close
  • Da chevron_right

    3G am Arbeitsplatz – Datensparsamkeit heißt das Gebot der Stunde!

    news.movim.eu / Datenschutz · 4 days ago - 07:44 · 2 minutes

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Seit dem 24.11.2021 gelten im Beschäftigungsverhältnis strengere Regeln zur Eindämmung der Corona-Pandemie. Durch eine Änderung des Infektionsschutzgesetzes (IfSG) ist der Zutritt zu einem Arbeitsplatz, bei dem physische Kontakte zu anderen Personen nicht ausgeschlossen werden können, nur noch dann zulässig, wenn Beschäftigte und Besucher den sog. 3G-Nachweis gegenüber dem Arbeitgeber erbringen (§ 28 b Abs. 1 IfSG). Das heißt, sie müssen entweder geimpft, genesen oder negativ getestet sein. Diese Änderung bringt für die meisten Arbeitsplätze im Land zahlreiche Änderungen mit sich: Denn der Arbeitgeber ist verpflichtet, die Nachweispflicht täglich zu überwachen und auch zu dokumentieren. Bei Verstößen drohen hohe Bußgelder.

Korrespondierend hierzu wurden die bisherigen Vorschriften zur Zulässigkeit einer Impfabfrage durch den Arbeitgeber erweitert. Es ist dem Arbeitgeber jetzt erlaubt, Informationen zum Impf-, Genesenen- bzw. Teststatus der Beschäftigten zu erfragen und diese Daten – einschließlich der Gültigkeitsdauer des Zertifikates – zu verarbeiten (§ 28b Abs. 3). Wenn der Arbeitgeber den Genesenen- oder Impfnachweis einmal kontrolliert und dokumentiert hat, können Beschäftigte mit gültigem Zertifikat aber von den täglichen Zugangskontrollen befreit werden.

Beschäftigte sind auch angesichts der neuen Regelungen nicht verpflichtet, dem Arbeitgeber Auskunft über den eigenen Impf- oder Genesungsstatus zu geben. Wer diese Frage nicht beantworten möchte, muss aber täglich einen Test vorlegen.

„Auch wenn Arbeitgeber auf der Basis des geänderten Infektionsschutzgesetzes nunmehr auch Gesundheitsdaten ihrer Beschäftigten verarbeiten dürfen, sind dabei datenschutzrechtliche Vorgaben zu beachten“, so Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in einer ersten Einschätzung: „Die neuen Regelungen sind kein Freibrief, um sich ein umfassendes Bild über den Gesundheitszustand der Mitarbeitenden zu verschaffen! Ziel ist der Gesundheitsschutz, nicht das Ausforschen von Beschäftigten“. Der Grundsatz der Datenminimierung nach Art. 5 Datenschutz-Grundverordnung gelte weiterhin uneingeschränkt.

Arbeitgeber seien daher gehalten, die datensparsamste Nachweismethode zu wählen. Als Beispiel nannte Prof. Kugelmann die Nutzung der vom RKI herausgegebenen kostenlosen „CovPassCheck-App“ durch den Arbeitgeber ( https://www.digitaler-impfnachweis-app.de/covpasscheck-app/ – idealerweise auf dem Dienst- bzw. Firmenhandy. Diese Methode sei gegenüber dem Anlegen umfangreicher Namenslisten mit Informationen zum Genesenenstatus oder zu zurückliegenden Impfterminen vorzugswürdig. Soweit Nachweis-Zertifikate oder QR-Codes elektronisch übermittelt werden sollen, sei eine ausreichende Vertraulichkeit der Daten sicherzustellen, z.B. durch eine geeignete Verschlüsselung.

„Insgesamt hätte ich mir eine Regelung gewünscht, bei der Arbeitgeber bei der Nachweisprüfung nur einen QR-Code einscannen und somit nicht erkennen können, welches der drei „G“ bei Beschäftigten vorliegt. Italien hat dies mit dem Green-Pass vorgemacht. Dadurch, dass die neuen Vorschriften auch die Nutzung der Impfdaten für das Hygienekonzept des Arbeitgebers erlauben, wird das Problem noch verschärft. Ich appelliere an die Arbeitgeberinnen und Arbeitgeber, umsichtig und sorgsam mit den Daten umzugehen“.

