Bereits zum dreizehnten Mal veranstaltete der Weiterbildungsanbieter PraxisCampus der Deutschen Wirtschaft in Kooperation mit den privacyXperts die Praxistage Datenschutz in Köln. Auch die ascon-Datenschutz aus Nürnberg war – vertreten durch die Leiterin der Datenschutzabteilung Tina Heil (LL.M.) – auf dem zweitägigen Fachkongress mit über 150 Teilnehmern vor Ort und wurde mit nützlichem Fachwissen sowie neuen Impulsen und Lösungsansätzen für die Arbeitspraxis versorgt.

Das Tagungsprogramm der ascon-Datenschutz-Vertreterin umfasste:

Sechs Fachvorträgen

Sechs fachliche Vorträge zu verschiedensten Themen der DS-GVO wurden angeboten, gehalten von drei Vertretern der Aufsichtsbehörden, zwei Anwälten und einem Sicherheitsexperten.

Für den Einstieg in die 13. Praxistage Datenschutz gab der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, einen Zwischenstand zur Umsetzung der DS-GVO. Seit dem Inkrafttreten der DS-GVO hat diese die gesamte Datenschutzlandschaft stark verändert und Unternehmen dazu gezwungen, sich aktiv mit den neuen Regelungen auseinanderzusetzen. Neben dem aktuellen Stand zu den derzeit praktisch schwierigen Beratungsthemen wie z. B. effektiven Lösch- und Berechtigungskonzepten, der datenschutzkonformen Erfüllung der Betroffenenrechte und dem kritischen Einsatz sozialer Netzwerke, zeigte der Vortrag auch, dass das Ziel eines guten Datenschutzes die Unterstützung einer besseren Digitalisierung und nicht deren Ausbremsung ist.

Durch den Vortrag hat die as-con äußerst interessante Einblicke in die Arbeit des Bundesbeauftragten für Datenschutz und wertvolle Einschätzungen zur aktuellen Rechtslage sowie Ausblicke auf weitere Entwicklungen erhalten. Besonders betonte Herr Kelber erneut den Trugschluss, dem gerade kleinere Unternehmen durch die Erhöhung der für die Bestellpflicht relevanten Mitarbeiter erliegen. Das große Problem an dieser Stelle ist das signifikant gestiegene Risiko für Datenpannen und damit einhergehende Bußgelder. Diese können dann nicht mehr an der unteren Bemessungsgrenze liegen, weil die Unternehmen erst gar nichts mehr unternommen haben, um ohne DSB die übrigen Pflichten der DS-GVO zu erfüllen und Risiken aus der Verarbeitung personenbezogener Daten zu minimieren.

In ihrem Vortrag „ePrivacy-Verordnung – eine unendliche Geschichte?“ bereitete die Referentin Susanne Eichhorn das langwierige Thema ePrivacy-Verordnung informativ und ausführlich auf. Bereits 2017 gab es einen EU-Kommissionsvorschlag für die ePrivacy-Verordnung (ePVO), die schon 2018 mit der DS-GVO gleichzeitig in Kraft hätte treten sollen. Mittlerweile wird davon ausgegangen, dass die Verordnung 2021/22 in Kraft treten könnte. Der Vortrag beinhaltete die Ziele der ePrivacy-Verordnung und erklärte anhand der Art. 2 und Art. 2 Abs. 2 c) der Verordnung deren Anwendungsbereich. Besonders betonte die Referentin den Mehrwert, den diese Verordnung bietet – falls es innerhalb der EU irgendwann gelingt, das Gesetzgebungsverfahren erfolgreich abzuschließen.

Im Vortrag der Referatsleiterin für den Bereich Internet beim Bayerischen Landesamt für Datenschutzaufsicht wurden die neuen Anforderungen der DS-GVO bei gemeinsam Verantwortlichen im Datenschutz erläutert. Neben der ausführlichen Aufarbeitung der aktuellen Rechtsprechung des EuGHs zur gemeinsamen Verantwortung wurde hier insbesondere auf die Abgrenzung zur Auftragsvereinbarung und die Anforderungen an eine Art.-26-Vereinbarung eingegangen.

