DSGVO kaum umsetzbar?

12. Oktober 2020 08:43 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Immer neue Nachrichten erreichen uns zu den DSGVO/GDPR/BDSG … immer neue Strafen. 16 Millionen-Strafe in Italien, knapp 10 Millionen bei 1&1. Besonders interessant unter dem Gesichtspunkt Informationsmanagement ist die Strafe für die Deutsche Wohnen. Dort ging es um den Zugang zu einem elektronischen Archiv und die dort gespeicherten Informationen.

Elektronische Archive dienen zur unveränderbaren Aufbewahrung geschäftsrelevanter Informationen und unterstützen in älteren Versionen kein gezieltes Herausfinden und Löschen von personenbezogenen Daten. Die Altlasten der elektronischen Archivierung mit WORM-Verfahren stellen so ein erhebliches Risiko für die Unternehmen dar – besonders für jene, die sehr früh mit Archivierung begonnen haben und jetzt eine kritische Altlast mit sich herumschleppen. Eine grundsätzliche Frage ist daher, ob die Prinzipien der Archivierung den Vorgaben der DSGVO widersprechen. Und natürlich, wie man „Altlasten“ umgeht, die vor den Zeiten der DSGVO entstanden sind.

In der Diskussion befindet sich auch eine Studie des BITKOM, des Verbandes der ITK-Hersteller und -Anbieter. Dort heißt es, die DSGVO behindere Innovation. Mehr als 90% der Unternehmen in Deutschland wünschen sich eine Änderung der DSGVO. Wenn man ehrlich ist, können Unternehmen, Organisationen, Behörden & Co. die DSGVO überhaupt nicht vollständig erfüllen – „vollständig“ ist das Stichwort. „Angemessenheit“ wäre ein zweites Stichwort. Bei Großunternehmen weiß man häufig überhaupt nicht, welche Informationen wo liegen. Sicherungen, unkontrollierte Redundanz, Sticks, Cloud-Sync-Speicher usw. machen das identifizieren und lokalisieren sehr schwierig. Hier wird vielfach auf die eierlegende Wollmilchsau KI Künstliche Intelligenz gehofft. Auch bei kleineren Unternehmen und Einzelkämpfern sieht es schwierig aus – hier eine Excel, da eine alte Outlook OST, dort eine Sicherungsfestplatte aus alten Tagen. Es fehlt an Zeit und Kriterien alles richtig nachzuarbeiten. Häufig ist man als Nutzer nicht in der Lage zu bewerten, wann eine Information schützenswert nach DSGVO ist und wann nicht. Geschäftskorrespondenz muss nach Handels- und Steuerrecht aufbewahrt werden und wenn sich dann persönliche Informationen z.B. in die Korrespondenz einschleichen muss entschieden werden, wie damit umzugehen ist. Problemfelder gibt es viele. Aber das die DSGVO Innovation behindern? Ist es nichts o, dass wir wegen der DSGVO mehr Innovation brauchen und der Druck auf Innovation sich erhöht?

Aktuell schlagen die Wellen hoch in Bezug auf Microsoft mit seiner 365-Plattform. Mit Sharepoint, Teams, Office und OneDrive gibt es eine Vielfalt von Speicherorten. Microsoft hat in diesem Bereich in Punkto Records Management und Information Governance einiges an neuen Werkzeugen gebracht, aber die grundsätzliche Frage der Speicherung und Übermittlung von Information ist nach Meinung der Datenschützer offener denn je. Die Speicherung in einem deutschen Rechenzentrum ist nicht ausreichend, wenn weiterhin Datenabfluss in die USA passiert. Die Meinung der Datenschützerkonferenz lädt zu Umgehungen geradezu ein, denn wie will man gerade in Corona-Zeiten die notwendige Collaboration und Heimarbeit mit US-amerikanischen Produkten verbieten. Cloud ist nicht im Public Cloud. Neben SaaS gibt es IaaS, PaaS und vielfältige hybride Formen. Diese erlauben verschlüsselte Kommunikation und verschlüsselte Plattformen. Eine generelles Verteufeln eines Anbieters und einer bestimmten Lösungsausprägung hilft hier nicht weiter – auch wenn Microsoft einiges noch tun muss, damit die DSGVO/GDPR eingehalten wird (den sogenannten privacy Shield vergessen wir einmal …).

