Dr. Stefan Brink ist seit dem 1. Dezember 2016 der Landesbeauftragte für den Datenschutz des Landes Baden-Württemberg. Er hat an unserem TCI-Datenschutztag vom 22.09.2022 in einer interaktiven Diskussionsrunde Näheres zu den Aufgaben der datenschutzrechtlichen Aufsichtsbehörden sowie zum aktuellen Stand des internationalen Datentransfers ausgeführt.

Was macht eigentlich eine datenschutzrechtliche Aufsichtsbehörde?

Die Aufsichtsbehörde ist seit 2018 besonders intensiv in der Beratung unterwegs und berät Bürger, Unternehmen und Behörden – insbesondere in letzter Zeit zur Corona-Verordnung, zu Bildungsplattformen und Proctoring an Hochschulen. Ein weiterer Schwerpunkt ist die Beratung von Unternehmen und Vereinen mit Themen wie 3G am Arbeitsplatz, Lohnfortzahlung im Quarantänefall sowie die Zusammenarbeit mit Institutionen.

In Zahlen lässt sich festhalten, dass der LfDI Baden-Württemberg circa 5000 Beschwerden und 3000 Datenpannenmeldungen pro Jahr erhält. Bei den Datenpannenmeldungen hat ein enormer Anstieg stattgefunden – nicht nur aufgrund der erweiterten Meldepflichten der DSGVO, sondern u.a. wegen neuer Sicherheitslücken wie z.B. die MS Exchange-Sicherheitslücke in 2021. Deutschland ist europaweit das Land mit den meisten Datenpannenmeldungen – vermutlich nicht, weil die IT in Deutschland besonders unsicher ist, sondern eher aufgrund der starken Aufsichts- sowie Melde-„Kultur“.

Auch die Beschwerden haben sich zwischen 2016 und 2021 verdoppelt. Besonders Betroffenen-Themen, wie Beschäftigten-Datenschutz (gleichermaßen im öffentlichen und privaten Sektor) vermehren sich.

Aufgrund dieser hohen Zahlen setzt Baden-Württemberg vermehrt auf automatisierte Kontrollen und Bescheide. Zudem verhängt die Aufsichtsbehörde vorrangig Bußgelder in Fällen, die auch vor Gericht voraussichtlich Aussicht auf Erfolg haben, um die Arbeitslast zu verringern. Vor Gericht haben vorwiegend einfach strukturierte Fälle, die nachweisbar sowie prüfbar sind, eher Aussicht auf Erfolg. Ferner besteht in Baden-Württemberg eine strikte Trennung zwischen der Beratung und den Bußgeldverfahren. Zwischen diesen Abteilungen fließen keine Informationen. Dies ermöglicht es Bürgern und Unternehmen sich zu informieren, ohne gleich ein Bußgeld befürchten zu müssen.

Europäische Perspektiven

Der europäische Datenschutzausschuss arbeitet und funktioniert nach Aussage von Dr. Brink gut. Alle sechs Wochen finden Treffen der europäischen Aufsichtsbehörden der Mitgliedstaaten statt. Es wird dabei versucht, weitestgehend einen einheitlichen Vollzug im Datenschutz zu realisieren. Dies ist jedoch ein langer Prozess, da es sich letztlich um die Vereinheitlichung der europäischen Verwaltungskultur handelt.

Auch wenn noch Nachbesserungsbedarf an der DSGVO besteht, sind bereits informelle (Kommunikation mit US-Unternehmen) wie auch formale (Anordnungen/Bußgelder) Vollzugserfolge zu sehen. Allerdings wird die Uneinheitlichkeit des Vollzugs und der Rechtsprechung in den europäischen Ländern zum Teil ausgenutzt. Zum Beispiel wird ein deutscher Richter vermutlich kein Bußgeld verhängen, wenn der Beklagte belegen kann, dass in einem anderen Land für seine Handlung kein Bußgeld verhängt werden würde. Zurzeit ist ein Wachstum bei dem Gesamtumfang an Bußgeldern sowie deren Höhe in Europa zu sehen. Im Vergleich zum Vorjahr liegt bereits eine Erhöhung von rund 50% vor. Das mag auch daran liegen, dass sich einige Aufsichtsbehörden im EU-Ausland aus den eingetriebenen Bußgeldern (mit-)finanzieren.