Die Referentin der Aufsichtsbehörde betonte mehrfach, wie wichtig es ist, die verschiedenen Konstellationen auseinanderzuhalten und die Geschäftsbeziehungen mit anderen Unternehmen exakt zu analysieren. Nur so kann eine richtige Einordnung erfolgen und der passende Vertrag geschlossen werden. Entscheidend ist – wie in so vielen anderen rechtlichen Bereichen auch – nicht der Name des Vertrags, sondern die tatsächlich gelebte Praxis.

Der ausgesprochen amüsant und humorvoll gehaltene Vortrag „Datenschutzrichtlinien und Mitarbeiterverpflichtung“ wurde von Rechtsanwalt Dr. Kramer gehalten. Herr Dr. Kramer arbeitet hauptsächlich in den Fachgebieten des Datenschutzes, Wettbewerbsrechts, Medienrechts und Arbeitsrechts. Der Fachvortrag verdeutlichte die Notwendigkeit von Richtlinien und Verpflichtungen der Mitarbeiter, die mit personenbezogenen Daten arbeiten. In diesem Zusammenhang wurde betont, dass die Geschäftsführung laut DS-GVO konkrete Vorgaben zur sicheren Verarbeitung personenbezogener Daten geben muss und dies nicht dem Belieben des Mitarbeiters überlassen darf. Zudem wurden im Rahmen des Vortrags die Inhalte und Aufteilung einer Datenschutzrichtlinie näher beleuchtet und über etwaige Datenschutzpflichten des Verantwortlichen informiert.

Ein weiteres wichtiges wie auch spannendes und meist unterschätztes Datenschutzthema präsentierte Frau Horlbeck, die bei der hessischen Aufsichtsbehörde für die juristischen Fragen zum Beschäftigtendatenschutz zuständig ist. Im Vortrag „Dos and Don’ts im Beschäftigtendatenschutz“ wurden Themen wie Betroffenenrechte, Schulungsmaßnahmen und die private EDV-Nutzung angesprochen. Hier wurden jeweils die einschlägigen Rechtsgrundlagen und hilfreiche Papiere zur Orientierung genannt sowie Beispiele aus der aufsichtsbehördlichen Praxis erwähnt. Die konkreten Beispiele aus der aufsichtsbehördlichen Alltagspraxis spiegeln häufige Fehler und „Don’ts“ im Beschäftigtendatenschutzalltag wider – von der biometrischen Zeiterfassung über ein fehlendes Betroffenenrechtemanagement bis hin zur Verbreitung sensibler Mitarbeiterdaten ist hier alles vertreten.

Das Thema IT-Sicherheit griff der stern TV IT-Sicherheitsexperte und IT-Comedian Tobias Schrödel in seiner Präsentation „Hacking für Datenschutzbeauftragte – so schnell sind die Daten weg“ auf. Themenschwerpunkte des sehr witzigen Vortrags waren sowohl die Passwortsicherheit als auch der teils lasche Umgang mit der Preisgabe von personenbezogenen Daten im Internet. Es wurde ganz praktisch aufgezeigt, wie lange Hacker brauchen, um bestimmte Passwortlängen zu knacken – abhängig von der verwendeten Zeichenanzahl. Empfehlenswert ist es daher, Passwörter mit mindestens acht Stellen und am besten mit zehn verschiedenen Schriftzeichen zu wählen. Da solche Passwörter schwer zu merken sind und diese am besten nirgends notiert werden sollten, hilft es hier, sich die Passwörter über Eselsbrücken zu merken. Um eine optimale Passwortsicherheit zu erreichen, sollte auch für jedes Benutzerkonto ein anderes Passwort verwendet werden.

