close
  • Da chevron_right

    Tätigkeitsbericht 2021 veröffentlicht – Hoher Beratungsbedarf und Anstieg bei gemeldeten Datenpannen

    news.movim.eu / Datenschutz · 11:25 · 4 minutes

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat am Dienstag in Dresden ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken der Datenschutzbehörde unter ihrem Amtsvorgänger Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete.

Auf über 200 Seiten sind Schwerpunkte der Aufsichtstätigkeit, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst. Außerdem enthält der Bericht eine Übersicht zu den veröffentlichten Dokumenten der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.

Datenschutz in der Corona-Pandemie
Der Berichtszeitraum umfasst das zweite Pandemiejahr. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer (Beitrag 1.1), 3G-Regelung am Arbeitsplatz (1.1), Impfwerbung des Sozialministeriums (2.2.10), Testungen in Schulklassen (2.4.1) sowie die Quarantäne-Kontrolle durch Polizeibedienstete (2.4.5). Die Fragestellungen bewegten sich regelmäßig im Spannungsfeld zwischen einem wirksamen Infektionsschutz und dem nach Datenschutzrecht zulässigen Eingriffen in die Persönlichkeitsrechte der Bürgerinnen und Bürger.

Löschung von Corona-Datenbeständen
In Bezug auf die aktuelle Situation betont Dr. Juliane Hundert: „Unternehmen und Behörden haben noch vorhandene Corona-Datenbestände umgehend zu überprüfen und nicht mehr erforderliche Daten zu löschen. Für die Kontaktnachverfolgung, wie sie beispielsweise in Restaurants oder Behörden üblich war, gibt es inzwischen keine gesetzliche Grundlage mehr. Des Weiteren entfallen die Zutrittskontrollen zum Arbeitsplatz, denn Arbeitgeberinnen und Arbeitgeber dürfen den Impf-, Genesenen- und Teststatus von Beschäftigten grundsätzlich nicht mehr abfragen. Ausgenommen davon sind Einrichtungen und Unternehmen des Gesundheitswesens. Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen erforderlich und damit rechtskonform. Das betrifft die einrichtungsbezogene Impfpflicht in § 20a Infektionsschutzgesetz (neu).
Bei den zu löschenden Informationen und Unterlagen handelt es sich oftmals um besonders schützenswerte Gesundheitsdaten. Vor allem solche Dokumente dürfen nicht einfach in den Papierkorb geworfen werden, sondern sind fachgerecht zu vernichten.“

Die datenschutzkonforme Vernichtung von Datenträgern sollte sich nach der DIN 66399 richten. Die Norm enthält auch Vorgaben zum Löschen von Papierdokumenten. Demnach sind Aktenvernichter der Sicherheitsstufe 4 oder höher geeignet.

Anzahl der Beratungen steigt erneut (6.2.3)
Die Beratung in Datenschutzfragen zählte 2021 weiterhin zu den Hauptaufgaben. Über 1.100 Vorgänge entfielen auf diesen Bereich – ein Plus von über 9 Prozent gegenüber dem Vorjahr. Das waren fast so viele Fälle wie im Jahr 2018, als die Datenschutz-Grundverordnung wirksam wurde.

„Im Zuge der Digitalisierung haben wir es häufig mit sehr komplexen Datenverarbeitungen zu tun. Daher empfehle ich datenverarbeitenden Stellen stets, frühzeitig ihre Datenschutzbeauftragten einzubeziehen. Dieses Vorgehen hat sich bewährt. Schließlich lassen sich somit viele Verstöße von vornherein verhindern. Natürlich können sich Verantwortliche mit ihren Fragen auch an mich und meine Dienststelle wenden.“, erläutert Dr. Juliane Hundert.

Zu den Beratungsvorgängen zählte beispielsweise auch ein wissenschaftliches Projekt, bei dem eine Forschungseinrichtung mithilfe von Videobeobachtung das Fahrverhalten von E-Scootern untersuchte (2.2.4). Das Beispiel zeigt: „Es ist möglich, dass Forschungsdaten so verarbeitet werden, dass die Persönlichkeitsrechte der Bürgerinnen und Bürger bestmöglich geschützt werden“, so die Sächsische Datenschutzbeauftragte und fügt hinzu: „Ich unterstütze die Forderung der Datenschutzkonferenz, Methoden zu entwickeln, die eine Verarbeitung von Forschungsdaten nach europäischen Werten ermöglichen.“

Hohes Beschwerdeaufkommen (6.2.2)
Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen lag mit 1.254 auf dem hohen Niveau des Vorjahres. Ein Teil davon betraf die sogenannten Telemedien. Dr. Juliane Hundert empfiehlt: „Betreiber von Websites und Apps sollten die Verwendung von Cookies und anderen Technologien dringend überprüfen. Der häufig unrechtmäßige Einsatz von Tracking- und Zusatzdiensten offenbart Informationsdefizite bei den Verantwortlichen. Hier liegt noch viel Aufklärungsarbeit vor uns.“
Im Tätigkeitsbericht finden Verantwortliche ein vereinfachtes Prüfschema, mit dem sich häufige Datenschutzschwachstellen bei Websites und Apps ermitteln lassen (4.1.1).

