DSGVO

Aufgrund der vielen Unklarheiten, die durch den Ablauf der EU-Datenschutzgrundverordnung iVm. dem BDSG-neu entstanden sind, folgt an diesem Platz eine Sammlung von Hinweisen, die sich insbesondere an die Piratenpartei richten.

Zunächst einmal ist festzustellen, dass es eine Reihe an Fehleinschätzungen gibt, da es vergleichbare Pflichten auch schon vor Ablauf der DSGVO-Übergangsfrist am 24.05.2018 gegeben hat. Offensichtlich haben sich aber viele nicht darum gekümmert, daher entwickelt sich eine Art Panik, die wohl die hohen Bußgelder begründet sind, die bei Verstößen drohen. Das ist aber alles seit über zwei Jahren bekannt.

Und nun die Tipps oder Erklärungen im Einzelnen:

DSGVO#01

Obwohl die EU-Cookie-Richtlinie in Deutschland nicht explizit umgesetzt worden ist, ist sie sinngemäß nach § 15 Abs. 3 TMG einzuhalten.

Ab 25.05.2018 ändert sich das, da Art.6, Abs.1, lit.f DSGVO gilt und eine VO keine Richtlinie ist:

„…die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…”.

Ich habe ohne Präferenz in den vom mir verwalteten WordPress-Websites, die irgendwie mit der Piratenpartei in Zusammenhang gebracht werden könnten ein Plugin im Einsatz getestet, das recht komfortabel ist: „Cookie Notice“ von https://dfactory.eu/ . Hier kann mit wenig Aufwand gearbeitet werden.

Und ja, es gibt bestimmt eine Vielzahl von anderen Plugins anderer Hersteller.


DSGVO#02

Nach den Artt. 13, 14 DSGVO sind umfangreiche Informationspflichten und Auskunftsrechte zu beachten. Ich bitte darum, geeignete Maßnahmen zu treffen und rechtzeitig online verfügbar zu haben. Frist für der Beantwortung von Auskunftsbegehren: unverzüglich – maximal 1 Monat, Art. 12 Abs. 3 DSGVO.


DSGVO#03

Im Rahmen des Inkrafttretens der DSGVO werden vermehrt Auskunfts- und Löschanfragen an die Verantwortlichen gestellt werden. Hierfür ist das entsprechende Personal vorzuhalten, da die Anfragen binnen kurzer Frist beantwortet werden müssen:

Der Löschanfrage des Userprofils ist in der Regel nachzukommen, sofern es sich nicht sogenannte „Personen des öffentlichen Lebens“ handelt.

Technisch ist das Löschen keine „Löschung“ sondern eine Sperrung, da das Userprofil nicht faktisch aus der Datenbank entfernt werden kann, sondern lediglich mit einem anonymen Account zusammengeführt wird. Es kann auch nicht verlangt werden, dass alle Backups diesem Prozess unterzogen werden. Allerdings ist darauf zu achten, dass beim Einspielen eines Backups die gesperrten Daten nicht wieder sichtbar werden.

Der ggfls. verständliche Wunsch des Users, seinen Klarnamen aus allen Seiten (die er _nicht_ selbst editiert hat) zu entfernen, bedarf eines Nachweises der Verhältnismäßigkeit oder eine ganz konkrete Benennung der entsprechenden Seite. Ist die Löschung mit relativ kleinem Aufwand zu erledigen, ist dem Löschungsbegehren nachzukommen, es sein denn, der User ist eine „Person des öffentlichen Lebens“, hat einen wichtigen Posten innerhalb der Piratenpartei bekleidet und der Eintrag steht in einem Zusammenhang mit diesen Voraussetzungen. Hier muss ebenfalls nach Verhältnismäßigkeit und Zweckmäßigkeit abgewogen werden.

Wenn sich der Klarname über die im Wiki vorhandene Suchfunktion leicht finden lässt, wäre dem Löschbegehren nachzukommen.

„Leider” hat das Wiki eine Versionskontrolle. Auch hier stellt sich dann die Frage des Nachweises der Verhältnismäßigkeit, die zunächst einmal der User begründen muss.


DSGVO#04

An der Notwendigkeit einen Datenschutzbeauftragten zu benennen (ehemals zu bestellen), hat sich für die Piratenpartei Deutschland und großen Untergliederungen nichts geändert. Die Artt. 37ff DSGVO regeln das iVm. § 38 BDSG-neu.

Eine entsprechend neue Benennung des DSB gegenüber der Aufsichtsbehörde ist nicht zwingend notwendig, wenn die Behörde bereits eine entsprechende Mitteilung nach BDSG-alt erhalten hat. Ich empfehle dies dennoch zu tun, damit die Behörde nicht aufgrund von „Irritationen“ selbst tätig wird.


DSGVO#05

Das bisherige Datenschutzrecht sah eine sog. „Verpflichtung auf das Datengeheimnis“ vor. § 5 BDSG a.F. lautete: „Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Eine vergleichbar klare und eindeutige Regelung ist in der DSGVO nicht mehr enthalten. Insoweit stellt sich datenverarbeitenden Organisatione die Frage, ob die klassische Verpflichtung auf das Datengeheimnis weiterhin eine Zukunft hat. Falls eine derartige förmliche Verpflichtung der Mitarbeiter notwendig bleibt, könnte ggf. ein Update der Alt-Verpflichtungen notwendig sein.

Nach Art.5 DSGVO iVm. mit dem Erwägungsgrund 39 gelten allerdings die „Grundsätze für die Verarbeitung personenbezogener Daten“ insbesondere ist nach Abs. 2 der Verantwortliche „für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Insofern bleibt eine Verpflichtungserklärung sinnvoll und wichtig, wenn auch aus einem anderem Grund.

Hinsichtlich der Belehrungen zum Datenschutz ist nicht mehr qua Amt der Datenschutzbeauftragte (siehe § 4g Abs. BDSG a.F.) zuständig, sondern die/der Verantwortliche.

Natürlich kann man auch zertifizierte Beratungsunternehmen oder sogar den Datenschutzbeauftragten beauftragen. Wenn die/der Verantwortliche es „selbst“ machen möchte, muss jene/r die notwendigen Qualifikationen iSd. Art. 37 Abs. 5 nachweisen können. Letztlich ist es eine Frage der Haftung des/der Verantwortlichen.

Der DSB ist nunmehr zuständig für die Überwachung aller dieser Maßnahmen, um nicht seinerseits in eine Haftungssituation zu geraten.


DSGVO#06

hinsichtlich Fotos und der DSGVO hält sich hartnäckig das Gerücht, dass jetzt jeder Einzelne auf einem Parteitag  oder einer anderen Versammlung schriftlich sein Einverständnis zu erteilen hat, das dann auch noch widerrufen werden kann.

Dem ist nicht so.

Richtig ist, dass Fotoaufnahmen auf Veranstaltungen jetzt der DSGVO unterliegen. Nach Art. 85 Abs. 1 iVm. dem Erwägungsgrund 153 gibt für die Mitgliedstaaten die Möglichkeit, eigene Regelungen zu treffen (Öffnungsklausel).

Diese Öffnungsklausel nutzt das KunstUrG mit dem bekannten §23.

https://www.gesetze-im-internet.de/kunsturhg/__23.html

Hier ergeben sich also keine Unterschiede gegenüber früher.

Allerdings gilt dies nur für Fotos von Veranstaltungen, auf den Menschen sozusagen als Menge zu erkennen sind. Etwas anderes gilt für die Aufnahme einzelner Personen (bis hin zum Portraitfoto).

Hier ist abzuwägen, weil Art. 7 DSGVO den Einwilligungsvorbehalt enthält. Zu beachten ist, dass eine solche Einwilligung jederzeit widerrufen werden kann. Misslich für Fotos im Web.

Veranlasst der Veranstalter einer Versammlung Fotoaufnahmen, ist es hilfreich ein solches Einwilligungsformular vor Ort zur Verfügung zu haben.

Fotos für rein private Zwecke, ohne dass diese in irgendwelcher Form verarbeitet werden, fallen in der Regel nicht unter die DSGVO.

Weiterhin ist zu beachten, dass moderne Kameras (auch Smartphones etc.) Metadaten in die Fotos aufnehmen (auch Geodaten). Diese Daten sind nicht beim Betrachten des Fotos im Web zu erkennen, sondern nur wenn man sich die Foto-Datei näher anschaut. Und solche Daten (z.B. im Zusammenhang mit Gesichtserkennungssoftware) in der Foto-Datei sind höchst problematisch und sollten vor der Veröffentlichung nachhaltig entfernt werden.

Für Versammlungen empfehle ich im Übrigen, immer einen Privacy Bereich einzurichten, in denen jegliche Art von Bildaufnahmen untersagt ist, wenn die Örtlichkeit das hergibt.


DSGVO#07

Ein Wiki ist kein Medienserver.

Nicht umsonst hat das Wiki eine Upload-Begrenzung von 2 MB pro Datei (per Default sogar nur 1 MB). Das hat seinen guten Grund. Alle größeren Wikis funktionieren mit Verlinkungen oder halten eine entsprechende Hardware nebst einer gepflegten Software vor. Das Wiki der Piratenpartei Deutschland bedarf von Grund auf einer Generalüberholung. Welchen Umfang das Piratenwiki hat, kann man hier nachlesen: https://wiki.piratenpartei.de/Spezial:Statistik .

Größere Medien sollten daher an einem anderen Ort gespeichert werden, als innerhalb des Mediawikis. Möglicherweise kann eine sogenannte Cloud hilfreich sein. Gegenteilige Empfehlungen sind nicht nachvollziehbar.