Aber nicht nur mit der Passwortvergabe sollte vorsichtig umgegangen werden, sondern auch mit dem Bildupload auf etwaige Social-Media-Seiten. Über vorhandene Bildinformationen kann es anderen Personen möglich werden, den Aufnahmeort inkl. den genauen GPS-Daten oder auch das Aufnahmegerät herauszufinden.

Vier Fachforen

Neben den sechs tiefgründigen Fachvorträgen konnten die Teilnehmer, je nach individuellem Schwerpunkt, vier der angebotenen zwölf Fachforen auswählen. Die vier von Frau Heil besuchten Fachforen wurden wiederum von zwei Vertretern der Aufsichtsbehörden und zwei Rechtsanwälten gehalten.

Emotet, Ryuk, Ursnif – was sich anhört wie harmlos aneinandergereihte Buchstaben, sind in Wahrheit äußert zerstörerische Schadprogramme, mit denen nicht zu Spaßen ist. Doch was haben Schadprogramme mit der DS-GVO zu tun? Viren, Würmer und Trojaner haben häufig nur eines im Sinn, und zwar Daten zu klauen. Andreas Sachs, Referent des Bayerischen Landesamts für Datenschutzaufsicht, informierte in seinem Vortrag über die Erkennung solcher Schadprogramme und darüber, welche Sofortmaßnahmen bei der Erkennung eines solchen Programms erfolgen sollten. Um den Ernstfall zu verhindern, sollten bereits vorab einige präventive Maßnahmen wie z. B. regelmäßige Mitarbeiterschulungen zu diesem Thema, die Verwendung starker Passwörter und passende Antivirenprogramme getroffen werden. Die praktischen Berichte und tiefen Einblicke des Referenten in die hinter dem Schadcode steckenden Technologien zeigten, wie relevant dieses Thema für Unternehmen heute ist und wie wichtig die entsprechende regelmäßige Sensibilisierung der Mitarbeiter.

Emotet, Ryuk, Ursnif – was sich anhört wie harmlos aneinandergereihte Buchstaben, sind in Wahrheit äußert zerstörerische Schadprogramme, mit denen nicht zu Spaßen ist. Doch was haben Schadprogramme mit der DS-GVO zu tun? Viren, Würmer und Trojaner haben häufig nur eines im Sinn, und zwar Daten zu klauen. Andreas Sachs, Referent des Bayerischen Landesamts für Datenschutzaufsicht, informierte in seinem Vortrag über die Erkennung solcher Schadprogramme und darüber, welche Sofortmaßnahmen bei der Erkennung eines solchen Programms erfolgen sollten. Um den Ernstfall zu verhindern, sollten bereits vorab einige präventive Maßnahmen wie z. B. regelmäßige Mitarbeiterschulungen zu diesem Thema, die Verwendung starker Passwörter und passende Antivirenprogramme getroffen werden. Die praktischen Berichte und tiefen Einblicke des Referenten in die hinter dem Schadcode steckenden Technologien zeigten, wie relevant dieses Thema für Unternehmen heute ist und wie wichtig die entsprechende regelmäßige Sensibilisierung der Mitarbeiter.

Apps wie z. B. WhatsApp sind für viele aus dem alltäglichen Leben gar nicht mehr wegzudenken – so auch für viele Unternehmen, die darauf nicht verzichten möchten oder können. Doch die Verwendung solcher Apps und auch die Verwendung der mobilen Endgeräte unterliegen datenschutzrechtlichen Voraussetzungen. So kann es für Arbeitnehmer bspw. gravierende Folgen haben, wenn sie ohne Zustimmung des Arbeitgebers private Geräte für berufliche Zwecke verwenden – bei Arbeitgebern kann es zu unangenehmen Datenschutzpannen kommen, wenn sie ihrerseits keine Regelung für die Nutzung von Firmenhardware aufstellen oder Mobile Device Management Systeme ohne technisches Konzept verwenden. Rechtsanwalt Dr. Ulbricht berichtete im Rahmen seines Vortrags über benötigte Datensicherheitsmaßnahmen und gab Tipps zu Gestaltungshinweisen bei der Nutzung mobiler Endgeräte und Apps im Unternehmen sowie praktikable Empfehlungen zum Umgang mit WhatsApp.

