz steht da eigentlich nicht auf dem Plan.

Das Monopol Facebook

In einer freien Marktwirtschaft ist es das Zusammenspiel von Angebot und Nachfrage, das dar√ľber entscheidet, welche Waren und Dienstleistungen zu welchen Preisen und Qualit√§ten ausgetauscht werden. Der Wettbewerb f√ľhrt zu Auswahl- und Ausweichm√∂glichkeiten, was Kunden oder Lieferanten erfreut und f√ľr einen lebhaften Markt sorgt. Bei Facebook ist das BKartA jetzt eingeschritten, weil Facebook seinen Nutzern keine Wahl l√§sst. Wer dabei sein will, muss zustimmen, dass das Unternehmen Daten sammelt und zusammenf√ľhrt.

F√ľr die obersten Wettbewerbsh√ľter fehlt es am Merkmal der Freiwilligkeit. Damit ist dies auch nicht im Sinne der DSGVO, die eine ausdr√ľckliche Zustimmung verlangt. Jeder Internetnutzer kennt das, wenn er gefragt wird, ob Cookies gesetzt werden d√ľrfen. Aus Sicht des Kartellamtes missbraucht Facebook seine √ľberragende Stellung am Markt, denn Nutzer k√∂nnen praktisch nicht auf Alternativen ausweichen.

Der BGH gibt dem BKartA recht

Der Bundesgerichtshof hat, √ľberraschend deutlich, die Aussetzungsanordnung des OLG D√ľsseldorf aufgehoben. Der zust√§ndige Senat am BGH st√ľtzt somit die Auffassung des Bundeskartellamts. Er begr√ľndet seine Entscheidung damit, dass es keine ernsthaften Zweifel g√§be, dass Facebook in Deutschland eine marktbeherrschende Stellung innehabe und dass es die vom Kartellamt verbotenen Gesch√§ftsbedingungen missbraucht habe.

‚ÄěFacebook muss den Nutzern die M√∂glichkeit geben, weniger √ľber sich selbst preiszugeben ‚Äď vor allem das, was sie au√üerhalb von Facebook preisgeben‚Äú,

so der vorsitzende Richter Meier-Beck.

Der vorliegende Fall zeigt wie das Datenschutzrecht sich mit anderen Rechtsgebieten verzahnen lässt. Als Einfallstor in den Datenschutz dient hier das Kartell- und Wettbewerbsrecht. Dabei geht es einerseits um eine rechtlich hochinteressante aber gleichzeitig komplexe juristische Fragestellung, deren Beantwortung weitreichendere Auswirkungen haben kann. Denn Deutschland ist das erste Land, das untersucht, ob die Datenmarktbeherrschung ein kartellrechtliches Problem darstellt. Im Bereich des Kartellrechts betritt man somit totales Neuland.

Was hei√üt das f√ľr den Nutzer?

Anderseits ist es auch aus Sicht der Nichtjuristen ein interessanter Fall. Facebook ist im Alltag dauerhaft gegenw√§rtig und die Verarbeitung von Daten wird immer umfassender. Eine Einschr√§nkung der Datenverarbeitung von Facebook wird f√ľr jeden sp√ľrbar. Nur wie wird es Facebook umsetzen? Ein technischer Ansatz w√§re m√∂glich. So k√∂nnte auf die Verarbeitung in dem oben genannten Ma√üe g√§nzlich verzichtet werden. Das w√ľrde aber dem Gesch√§ftsmodell zuwiderlaufen und w√ľrde Facebook eine gro√üe Einnahmequelle verwehren. Der Weg √ľber einen rechtlichen Ansatz ginge nur √ľber eine nunmehr datenschutzrechtlich konforme Einwilligung.

Aber auch hier w√ľrden sich neue Probleme stellen. W√§hrend bei neuen Nutzeranmeldungen unproblematisch eine entsprechende Einwilligung eingeholt werden kann, sieht es bei bereits registrierten Nutzern schwieriger aus. Was passiert n√§mlich, wenn ein Nutzer seine Einwilligung nachtr√§glich nicht erteilt? Folgerichtig m√ľsste Facebook die Daten l√∂schen. Hier k√∂nnte eine Menge Arbeit auf das Unternehmen zukommen, denn bei der Masse an Nutzern wird es sicherlich nicht nur bei vereinzelten Verweigerungen bleiben.

Auch wenn die Entscheidung des BGH nur einen Etappensieg darstellt, weil Facebook gegen das Kartellamt weiter vor Gericht in D√ľsseldorf klagen kann. Dennoch ist es wegen der problematischen Umsetzung ein schwerer Schlag, denn bis zur Entscheidung im Klageverfahren muss das Verbot eingehalten werden. Ein spannender n√§chster Akt steht uns wohl bevor.


Gefällt Ihnen der Beitrag?

Dann unterst√ľtzen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: BGH schr√§nkt Datenverarbeitung durch Facebook ein.

Aufgaben und Befugnisse der Datenschutzaufsichtsbehörde

Aufgaben und Befugnisse der Datenschutzaufsichtsbehörde

Die datenschutzrechtlichen Aufsichtsbehörden in Deutschland haben eine Vielzahl verschiedener gesetzlich verankerter Aufgaben und Befugnisse, die in diesem Beitrag aufgezeigt werden.

Europäische und nationale Datenschutzaufsichtsbehörden

Neben den nationalen Datenschutzaufsichtsbeh√∂rden gibt es auch die europ√§ische Datenschutzaufsichtsbeh√∂rde, die aus der Artitel-29-Datenschutzgruppe hervorgegangen ist und mit eigener Rechtspers√∂nlichkeit ‚Äěsui generis‚Äú gem. Art. 68 Abs. 1 DSGVO ausgestattet ist. Mitglied dieser europ√§ischen Datenschutzaufsichtsbeh√∂rde ist gem. Art. 68 Abs. 3 DSGVO der Leiter der nationalen Aufsichtsbeh√∂rde. Im Falle der Bundesrepublik Deutschland ist der Bundesbeauftragte f√ľr Datenschutz und Informationsfreiheit (BfDI) gem. ¬ß 17 Abs. 1 S. 1 BDSG Teil dieser Aufsichtsbeh√∂rde und vertritt nach dort den Standpunkt aller deutscher Aufsichtsbeh√∂rden.

Die europ√§ische Datenschutzaufsichtsbeh√∂rde trifft rechtsverbindliche Entscheidungen, deren Umsetzung den nationalen Aufsichtsbeh√∂rden obliegt. Sie handelt dabei weisungsfrei und unabh√§ngig. Um die einheitliche Umsetzung der datenschutzrechtlichen Vorgaben auf europ√§ischer Ebene zu erreichen, steht ihr auch die verbindliche Aufsicht √ľber alle Aufsichtsbeh√∂rden der Mitgliedsstaaten zu.

Nationale Datenschutzaufsichtsbehörden in Deutschland

Jedes Bundesland hat gem. ¬ß 40 BDSG eine Landesdatenschutzbeauftragten, d.h. es gibt insgesamt 16 Landesdatenschutzbeauftragte in Deutschland. Diese sind grunds√§tzlich sowohl f√ľr √∂ffentliche als auch nicht-√∂ffentliche Stellen (d.h. Unternehmen) gleicherma√üen zust√§ndig.

Anders verh√§lt es sich in Bayern, wo es zu dem Landesdatenschutzbeauftragten, der f√ľr √∂ffentliche Landesstellen zust√§ndig ist, noch die Landesaufsichtsbeh√∂rde f√ľr nicht √∂ffentliche Stellen (Unternehmen) gibt.