Außereuropäische Datentransfers – Schrems II und die Perspektiven

Zum Dauerbrennerthema der Datenübermittlung in das Nicht-EU-Ausland und zur Schrems II-Problematik wird voraussichtlich für Mitte 2023 eine Lösung in Form des „Trans-Atlantic Data Privacy Frameworks“ erwartet – jedenfalls hinsichtlich Datentransfers in die USA.

Bis dahin gilt leider nach wie vor:

  • Geeignete Garantien (Art. 46 DSGVO) durch Standarddatenschutzklauseln und Binding Corporate Rules (BCR) (Art. 47 DSGVO) sind nach Schrems II problematisch.
  • Ausnahmetatbestände (Art. 49 DSGVO), insbesondere die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO, sind nur schwer umzusetzen. Eine „informierte Einwilligung“ erfordert eine gute Kenntnis der anderen Landes-Rechtsordnung sowie ständige Aktualisierungen aufgrund neuer Gesetze und Rechtsprechung im jeweiligen Zielland. Nach Auffassung der Aufsichtsbehörden soll zudem die Einwilligung nur in Ausnahme- bzw. Einzelfällen zur Anwendung kommen.

Die derzeit beliebten TIA (Transfer Impact Assessment) sind nach Auffassung von Dr. Brink von eher zweifelhaftem Nutzen. TIA sind in der Welt des Datenschutzes relativ neu – es handelt sich um eine Risikobewertung für Datenübermittlung in unsichere Drittländer. Die Risikobewertung – vor allem die Prüfung der Rechtslage im „Zielland“ – erfordert jedoch einen unverhältnismäßig hohen Aufwand. Dabei ist auch zu beachten, dass die TIA ein dauerhafter Prozess ist und diese regelmäßig überprüft werden muss: schließlich können sich Gesetze und Rechtsprechung im Zielland ändern. Die meisten Aufsichtsbehörden gehen bei der Prüfung von Auslandsübermittlung jedoch mit Augenmaß vor und sind sich ihres Ermessenspielraums bewusst. Zurückhaltung wird oft dann ausgeübt, wenn der Auslands-Dienstleister „alternativlos“ ist, d.h. wenn es keine zumutbaren Alternativangebote ohne Transferproblematik gibt. Verantwortliche sollten deshalb dringend intern dokumentieren, weshalb sie auf einen bestimmten Auslands-Dienstleister angewiesen sind.

Webinar – Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud – 27.09.2022

Norman Müller referiert am 27.09.2022 erneut zur „Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud“ für das Führungskräfte-Forum des Behörden-Spiegels.

Mit Beschluss vom 11. Februar 2022 hat der IT-Planungsrat die EVB-IT Cloud gebilligt und seinen Mitgliedern zur Anwendung empfohlen. Auch die Mitglieder des Bitkom-Arbeitskreises Öffentliche Aufträge haben sich für die Veröffentlichung der zwischen Öffentlicher Hand und der Verhandlungsdelegation des Bitkom abgestimmten EVB-IT Cloud ausgesprochen.

Die EVB-IT Cloud schließen als 11. Vertragstyp eine Lücke in den EVB-IT, die immer schmerzlicher wurde. Sie sind das Ergebnis eines intensiven Verhandlungsprozesses mit der IT-Wirtschaft. Die EVB-IT Cloud enthalten eine Reihe neuer Regelungen, die unter anderem auf die Spezifika des hochstandardisierten und weitgehend globalisierten Cloudgeschäfts zurückzuführen sind, aber auch auf die technischen Herausforderungen und die damit verbundenen IT-Sicherheitsaspekte. Sie beziehen die aktuellen Anforderungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) mit ein.

