Aktuelle Mitteilungen

Ansbach, 05.07.2017

Fragebogen zur DS-GVO-Prüfung auf Englisch veröffentlicht

Auf Grund zahlreicher Nachfragen hat sich das BayLDA entschlossen, den Fragebogen zur DS-GVO-Prüfung auch auf Englisch anzubieten. Nachfolgend kann das Dokument als PDF-Datei heruntergeladen werden.


Ansbach, 05.12.2016

Datenschutzaufsichtsbehörden prüften Wearables

Das BayLDA beteiligte sich an einer deutschlandweiten Prüfaktion und prüfte gemeinsam mit sechs weiteren Aufsichtsbehörden Wearables. Auf dem Prüfstand standen sowohl Fitness-Armbänder als auch Smart Watches mit Gesundheitsfunktionen. Außerdem wurden die Apps der Hersteller einer technischen Analyse unterzogen. Das Ergebnis war eindeutig: kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.


Ansbach, 26.09.2016

Das Internet der Dinge: Ergebnis der globalen Prüfung

Das BayLDA beteiligte sich an einer internationalen Prüfaktion des Global Privacy Networks (GPEN) und untersuchte in diesem Jahr gemeinsam mit 25 weiteren Aufsichtsbehörden auf der ganzen Welt das sog. Internet der Dinge. Auf den Prüfstand standen smarte Alltagsgeräte - vom mobil gesteuerten Spielzeug bis hin zur vernetzten Zahnbürste. Dabei wurden vor allem die Datenschutzbestimmungen genauer unter die Lupe genommen. Das BayLDA hat zum Ergebnis eine Pressemitteilung sowie eine Ergebnispräsentation veröffentlicht, die nachfolgend heruntergeladen werden können.

Ansbach, 21.09.2016

Beschluss des Düsseldorfer Kreis zur Fortgeltung bisher erteilter Einwilligungen

Der Düsseldorfer Kreis hat in einem Beschluss vom 13./14. September 2016 mitgeteilt, dass bisher erteilte Einwilligungen unter der Datenschutz-Grundverordnung fortgelten, sofern sie der Art nach den Bedingungen der DS-GVO entsprechen. Somit erfüllen bisher rechtswirksame Einwilligungen grundsätzlich diese Bedingungen. Der Beschluss kann nachfolgend heruntergeladen werden.

Ansbach, 26.07.2016

Thomas Kranig weiter Präsident

Das BayLDA wurde durch Änderung des Bayerischen Datenschutzgesetzes mit Wirkung zum 1. August 2011 als unabhängige Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern geschaffen. Als ersten Präsidenten für diese damals neue unabhängige Aufsichtsbehörde bestimmte die Bayerische Staatsregierung für die gesetzlich festgelegte Amtsdauer von fünf Jahren den früheren Verwaltungsrichter Thomas Kranig.
Die Bayerische Staatsregierung entschied nun, Thomas Kranig nach Ablauf seiner ersten Amtsperiode zum 3. August 2016 für weitere fünf Jahre mit der Leitung dieses Bayerischen Landesamtes zu betrauen. Der Bayerische Staatsminister des Innern, Joachim Herrmann, übergab Thomas Kranig die entsprechende Ernennungsurkunde.

Ansbach, 22.07.2016

EU-US Privacy Shield verabschiedet

Der EU-US Privacy Shield ist am 12. Juli 2016 von der Europäischen Kommission verabschiedet worden. Laut einer Pressemitteilung der Kommission wird es US-Unternehmen ab dem 1. August 2016 möglich sein, eine entsprechende Zertifizierung zu erhalten. Mit der Zertifizierung unterwirft sich ein US-Unternehmen den Regeln des Privacy Shield und erhält damit die Möglichkeit, auf der Grundlage dieses Regelwerks personenbezogene Daten aus Europa zu erhalten. Damit können auf dieser Grundlage personenbezogene Daten aus der EU grundsätzlich an zertifizierte US-Unternehmen übermittelt werden (sofern auch die übrigen datenschutzrechtlichen Anforderungen an eine Übermittlung erfüllt sind).