Weitere Hinweise unter :

https://www.digitaler-impfnachweis-app.de/faq#wann-brauche-ich-die-covpasscheck-app

https://www.bmas.de/DE/Corona/Fragen-und-Antworten/Fragen-und-Antworten-ASVO/faq-corona-asvo.html#doc89168596-e024-487b-980f-e8d076006499bodyText3


  • Da chevron_right

    3G am Arbeitsplatz muss datenschutzkonform gestaltet werden

    news.movim.eu / Datenschutz · 6 days ago - 14:19 · 1 minute

BfD EKD äußert sich zur Umsetzung in Kirche und Diakonie

Pressemitteilung des Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland (BfD EKD) vom 24.11.2021

Heute treten die in der letzten Woche beschlossenen Änderungen zum Infektionsschutzgesetz in Kraft. Dabei stehen die Regelungen zu 3G am Arbeitsplatz besonders in der öffentlichen Diskussion und Wahrnehmung.

„Zur aktuell dringend erforderlichen Eindämmung der Pandemie ist die 3G-Regelung am Arbeitsplatz ein wichtiger Baustein und grundsätzlich sehr zu begrüßen“, sagt der Beauftragte für den Datenschutz der EKD, Michael Jacob. „Wichtig ist jetzt aber, dass diese 3G-Daten auch in Kirche und Diakonie datenschutzkonform verarbeitet werden.“ Nach Auffassung des BfD EKD sei es am datensparsamsten, 3G-Daten der Beschäftigten für eine Zutrittskontrolle zum Arbeitsplatz zu prüfen und diese Daten nach Zutritt oder am Ende des jeweiligen Tages zu löschen. Eine langfristige Speicherung der Daten sei eher nicht erforderlich. „Für eine dauerhafte Zutrittsmöglichkeit genügt auch die Dokumentation im Rahmen eines einmaligen ‚Abhakens‘ auf einer Liste bei erstmaliger Vorlage des Impf- oder Genesenennachweises.“, so Michael Jacob in einer ersten Stellungnahme. Es wird empfohlen, dass nachprüfbare Prozesse etabliert werden, auf welche Weise der 3G-Status der Beschäftigten geprüft und dokumentiert wird.

Es bleibt abzuwarten, ob es weitere Regelungen zur Vorlage- und Dokumentationspflicht der Beschäftigtendaten geben wird.

Die Webseite des Beauftragten für den Datenschutz der EKD kann hier abgerufen werden.


  • Da chevron_right

    Neues Infopaket: Homeoffice – aber sicher!

    news.movim.eu / Datenschutz · 6 days ago - 14:15 · 1 minute

Pressemitteilung des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 23.11.2021

Die Wiedereinführung der Homeoffice-Pflicht im Rahmen der Pandemiebekämpfung stellt Betriebe und Behörden vor Herausforderungen. Dürfen Familienmitglieder Zugang zu den personenbezogenen Daten haben? Können die Daten auf der privaten Festplatte gespeichert werden? Darf ich meine Arbeit zu Hause ausdrucken? Dürfen Ausdrucke in den Hausmüll? Was ist bei einem Datenschutzvorfall zu tun? Arbeitgeber und Arbeitnehmer müssen wissen, was datenschutzrechtlich im Homeoffice erlaubt ist und was nicht.

Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt weist deshalb auf das neue Infopaket „Homeoffice“ auf seiner Homepage hin. In diesem Infopaket finden sich u.a. Hinweise und eine Checkliste zur Umsetzung der datenschutzrechtlichen Anforderungen für das Arbeiten im Homeoffice. Ergänzt werden diese Hinweise durch Informationen des Bundeskriminalsamtes (BKA) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur technischen Sicherheit, insbesondere zum Thema Cyberkriminalität, also der Angriffe auf Unternehmen und Behörden aus dem Internet.