Gemeldete Datenpannen auf neuem Höchststand (4.4)
Nach Artikel 33 der Datenschutz-Grundverordnung sind Verantwortliche verpflichtet, im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde zu melden.
„Im Berichtszeitraum sind 923 Meldungen von Datenschutzverletzungen in meiner Behörde eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um rund 45 Prozent. Wie in der Vergangenheit bereits prognostiziert steigt angesichts der fortschreitenden Digitalisierung auch das Risiko für Datenpannen“, erläutert die Sächsische Datenschutzbeauftragte.
Rund ein Drittel der Meldungen von Datenschutzverletzungen sind auf Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen zählten Anfang 2021 die Sicherheitslücken in Microsoft Exchange-Servern (4.4).

Weitere Fallgruppen, die im Berichtszeitraum besonders häufig auftraten: Fehlversand, offene E-Mail-Verteiler, Verlust auf dem Postweg, Verlust von Datenträgern und Datenschutzverletzungen durch Auftragsverarbeiter.

Breites Themenspektrum
Neben den Vorgängen, die im Zusammenhang mit der Pandemie standen, bearbeitete die Behörde eine große Vielfalt an weiteren Datenschutzthemen: Hingewiesen werden soll hier auf die Videoüberwachung durch Privatleute (2.2.6), den Einsatz einer Lernplattform mit künstlicher Intelligenz in der Schule (2.1.2), Internetveröffentlichungen von Wettkampfergebnissen im Jugendgolfsport (2.3.2), die biometrische Zutrittskontrolle in einer Freizeiteinrichtung (2.4.2), Stellungnahmen zu Gesetzesentwürfen und Rechtsverordnungen (6.2.7), Gesichtserkennung für die Strafverfolgung durch die Polizei (8.2) u. v. m.

Bezug des Tätigkeitsberichts 2021
Der Bericht der Sächsischen Datenschutzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden:
publikationen.sachsen.de
Download als PDF-Datei: www.saechsdsb.de

Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.


  • Da chevron_right

    Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht Jahresbericht 2021

    news.movim.eu / Datenschutz · 08:06 · 2 minutes

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) veröffentlicht heute ihren Jahresbericht für das Jahr 2021. Erneut waren datenschutzrechtliche Fragestellungen im Zusammenhang mit der Pandemiebekämpfung ein Arbeitsschwerpunkt. Bei den Eingaben und den gemeldeten Datenpannen gab es einen deutlichen Anstieg im Vergleich zum Vorjahr.

Für den Anstieg der Eingaben sind u. a. die Auswirkungen der Corona-Pandemie verantwortlich. So erreichten die Datenschutzbeauftragte viele Beschwerden zum Impfmanagement des Landes Berlin, bei dem die Bürger:innen zur Terminvereinbarung zwingend ein Vertragsverhältnis mit einem Privatunternehmen eingehen mussten. Hier hat die zuständige Senatsverwaltung die Hinweise der Datenschutzbeauftragten zur datenschutzkonformen Einbindung des Unternehmens bislang ignoriert. Viele Beschwerden richteten sich auch gegen die Corona-Teststellen. Im Zuge der Datenverarbeitungen kam es hier zu einer Reihe von Datenpannen und zahlreichen anderen datenschutzrechtlichen Verstößen.

Als elektronisches System zur Kontaktnachverfolgung etablierte sich eine von vielen Bundesländern geförderte Anwendung, die zahlreiche rechtliche und technische Mängel aufwies. Die Datenschutzbehörde führte intensive Gespräche zur Behebung der festgestellten Mängel mit der in Berlin ansässigen Betreiberin. „Ein solches System muss von Grund auf datensparsam, mit starker Zweckbindung und sicherheitsorientiert gestaltet werden“, sagt Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI.