Weitere Informationen hierzu finden Sie unter der Rubrik "Internationaler Datentransfer".

Ansbach, 29.06.2016

Auftragsdatenverarbeitung in bayerischen Krankenhäusern

Das BayLDA und der BayLfD haben einen gemeinsamen Leitfaden für die Umsetzung der besonders strengen Regelungen für Krankenhäuser zum Einsatz externer Dienstleister veröffentlicht. Ausgangspunkt waren Prüfungen des BayLfD, sowie zahlreiche Anfragen von externen Aktenvernichtern und Krankenhäusern zur datenschutzkonformen Auftragsdatenverarbeitung im Rahmen von Art. 27 Bayerisches Krankenhausgesetz. Der Leitfaden enthält viele Beispiele, die aus der Prüf- und Beratungserfahrung beider Häuser stammen. Für das zweite Halbjahr 2016 sind Vor-Ort-Prüfungen einzelner Krankenhäuser und externer Dienstleister zu dem Thema geplant. Der Leitfaden kann nachfolgend heruntergeladen werden.

Ansbach, 23.06.2016

BayLDA-App-Prüfkatalog veröffentlicht

Das BayLDA hat einen umfangreichen Prüfkatalog für die Untersuchung von Apps hinsichtlich technischen Datenschutzanforderungen veröffentlicht. Dieser soll durch hilfreiche Fragestellungen gerade App-Entwickler bei der Gestaltung neuer mobiler Anwendungen unterstützen, um frühzeitig Apps nach den gesetzlichen Anforderungen zu entwerfen und so auch neue Konzepte wie Privacy by Design und Privacy by Default umsetzen zu können.

Der App-Prüfkatalog des BayLDA entstand in den letzten Jahren hauptsächlich durch praktische Prüferfahrungen des BayLDA und Best-Practice-Ansätzen aus der freien Wirtschaft. Das Dokument wurde dabei in Anlehnung an die Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter geschrieben, die ebenfalls auf unserer Webseite abrufbar ist. Der Prüfkatalog kann nachfolgend heruntergeladen werden.

Ansbach, 14.04.2016

EU-US Privacy Shield: Stellungnahme der Artikel-29-Gruppe

Die Artikel-29-Datenschutzgruppe hat eine Stellungnahme sowie eine Pressemitteilung zum EU-U.S. Privacy Shield veröffentlicht. Die Artikel-29-Gruppe hat die Europäische Kommission aufgefordert, auf deren Bedenken zu reagieren und durch entsprechende Änderungen sicherzustellen, dass der Privacy Shield ein angemessenes Datenschutzniveau gewährleistet. Weitere Informationen hierzu sind in der Rubrik "Internationaler Datenverkehr" abrufbar.

Ansbach, 13.04.2016

Das Internet der Dinge - BayLDA-Prüfung im Rahmen der International Sweep Week

Icon

Auch dieses Jahr beteiligt sich das BayLDA an der jährlichen internationalen Prüfaktion des Global Privacy Enforcement Networks (GPEN). Prüfgegenstand ist dieses Mal das Internet der Dinge. Klassische Alltagsgegenstände, die bisher eigentlich nur von Menschen gesteuert werden konnten, werden zunehmend technisch aufgerüstet, netzwerkfähig und somit in das digitale Leben des Besitzers integriert. Das BayLDA wird verschiedene solcher smarten Geräte genauer unter die Lupe nehmen - von Spielzeugen, Fitnesstrackern, vernetzten Autos bis hin zu üblichen Haushaltsgeräten.

Das Ergebnis der diesjährigen Prüfaktion erhalten zunächst die Organisatoren des GPEN, die Aufsichtsbehörde aus Großbritannien. Anschließend wird das BayLDA das eigene Ergebnis selbst detailliert veröffentlichen. In der Zwischenzeit wird das BayLDA natürlich bei festgestellten Defiziten im Rahmen seiner Zuständigkeit tätig werden und aufsichtlich eine Behebung der Missstände anstreben.

Die Pressemitteilung zur Prüfankündigung kann nachfolgend heruntergeladen werden.