Das Wichtigste ist, glauben wir, dass jetzt ein größeres Bewußtsein für den Umgang mit Information und den Schutz von Daten gewachsen ist. Auch wenn nicht alles erfüllt wird (oder werden kann), was die DSGVO verlangt, so sind wir jedoch auf dem richtigen Weg. Schutz personenbezogener Daten ist dabei nur ein Aspekt. Es geht generell um die Information Governance, die Beherrschung der Information. Neben der DSGVO gibt es noch viele andere gesetzliche Vorgaben, die ein geordnetes Verwalten und Nutzen von Information erfordern: HGB nebst GoBD für die kaufmännischen Daten, GeschGehG für den Schutz vertraulicher Daten, IT-SIG für die Sicherheit in kritischen Bereichen, usw. Genauso wichtig wie die Compliance-Aspekte sind die Wirtschaftslichkeitseffekte – die richtige Information oder aufwändiges Suchen sofort zu erhalten, keine veralteten oder falschen Informationen. Von Zuhause oder unterwegs mobil arbeiten zu können mit Zugriff auf alle wichtigen Daten. Workflows und Process Automation um mehr Qualität, Schnelligkeit und Sicherheit in Geschäftsprozesse zu erhalten. Es gibt viele weitere Argumente für eine übergreifende Information Governance, die natürlich den Datenschutz als einen Grundpfeiler einschließt. Datenschutz gehört so gesehen in die Infrastruktur aller technischer Lösungen wie auch in Organisation und Prozesse und besonders in das Wissen und Verhalten der Mitarbeiter.

Dass die aktuellen DSGVO noch nicht der Weisheit letzter Schluss sind, ist allen klar. Beim weiteren Zusammenwachsen Europas, beim Digital Single Market (DSM), wird auch die Themen Datenschutz, Vertraulichkeit, Sicherheit und Ethik immer wieder neu beleuchtet werden. Aktuell müssen wir mit der GDPR, bzw. DSGVO/BDSG so leben wie sie ist. Und viele relevante „Interpretationen“ durch Urteile stehen noch aus.

Zu diesen – und anderen – Themen rund um die DSGVO gibt es am 13.10.2020 um 08:51 in der Reihe „9vor9“ von Stefan Pfeiffer und Lars Basche eine Podcast-Session auf Twitter. Die Aufzeichnung werden wir hier in einem Kommentar veröffentlichen, bzw. auf Youtube verlinken.

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

6 Kommentare zu “DSGVO kaum umsetzbar?

  • Office 365 & Datenschutz
    23. Oktober 2020 um 10:23
    Permalink

    Eines der Argumente gegen den Einsatz von Office 365 mit Teams, Sharepoint online und OneDrive ist, dass man mit Office 365  (und auch anderen Video-Conferencing-Tools) nicht Datenschutz-konform arbeiten könne. So die Datenschutzkonferenz des Bundes und der Länder (DSK) am 22. September 2020 verabschiedet, dass derzeit „kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist“.  Die Abstimmung der Landesdatenschützer war mit 9:8  knapp. Fokus war dabei der Einsatz von Microsoft Office in der öffentlichen Verwaltung und die Dominanz von Microsoft-Produkten. Es macht seither die Aussage die Runde, dass der Einsatz von Office 365 „verboten“ sei.

    Vorab ist zu konstatieren, dass es einen Unterschied zwischen „Datenschutz-konformer Nutzung“ und „Produkt ist nicht Datenschutz-konform“ gibt. Das Arbeitspapier der DSK vom Juli 2020 basierte auf der Fassung der Nutzungsbedingungen, den Bedingungen der Auftragsdatenverarbeitung,  AGB und Datenschutzerklärung für Teams. Diese Dokumente  hatten den Stand Januar 2020. Bemängelt wurden weiche Formulierungen und dass ein Datenabfluss in die USA nicht ausgeschlossen sei. Inzwischen hat Microsoft zahlreiche Ergänzungen und Verbesserungen vorgenommen, wie z.B. im Records Management und bei der Information Governance. Viele andere Standardprogramme bieten nicht den Umfang der Funktionalität zur Verwaltung der Software, Berechtigungen und Sicherheitseinstellungen wie Microsoft Office 365. Microsoft gibt auf ihrer Webseite inzwischen auch aktualisierte Hinweise zur DSGVO-konformen Einsatz.

    Die BRAK Bundesrechtsanwaltkammer schloss sich der Kritik an Office 365 an. Viele Anwälte jedoch, die sich mit Internet-Recht beschäftigen, haben inzwischen die Aussagen der DSK in Frage gestellt und relativiert. Es ist letztlich auch eine Frage, wie die Politik und Verwaltung Einfluss auf die Produktgestaltung von Microsoft nehme. RA-Kanzlei Luther verweist hier auf das Beispiel Niederlande. RA Dr. Schwenke gibt Praxis-Tipps wie Office 365 genutzt werden kann. Auf Dr. Datenschutz werden Hinweise zu den Einstellungen gegeben, um Datenschutz-konform Office 365 zu nutzen. Auch RA Nina Diercks gibt eine Einordnung, dass es sich keineswegs um ein Verbot des Einsatzes von Office 365 handelt.