Eine Herausforderung bleibt auch die datenschutzkonforme Digitalisierung der Schulen. Mit der Reform des Berliner Schulgesetzes hat Berlin 2021 die rechtliche Grundlage für einen datenschutzgerechten Unterricht geschaffen. Dazu Brozio: „Erfreulicherweise hat das Abgeordnetenhaus unsere Vorschläge für die datenschutzkonforme Nutzung digitaler Lehr- und Lernmittel in das Schulgesetz übernommen. Meine Behörde steht der Bildungsverwaltung bei diesem und weiteren Projekten der Schuldigitalisierung weiterhin beratend zur Seite.“

Infolge der Schrems-II-Entscheidung des Europäischen Gerichtshofes befasste sich die Datenschutzbeauftragte im Jahr 2021 intensiv mit der Übermittlung personenbezogener Daten in Drittstaaten. Im Rahmen einer deutschlandweiten Aktion führte sie eine teilautomatisierte Vorprüfung von 900 Berliner Unternehmen hinsichtlich möglicher Datenexporte durch. Dabei wurde festgestellt, dass zahlreiche Unternehmen selbst die grundlegenden Anforderungen nicht umgesetzt haben.

Erstmals sprach die BlnBDI in einem Verfahren zwei Beanstandungen gegen die Polizei Berlin aus. Anlass waren die fehlende Kooperationsbereitschaft und eine eklatant rechtswidrige Datenübermittlung seitens der Polizei. Die Polizei Berlin hatte Akten ungeschwärzt an ein Gericht übersandt, wodurch ein Anwalt im Rahmen einer Akteneinsicht Einblick in Daten der Anmelder:innen von Gegendemonstrationen erhielt.

Als Aufsichtsbehörde für die Informationsfreiheit im Land Berlin hat die BlnBDI im letzten Jahr den Gesetzentwurf für ein neues Transparenzgesetz eng begleitet. Der Gesetzentwurf scheiterte schließlich auch aufgrund der ausufernden Bereichsausnahmen, die von der Beauftragten für Informationsfreiheit zuvor kritisiert worden waren. Brozio stellt hierzu fest: „Die Schaffung eines Berliner Transparenzgesetzes, das seinem Namen gerecht wird, bleibt in der neuen Legislaturperiode die entscheidende Aufgabe im Bereich der Informationsfreiheit.“

Im Jahr 2021 wandten sich Betroffene in insgesamt 5.671 Fällen mit einer Beschwerde oder einem Beratungsersuchen an die BlnBDI – so häufig wie noch nie zuvor. Einen weiteren Höchstwert gab es bei den Datenpannen, von denen private und öffentliche Stellen insgesamt 1.163 Fälle meldeten. Die Behörde hat 212 Verwarnungen, zwei Warnungen und eine Anordnung gegenüber privaten und öffentlichen Stellen ausgesprochen. Zudem verhängte sie 61 Bußgelder in Höhe von insgesamt 133.350,00 Euro.

Am 27. Oktober 2021 endete die Amtszeit von Maja Smoltczyk als Berliner Beauftragte für Datenschutz und Informationsfreiheit. Bis zur Neuwahl einer Nachfolge durch das Abgeordnetenhaus, leitet der Stellvertreter Volker Brozio die Dienststelle kommissarisch.

Der Jahresbericht ist abrufbar unter https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/jahresberichte . Eine Übersicht über ausgewählte Themen aus dem Jahresbericht gibt die Anlage zur Pressemitteilung.

Anlage Jahresbericht 2021 BlnBDI


  • wifi_tethering open_in_new

    This post is public

    www.datenschutz.de /berliner-beauftragte-fuer-datenschutz-und-informationsfreiheit-veroeffentlicht-jahresbericht-2021/

  • Da chevron_right

    30. Tätigkeitsbericht an den Bundesrat übergeben

    news.movim.eu / Datenschutz · Yesterday - 08:14

Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Der BfDI, Prof. Ulrich Kelber, übergab am 20. Mai 2022 seinen 30. Tätigkeitsbericht zum Datenschutz an den Präsidenten des Bundesrats, Bodo Ramelow.

Seit Einführung der DSGVO berichtet der BfDI gegenüber den Ländervertretern direkt über seine Arbeit. Der diesjährige Tätigkeitsbericht thematisierte vor allem Pandemiethemen wie Fragen zur Abfrage von Test-, Impf- und Genesenenstatus am Arbeitsplatz oder den Aktualisierungen der Corona-Warn-App. Daneben hat sich der BfDI auch mit der Regulierung von Künstlicher Intelligenz und dem Umgang mit Forschungsdaten beschäftigt. Der Bundesrat selbst wirkt an der Bundesgesetzgebung zum Datenschutz maßgeblich mit und bestimmt den Stellvertreter des BfDI im Europäischen Datenschutzausschuss. Die Tätigkeitsberichte waren bereits am 5. April 2020 der Präsidentin des Deutschen Bundestags überreicht worden.