E-Mails von 2007 oder sich stapelnde Ablagen mit Unterlagen, die man sowieso nie anschaut – löschen und entsorgen kann befreiend sein. Doch Achtung – die DS-GVO hat auch hier ihre Finger im Spiel. Wer wild draufloslöscht, könnte sich ziemlich schnell in Schwierigkeiten manövrieren. Sascha Kremer, Fachanwalt für IT-Recht und externer Datenschutzbeauftragter/Datenschutzauditor, klärte im Rahmen seines Vortrags über datenschutzkonformes Löschen nach der DS-GVO auf. Es wurde umfassend über die Löschpflicht berichtet und hier insbesondere der Unterschied zwischen Sperren, Löschen und Vernichten deutlich gemacht. Ergänzt wurden diese wichtigen Grundlagen durch die Beschreibung von Back-ups sowie Löschjournalen und Löschkonzepten. Für die Ausarbeitung von Löschkonzepten muss demnach sowohl das „Was?“ als auch das „Wie?“ geklärt werden. Somit ist das Führen eines genauen Verfahrensverzeichnisses für die Erstellung eines Löschkonzepts unumgänglich.

Zwei Thementischen

Über sogenannte Network Tables wurde schon im Vorfeld dafür gesorgt, dass der fachliche Austausch auch in der wohlverdienten Mittagspause nicht zu kurz kommt. Über die Wahl eines Tisches konnten mit Gleichgesinnten interessante Gespräche zu zwei spannenden Themen geführt werden.

Am ersten Tag wurde in der Mittagspause mit verschiedenen internen und externen Datenschutzbeauftragten diskutiert, wie die Pflicht zur effektiven Schulung und Sensibilisierung von Mitarbeitern am besten erfüllt werden kann. Während sich die Diskussionsrunde einig war, dass eine einmalige Datenschutzschulung bei Weitem nicht reicht, um die Mitarbeiter wirklich fit zu machen für den richtigen Umgang mit personenbezogenen Daten, gingen die Ansichten bei der Wahl der Mittel weit auseinander. Am Ende führt wohl der richtige Mix aus verschiedenen Methoden zum Erfolg. Daher erhalten unsere Kunden nicht nur eine jährliche Mitarbeiterschulung, sondern auch einen regelmäßigen Newsletter für Mitarbeiter und ein Datenschutz-Plakat zum Aushängen.

Tisch 7: WhatsApp & Co – datenschutzkonforme Nutzung von Messengern und Apps
Am zweiten Tag ging es für Frau Heil mittags an den Tisch zur heißen Debatte über WhatsApp und andere Messengerdienste. Die Runde zeigte anschaulich, wie schwierig es ist, den beliebtesten Messenger datenschutzkonform im Unternehmen einzusetzen. Die Beurteilung und die Anforderungen unterscheiden sich sehr stark nach der Art und Weise der Nutzung des Dienstes. Während der Einsatz auf Kundenwunsch mit relativ wenig Aufwand datenschutzkonform umsetzbar ist, ist ein datenschutzkonformer Zustand für die Mitarbeiterkommunikation kaum zu erreichen. Die Erkenntnisse aus dieser Dialogrunde und dem Vortrag von Dr. Ulbricht werden in Kürze in unser neues Informationsblatt über Messengerdienste im Lichte der DS-GVO einfließen.