Ansbach, 11.04.2016

Orientierungshilfe zum Thema Einwilligungserklärungen

Icon

Firmen, Freiberufler oder Vereine als datenverarbeitende Stellen stehen immer wieder vor der Frage, wie erforderliche datenschutzrechtliche Einwilligungserklärungen (z. B. in eine werbliche Verwendung von Daten, in eine Übermittlung an Konzernunternehmen, Verbände oder Produkthersteller, usw.) rechtskonform zu gestalten sind. Die Datenschutzaufsichtsbehörden haben hierfür unter Koordination des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) nun eine bundesweit abgestimmte Orientierungshilfe verabschiedet, die nachfolgend heruntergeladen werden kann.

Ansbach, 08.02.2016

Automobile: Gemeinsame Erklärung von VDA und Aufsichtsbehörden

Datenschutz im Fahrzeug

Moderne Kraftfahrzeuge benötigen für das Funktionieren der elektronischen Komponenten wie ABS, ESP, Airbag usw. vielfältig Daten, die sich beim Auslesen in der Werkstatt oder nach einem Unfall häufig auch auf den Fahrer beziehen lassen (Geschwindigkeit, Bremsverhalten, Lenkbewegungen usw.).

Eine neue Dimension an Datenverwendungen bringen Online-Anbindungen von Kraftfahrzeugen mit sich, über die z. B. dem Fahrer aktuelle Verkehrs- und Serviceinformationen zufließen oder über die eine Fern-Diagnose bei technischen Störungen möglich ist. Um dabei auch ausreichend Datenschutz und Datensicherheit zu berücksichtigen, führen die Datenschutzbehörden einen Dialog mit dem Verband der Automobilindustrie. In einem ersten Schritt wurde eine gemeinsame Erklärung zu den datenschutzrechtlichen Aspekten bei vernetzten und nicht vernetzten Kraftfahrzeugen erarbeitet, die Sie nachfolgend herunterladen können.



Ältere Mitteilungen

Ansbach, 11.12.2015

Augen auf bei der Partnersuche im Netz

Augen auf bei der Partnersuche im Netz

Zusammen mit den Datenschutzaufsichtsbehörden von Baden-Württemberg, Berlin und Hamburg hat das BayLDA Betreiber von Dating-Portalen einer datenschutzrechtlichen Prüfung unterzogen (siehe: Pressemitteilung vom 24. Juni 2015). Von den bundesweit insgesamt 21 zur Prüfung ausgewählten Portalen fielen zehn Plattformen, die sowohl regional als auch deutschlandweit Partnervorschläge anbieten, in den Fokus der bayerischen Aufsichtsbehörde. Erstmals haben unabhängige deutsche Datenschutzaufsichtsbehörden über die Ländergrenzen hinweg ein gemeinsames Prüfkonzept erstellt, die Prüfung koordiniert durchgeführt und sich nun zu einer einheitlichen Auswertung der Prüfergebnisse getroffen.

Aus Sicht des BayLDA ist zunächst positiv festzustellen, dass die angeschriebenen Portal-Betreiber sehr bemüht waren, ihrer Auskunftsverpflichtung gegenüber uns als Aufsichtsbehörde vollständig nachzukommen, so dass einzelne Antworten über 50 Seiten umfassten. Die überwiegende Anzahl der geprüften Portale verfügte auch über betriebliche Datenschutzbeauftragte. Weiterhin ist positiv aufgefallen, dass sich die Portal-Betreiber intensiv mit dem Thema Datenschutz auseinandersetzen. So werden laut Angaben der Unternehmen alle Mitarbeiter regelmäßig geschult und auf das Datenschutzgeheimnis verpflichtet, so dass die Voraussetzungen für einen datenschutzgerechten Umgang mit Nutzerdaten - zumindest formell betrachtet - gegeben sind.

Umfassenden Nachholbedarf erkannten die Aufsichtsbehörden jedoch insbesondere im Bereich des Technischen Datenschutzes (Fragen der Datensicherheit), im Umgang mit Auskunftsersuchen, bei der Gestaltung der Datenschutzbestimmungen, bei Verfahren zur Identifizierung des Nutzers und beim Zugriff auf Kommunikationsinhalte. Soweit das BayLDA Mängel festgestellt hat, werden die betreffenden Portalbetreiber nun entsprechend darüber informiert und aufgefordert, diese unverzüglich zu beheben - sofern sie diese Mängel im Prüfungsverfahren nicht selbst schon erkannt und behoben haben.