Artikel auf https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2022/06_Uebergabe-Taetigkeitsbericht-Bundesrat.html;jsessionid=D51045CB20E2F58B021AC86B3B18A731?nn=251928


  • Da chevron_right

    Start des Zensus 2022 – Dr. Juliane Hundert: „Einhaltung des Datenschutzes wird kontrolliert“

    news.movim.eu / Datenschutz · Friday, 13 May - 09:33 · 2 minutes

Am 15. Mai startet in Sachsen mit dem Zensus 2022 eine große Bevölkerungs-, Gebäude- und Wohnungszählung.
Das Statistische Landesamt organisiert die Erhebung, bei der rund 15 Prozent der sächsischen Bevölkerung im Rahmen einer Haushaltebefragung persönliche Informationen über sich preisgeben müssen. Die gesetzliche Grundlage bildet insbesondere das vom Bundesgesetzgeber verabschiedete Zensusgesetz 2022, wonach für Befragte eine Auskunftspflicht besteht. Weiterhin enthält das Gesetz detaillierte Regelungen zum Datenschutz und zur Datenverarbeitung.

Dazu erklärt die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert:
„In seinem wegweisenden Volkszählungsurteil aus dem Jahr 1983 hat das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung festgeschrieben. Die Richter haben damit dem Staat bei Bevölkerungsbefragungen klare Grenzen gesetzt. Er muss unter anderem eine Rechtsgrundlage schaffen sowie organisatorische und verfahrensrechtliche Vorkehrungen treffen, damit die erhobenen Daten nicht in falsche Hände gelangen. In der Praxis heißt das beispielsweise, dass statistische Einzelangaben einer befragten Person streng geheim zu halten sind. Sie dürfen nicht an Verwaltungsbehörden oder Private herausgegeben werden. Mit meiner Behörde werde ich beim Zensus 2022 stichprobenartig überprüfen, ob die datenschutzrechtlichen Bestimmungen eingehalten werden. Bürgerinnen und Bürger haben schließlich ein Recht darauf, dass der Staat ihre Daten stets rechtskonform verarbeitet.“

Befragte Personen haben beim Zensus zum Beispiel Angaben zu ihrer Wohnsituation, zur Bildung und Erwerbstätigkeit zu machen.

Ein Teil der Erhebung ist die Haushaltebefragung. Dabei nehmen Beauftragte des Statistischen Landesamts persönlich Kontakt zu den auskunftspflichtigen Personen auf.
Die zweite Säule bildet die Gebäude- und Wohnungszählung (GWZ). Alle Eigentümerinnen und Eigentümer sowie Verwalterinnen oder Verwalter von Wohneigentum erhalten hierzu Post. Bei der GWZ wird kein persönlicher Kontakt durch Erhebungsbeauftragte aufgenommen. Zu befragende Personen erhalten Zugangsdaten zum Online-Fragebogen. Über eine Hotline können sie auch einen Papierfragebogen anfordern.

Weitere Informationen:
zensus.sachsen.de
zensus2022.de

Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.
Mehr Informationen: www.saechsdsb.de


  • Da chevron_right

    Am 15. Mai ist es wieder soweit: das Volk wird gezählt – Wichtige Informationen zum Datenschutz

    news.movim.eu / Datenschutz · Thursday, 12 May - 12:28 · 1 minute

Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 11.05.2022.

Mit dem Zensus wird ermittelt, wie viele Menschen in Deutschland leben, wie sie wohnen und arbeiten. Auf diese statistischen Erhebungen stützen sich viele Entscheidungen in Bund, Ländern und Gemeinden.

Wie schon beim Zensus 2011 wird auch der Zensus 2022 nicht als Totalerhebung, sondern als registergestützte Erhebung durchgeführt. Das bedeutet, dass in großem Umfang bestehende Datenbestände der staatlichen Verwaltung (Register) als Basisinformation genutzt werden und im Rahmen der Haushaltebefragung nicht die gesamte, sondern bundesweit nur eine Stichprobe von ca. 10-12% der Bevölkerung direkt befragt wird. In Hamburg als Stadtstaat werden ca. 60.000 und in Schleswig-Holstein ca. 220.000 Haushalte direkt befragt. Daneben werden in der grundsätzlich online oder schriftlich durchgeführten Gebäude- und Wohnungserhebung sämtliche Eigentümerinnen und Eigentümer sowie sonstige Verfügungs- und Nutzungsberechtigten befragt.

Viele Bürgerinnen und Bürger Hamburgs und Schleswig-Holsteins werden daher ab dem 8. Mai vom Statistischen Amt für Hamburg und Schleswig-Holstein (Statistikamt Nord) mit der Post eine Aufforderung zur Teilnahme am Zensus 2022 erhalten und sich vielleicht fragen:

  • Was ist ein Zensus?
  • Warum habe ich diesen Brief erhalten, meine Bekannten aber nicht?
  • Um welche personenbezogenen Daten geht es und was passiert mit ihnen?
  • Muss ich Auskunft erteilen? Was ist mit dem Datenschutz?