Ber√ľcksichtigt man noch den Bundesbeauftragten f√ľr Datenschutz und Informationsfreiheit gibt es insgesamt 18 Aufsichtsbeh√∂rden in Deutschland (16x Landesdatenschutzbeauftragte, 1x BfDI und 1x BayLDA). N√§heres hierzu inklusive Kontaktdaten zu den einzelnen Aufsichtsbeh√∂rden haben wir in diesem Artikel dargestellt: Datenschutzbeauftragte von Bund und L√§ndern

Stellung der nationalen Datenschutzaufsichtsbehörden

Die Stellung des Bundesbeauftragten f√ľr den Datenschutz und die Informationsfreiheit manifestiert sich in ¬ß 18 BDSG, wohingegen sich die Stellung der nationalen Aufsichtsbeh√∂rden, also der 16 Landesdatenschutzbeauftragten und des BayLDA, aus Art. 52 DSGVO ergibt. Letztere handeln unabh√§ngig und weisungsfrei, ohne direkte oder indirekte Beeinflussung von au√üen, um eine einheitliche Anwendung der DSGVO herbeizuf√ľhren und deren Umsetzung zu √ľberwachen und die Zusammenarbeit der Aufsichtsbeh√∂rden untereinander zu gew√§hrleisten.

Grunds√§tzlich sind die nationalen Aufsichtsbeh√∂rden nur im Hoheitsgebiet ihres Mitgliedsstaates nach Art. 55 Abs. 1 DSGVO. Bei Grenz√ľberschreitenden Datenverarbeitungen gibt es jedoch die M√∂glichkeit einer federf√ľhrende Aufsichtsbeh√∂rde gem. Art. 56 DSGVO i.V.m. Art. 60 DSGVO, die von der √∂rtlich zust√§ndigen Aufsichtsbeh√∂rde zu unterrichten ist. Als federf√ľhrende Aufsichtsbeh√∂rde kommt die Aufsichtsbeh√∂rde (One Stop Shop) in Betracht, in deren Zust√§ndigkeitsbereich sich die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen befindet.

Zu beachten ist jedoch, dass eine √úbertragung der Zust√§ndigkeit auf die federf√ľhrende Aufsichtsbeh√∂rde dann nicht in Frage kommt, wenn der Verantwortliche die Daten nach

  • Art. 6 Abs. 1 S. 1 c DSGVO zur Erf√ľllung einer rechtlichen Verpflichtung erforderlich verarbeitet oder nach
  • Art. 6 Abs. 1 S. 1 e DSGVO zur Erf√ľllung einer Aufgabe im √∂ffentlichen Interesse erforderlich verarbeitet wird oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt.

Aufgabenkatalog der nationalen Datenschutzaufsichtsbehörden

Ein umfangreicher Aufgabenkatalog, den die deutschen Datenschutzaufsichtsbeh√∂rden in ihrem jeweiligen Hoheitsgebiet zwingend zu erf√ľllen haben, findet sich in Art. 57 DSGVO. Daneben existiert

  • noch der Verweis aus Art. 57 Abs. 1 lit. v DSGVO ‚Äěder jede sonstige Aufgabe im Zusammenhang mit personenbezogenen Daten‚Äú als Aufgabe miteinbezieht
  • sowie die √Ėffnungsklauseln f√ľr die Mitgliedsstaaten f√ľr Aufgabenzuweisungen aufgrund nationaler Gesetze.

Mit diesen gesetzlichen Regelungen hat die DSGVO die Aufgaben der Datenschutzaufsichtsbehörde ausgeweitet.

Unterteilung der Aufgaben nach Interessensgruppen

Die Aufgaben, die die Datenschutzaufsichtsbeh√∂rde nach der DSGVO und den Erw√§gungsgr√ľnden EG 123 sowie EG 132 wahrnehmen muss, bestehen gegen√ľber verschiedenen Interessensgruppen

  • der √Ėffentlichkeit
  • nationalen Parlamenten, Regierungen, Beh√∂rden inkl. anderer Aufsichtsbeh√∂rden
  • den Betroffenen
  • den Auftragsverarbeitern
  • den Verantwortlichen

Hauptaufgaben der Datenschutzaufsichtsbehörde

Zu den elementaren Aufgaben der Datenschutzaufsichtsbehörde zählen

  • die Bearbeitung von Anfragen und Beschwerden der Betroffenen in Art. 57 Abs. 1 lit. e, f DSGVO
  • die Untersuchung √ľber die Durchf√ľhrung der DSGVO (Art. 57 Abs. 1 lit h DSGVO) anzustellen
  • die Durchf√ľhrung der DSGVO zu √ľberwachen und durchzusetzen
  • die Verantwortlichen f√ľr die Verpflichtungen aus der DSGVO zu sensibilisieren.

Zu den weiteren Aufgaben zählen unter anderem

  • die Black- und Whitelisten f√ľr die Datenschutz-Folgenabsch√§tzung
  • die Pr√ľfung von Zertifizierungen und deren Erteilung
  • die Festlegung von Kriterien f√ľr den internationalen Datenverkehr
  • die Festlegung von Standardvertragsklauseln

Befugnisse der nationalen Datenschutzaufsichtsbehörden

Um diese Aufgaben erf√ľllen zu k√∂nnen und das Ziel, die Schaffung eines gleichwertigen Datenschutzniveaus innerhalb der EU mittels eines einheitlichen Vollzugsrahmens zu erreichen (s. EG 123, EG 129) , beh√§lt sie zum einen die Entwicklungen der Informations-/Kommunikationstechnologie in der Unternehmenspraxis im Auge und wird in Art. 58 DSGVO mit einem umfangreichen Befugniskatalog ausgestattet, um die √úberwachung und Durchsetzung der DSGVO zu erreichen. Die Befugnisse lassen sich in folgende Kategorien unterteilen:

  • Untersuchungsbefugnisse Art. 58 Abs. 1 DSGVO (mit und ohne Anlass)
  • Abhilfebefugnisse Art. 58 Abs. 2 DSGVO
  • Genehmigungsbefugnisse und beratende Befugnisse Art. 58 Abs. 3 DSGVO

Geldbußen zur Durchsetzung von Befugnissen

Daneben gibt es noch die Möglichkeit der Geldbußen nach Art. 83 DSGVO. Insbesondere verdeutlicht Art. 83 Abs. 2 DSGVO i.V.m. Art. 58 Abs. 2 DSGVO, dass die Aufsichtsbehörde ihre Befugnisse mittels verhängter Geldbußen nachhaltig durchsetzen kann. Es steht der Datenschutzaufsichtsbehörde frei, die Geldbuße anstelle einer Abhilfemaßnahme oder zusätzlich hierzu, zu verhängen. Die Geldbuße soll vor allem wirksam, verhältnismäßig und abschreckend sein, wie sich aus dem DSK: Modell zur Berechnung von DSGVO Bußgeldern ergibt.

F√ľr den Verantwortlichen von wesentlicher datenschutzrechtlicher Bedeutung ist in der t√§glichen Praxis die Beratungsfunktion der Datenschutzaufsichtsbeh√∂rde. Nicht nur die H√∂he der m√∂glichen Geldbu√üen auch das Verlangen vieler, sich rechtstreu zu verhalten, veranlasst Verantwortliche Hilfe bei den Beh√∂rden hinsichtlich der Behandlung gewisser Sachverhalten zu erlangen. Inwieweit die Beratung des Verantwortlichen in der Tat zu den Befugnissen der Datenschutzaufsichtsbeh√∂rde z√§hlt, wird in einem nachfolgenden Artikel behandelt.


Gefällt Ihnen der Beitrag?

Dann unterst√ľtzen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt urspr√ľnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und nat√ľrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Aufgaben und Befugnisse der Datenschutzaufsichtsbeh√∂rde.