„Die Einhaltung des Datenschutzes und technische Sicherheitsvorkehrungen sind Grundvoraussetzungen für die Arbeit im Homeoffice. Wer hier Fehler macht, gefährdet nicht nur die Daten seiner Kunden, Mitarbeiter oder Bürger, sondern auch die Arbeits- und Handlungsfähigkeit seines Unternehmens oder der Behörde“, sagte Albert Cohaus, der die Aufgaben und Befugnisse des Landesbeauftragten wahrnimmt. „Homeoffice ist aber auch eine Frage der Cybersicherheit. Eine steigende Zahl von Cyberangriffen legt immer wieder Behörden und Unternehmen lahm. Ungesicherte Zugänge aus dem Homeoffice steigern die Gefahr, dass ein solcher Anschlag auf die technische Infrastruktur erfolgreich ist und zur Schadensmaximierung führt,“ erklärte Albert Cohaus „Nutzen Sie unsere Hinweise und die Informationen der Sicherheitsbehörden, um datenschutzrechtliche Probleme zu vermeiden und den Gefahren aus dem Internet vorzubeugen. Schützen Sie sich, Ihre Technik und Ihre Daten, damit die Arbeit auch unter Pandemiebedingungen sicher weitergehen kann.“

Das Infopaket „Homeoffice“ finden Sie auf unsere Homepage unter
https://datenschutz.sachsen-anhalt.de/informationen/infopakete/infopaket-homeoffice/

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz Sachsen-Anhalt können hier abgerufen werden.


  • Da chevron_right

    BfDI: 3G am Arbeitsplatz ginge datenschutzfreundlicher

    news.movim.eu / Datenschutz · Monday, 22 November - 06:17 · 2 minutes

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 19.11.2021

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, kritisiert einige Bestandteile der neuen gesetzlichen Regeln zur Kontrolle des Impf-, Genesenen- oder Teststatus (3G) durch Arbeitgeberinnen und Arbeitgeber.

„Die Vorarbeiten der Bundesregierung für den Deutschen Bundestag sind an einigen Stellen fehlerhaft und verzichten auf datenschutzfreundliche Regelungen. Meine Behörde hätte gerne frühzeitig und begleitend beraten. Darauf hat das federführende Ministerium aber verzichtet. Folge ist ein unnötiges Risiko datenschutzrechtlicher Fehler, die bei Klagen vor Gerichten zu Verzögerungen führen könnten. Der Pandemiebekämpfung würde das massiv schaden“, sagte der BfDI.

Der BfDI befürwortet ausdrücklich die Einführung einer gesetzlichen Grundlage für 3G am Arbeitsplatz, die er unter anderem bereits im August öffentlich eingefordert hatte: „Es hätte allerdings in den meisten Fällen gereicht, den Arbeitgeberinnen und Arbeitgebern überhaupt eine Kontrolle zu ermöglichen. Stattdessen werden sie nun dauerhaft flächendeckend und bußgeldbewährt zur Kontrolle der Beschäftigten verpflichtet. Trotzdem sieht der Gesetzentwurf keine Schutzmaßnahmen für die Daten der betroffenen Beschäftigten vor. Es gibt zum Beispiel keine Pseudonymisierungsmaßnahmen und keine Schweigepflicht der kontrollierenden Personen gegenüber dem Arbeitgeber, damit die Erkenntnisse nicht zweckwidrig genutzt werden können.“

Nach Auffassung des BfDI wäre es ausreichend, 3G-Daten der Beschäftigten für eine Zutrittskontrolle zu prüfen und diese dann nach Zutritt oder am Ende des jeweiligen Tages zu löschen. Insgesamt wäre die Kontrolle der 3G-Regelung deutlich datenschutzfreundlicher umsetzbar gewesen: „Ich bin der Auffassung, dass auch für dieses Gesetz grundsätzlich keine längerfristige Speicherung der personenbezogenen 3G-Daten bei Arbeitgeberinnen und Arbeitgebern erforderlich ist. Für die Zutrittskontrolle genügt ein ‚Abhaken‘. Für die „regelmäßige Dokumentation“, ob die Zutrittsvoraussetzungen eingehalten werden, reicht es aus, wenn Arbeitgeberinnen und Arbeitgeber nachprüfbare Prozesse etabliert haben, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft wird. Die personengenaue Speicherung sensibler Gesundheitsdaten ist dafür nicht erforderlich. Das Gesetz nennt auch keinen Zweck für diese bald sehr große Menge an Daten.“

Eine Neuerung begrüßt der BfDI jedoch uneingeschränkt: „Es ist klug, die Länder zu ermutigen, endlich die Corona-Warn-App zum Standard für Kontakt-Tracing zu machen: Das ist schneller, ressourcenschonender und datenschutzfreundlicher als alle Alternativen.“

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.