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit möchte daher die Betroffenen zum diesjährigen Zensus informieren. Antworten auf die genannten und weitere Fragen sowie ergänzende Informationen zum Zensus 2022 haben wir hier bereitgestellt.

Zum Zensus 2022 sagt Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der diesjährige Zensus ist bereits der zweiter seiner Art, dennoch ist es für die Befragten beileibe kein alltäglicher Vorgang. Bürger:innen müssen im Rahmen der Volkszählung dem Staat tiefe Einblicke in ihr Privatleben gewähren und viele personenbezogenen Informationen preisgeben. Aus diesem Grund ist der Datenschutz hier von besonderer Bedeutung. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit war in der Vorbereitung des Zensus‘ gut eingebunden und wird sowohl während als auch nach der Durchführung die datenschutzkonforme Umsetzung aufmerksam begleiten. Mit den heute veröffentlichten FAQ geht der HmbBfDI auf häufige Fragen der Bürger:innen ein und möchte so dazu beitragen, bestehende Unsicherheiten abzubauen.“


  • wifi_tethering open_in_new

    This post is public

    www.datenschutz.de /am-15-mai-ist-es-wieder-soweit-das-volk-wird-gezaehlt-wichtige-informationen-zum-datenschutz/

  • Da chevron_right

    BfDI begrüßt Bekenntnis der G7-Digitalminister zu demokratischen Werten im internationalen Datenverkehr

    news.movim.eu / Datenschutz · Thursday, 12 May - 06:25 · 1 minute

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 11.05.2022

Der BfDI, Professor Ulrich Kelber, begrüßt die heute von den Digitalministerinnen und Digitalministern unter deutscher G7-Präsidentschaft angenommene Erklärung und den Aktionsplan zur Stärkung eines freien und vertrauensvollen Datenverkehrs (Data Free Flow with Trust / DFFT).

Professor Kelber betont die Bedeutung von DFFT: „Wir alle wollen die Vorteile eines globalen Datenraumes. Dies ist allerdings nur in Übereinstimmung mit demokratischen und rechtsstaatlichen Grundsätzen möglich. Ich begrüße daher, dass die G7-Digitalministerinnen und Digitalminister die Bedeutung demokratischer Werte für DFFT in ihrer heutigen Erklärung unterstreichen und der Aktionsplan der G7 zu DFFT unter deutscher G7-Präsidentschaft fortgeführt wird. Die Datenschutzbehörden der G7-Staaten werden sich in diesen Prozess konstruktiv einbringen. Zu diesem Zweck findet im September ein Roundtable der G7-Datenschutzbehörden unter meinem Vorsitz statt.“

Der Aktionsplan zu DFFT soll zukünftig für mehr Interoperabilität und zu verstärkter Zusammenarbeit der Aufsichtsbehörden auf internationaler Ebene beitragen.

Die Datenschutzbehörden der G7 tauschen sich regelmäßig über technologische Fragestellungen und die Durchsetzung des Datenschutzes aus. Der BfDI richtet den diesjährigen Roundtable der G7-Datenschutzbehörden in Bonn aus.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.


  • wifi_tethering open_in_new

    This post is public

    www.datenschutz.de /bfdi-begruesst-bekenntnis-der-g7-digitalminister-zu-demokratischen-werten-im-internationalen-datenverkehr/

  • Da chevron_right

    Digitale Medizin findet nur mit wirksamem Datenschutz ausreichendes Vertrauen

    news.movim.eu / Datenschutz · Wednesday, 11 May - 07:29 · 5 minutes

Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit vom 10.05.2022.

Der Datenschutz verhindert nicht eine optimale Patientenversorgung. Ebenso wenig ist dies im Hinblick auf die Forschung der Fall. Die Diskreditierung des Datenschutzes durch die Deutsche Gesellschaft für Innere Medizin (DGIM) schadet der Digitalisierung der Medizin.

In einer Pressemitteilung zu ihrem 128. Kongress prangert die DGIM den in Deutschland praktizierten Datenschutz an. Der übertriebene Datenschutz sei ein Risiko für die Gesundheit vieler Menschen und gefährde sogar Menschenleben. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel zeigte sich von der Auffassung und den dort enthaltenen Aussagen in Bezug auf den Datenschutz überrascht. Sie diskreditierten den Datenschutz im Kontext der Behandlung von Patientinnen und Patienten und im Bereich der Forschung und schadeten damit der medizinischen Arbeit. Im Bereich der Digitalisierung ist diese nämlich auf das Vertrauen der Patienten angewiesen, dass verantwortungsvoll mit ihren hochsensiblen Daten umgegangen wird. Außerdem torpediert die DGIM nach Auffassung des HBDI Prof. Dr. Alexander Roßnagel mit solch überzogenen Aussagen die bisherigen Bemühungen des HBDI und anderer Aufsichtsbehörden, hier für einen interessengerechten Ausgleich zu sorgen.

