Datenschutz-Praxis

7. Tätigkeitsbericht 2015/16 des BayLDA

von

Der 7. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht wurde am 03.03.2017 vorgelegt. Der 160 Seite umfassende Bericht enthält wertvolle Hinweise zu den Aktivitäten der Landesamtes für Datenschutzaufsicht im nicht-öffentlichen Bereich der letzten zwei Jahre:

  • Durchgeführte Prüfungen und Kontrollen
  • Beschwerden
  • Bußgeldverfahren und Strafanträge
  • Auftragsdatenverarbeitung (§ 11 BDSG)
  • Internationaler Datenverkehr
  • Datenpannen
  • Videoüberwachung

Für Datenschutzbeauftragte ist dieser Bericht „Pflichtlektüre“ und bietet mannigfaltige Hinweise zur alltäglichen Arbeit. Der Bericht kann auf folgender Webseite heruntergeladen werden:

7. Tätigkeitsbericht 2015/16 des BayLDA

DS-GVO: Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9)

von

29636566962_4117ed3f85_qDas Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht Beiträge zur Umsetzung der am 25.05.2018 wirksamen Datenschutz-Grundverordnung (DS-GVO). Hierzu werden relevante Themenkomplexe erörtert. Dies erfolgt im Sinne einer Interpretation bzw. Erörterung uns stellt keine verbindliche Auffassung der Aufsichtsbehörde dar.

6 Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9)
Was hat sich zum § 3 Abs. 9 BDSG bei der Definition personenbezogener Daten geändert? Prinzipiell sind keine gravierenden Änderungen festzustellen:

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“ (Art. 9 Abs. 1 DS-GVO)

[…]

DS-GVO: Sicherheit der Verarbeitung (Art. 32)

von

lon_12Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht Beiträge zur Umsetzung der am 25.05.2018 wirksamen Datenschutz-Grundverordnung (DS-GVO). Hierzu werden relevante Themenkomplexe erörtert. Dies erfolgt im Sinne einer Interpretation bzw. Erörterung uns stellt keine verbindliche Auffassung der Aufsichtsbehörde dar.

1 Sicherheit der Verarbeitung (Art. 32)
Der bisherige § 9 BDSG (inkl. Anlage), der den Bezug zur Informationssicherheit herstellte (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsgebot) wird in der DS-GVO nicht mehr existieren. Stattdessen wird im Art. 32 „Sicherheit der Verarbeitung“ ausführlich beschrieben, welche technischen und organisatorischen Maßnahmen für ein angemessenes Schutzniveau zu treffen sind.

[…]

Privacy Shield das neue Safe Harbor

von

_DSF0463Nachdem am 6. Oktober 2015 der EuGH (Az. C 362/14) die Safe Harbor Regelung als ungültig erklärt hat, Max Schrems sei Dank, war eine Übermittlung personenbezogener Daten in die USA nicht mehr ohne weiteres möglich. Es bestand für die Betroffenen Rechtsunsicherheit und die Aufsichtsbehörden drohten bzw. verhängten Bußgelder.

[…]

Ist das Kopieren des Personalausweises zulässig?

von

flavicon-bspDies Fragen erreicht uns öfters und ist es deshalb Wert öffentlich beantwortet zu werden. Nach Aussage des Bundesministeriums des Innern besteht erstmals kein grundsätzliches rechtliches Kopierverbot. Dieses wurde im Jahre 2011 vom Bundesministerium aufgehoben. Eine Kopie des Personalausweises ist jedoch nur unter folgenden strikten datenschutzrechtlichen Voraussetzungen zulässig:

  • Die Erstellung einer Kopie muss erforderlich sein. Dabei ist insbesondere zu prüfen, ob nicht die Vorlage des Personalausweises und ggf. die Anfertigung eines entsprechenden. Vermerks (z.B.: „Personalausweis hat vorgelegen“) ausreichend ist.
  • Die Kopie darf ausschließlich zu Identifizierungszwecken verwendet werden.
  • Die Kopie muss als solche erkennbar sein.
  • Daten, die nicht zur Identifizierung benötigt werden, können und sollen von den Betroffenen auf derKopie geschwärzt werden. Dies gilt insbesondere für die auf dem Ausweis aufgedruckte Zugangs-und Seriennummer. Die Betroffenen sind auf die Möglichkeit und Notwendigkeit der Schwärzung hinzuweisen.
  • Die Kopie ist vom Empfänger unverzüglich zu vernichten, sobald der mit der Kopie verfolgte Zweckerreicht ist.

Eine automatisierte Speicherung der Ausweisdaten ist nach dem PAuswG unzulässig. Zu erwähnen ist, dass nach dem Geldwäsche- oder Telekommunikationsgesetz eine Kopie des Personalausweises rechtlich zulässig ist.

Dies gilt es in der alltäglichen Datenschutzpraxis zu berücksichtigen.

+ Weitere