  • Da chevron_right

    Kontaktdatenerfassung: Corona-Warn-App als datensparsame Alternative in Berliner Landesverordnung ermöglichen

    news.movim.eu / Datenschutz · Monday, 22 November - 06:14 · 1 minute

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 19.11.2021

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit appelliert an den Berliner Verordnungsgeber, den Einsatz der Corona-Warn-App als datensparsame und effektive Alternative für die Unterbrechung von Infektionsketten rechtlich zu verankern. Diese Möglichkeit sieht auch die Reform des Infektionsschutzgesetzes vor, die gestern vom Deutschen Bundestag verabschiedet wurde.

Derzeit verpflichtet die Dritte Berliner SARS-CoV-2-Infektionsschutzmaßnahmenverordnung Veranstaltende, Gastronomen und andere Verantwortliche zur Anwesenheitsdokumentation ihrer Gäste. Dazu müssen sie laut Verordnung personenbezogene Daten ihrer Gäste erfassen, u. a. Vor- und Nachname, Telefonnummer und Anschrift. Der Zweck der Datenerfassung ist die Nachverfolgung von Kontakten von positiv auf Covid-19 getesteten Personen durch die Gesundheitsämter.

Durch die gestiegenen Infektionszahlen stoßen die Berliner Gesundheitsämter laut Medienberichten bei der Kontaktnachverfolgung wiederholt an ihre personellen Grenzen. Demnach werden die erhobenen Daten entweder gar nicht, sehr verspätet oder nur in Teilen genutzt.

Mit der Corona-Warn-App gibt es eine datensparsame Alternative für die Unterbrechung von Infektionsketten. Veranstaltende oder Gastronomen können mit der App QR-Codes zum Einchecken für ihre Gäste generieren. Im Falle der Infektion eines Gastes erhalten die anderen Nutzer*innen über die Corona-Warn-App schnell eine Warnung. Durch eine neue Funktion können Veranstaltende mittlerweile auch dann über Risikokontakte informieren, wenn sich die infizierte Person selbst nicht über die Corona-Warn-App eingecheckt hatte.

Da die Corona-Warn-App die in der Verordnung geforderten Daten nicht erfasst, können Berliner Veranstaltende allein mit ihrem Einsatz bislang nicht ihre rechtlichen Pflichten erfüllen. Sachsen und Baden-Württemberg erlauben das Einchecken per Corona-Warn-App bereits in ihren Landesverordnungen.

Volker Brozio, kommissarischer Dienststellenleiter der Berliner Beauftragten für Datenschutz und Informationsfreiheit:

„Mit der Corona-Warn-App steht ein datenschutzkonformes und effektives Mittel zur Unterbrechung von Infektionsketten zur Verfügung. Die App ist datensparsam und entlastet die Gesundheitsämter. Der Berliner Verordnungsgeber sollte klarstellen, dass das Einchecken per Corona-Warn-App als Alternative zur Kontaktdatenerfassung genutzt werden kann. Hier sollte das Land Berlin den jüngsten Beschlüssen auf Bundesebene folgen.“


  • Da chevron_right

    Geimpft oder ungeimpft?

    news.movim.eu / Datenschutz · Friday, 5 November - 12:09 · 1 minute

Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz vom 04.11.2021

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht Arbeitspapier „ Verarbeitung des COVID-19-Impfstatus im bayerischen öffentlichen Dienst

„Geimpft oder ungeimpft?“ – Diese Frage möchten viele bayerische Dienstherren und öffentliche Arbeitgeber von ihren Beschäftigten beantwortet haben, wenn es um die Schutzimpfung gegen COVID-19 geht. Die Risiken, welche mit der Arbeit ungeimpfter Mitarbeiterinnen und Mitarbeiter für diese selbst, jedoch auch für andere verbunden sind, variieren nach Einsatzstelle und Tätigkeit, nach dem Kontakt zu Bürgerinnen und Bürgern, Kolleginnen und Kollegen ganz erheblich. Das Recht muss die Frage des Dienstherrn oder Arbeitgebers nach dem Impfschutz differenziert beantworten. Wie die Antworten im Einzelnen ausfallen, legt der Bayerische Landesbeauftragte für den Datenschutz in seinem nun veröffentlichten Arbeitspapier „ Verarbeitung des COVID-19-Impfstatus im bayerischen öffentlichen Dienst “ näher dar.