Zu den zentralen Aussagen der DGIM äußert sich der HBDI im Detail wie folgt:

Seitens der DGIM wird verkannt, dass in der aktuellen Orientierungshilfe Krankenhausinformationssysteme (OH KIS) unter Punkt 26 geregelt ist, dass dann, wenn eine Patientin bzw. ein Patient nach Wirksamwerden der Zugriffbeschränkung erneut behandelt wird, die Beschränkung des Zugriffs auf Daten aus früheren Behandlungsfällen aufgehoben werden darf. Die nachfolgende Behauptung der DGIM ist vor diesem Hintergrund nicht nachvollziehbar: „Der Datenschutz kann etwa dazu führen, dass ein Arzt in der Notaufnahme aufgrund einer technischen Zugriffsblockade nicht die Behandlung desselben Patienten durch den Facharzt einsehen kann, da der Notfallmediziner nicht an der ursprünglichen Behandlung beteiligt war.“

Im Bereich der Notaufnahme ist es zudem datenschutzrechtlich zulässig, Notfallzugriffe einzuräumen. Sowohl die behauptete „Zugriffsblockade“ als auch eine durch den Datenschutz bedingte, nicht optimale Patientenversorgung sind damit nicht ersichtlich. Die Ankündigung der DGIM verursacht eine Verunsicherung und den Irrglauben bei Patientinnen und Patienten, der Datenschutz behindere die Notfallbehandlung

Leider werden auch für den Bereich der Forschung unhaltbare Thesen aufgestellt.

Richtig ist, dass der Grundsatz der Datensparsamkeit auch im Rahmen der Forschung zu berücksichtigen ist. Werden sehr viele hochsensible Daten über eine Person gespeichert, ist dies immer auch mit einem Risiko sozialer Diskriminierung von Personen verbunden.

Die Beschränkung der Datenverarbeitung personenbezogener Daten auf das für die Forschung Erforderliche ist ein taugliches Mittel, um dieses Risiko einzuschränken und dennoch medizinische Forschung zu ermöglichen. Sofern altruistische Datenspenden erwünscht werden, ist der Datenschutz sogar eine Voraussetzung der Forschung. Nur er kann das notwendige Vertrauen und die Bereitschaft zu Datenspenden hervorbringen.

Bei der Forschung mit anonymen Daten behindert der Grundsatz der Datensparsamkeit in keiner Weise. In keinem Forschungsprojekt mussten bislang die Forschenden aus Gründen des Datenschutzes auf Daten verzichten, die zur Erreichung des Forschungszwecks notwendig sind.

Der HBDI macht in diesem Zusammenhang auf die jüngste Entschließung der Konferenz der unabhängigen Datenschutzbeauftragten zur wissenschaftlichen Forschung und Datenschutz vom 23. März 2022 aufmerksam, in der die Unterstützung der Forschung, insbesondere der medizinischen Forschung durch die Datenschutzaufsichtsbehörden betont wird.

Auch die Sekundärnutzung bereits erhobener Daten wird mittlerweile in vielen Regelungen, wie etwa § 75 SGB X, weitreichend ermöglicht.

Kritisch wird vor diesem Hintergrund auch die folgende Passage aus der Pressemitteilung der DGIM gesehen:

„Ein anderer Datenschutz-Grundsatz und dessen Umsetzung in Deutschland wird vor allem für den medizinischen Erkenntnisgewinn zum Problem: Die ‚Datensparsamkeit‘ meint das Erfragen und Dokumentieren nur der unmittelbar notwendigen personenbezogenen Daten und Informationen. „Dies mag sinnvoll sein, um die Sammelwut von Internetkonzernen einzudämmen – völlig kontraproduktiv aber ist dieser Grundsatz, wenn es um klinische Daten einzelner Patientinnen und Patienten oder um medizinische Daten aus klinischen Studien geht, bei Krankheitsregistern oder bei populationsbasierten epidemiologischen Untersuchungen“, so Lerch. „Je umfassender die eingeschlossenen Daten sind, desto höher ist die Wahrscheinlichkeit, bisher unbekannte Zusammenhänge aufzudecken: zwischen Medikamenten und ihren Nebenwirkungen oder unerwarteten Gesundheitseffekten, zwischen Laborparametern, Biomarkern oder Umwelteinflüssen und der Entstehung von Krankheiten.“ Dass bei von Steuergeldern finanzierten Studien teils Daten nicht mehr für andere als die ursprünglichen Fragestellungen ausgewertet werden dürften, oder sogar nach einer Frist vernichtet werden müssten, sei eine ungeheuerliche Verschwendung wissenschaftlicher, menschlicher und wirtschaftlicher Ressourcen, so der DGIM-Vorsitzende. Diesbezügliche Anpassungen seien hochdringlich.“