Ich erinnere in diesem Zusammenhang an Art. 32 DSGVO Abs.1 lit b) :. …“ die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.“

Die Verantwortlichen der Piratenpartei sind verpflichtet, die Daten und Systeme zu sichern und zu schützen, ansonsten drohen nicht nur Schadenersatzforderungen gegen die Verantwortlichen selbst.


DSGVO#08

Die Verantwortlichen sind verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten (früher Verfahrensverzeichnis) einschließlich der Verarbeitungsbeschreibungen zu erstellen und vorzuhalten. Das war seit Inkrafttreten des BDSG-alt –  also schon vor Gründung der Piratenpartei – auch schon so. Man hat bisher unterschieden zwischen einem „öffentlichen Verfahrensverzeichnis“ und den internen Verarbeitungsbeschreibungen.

Die Veröffentlichung ist jetzt weggefallen (daher macht es auch keinen Sinn, diese weiterhin auf Webseiten vorzuhalten). Allerdings ist das Verzeichnis der Verarbeitungstätigkeiten inklusive aller Anlagen auf Verlangen der Aufsichtsbehörde unverzüglich zur Verfügung zu stellen; dafür muss man es haben und natürlich für den eigenen Überblick nebst der notwendigen Überprüfungsmaßnahmen.

Es gibt eine interessante Ergänzung zu Art. 30 DSGVO ( „… in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen“) durch  § 70 BDSG-neu. §70 kennt diese Erleichterung nicht und verschärft die Regelung, dass „…eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1“ enthält, in „hat zu enthalten“ statt „wenn möglich” (also verpflichtend).

Abgesehen davon verarbeitet die Piratenpartei besonders schützenswerte Daten und somit wären „Erleichterungen” obsolet.

Hinweise des LDI-NRW zum Verzeichnis von Verarbeitungstätigkeiten:
https://owncloud.ag-technik.de/owncloud/index.php/s/xVo7sCfeiWFqVDv

Mein Tipp: Umgehend die fehlenden Verarbeitungsbeschreibungen in das Verzeichnis der Verarbeitungstätigkeiten einarbeiten und das nunmehr überflüssige, öffentliche Verfahrensverzeichnis löschen.


DSGVO#09

Nachdem sich jetzt eine Reihe an Landes-Aufsichtsbehörden zum Thema Datenschutz-Folgenabschätzung (DS-FA) geäußert haben, geht aus Art. 35 Abs. 4 iVm. § 38 Abs. 1 BDSG-neu klar hervor, dass diese Datenschutz-Folgenabschätzung von den Datenschutzbeauftragten übernommen werden muss (und sich indirekt daraus eine Bestellungspflicht auch für Kleinstunternehmen /-organisationen ergibt).

„… Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen...“

„… Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese….“

Kriterien hierfür sind bei einigen Landes-Aufsichtsbehörden erhältlich (vermutlich wird das vereinheitlicht). Die LDI NRW und BB haben hier ihre Kriterien veröffentlicht:

https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/Liste-Art-35-4-NRW-NOeB_v1_.pdf

http://www.lda.brandenburg.de/media_fast/4055/DSFA_Muss-Liste_allgemein_180525.pdf

Unter Punkt 14 „Anonymisierung von besonderen Arten personenbezogener Daten nach Artikel 9“ sind auch Parteien gemeint, denn sie verarbeiten besonders schützenswerte Daten.

Die Verarbeitung personenbezogener Daten, aus denen … politische Meinungen … hervorgehen…“

Daher ist es notwendig, dass ein DSB organisatorisch in die Lage versetzt wird, die Datenschutz-Folgenabschätzung überhaupt durchzuführen.

Noch nicht ganz klar ist, es wie kleinlich das gesehen wird, also wo die Benennungspflicht nun aufhört (Größe des KV).


DSGVO#10

Im Nachgang zu meinen Anmerkungen (DSGVO-09/18-sk) zur Datenschutz-Folgenabschätzung (DS-FA) weise ich auf das PIA-Tool (Privacy Impact Assessment) hin, das von der französischen Datenschutzaufsichtsbehörde (CNIL) entwickelt worden ist. Dies liegt jetzt in einer deutschen Übersetzung vor, ist etwas gewöhnungsbedürftig, aber recht hilfreich.

Das PIA-Tool wird ständig verbessert und ist Open Source.

Es belegt zudem den Stellenwert der DS-FA, die nicht einfach ignoriert werden sollte, wie das häufig in der Piratenpartei üblich ist.

https://www.datenschutz-bayern.de/technik/pia-tool.html

Link zum Download (Windows (32/64 Bit): https://www.datenschutz-bayern.de/download/PIA.Setup.1.6.3.2.exe


Wird fortgesetzt.