    Letztlich kann man nicht einfach ein nützliches, weit verbreitetes Standardprodukt „verbieten“ wenn man nicht gleichzeitig eine Alternative aufzeigen kann. Hier hat sich gerade die öffentliche Verwaltung mit ihren Open-Source-Projekten nicht gerade mit Ruhm bekleckert. Es ist nun an Microsoft, weitere Verbesserungen und Konkretisierungen bzgl. der Konformität mit GDPR/DSGVO (nicht nur für Deutschland, zumindest für die gesamte EU) vorzunehmen. Dies heißt aber auch, Bereitschaft zur Kooperation der Datenschützer und nicht nur pauschale Ablehnung.

     

    Antwort
  • Datenschutz & Videokonferenz-Software
    6. November 2020 um 12:57
    Permalink

    Die DSK Deutsche Datenschutzkonferenz präferiert in ihrer „Orientierungshilfe Videokonferenzsysteme“ (https://bit.ly/38fuEjB) OpenSource-Produkte wie JITSI (https://bit.ly/353b7kv) . Installation solcher Lösungen auf eigener Hardware erfordert passende Betriebsumgebungen und Knowhow. Nach Meinung vieler Experten stellen OpenSource-Produkte für kleine Unternehmen und private Nutzer jedoch keine Alternative dar. Für Privatleute gibt es dann noch Alternativen in der Cloud wie Threema, Netways oder sichere-videokonferenz.de. Positiv bewertete die DSK auch Tixeo Cloud, BigBlueButton von Werk21 und den Messenger-Service Wire. Die weitverbreiteten Standardlösungen der internationalen Anbieter wie Zoom, Microsoft Teams/Skype, Cisco Webex, GoToMeeting, Google Meet, etc., werden als nicht-datenschutz-konform betrachtet.

    Ob sich diese Einschätzung angesichts der Marktmacht, der Einfachheit der Nutzung, der kostenfreien Nutzbarkeit und der Verbreitung durchsetzen wird, kann bezweifelt werden. Zumal die internationalen Anbieter auch viel daran setzen werden, ihre Lösungen für Europa, also GDPR-compliant zu gestalten. Dies wird auch schon auf Grund der Regelungen in den USA notwendig werden, wo Kalifornien bereits ein neues, der GDPR, sehr ähnliches Datenschutzgesetz verabschiedet hat (CPRA). Außerdem kann man mit ein paar zwischen den Teilnehmern oder im Unternehmen vereinbarten Regeln (z.B. in Bezug auf die Aufzeichnung von Sitzungen, Nicht-Zeigen und Nicht-Hochladen von Dokumenten, anonymisierten Nutzern mit eigens für das Conferencing erstellen E-Mail-Adressen, etc.) durchaus konform mit den Standardwerkzeugen arbeiten.

    Antwort
  • Unseriöser Datenschutz
    11. November 2020 um 15:58
    Permalink

    Es wurde zudem kolportiert, dass die „Datenschützer“ gar keine eigenen Messungen des Produktes vorgenommen haben. Bei Microsoft gibt es auch nicht mehr das Produkt Office 365 sondern nur noch Microsoft 365. Das „Datenschützer“ Urteil ist also in etwa so relevant als wenn man Windows 7 untersucht, um ein Urteil über Windows 10 zu fällen. Also erst mal in hohem Masse unsachlich.
    Das Votum 9/8 zeigt deutlich, wie in der deutschen Provinz Datenschutz verwillkürt wird. Bei dem selben Recht der DSGVO kann es nicht zu unterschiedlichen Deutungen kommen, wenn man nicht auf das Recht pfeift, es verwillkürt. Meine Schlussfolgerung deshalb:
    1.) Die Datenschützer des Bundes und der Länder müssen unter Aufsicht gestellt, damit auch in den deutschen Provinzen europäisches Recht wie die DSGVO einheitlich und unverwillkürt angewendet wird.
    2.) Die DSGVO muss dringend überarbeitet werden, damit sie nicht nur zur Machtübernahme durch sachunkundige, schlampig arbeitende Datenschützer und zur Finanzquelle für das Umfeld-Ökosystem missbraucht wird, aber gleichzeitig der Staat in hohem Maße auf Datenschutz pfeift uns jetzt auch noch heimlich die elektronische Kommunikation insgesamt überwachen will, als gälte es Gestapo und Stasi wieder aufstehen zu lassen.