Wenn die DGIM behauptet, eine der dringlichsten Baustellen auf dem Weg zur Digitalisierung des Gesundheitssystems sei auf der rechtlichen Ebene der Umgang „mit den Daten und mit der Datenschutz-Grundverordnung (DS-GVO) im Gesundheitswesen – eine Verordnung, die zwar europaweit gilt, jedoch vor allem in Deutschland in einer Art und Weise ausgelegt wird, die mitunter Leib und Leben von Patientinnen und Patienten gefährdet.“, dann ist dies ist eine Aussage, die in keiner Weise belegt ist und auch nicht der Wahrheit entspricht. Die wichtigsten Regelungen der DS-GVO werden vom Europäischen Datenschutzausschuss konkretisiert und von den deutschen Aufsichtsbehörden so übernommen. In diesem Zusammenhang wird oft verkannt, dass die wesentlichen Aussagen der DS-GVO in Deutschland auch vor dem Inkrafttreten der DS-GVO galten.

Die ‚Dämonisierung‘ der DS-GVO und des Datenschutzes ist nicht neu. Bereits im Zuge der Pandemie wurde vereinzelt die Aussage vertreten, dass der Datenschutz Menschenleben gekostet habe. Die Art und Weise, wie Grundrechte der betroffenen Personen (Kontaktnachverfolgung, Datenspeicherung durch Arbeitgeber, Datenverarbeitung durch Gesundheitsämter, Einschränkung von Betroffenenrechten) während der Pandemie eingeschränkt werden konnten, zeigt aber, dass die Bekämpfung von COVID-19 erst durch die DS-GVO ermöglicht und nicht durch sie verhindert wurde.

Der HBDI hat der DGIM mit Sitz in Hessen ein Gesprächsangebot unterbreitet. Der HBDI Prof. Dr. Roßnagel hierzu: „Mir ist der Dialog wichtig, und sollte es aus Sicht der DGIM nach wie vor im Bereich von Behandlung, Forschung oder Digitalisierung Punkte geben, bei denen der Datenschutz Lösungen verhindert, stehen meine Mitarbeiterinnen und Mitarbeiter sowie ich selbst gerne für einen Austausch zur Verfügung.“

In der Beratungspraxis des HBDI ist es immer auch ein Anliegen, datenschutzkonforme Lösungswege und Optionen aufzuzeigen und sich nicht auf die Ablehnung bestehender Konzepte zu beschränken.

Fundstellen:

Die Pressemitteilungen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.


  • Da chevron_right

    Landesbeauftragte veröffentlicht Tätigkeitsbericht Datenschutz 2021

    news.movim.eu / Datenschutz · Tuesday, 10 May - 06:10 · 14 minutes

Presseinformation der Landesbeauftragten für den Datenschutz und das Recht auf Akteneinsicht vom 09.05.2022

Heute überreicht die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, der Präsidentin des Landtages Brandenburg, Prof. Dr. Ulrike Liedtke, ihren Tätigkeitsbericht zum Datenschutz für das Jahr 2021.

Der bereits in den Vorjahren spürbare Aufwind für die Digitalisierung in Verwaltung und Wirtschaft hat im Berichtszeitraum nicht an Dynamik eingebüßt. Dies zeigte sich auch an den Schwerpunkten unserer Tätigkeit, die auf dem Gebiet des technisch-organisatorischen Datenschutzes lagen.

Das Onlinezugangsgesetz schreibt Bund und Ländern vor, Verwaltungsleistungen bereits bis Ende 2022 in digitaler Form über Verwaltungsportale anzubieten. Die Umsetzung wirft jedoch immer neue Probleme auf; der bundesweite Abstimmungsbedarf ist sehr hoch. An einer im Auftrag der Datenschutzkonferenz eingerichteten Arbeitsgruppe wirkten die Datenschutzaufsichtsbehörden mehrerer Bundesländer unter unserer Leitung mit. Die Arbeitsgruppe befasste sich insbesondere mit der Frage, wie Verwaltungsleistungen datenschutzkonform realisiert werden können. Ihre Ergebnisse fasste sie in einem Sachstandsbericht zusammen, der dem Bundesministerium des Innern und für Heimat übergeben wurde. Der Bericht bildet die Basis für weitere Gespräche sowie Abstimmungen mit dem Ministerium und gegebenenfalls für eine Gesetzesanpassung (A I 1.1, Seite 15).