Weitere Angaben zu den Ergebnissen der Dating-Portal-Prüfung sind der Pressemitteilung zu entnehmen.

Ansbach, 10.09.2015

Datenschutz für Kinder- Ergebnis einer weltweiten Prüfaktion

Datenschutz für Kinder- Ergebnis einer weltweiten Prüfaktion

Das Global Privacy Enforcement Network (GPEN) hat nun sein Gesamtergebnis des diesjährigen "Sweep Day" veröffentlicht. Die Erfahrungen der teilnehmenden Aufsichtsbehörden decken sich dabei (leider) mit den Feststellungen des BayLDA. Wie bereits früher berichtet, war das BayLDA auch im Jahr 2015 an der internationalen Prüfaktion beteiligt. Das BayLDA ist nun dabei, die eigenen Prüfungsergebnisse bezüglich der Apps bayerischer Anbieter aufzuarbeiten. Insgesamt haben sich die bayerischen App-Anbieter verständig und kooperativ gezeigt, so dass teilweise bereits eine erste Kontaktaufnahme mit den App-Anbietern zu einer umgehenden Überarbeitung der Apps geführt hat.

Ansbach, 20.08.2015

Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden

Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden

Wer einen externen Dienstleister als sogenannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000 Euro geahndet werden kann.
"Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.", appelliert Thomas Kranig, der Präsident des BayLDA an die Auftraggeber. "Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden."

Informationen zu den inhaltlichen Anforderungen an die Erteilung von Aufträgen zur Auftragsdatenverarbeitung finden sich in einem Merkblatt des BayLDA.

Ansbach, 30.07.2015

Kundendaten beim Unternehmensverkauf - ein Datenschutzproblem

Kundendaten beim Unternehmensverkauf - ein Datenschutzproblem

Kundendaten haben für Unternehmen oft einen erheblichen wirtschaftlichen Wert, insbesondere wegen der Möglichkeit der persönlichen Werbeansprache. Stellt ein Unternehmen seinen Betrieb ein, versucht es häufig, werthaltige Wirtschaftsgüter ("Assets") entgeltlich an ein anderes Unternehmen im Wege eines sog. Asset Deals zu veräußern. Ähnlich versuchen auch Insolvenzverwalter eines insolventen Unternehmens, die Kundendaten, die oft noch den einzigen relevanten Wert darstellen, bestmöglich zu verkaufen.

Dass dabei jedoch Vorsicht geboten ist, mussten zwei Unternehmen aus Bayern erfahren. Das BayLDA hat kürzlich im Falle einer datenschutzrechtlich unzulässigen Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Zuge eines Asset Deals Geldbußen in fünfstelliger Höhe sowohl gegen das veräußernde als auch gegen das erwerbende Unternehmen festgesetzt. "Bei Asset Deals werden personenbezogene Kundendaten bisweilen unter Verstoß gegen das Datenschutzrecht veräußert. Um die Sensibilität der Unternehmen zu erhöhen, werden wir in auch in weiteren geeigneten Fällen dieser Art Verstöße mit Geldbußen ahnden." so Thomas Kranig, Präsident des BayLDA.

Für die unzulässige Übergabe von Kundendaten tragen sowohl der Veräußerer als auch der Erwerber als sogenannte "verantwortliche Stellen" die datenschutzrechtliche Verantwortung. Der Veräußerer "übermittelt" die Daten, während der Erwerber diese Daten "erhebt". Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000 Euro geahndet werden können.

Ansbach, 30.07.2015

Werbung - was geht und was geht nicht?

Werbung - was geht und was geht nicht?