Bayerische Dienstherren und öffentliche Arbeitgeber dürfen den COVID-19-Impfstatus ihrer Beschäftigten grundsätzlich nur in den gesetzlich vorgesehenen Fällen verarbeiten. Einschlägige Befugnisse gibt es etwa für Krankenhäuser oder Schulen. Das Arbeitspapier erläutert diese Befugnisse ausführlich nach Voraussetzungen und Umfang. Es zeigt ferner auf, inwieweit die Bayerische Infektionsschutzmaßnahmenverordnung bei Beschäftigten des öffentlichen Dienstes eine Verarbeitung des Impfstatus rechtfertigen kann. Das Papier nimmt zu den Fragen Stellung, wann entsprechende Informationen bei Erstattung von Entschädigungsleistungen verarbeitet werden dürfen, und wann – ausnahmsweise – eine Einwilligung als Rechtsgrundlage herangezogen werden darf.

Prof. Dr. Thomas Petri: „Informationen über den Impfstatus genießen als Gesundheitsdaten einen besonderen Schutz. Ihre Verarbeitung unterliegt verschiedenen rechtlichen Bindungen. Mein neues Arbeitspapier zielt darauf, die datenschutzrechtlichen Rahmenbedingungen im bayerischen öffentlichen Sektor klar und verständlich zu beschreiben und auf diese Weise die Rechtssicherheit gleichermaßen für die bayerischen Dienstherren und öffentlichen Arbeitgeber wie auch für ihre Beschäftigten zu stärken.“

Das Arbeitspapier „ Verarbeitung des COVID-19-Impfstatus im bayerischen öffentlichen Dienst “ steht auf https://www.datenschutz-bayern.de in der Rubrik „ Corona-Pandemie “ zum Download bereit.

Prof. Dr. Thomas Petri


  • Da chevron_right

    Digitalisierung sicher gestalten: Mehr Schutz vor Cyberattacken notwendig

    news.movim.eu / Datenschutz · Friday, 5 November - 08:18 · 4 minutes

  • Sachsens Datenschutzbeauftragter plädiert für mehr Prävention.
  • Jeder Cyberangriff kostet im Schnitt mehr als 21.000 Euro.

Angesichts der jüngsten Hacker-Angriffe gegen deutsche Unternehmen plädiert der Sächsische Datenschutzbeauftragte für deutlich mehr Prävention. „Sachsens Unternehmen sollten nicht erst warten, bis sie das Opfer von Hacker-Attacken geworden sind“, sagt Andreas Schurig. Im Gegenteil: „Prävention ist wirksamer und wichtiger als je zuvor, damit Daten von Kunden und Mitarbeitern nicht in die falschen Hände gelangen.“

Zuwachs bei gemeldeten Datenpannen

Nach der Datenschutz-Grundverordnung müssen Unternehmen genauso wie Organisationen und die Verwaltung Datenschutzverletzungen bei der zuständigen Aufsichtsbehörde melden. Der Trend in Sachsen zeigt hierbei deutlich nach oben: Im Jahr 2018 meldeten Verantwortliche dem Sächsischen Datenschutzbeauftragten 227 Fälle. 2019 waren es 450 Meldungen. 2020 verzeichnete die Behörde einen Anstieg um 40 Prozent auf 635 Meldungen. Und diese kontinuierliche Steigerung setzt sich 2021 fort: In den vergangenen zehn Monaten wurden bereits 750 Meldungen registriert. Davon sind rund ein Drittel auf Cyberkriminalität zurückzuführen – ein spürbarer Zuwachs in der Arbeit des Sächsischen Datenschutzbeauftragten. „Allerdings gehe ich davon aus, dass es in Wirklichkeit viel mehr Betroffene gibt. Die Dunkelziffer dürfte sehr hoch sein“, sagt Andreas Schurig. Und diese Hacker-Angriffe sind für die betroffenen Unternehmen und Organisationen teuer: Eine Cyberattacke kostet im Schnitt 21.818 EUR je Vorfall (Quelle: Statista ). Die Zahl der Angriffe und das Ausmaß der Schäden nehmen stark zu. Insgesamt belaufen sich die Kosten für digitale Angriffe auf die deutsche Wirtschaft allein 2020 auf ca. 24,3 Milliarden Euro. Das waren viermal mehr als noch 2019 (Quelle: Bitkom-Studie ).