Die Besonderheit der EVB-IT Cloud drückt sich aber auch darin aus, dass dazu zwei völlig neuartige Dokumente gehören, einerseits ein Kriterienkatalog zur Abbildung von Spezifika der Cloudleistungen und andererseits eine Anlage mit deren Hilfe auftragnehmerseitige AGB vergaberechtskonform einbezogen werden können.

Themenüberblick:

  • Anwendungsbereich der neuen EVB-IT Cloud
  • Besonderheiten der EVB-IT Cloud im Vergleich zu anderen EVB-IT
  • Wesentliche Punkte aus den AGB
  • Kriterienkatalog für Cloudleistungen, ein neues Werkzeug
  • Einbeziehung auftragnehmerseitiger AGB, Verwendung der entsprechenden Anlage zu den EVB_IT Cloud
  • Beschaffungen mit den neuen EVB-IT Cloud

weitere Webinar-Termine in 2022: 29.11.2022

Hinweise zur Anmeldung finden sie hier.

Webinar – Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud – 16.05.2022

Aufgrund sehr hoher Nachfrage referiert Rechtsanwalt Norman Müller am 16. Mai 2022 noch einmal zur „Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud“ für das Führungskräfte-Forum des Behörden-Spiegels.

Mit Beschluss vom 11. Februar 2022 hat der IT-Planungsrat die EVB-IT Cloud gebilligt und seinen Mitgliedern zur Anwendung empfohlen. Auch die Mitglieder des Bitkom-Arbeitskreises Öffentliche Aufträge haben sich für die Veröffentlichung der zwischen Öffentlicher Hand und der Verhandlungsdelegation des Bitkom abgestimmten EVB-IT Cloud ausgesprochen.

Die EVB-IT Cloud schließen als 11. Vertragstyp eine Lücke in den EVB-IT, die immer schmerzlicher wurde. Sie sind das Ergebnis eines intensiven Verhandlungsprozesses mit der IT-Wirtschaft. Die EVB-IT Cloud enthalten eine Reihe neuer Regelungen, die unter anderem auf die Spezifika des hochstandardisierten und weitgehend globalisierten Cloudgeschäfts zurückzuführen sind, aber auch auf die technischen Herausforderungen und die damit verbundenen IT-Sicherheitsaspekte. Sie beziehen die aktuellen Anforderungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) mit ein.

Die Besonderheit der EVB-IT Cloud drückt sich aber auch darin aus, dass dazu zwei völlig neuartige Dokumente gehören, einerseits ein Kriterienkatalog zur Abbildung von Spezifika der Cloudleistungen und andererseits eine Anlage mit deren Hilfe auftragnehmerseitige AGB vergaberechtskonform einbezogen werden können.

Themenüberblick:

  • Anwendungsbereich der neuen EVB-IT Cloud
  • Besonderheiten der EVB-IT Cloud im Vergleich zu anderen EVB-IT
  • Wesentliche Punkte aus den AGB
  • Kriterienkatalog für Cloudleistungen, ein neues Werkzeug
  • Einbeziehung auftragnehmerseitiger AGB, Verwendung der entsprechenden Anlage zu den EVB_IT Cloud
  • Beschaffungen mit den neuen EVB-IT Cloud

weitere Webinar-Termine in 2022: 27.09.2022 und 29.11.2022

Hinweise zur Anmeldung finden sie hier.

WEBINAR EVB-IT: Vertiefung und praktische Anwendung im Vergabeverfahren – 26.04.2022

Seit etlichen Jahren referiert Rechtsanwalt Norman Müller zu verschiedenen Themengebieten rund um die „EVB-IT“ für das Führungskräfte-Forum des Behörden-Spiegels.

Dieses Webinar ist vor allem für Praktiker gedacht, die bereits Erfahrung im Umgang mit den EVB-IT haben, über Grundlagenwissen verfügen und ihre vorhandenen Kenntnisse vertiefen möchten.

Die Teilnehmer werden nach einer kurzen Einführung mit ausgewählten EVB-IT Vertragstypen im Detail vertraut gemacht. Breiten Raum nehmen die Übungen der praktischen Verwendung der EVB-IT und deren sinnvolle Einbeziehung in das Vergabeverfahren ein. Die Teilnehmer lernen insbesondere

  • wann welche EVB-IT Anwendung finden können und welche Spielräume hier bestehen
  • den praktischen Umgang mit den EVB-IT Vertragsformularen,
  • sinnvolle Ergänzungen und Änderungen der Standardregelungen
  • die Verwendung der EVB-IT im Vergabeverfahren, z. B.
    • wie die EVB-IT und die weiteren Vergabeunterlagen im Vergabeverfahren zusammenwirken und aufeinander abgestimmt werden
    • wie Preisblätter, Leistungsbeschreibungen und Bewertungsmatrices zur Verwendung mit den EVB-IT erstellt werden sollten
  • wie typische Fehler beim Ausfüllen der Vertragsformulare, bei der Änderung bzw. beim Hinzufügen eigener Regelungen und bei der Verwendung im Vergabeverfahren vermieden werden können.

Hinweise zur Anmeldung und zum Ablauf des Webinars finden Sie hier.

WEBINAR EVB-IT: Einführung, Grundlagen und Überblick – 25.04.2022

Seit etlichen Jahren referiert Rechtsanwalt Norman Müller zu verschiedenen Themengebieten rund um die „EVB-IT“ für das Führungskräfte-Forum des Behörden-Spiegels.

In diesem dreistündigen Webinar werden die Teilnehmenden mit den Grundlagen der EVB-IT, den insoweit relevanten weiteren Vorschriften und den verschiedenen EVB-IT-Vertragstypen vertraut gemacht. Dazu werden die beliebtesten EVB-IT Vertragstypen vom Seminarleiter vorgestellt und gemeinsam erörtert. Anhand eines oder mehrerer Beispielfälle wird die praktische Verwendung der EVB-IT geübt.

Themenüberblick:

  • Einführung
  • Anwendungsbereich, Abgrenzungen, Verhältnis der EVB-IT zu VOL/B und BGB
  • Vertragscharakter, Aufbau und Struktur der EVB-IT
  • Basis-EVB-IT:
    • EVB-IT Überlassung Typ A und Pflege S
    • EVB-IT Dienstleistung
    • EVB-IT Kauf und Instandhaltung
    • EVB-IT Überlassung Typ B (bei Bedarf)
  • Kurzübersicht der komplexen EVB-IT am Beispiel der EVB-IT System
    • EVB-IT System
    • EVB-IT Systemlieferung
    • EVB-IT Erstellung
  • Praxisübung: Abbildung eines Beispielfalls in den EVB-IT

Hinweise zur Anmeldung und zum Ablauf des Webinars finden Sie hier.

Webinar – Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud

Am 13. April 2022 referiert Rechtsanwalt Norman Müller für das Führungskräfte-Forum des Behörden-Spiegels zur „Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud“.

Mit Beschluss vom 11. Februar 2022 hat der IT-Planungsrat die EVB-IT Cloud gebilligt und seinen Mitgliedern zur Anwendung empfohlen. Auch die Mitglieder des Bitkom-Arbeitskreises Öffentliche Aufträge haben sich für die Veröffentlichung der zwischen Öffentlicher Hand und der Verhandlungsdelegation des Bitkom abgestimmten EVB-IT Cloud ausgesprochen.

Die EVB-IT Cloud schließen als 11. Vertragstyp eine Lücke in den EVB-IT, die immer schmerzlicher wurde. Sie sind das Ergebnis eines intensiven Verhandlungsprozesses mit der IT-Wirtschaft. Die EVB-IT Cloud enthalten eine Reihe neuer Regelungen, die unter anderem auf die Spezifika des hochstandardisierten und weitgehend globalisierten Cloudgeschäfts zurückzuführen sind, aber auch auf die technischen Herausforderungen und die damit verbundenen IT-Sicherheitsaspekte. Sie beziehen die aktuellen Anforderungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) mit ein.

Die Besonderheit der EVB-IT Cloud drückt sich aber auch darin aus, dass dazu zwei völlig neuartige Dokumente gehören, einerseits ein Kriterienkatalog zur Abbildung von Spezifika der Cloudleistungen und andererseits eine Anlage mit deren Hilfe auftragnehmerseitige AGB vergaberechtskonform einbezogen werden können.

Themen:

  • Anwendungsbereich der neuen EVB-IT Cloud
  • Besonderheiten der EVB-IT Cloud im Vergleich zu anderen EVB-IT
  • Wesentliche Punkte aus den AGB
  • Kriterienkatalog für Cloudleistungen, ein neues Werkzeug
  • Einbeziehung auftragnehmerseitiger AGB, Verwendung der entsprechenden Anlage zu den EVB_IT Cloud
  • Beschaffungen mit den neuen EVB-IT Cloud

weitere Webinar-Termine in 2022: 16.05.2022, 27.09.2022, 29.11.2022

Hinweise zur Anmeldung finden sie hier.

Webinar – Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud

Am 24. März 2022 referiert Rechtsanwalt Norman Müller für das Führungskräfte-Forum des Behörden-Spiegels zur „Beschaffung von Cloud-Leistungen mit den neuen EVB-IT Cloud“.

Mit Beschluss vom 11. Februar 2022 hat der IT-Planungsrat die EVB-IT Cloud gebilligt und seinen Mitgliedern zur Anwendung empfohlen. Auch die Mitglieder des Bitkom-Arbeitskreises Öffentliche Aufträge haben sich für die Veröffentlichung der zwischen Öffentlicher Hand und der Verhandlungsdelegation des Bitkom abgestimmten EVB-IT Cloud ausgesprochen.

Die EVB-IT Cloud schließen als 11. Vertragstyp eine Lücke in den EVB-IT, die immer schmerzlicher wurde. Sie sind das Ergebnis eines intensiven Verhandlungsprozesses mit der IT-Wirtschaft. Die EVB-IT Cloud enthalten eine Reihe neuer Regelungen, die unter anderem auf die Spezifika des hochstandardisierten und weitgehend globalisierten Cloudgeschäfts zurückzuführen sind, aber auch auf die technischen Herausforderungen und die damit verbundenen IT-Sicherheitsaspekte. Sie beziehen die aktuellen Anforderungen des Bundesamts für die Sicherheit in der Informationstechnik (BSI) mit ein.

Die Besonderheit der EVB-IT Cloud drückt sich aber auch darin aus, dass dazu zwei völlig neuartige Dokumente gehören, einerseits ein Kriterienkatalog zur Abbildung von Spezifika der Cloudleistungen und andererseits eine Anlage mit deren Hilfe auftragnehmerseitige AGB vergaberechtskonform einbezogen werden können.

Themen:

  • Anwendungsbereich der neuen EVB-IT Cloud
  • Besonderheiten der EVB-IT Cloud im Vergleich zu anderen EVB-IT
  • Wesentliche Punkte aus den AGB
  • Kriterienkatalog für Cloudleistungen, ein neues Werkzeug
  • Einbeziehung auftragnehmerseitiger AGB, Verwendung der entsprechenden Anlage zu den EVB_IT Cloud
  • Beschaffungen mit den neuen EVB-IT Cloud

weitere Webinar-Termine in 2022: 13.04.2022, 16.05.2022, 27.09.2022, 29.11.2022

Hinweise zur Anmeldung finden sie hier.