Eine Dialogrunde (Videoüberwachung)

Einen überaus interessanten Vortrag hielt Herr Hartz im Rahmen der Dialogrunde zum Thema Videoüberwachung & DS-GVO. Die Videoüberwachung ist meist ein sehr emotionales Thema, da es hier um den Schutz von Eigentum oder den Schutz von Leib und Leben der Betroffenen geht. Doch damit nicht jeder alles filmt und dabei die Persönlichkeitsrechte von anderen verletzt werden, gibt es für die Videoüberwachung klare datenschutzrelevante Regeln. Nicht nur bei der Videoüberwachung an sich muss so einiges beachtet werden, sondern unter anderem auch bei der Speicherdauer der Aufnahmen, dem Zweck der Videoüberwachung und der Kennzeichnung. Neben einigen notwendigen Informationen, die man für die Installation einer Videoüberwachung klären muss, informierte Herr Hartz auch über die häufigsten Mängel, die im Zusammenhang mit der Videoüberwachung passieren. Unter den häufigsten Mängeln und Beanstandungen befinden sich hauptsächlich Verletzungen der Hinweispflicht sowie das Fehlen einer konkreten Zweckbestimmung.

Fazit

Die Praxistage Datenschutz ermöglichten uns einen intensiven und spannenden fachlichen Austausch mit anderen Datenschutzbeauftragten, IT-Sicherheitsbeauftragten und auch Führungskräften sowie intensive Gespräche mit zahlreichen Experten aus der Wirtschaft und den Behörden. Besonders profitiert haben wir von der hohen Präsenz der für uns und unsere Kunden wichtigsten Aufsichtsbehörden und den zielgerichteten Diskussionen bekannter Problemstellungen über sog. Network Tables.

Die wertvollen Erkenntnisse des Kongresses werden nun in unsere alltägliche Datenschutzberatung, unsere Seminare für Datenschutzkoordinatoren, Unternehmer und Datenschutzbeauftragte sowie in die Erstellung unserer diversen fachlichen Beiträge und Unterlagen im Datenschutzhandbuch, in unsere Datenschutz-Tipps und unsere Informationsblätter einfließen. Besonders aufgegriffen haben wir den allgemeinen Konsens aller Teilnehmer und Referenten: Die Nichterfüllung der Informationspflichten und Betroffenenrechte ist das größte datenschutzrechtliche Damoklesschwert, da dies leicht zu Beschwerden bei der Aufsichtsbehörde führt. Dementsprechend haben wir für die richtige Bearbeitung von Auskunftsersuchen ein ausführliches Informationsblatt erstellt und werden in Kürze einen weiteren Blogartikel zu diesem Thema in unseren Datenschutz-Tipps veröffentlichen sowie in unseren Seminaren den Fokus vermehrt auf dieses Thema richten.

Datenschutzseminare der ascon

Datenschutz-Tipps

Datenschutz-News

Datenschutz-Seminare, Nürnberg
as-con Datenschutz Nürnberg: Angebot externer Datenschutzbeauftragter / externer DSB
as-con Datenschutz-Newsletter, Titelbild

Das Angebot unserer Datenschutzseminare reicht von den Grundlagen der DS-GVO für Kleinunternehmer oder Datenschutzkoordinatoren über spezielle Einzelthemen wie die Anforderungen an Homepages oder IT-Dienstleister bis hin zu Lehrgängen zum zertifizierten Datenschutzbeauftragten.

Unsere Datenschutz-Tipps sind zentrale Ratgeber zu wichtigen aktuellen Themen rund um den Datenschutz. Hierzu gehören neben aktuellen Urteilen und Bußgeldern auch viele Grundsatzfragen der DS-GVO. Die Tipps enthalten aktuelle Datenschutzfälle – praktikabel und verständlich aufbereitet.

Unser kostenloser Datenschutz-Newsletter sorgt dafür, dass Sie im Dschungel der vielen Anforderungen an den Umgang mit personenbezogenen Daten die Orientierung behalten. Der Newsletter versorgt Sie regelmäßig mit  aktuellen Themen rund um den Datenschutz und die ascon-Datenschutz sowie unsere aktuellen Angebote und Seminare.

Mehr Informationen zur Veranstaltung finden Sie auf der Homepage von PraxisCampus. Einen Nachbericht zu der Veranstaltung finden Sie auf Youtube.