Veranstaltung zur Evaluation der DSGVO in voller Länge
Am 28. Juni 2019 hat der LfDI Baden-Württemberg zusammen mit der IHK Stuttgart eine Veranstaltung zur “Evaluation der DSGVO” als erste Bilanz zur Umstellung und Anwendung des neuen Datenschutzrechts durchgeführt.
Vertreter aus verschiedenen Bereichen waren als Referenten geladen. Vom Rechtsberater über den Datenschutzbeauftragten bis hin zu Vertretern der Aufsichtsbehörden wurde über das erste Jahr DSGVO gesprochen und gestritten.
Das Video von der Veranstaltung (Gesamtdauer 3:42 Stunden) ist in der Mediathek des LfDI eingestellt worden und ich habe es auch hier in diesen Artikel eingebettet.
Interessante Aussagen des LfDI
Der LfDI hat im Rahmen der Veranstaltung einige interessante und meiner Meinung nach beruhigende Aussagen getroffen.
Zu Office 365 und DSGVO-widrigen Cloud-Lösungen
Angesprochen wurde in der Fragerunde bspw. das Thema Office 365. Nachdem Microsoft als quasi Monopolist nicht DSGVO-konform ist war zurecht gefragt worden, was denn die Aufsichtsbehörden dazu sagen. Einig war man sich, dass der Kampf um den Datenschutz nicht auf dem Rücken der Anwender solcher Lösungen ausgetragen werden sollte (was aber ja bspw. bei den Facebook-Fanpages der Fall war/ist). Zu der Problematik der Nutzung von Cloud-Anbietern, die nicht DSGVO-konform sind, meint der LfDI jedenfalls: “Solange wir die öffentlichen Stellen nicht glattgezogen haben, kommen wir auf die Unternehmen nicht zu.” Also sollen die Exempel ausdrücklich nicht bei den Unternehmen statuiert werden, was zumindest diese beruhigen sollte.
Genau hinhören was die Aufsichtsbehörden gegenüber den öffentlichen Stellen machen, ist dann aber oberste Pflicht.
Zu unterschiedlichen Meinungen der Aufsichtsbehörden
Viele Fragen sind selbst unter den deutschen Aufsichtsbehörden umstritten. Ist das nicht ein großes Problem?
Nicht für Herrn Dr. Stefan Brink. Er sieht das für den Verantwortlichen als Vorteil. Denn selbst dann, wenn man nicht der Meinung der “eigenen” Aufsichtsbehörde folgt, sondern der einer anderen, handelt man seiner Meinung nach nicht mehr schuldhaft, also auch nicht fahrlässig. Ein Bußgeld kann dann nicht verhängt werden, sondern maximal eine Anordnung.
Zu Frage der richtigen Löschung
Es genügt nach Aussage des LfDI, wenn ein Löschkonzept vorliegt, angemessene Löschfristen darin vorgeschrieben sind, die regelmäßige Abarbeitung derselben dokumentiert wird und ein Löschprotokoll Datum und Kategorie der gelöschten Daten aufweist. Damit kann ausreichend nachgewiesen werden, dass die erforderlichen Löschungen vorgenommen wurden.
Das oft in der Praxis zu hörende Problem, dass der gelöschte Datensatz zum Nachweis, dass man genau diesen gelöscht hat, anderweitig (bspw. zu einem anderen Zweck) noch aufbewahrt werden sollte, existiert seiner Meinung nach nicht. Die ausreichende Dokumentation unter Nennung der konkreten Kategorie der gelöschten Daten soll genügen.
Es gelte auch hier der alte Satz: “Wenn es sinnlos ist, ist es kein Datenschutz”.
Wer die gesamte Veranstaltung ansehen möchte, kann dies hier gerne tun (Es handelt sich um einen Frame von der Seite des LfDI):
(c) LfDI Baden-Württemberg
Link: https://www.baden-wuerttemberg.datenschutz.de/informationsveranstaltung-dsgvo-wirkt