Beschwerden von Verbrauchern über belästigende Werbung werden nicht wirklich weniger. Besonders die unerwünschte Telefon- und E-Mail-Werbung sowie die Nichtbeachtung von Werbewidersprüchen sind bei den Datenschutzaufsichtsbehörden ein Dauerthema. Das BayLDA hat in einem kurzen Papier für Unternehmen, Vereine und selbständige Gewerbetreibende, aber auch Bürgerinnen und Bürger, die wesentlichen Rahmenbedingungen für zulässige Werbung zusammengestellt.

Wirtschaftsunternehmen, Vereine und selbständige Gewerbetreibende haben ein anerkanntes und berechtigtes Interesse, für ihre Produkte und Dienstleistungen zu werben. Sie müssen sich dabei aber an die Regelungen des Datenschutz- und Wettbewerbsrechts halten. Dabei unterscheiden sich die rechtlichen Voraussetzungen für Telefon-, E-Mail-, SMS- und Postwerbung sehr deutlich.

So ist die Werbung per Briefpost auch ohne Einwilligung in aller Regel zulässig, solange kein Werbewiderspruch vorliegt. Dagegen ist für Werbung bei Verbrauchern per Telefon, E-Mail oder SMS häufig eine ausdrückliche Einwilligung erforderlich. Das BayLDA hat in einem vierseitigen Informationsblatt die Rahmenbedingungen für zulässige Werbung neu zusammengestellt, so dass sowohl Unternehmen, die Werbung betreiben wollen, als auch Bürger sich darüber schnell informieren können, unter welchen Voraussetzungen welche Art von Werbung zulässig ist.

Weitergehende Informationen über die datenschutzrechtliche Zulässigkeit von Werbung sind in einem umfangreichen 14-seitigen Informationsblatt des BayLDA (Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke), in der die Auffassung aller Datenschutzaufsichtsbehörden in der Bundesrepublik Deutschland enthalten ist, zu finden.

Bürger, die der Auffassung sind, durch Werbung in ihrem Datenschutzgrundrecht zum Beispiel durch Nichtbeachtung eines Werbewiderspruchs verletzt zu sein, können sich an das BayLDA wenden. Die unzulässige Nutzung von E-Mail-Adressen und Telefonnummern für elektronische Werbung sowie Postwerbung trotz ausdrücklich erklärten Werbewiderspruchs stellen Tatbestände dar, die je nach Sachverhalt mit einem Bußgeld von bis zu 300.000 Euro geahndet werden können.

Ansbach,24.06.2015

Liebe im Zeitalter der globalen Vernetzung: BayLDA prüft Dating-Portale

Liebe im Zeitalter der globalen Vernetzung: BayLDA prüft Dating-Portale

In einer abgestimmten Aktion werfen einige deutsche Datenschutzaufsichtsbehörden einen umfassenden Blick auf Dating-Portale im Internet und deren Umgang mit personenbezogenen Daten.

Grundlage der Prüfung ist ein zusammen mit den an der Prüfung beteiligten Datenschutzaufsichtsbehörden entwickelter 25 seitiger Prüfkatalog mit rechtlichen und technischen Fragen. Dieser wurde vom BayLDA an die bayerischen Anbieter von zehn (teils zufällig) ausgewählten Dating-Portalen zugesandt, die diesen innerhalb einer gesetzten Frist beantworten müssen. Das BayLDA verspricht sich durch umfangreiche Prüfung notwendige Erkenntnisse darüber zu gewinnen, ob datenschutzrechtliche Vorgaben im Zusammenhang mit dem Internetangebot und ggf. Apps eingehalten werden. Nach einer Auswertung der rechtlichen und technischen Antworten wird das BayLDA zwei Anbieter zusätzlich im Rahmen einer Vor-Ort-Kontrolle einer fokussierten Prüfung unterziehen.

Mit dieser Prüfung zeigen die deutschen Datenschutzaufsichtsbehörden, dass trotz der föderalen Strukturen gemeinsame und umfangreiche Prüfungen von Unternehmen durchgeführt werden können. Die Gewinner sind die Nutzer von Dating-Portalen, da der Umgang mit deren personenbezogenen Daten einer aufsichtlichen Kontrolle unterzogen wird. Sollten Mängel in Bezug auf die datenschutzrechtlichen Anforderungen festgestellt werden, so müssen diese von den Anbietern zeitnah beseitigt werden.