    Die Artikel in der neuen c/t und IX zum Datenschutz lassen einen erschauern. Man solle z.B. bei programmierbaren Kaffeeautomaten im Büro, in denen Benutzer Profile hinterlegen können, die Profile ausscheidender MAs löschen wegen Datenschutz. Das kommt davon, wenn man keine seriöse Risikoanalyse mit Schadensausmass und Eintrittswahrscheinlichkeit macht, um das Risiko zu bestimmen. Jeder Furz wird bei solche schlampiger Arbeit zum Weltuntergangsproblem hochgejazzt. Zu Lasten echten Datenschutzes und zum finanziellen Schaden von Organisation die IT verwenden. Diese Entartung des Datenschutzes mit extrem hohen Kosten und ohne Nutzen sollten wir bekämpfen. Sofort.

    Antwort
  • Unverhältnismäßiger Bundesdatenschutzbeauftragter
    11. November 2020 um 21:09
    Permalink

    Das Landgericht Bonn kürzt Bußgeld des Bundesdatenschutzbeauftragten Kelber von 9 Mio € auf 900.000 €. Auch dieses Beispiel zeigt, dass der Datenschutz bei uns völlig willkürlich aus dem Ruder läuft. Diese Unmäßigkeit von Datenschützern kann jeden von uns treffen. Die Datenschützer müssen unter Aufsicht gestellt werden und die Rechtsstaatlichkeit statt ihrer provinziell Willkür von mittelalterlichen Provinzfürsten als Plünderern beigebracht werden. Grauenhaft, was da unter „Datenschutz“ abläuft.https://newsroom.1und1.de/2020/11/11/urteil-im-verfahren-von-11-gegen-datenschutzbehoerde-gericht-reduziert-bussgeld-um-90-prozent/

    Antwort
  • Strafen bei Verstoß gegen DSGVo & GDPR
    2. März 2023 um 15:09
    Permalink

    Immer wieder werden Strafen bezüglich der Nichteinhaltung der DSGVO, bzw. in Europa der GDPR, bekannt. Der Wind ist rauher geworden und die Strafen fallen häufig höher aus.

    Auf https://www.enforcementtracker.com/?mc_cid=5f154b1d5b gibt es eine ständig aktualisierte Übersicht zu Strafen in Europa mit Begründung und Verlinkung. Die Datenbank hat inzwischen über 1600 Einträge. Besonders Irland verhängt hohe Strafen. Hier sind internationale Konzerne wie z.B. Meta, Microsoft und andere mit ihren Europa-Zentralen ansässig.  So wurden vom irischen DPA (DPC) gegen Meta z.B. für Verstöße gegen den Jugendschutz beim Datenschutz 405 Millionen €, 390 Millionen € wegen Verstößen bei der Verwendung persönlicher Daten bei personalisierter Werbung und 265 Millionen € nach dem Datenleck, bei dem Daten von 533 Personen gestohlen wurden. Die bisher höchste Einzelstrafe von  745 Millionen € erging in Luxemburg 2021 an Amazon. Die bisher höchste Strafe in Deutschland in Höhe von 35 Millionen € erging 2020 an den H&M Hennes & Mauritz Online Shop. Auch in 2023 gab es schon eine Reihe von Urteilen in Millionenhöhe in Europa.

    Für Deutschland gibt es eine Übersicht in der Computerwoche „Deutschlands schlimmste DSGVO-Sünder„. In 2022 wurden folgende hohen Strafen verhängt:

    • Brebau GmbH: 1,9 Millionen € für Verarbeitung von Daten von 9.500 Mietinteressentinnen und -interessenten
    • Volkswagen: 1,1 Millionen € für DSGVO-Verstöße bei der Erprobung eines Fahrassistenzsystems in Bezug auf den Datenschutz
    • Hannoversche Volksbank: 0,9 Millionen € für die Verwendung von Kundendaten bei der Werbung

    Diese drei Beispiele sind „Peanuts“ im Vergleich gegen die Verhängung von Strafen gegen große Internetkonzerne und auch Verstöße in anderen europäischen Ländern. Es wird immerhin deutlich, dass man um das Thema DSGVO, generell Datenschutz und auch Datensicherheit, im Digitalen Zeitalter nicht herumkommt. Mit der ePrivacy-Richtlinie der EU und anderen Gesetzesvorstößen im Rahmen des DSM Digital Single Market werden auch noch weitere straffähige Anlässe hinzukommen.

    Antwort

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, mit meinem Kommentar alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.