Noch gravierender sind durch Erpressungssoftware (engl. “Ransomware”) verursachte Schäden: Die durchschnittlichen Gesamtkosten der Firmen für die Behebung eines Angriffs durch Erpressungssoftware liegen bei ca. einer Million Euro; etwa 46 Prozent der deutschen Unternehmen sind betroffen (Quelle: Sophos State of Ransomware 2021). “Diese Entwicklung ist sehr besorgniserregend. Mangelhafte Datensicherheit offenbart meist auch Schwächen beim Datenschutz. Das ist nicht nur für die betroffenen Unternehmen existenzbedrohend, sondern auch für Menschen, deren Daten in den Besitz von Kriminellen gelangen. Identitätsdiebstahl gehört dabei zu den schlimmsten Folgen. Betroffenen droht ein finanzieller und sozialer Totalschaden“, warnt Andreas Schurig.

Vorsorge bestes Mittel

Gleichzeitig macht der oberste sächsische Datenschützer klar, dass Prävention und Vorsorge die richtigen Mittel gegen Hacker-Angriffe und Cyber-Erpressung sind. „Der beste Schutz ist, auf den Ernstfall gut vorbereitet zu sein.“ Folgende Vorkehrungen sind zu empfehlen:

  • Daten sichern! Die Daten von Firmen und Organisationen müssen unbedingt gesichert sein. Diese Backups sollten selbst nicht von Cyberangriffen erfasst werden können.
  • Firewall richtig konfigurieren! Die Firewall sollte nur erforderliche Datenverbindungen zulassen. Auch ein Frühwarnsystem über ungewöhnlich hohen Datenverkehr kann Systemverantwortlichen dabei helfen, größeren Schaden abzwenden.
  • Notfallplan beachten! Für die Fälle von Cyber-Erpressungen bzw. Hacker-Angriffen sollte ein Notfallplan vorliegen, der im Akutfall abzuarbeiten ist. Dazu gehört auch eine Regelung, wann der IT-Administrator, Datenschutzbeauftragte oder auch die Mitarbeiter, Unternehmensleitung und Kunden zu informieren sind.
  • Reservetechnik vorhalten! Eine dringende Empfehlung ist zudem, Reservetechnik vorzuhalten. Ermittler können das angegriffene IT-System forensisch untersuchen, während das Unternehmen trotz Cyberangriff rasch wieder arbeitsfähig ist.
  • Frühzeitig kommunizieren! Verantwortliche sollten betroffene Personen oder Abteilungen auch dann schnell über den Vorfall informieren, wenn noch nicht sicher ist, ob und welche personenbezogenen Daten betroffen sind.
  • Weiterbildung ! IT-Verantwortliche und all jene, die in Unternehmen und Organisationen für die IT-Sicherheit zuständig sind, benötigen regelmäßig Weiterbildungen.

„Prävention ist eine richtige und kluge Investition, die sich im Fall einer Attacke erheblich auszahlt“, sagt Sachsens Datenschutzbeauftragter Andreas Schurig. Die Alternative zu Prävention sei bei Cyber-Erpressung oftmals nur der teure Freikauf.

Anzeige und Meldung bei der zuständigen Datenschutzbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche gemäß Artikel 33 der Datenschutz-Grundverordnung unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dies dem Sächsischen Datenschutzbeauftragten zu melden. Dazu bietet die Behörde auf ihrer Website ein Online-Formular an, mit dem die Verantwortlichen alle relevanten Informationen schnell und unkompliziert übermitteln können.

