Datenschutz für die Schublade
Mit Kathrin Schürmann, Holger Bleich und Joerg Heidrich
1 Stunde 28 Minuten
Podcast
Podcaster
Beschreibung
vor 2 Jahren
Nach einem kurzen Exkurs zur Big-Brother-Verleihung in Bielefeld
diskutieren Joerg und Holger zunächst ausführlich über das von
ihnen gekürte "Nicht-Bußgeld der Woche": Eigentlich hatte die
Datenschutzwelt lediglich darauf gewartet, wie hoch das Bußgeld
sein würde. Es geht um den Autovermieter Buchbinder und ein
riesiges Datenleck, das c't 2020 aufgedeckt hatte. Nun hat das
Bayerische Landesamt für Datenschutzaufsicht c't mitgeteilt, dass
Buchbinder entgegen aller Erwartungen gänzlich ohne Sanktionen
davongekommen ist. Maßgebliche Umstände seien dabei insbesondere
"die Zurechenbarkeit des der Datenschutzverletzung zu Grunde
liegende Fehlverhaltens und umfassende und effektive
eigenverantwortliche Abhilfemaßnahmen sowie die pandemiebedingt
angestiegene Sanktionsempfindlichkeit des Unternehmens" gewesen.
Joerg hebt die potenzielle Bedeutung dieser Entscheidung für die
Bestrafung anderer Datenlecks hervor. Für wenig plausibel hält auch
Rechtsanwältin Kathrin Schürmann die Begründung der Behörde.
Kathrin ist Gründungs-Partnerin der Kanzlei Schürmann Rosenthal
Dreyer berät Unternehmen als Datenschutzexpertin bei der Einführung
und Entwicklung neuer digitaler Geschäftsmodelle. Im Schwerpunkt
der Episode geht es um die Pflicht zu einer verschriftlichten
Datenschutzfolgeabschätzung (DSFA) gemäß Artikel 35 DSGVO. Anhand
des Beispiels einer Dating-Website erläutern Kathrin und Joerg, ab
wann es einer solchen DSFA zwingend bedarf und welche Punkte darin
abgehandelt sein sollten. Ziel der DSFA ist eine systematische
Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der
Verarbeitung. Insbesondere muss ein Unternehmen darin Risiken der
Rechte und Freiheiten der betroffenen Personen bewerten, also eine
Risikoanalyse aller Verarbeitungsvorgänge vornehmen. Das ist
keineswegs trivial. Die Pflicht, so die Vermutung von Holger, wird
von der überwiegenden Mehrheit deutscher Unternehmen ignoriert.
Joerg und Kathrin sehen das ähnlich und weisen darauf hin, dass
damit immer ein Bußgeld-Damoklesschwert schwebt. Einen simplen
Sachverhalt könne man anhand von Leitfäden selbst in einer DSFA
erläutern, sagen sie. Gehe es aber im komplexe Vorgänge, womöglich
mit internationalem Datentransfer zu Auftragsverarbeitern, komme
ein Unternehmen kaum um versierte, externe DSFA-Beratung herum.
diskutieren Joerg und Holger zunächst ausführlich über das von
ihnen gekürte "Nicht-Bußgeld der Woche": Eigentlich hatte die
Datenschutzwelt lediglich darauf gewartet, wie hoch das Bußgeld
sein würde. Es geht um den Autovermieter Buchbinder und ein
riesiges Datenleck, das c't 2020 aufgedeckt hatte. Nun hat das
Bayerische Landesamt für Datenschutzaufsicht c't mitgeteilt, dass
Buchbinder entgegen aller Erwartungen gänzlich ohne Sanktionen
davongekommen ist. Maßgebliche Umstände seien dabei insbesondere
"die Zurechenbarkeit des der Datenschutzverletzung zu Grunde
liegende Fehlverhaltens und umfassende und effektive
eigenverantwortliche Abhilfemaßnahmen sowie die pandemiebedingt
angestiegene Sanktionsempfindlichkeit des Unternehmens" gewesen.
Joerg hebt die potenzielle Bedeutung dieser Entscheidung für die
Bestrafung anderer Datenlecks hervor. Für wenig plausibel hält auch
Rechtsanwältin Kathrin Schürmann die Begründung der Behörde.
Kathrin ist Gründungs-Partnerin der Kanzlei Schürmann Rosenthal
Dreyer berät Unternehmen als Datenschutzexpertin bei der Einführung
und Entwicklung neuer digitaler Geschäftsmodelle. Im Schwerpunkt
der Episode geht es um die Pflicht zu einer verschriftlichten
Datenschutzfolgeabschätzung (DSFA) gemäß Artikel 35 DSGVO. Anhand
des Beispiels einer Dating-Website erläutern Kathrin und Joerg, ab
wann es einer solchen DSFA zwingend bedarf und welche Punkte darin
abgehandelt sein sollten. Ziel der DSFA ist eine systematische
Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der
Verarbeitung. Insbesondere muss ein Unternehmen darin Risiken der
Rechte und Freiheiten der betroffenen Personen bewerten, also eine
Risikoanalyse aller Verarbeitungsvorgänge vornehmen. Das ist
keineswegs trivial. Die Pflicht, so die Vermutung von Holger, wird
von der überwiegenden Mehrheit deutscher Unternehmen ignoriert.
Joerg und Kathrin sehen das ähnlich und weisen darauf hin, dass
damit immer ein Bußgeld-Damoklesschwert schwebt. Einen simplen
Sachverhalt könne man anhand von Leitfäden selbst in einer DSFA
erläutern, sagen sie. Gehe es aber im komplexe Vorgänge, womöglich
mit internationalem Datentransfer zu Auftragsverarbeitern, komme
ein Unternehmen kaum um versierte, externe DSFA-Beratung herum.
Weitere Episoden
1 Stunde 8 Minuten
vor 1 Woche
58 Minuten
vor 3 Wochen
1 Stunde 10 Minuten
vor 1 Monat
1 Stunde 6 Minuten
vor 1 Monat
1 Stunde 5 Minuten
vor 2 Monaten
In Podcasts werben
Abonnenten
Bielefeld
Kommentare (0)