Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Auslegungssache 61: Datenschutz für die Schublade

Neben einem Nicht-Bußgeld geht es in Episode 61 des c't-Datenschutz-Podcasts um die Bedeutung und Erstellung einer Datenschutz-Folgeabschätzung (DSFA).

In Pocket speichern vorlesen Druckansicht
Lesezeit: 2 Min.
c't Magazin
Von
  • Holger Bleich
  • Joerg Heidrich

Nach einem kurzen Exkurs zur Big-Brother-Verleihung in Bielefeld diskutieren Heise-Justiziar Joerg Heidrich und c't-Redakteur Holger Bleich in der aktuellen Folge 61 des c't-Datenschutz-Podcasts zunächst ausführlich über das von ihnen gekürte "Nicht-Bußgeld der Woche": Eigentlich hatte die Datenschutzwelt lediglich darauf gewartet, wie hoch das Bußgeld sein würde. Es geht um den Autovermieter Buchbinder und ein riesiges Datenleck, das c't 2020 aufgedeckt hatte.

Nun hat das Bayerische Landesamt für Datenschutzaufsicht c't mitgeteilt, dass Buchbinder entgegen aller Erwartungen gänzlich ohne Sanktionen davongekommen ist. Maßgebliche Umstände seien dabei insbesondere "die Zurechenbarkeit des der Datenschutzverletzung zu Grunde liegende Fehlverhaltens und umfassende und effektive eigenverantwortliche Abhilfemaßnahmen sowie die pandemiebedingt angestiegene Sanktionsempfindlichkeit des Unternehmens" gewesen.

Rechtsanwältin Kathrin Schürmann beim Podcasten in der Kanzei (im Hintergrund: Das Bundeswirtschaftsministerium in Berlin)

Heidrich hebt die potenzielle Bedeutung dieser Entscheidung für die Bestrafung anderer Datenlecks hervor. Für wenig plausibel hält auch Rechtsanwältin Kathrin Schürmann die Begründung der Behörde. Schürmann ist Gründungspartnerin der Kanzlei Schürmann Rosenthal Dreyer und berät Unternehmen als Datenschutzexpertin bei der Einführung und Entwicklung neuer digitaler Geschäftsmodelle.

Pflicht für die Schublade

Im Schwerpunkt der Episode geht es um die Pflicht zu einer verschriftlichten Datenschutzfolgeabschätzung (DSFA) gemäß Artikel 35 DSGVO. Anhand des Beispiels einer Dating-Website erläutern Schürmann und Heidrich, ab wann es einer solchen DSFA zwingend bedarf und welche Punkte darin abgehandelt sein sollten. Ziel der DSFA ist eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Insbesondere muss ein Unternehmen darin Risiken der Rechte und Freiheiten der betroffenen Personen bewerten, also eine Risikoanalyse aller Verarbeitungsvorgänge vornehmen.

Das ist keineswegs trivial. Die Pflicht, so die Vermutung von Bleich, wird von der überwiegenden Mehrheit deutscher Unternehmen ignoriert. Heidrich und Schürmann sehen das ähnlich und weisen darauf hin, dass damit immer ein Bußgeld-Damoklesschwert schwebt. Einen simplen Sachverhalt könne man anhand von Leitfäden selbst in einer DSFA erläutern, sagen sie. Gehe es aber im komplexe Vorgänge, womöglich mit internationalem Datentransfer zu Auftragsverarbeitern, komme ein Unternehmen kaum um versierte, externe DSFA-Beratung herum.

c't DSGVO - Was 2021 wirklich wichtig ist

180 Seiten Ratgeber von Fachjuristen: Was Unternehmen, Vereine und Selbstständige wissen müssen! Mit vielen FAQs, Anleitungen, Checklisten und Mustern. Auf DVD: 60 Minuten Webinar "Anatomie einer IT-Katastrophe" – vorbereitet sein und die Krise meistern.

Episode 61:

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Hier gehts zu allen bisherigen Folgen:

(hob)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten