89. Sitzung des GDD-ERFA-Kreis Bayern

Am 15.03.2024 konnten wir an der 89ten Sitzung des Bayerischen ERFA-Kreises der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) teilnehmen. Die von Mitgliedern der GDD organisierten Erfahrungsaustauschkreise (ERFA-Kreise) sind ein Forum für den Meinungsaustausch zwischen Fachleuten aus dem Bereich des Datenschutzes.

Nachdem der Präsident der Bayerischen Landeszentrale für neue Medien (BLM), Dr. Thorsten Schmiege, die Teilnehmer in den Räumlichkeiten des BLM begrüßte, gaben die Referenten spannende Einblicke in die Arbeit der Aufsichtsbehörden und die aktuellen Entwicklungen des Datenschutz- und IT-Sicherheitsrechts.

Der Medienbeauftragte für den Datenschutz, Andreas Gummer, machte den Anfang mit einem Grundsatzvortrag über die rechtlichen Besonderheiten des Datenschutzes im Medienbereich. 

Als nächstes präsentierte Christina Rölz, die Datenschutzbeauftragte des Staatsministeriums des Inneren für Sport und Integration, aktuelle Gesetzgebungsverfahren in Europa und Deutschland. Im Rahmen der anstehenden Überprüfung 2024 und 2028 steht eine Überarbeitung der DSGVO im Raum. Der Deutsche Bundesrat fordert eine Herstellerhaftung für Anbieter digitaler Produkte. So soll sichergestellt werden, dass Produkte und Dienste ohne Anpassung der Voreinstellungen DSGVO-konform von Verantwortlichen genutzt werden können.

Dr. Florian Eisenmenger von Osborne & Clarke berichtete über die Grundlagen der NIS2-Richtlinie, über die wir ebenfalls eine Informationsseite eingerichtet haben, sowie über den kommenden Cyber Resilience Act (CRA). Ziel des CRA ist es, Cybersicherheit bei der Entwicklung von Produkten mit digitalen Elementen im gesamten Lebenszyklus zu bedenken und stetig zu verbessern. Der CRA wurde am 12.03. durch das Europaparlament gebilligt und muss noch durch den Rat bestätigt werden, um in Kraft zu treten. 

Anschließend berichtete Jonas von Dall'Armi von Giesecke und Devrient als Follow-Up zu seinem Vortrag beim letzten GDD Erfa-Kreis über mögliche Verwendungsbeschränkungen von Daten, die sich aus dem Data Act ergeben. Weiterhin beschrieb er detailliert, wie der neu geregelte Wechsel von Cloud-Anbietern möglich gemacht werden soll und welche Anforderungen Cloud-Anbieter in diesem Rahmen erfüllen müssen. Der Data Act ist ab dem 12.09.2025 anwendbar.

Zuletzt beantwortete Michael Will, der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, einige Fragen der Teilnehmenden. Er erteilte zunächst eine Absage für die meisten Unternehmen, die von Bewerbern ein polizeiliches Führungszeugnis verlangen. Diese Praxis ist bis auf wenige Ausnahmen gemäß Art. 10 DSGVO verboten. Bezüglich der Verwendung von Log-Daten zur Produktoptimierung oder Verbesserung der Cybersicherheit durch Software-Anbieter verwies er auf den DSK-Beschluss zu Microsoft 365.

Alle Vorträge waren von gewohnt hoher Qualität und die Referenten standen für Fragen der Teilnehmenden gerne zur Verfügung. Wir freuen uns bereits auf den nächsten GDD Erfa-Kreis im September!