Welche Informationen benötigt der Sächsische Datenschutzbeauftragte?

Bei einem Hackerangriff, Datendiebstahl oder anderen Attacken sollten Unternehmen bzw. Verantwortliche sich so schnell wie möglich bei der Polizei melden. Parallel sollte die Datenschutzverletzung dem Sächsischen Datenschutzbeauftragten mitgeteilt werden. Wichtige Angaben für eine solche Meldung nach Artikel 33 Datenschutz-Grundverordnung sind:

  • Angaben zum Verantwortlichen (Name des betroffenen Unternehmens/Vereins etc.) inkl. Telefon- und E-Mail-Kontakt;
  • Zeitraum der Panne sowie Zeitpunkt des Vorfalls;
  • Angaben zu Bereich und Kategorie des Vorfalls (z. B. Hacking, Diebstahl usw.);
  • Angaben zu betroffenen Daten (z. B. Adressen, E-Mail-Adressen, Bank- oder Kreditdaten, Passwörter, Gesundheit)
  • Angaben zum Vorfall und zu den ergriffenen und/oder beabsichtigten Maßnahmen.

Auf die Meldung der Datenpanne folgt die Prüfung durch den Sächsischen Datenschutzbeauftragten. Hierbei ist vor allem von Interesse: Welcher  Schaden könnte Personen durch den Vorfall entstehen bzw. welcher Schaden ist bereits eingetreten? Wie konnte es dazu kommen und welche Vorkehrungen sind zukünftig zur Vermeidung einer Wiederholung zu ergreifen? Sofern erforderlich, steht der Sächsische Datenschutzbeauftragte bei der Klärung dieser Fragen mit dem Verantwortlichen im Austausch und berät bei den zu ergreifenden Maßnahmen. Das Ziel ist stets, Bürgerinnen und Bürger bei hohen Risiken zu informieren und sie durch die richtigen Maßnahmen vor Schaden zu bewahren.

Über den Sächsischen Datenschutzbeauftragten

Der Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.

Seit 2004 hat Andreas Schurig das Amt inne und wird in seiner Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Der Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.

Mehr Informationen: www.saechsdsb.de

  • Da chevron_right

    LfD Niedersachsen veröffentlicht neue Handreichung zum Datenschutz für kommunale Abgeordnete

    news.movim.eu / Datenschutz · Wednesday, 27 October - 13:21 · 1 minute

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 27.10.2021

Zum Beginn der kommunalen Wahlperiode am 1. November veröffentlicht die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, eine neue Handreichung für kommunale Abgeordnete. Darin werden neben den Grundsätzen des Datenschutzes vor allem konkrete Fragen aus dem Arbeitsalltag der Mandatsträgerinnen und -träger erläutert.

„Gerade wenn man ein solches Amt neu übernimmt, stellen sich zahlreiche Fragen und Herausforderungen“, sagt Barbara Thiel. „Eine dieser Herausforderungen besteht darin, auf der einen Seite dem Informationsinteresse der Bürgerinnen und Bürger an der Gremienarbeit gerecht zu werden und auf der anderen Seite dabei die datenschutzrechtlichen Bestimmungen einzuhalten. Die Handreichung soll die kommunalen Abgeordneten dabei unterstützen, diesen Balanceakt zu meistern.“

Die digitale Broschüre beantwortet unter anderem Fragen zum Umgang mit Sitzungsprotokollen, zur Veröffentlichung von Informationen im Rahmen von Bauleitverfahren oder zur Möglichkeit des Datenabrufs bei der Meldebehörde.

Auch das Live-Streaming von Ratssitzungen und der sichere Einsatz von technischen Geräten wie Smartphones und Tablets in der Gremienarbeit werden thematisiert.

Handreichung „Datenschutz für kommunale Abgeordnete“ als PDF-Download (nicht vollständig barrierefrei)

Weitere Informationen

Übersicht zum Datenschutz in Kommunen

Die Pressemitteilungen der Landesbeauftragten für den Datenschutz Niedersachsen können hier abgerufen werden.