Ein Digitalisierungsvorhaben des Onlinezugangsgesetzes, mit dem wir uns detailliert befasst haben und das federführend durch das Ministerium des Innern und für Kommunales koordiniert wird, war das Projekt „Aufenthaltstitel für Erwerbstätigkeit“. Im Mittelpunkt steht dabei die Ausstellung von Aufenthaltstiteln, Aufenthaltskarten und aufenthaltsrelevanten Bescheinigungen sowie von Daueraufenthaltsbescheinigungen. Bereits im Rahmen der Pilotierung hat uns das Ministerium in die Erarbeitung der umfangreichen Projektdokumentation eingebunden. Wir wirkten unter anderem an der Erstellung des Rahmenkonzepts, des Datenschutzkonzepts und der IT-Sicherheitsbetrachtung mit. Für die Verfahren bleiben die kommunalen Ausländerbehörden datenschutzrechtlich verantwortlich (A I 1.2, Seite 18). Dagmar Hartge:

Die Digitalisierung von Verwaltungsdienstleistungen verspricht Bürgerinnen und Bürgern einen großen Nutzen. Andererseits stehen die Behörden vor der Herausforderung, die notwendigen Prozesse so zu konzipieren, dass personenbezogene Daten genauso sicher verarbeitet werden wie im Rahmen klassischer Verwaltungsverfahren. Meine Mitarbeiterinnen und Mitarbeiter werden die Umsetzung des Onlinezugangsgesetzes auch künftig soweit beratend begleiten, wie die personellen Kapazitäten unserer Behörde dies erlauben.

Auch im zweiten Jahr der Pandemie standen Datenschutzthemen vielfach im Fokus der Diskussionen um technische Lösungen zur Eindämmung des Corona-Virus. Die Hauptlast trugen weiterhin die kommunalen Gesundheitsämter. Sie sollten z. B. Kontakte nachverfolgen und die Isolation Infizierter bzw. die Quarantäne von Kontaktpersonen verfügen. Als Hilfsmittel standen ihnen unter anderem die Softwaresysteme SORMAS und Luca zur Verfügung. Leider mussten wir feststellen, dass beide dem Datenschutz nicht ausreichend Rechnung trugen:

SORMAS, eine speziell an COVID-19 angepasste Software für das Management und die Analyse von Infektionsausbrüchen, sollte die Kontaktnachverfolgung vereinheitlichen und die Gesundheitsämter unterstützen. Das Ministerium für Soziales, Gesundheit, Integration und Verbraucherschutz hatte ihren Einsatz in allen brandenburgischen Gesundheitsämtern angewiesen. Das Programm wies jedoch datenschutzrechtliche Mängel auf, insbesondere war die Dokumentation der Datenverarbeitung unzureichend. Eine solche dient nicht etwa nur einer formalen Vollständigkeit, sondern stellt einen zentralen Baustein dar, der unter anderem die für einen datenschutzgerechten Betrieb umzusetzenden Maßnahmen beschreibt. Für SORMAS bestanden Unklarheiten über die Datenflüsse, über das Berechtigungskonzept, über Verschlüsselungen, über das Löschkonzept und andere wesentliche Komponenten.

Vor dem Hintergrund der hohen Belastung der Gesundheitsämter in der Pandemie verzichteten wir darauf, diese mit aufsichtsrechtlichen Verfahren noch weiter zu belasten und strebten stattdessen an, zentral Verbesserungen für alle teilnehmenden Behörden zu erreichen. Die unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern wirkten zunächst mit konkreten Empfehlungen zur Behebung der Mängel gegenüber den Projektverantwortlichen auf Verbesserungen hin. Dies führte nicht zum Erfolg. In einer zweiten Phase fanden monatliche Beratungen von Vertretern einiger Datenschutzaufsichtsbehörden (zu denen auch wir gehörten) sowie den Projektverantwortlichen auf Bundesebene statt. Immer mehr Unzulänglichkeiten traten zutage: selbstgesetzte Fristen zur Behebung von Mängeln verstrichen, die Verarbeitungszwecke von SORMAS wurden erweitert, manche Datenverarbeitungen waren nicht von Rechtsgrundlagen gedeckt und die Software sollte auf einmal auch zur langfristigen Aufbewahrung personenbezogener Daten dienen. Die Projektverantwortlichen sagten zwar zu, die Kritikpunkte zu berücksichtigen, zumeist blieb es aber dabei. Als Konsequenz aus dem unzureichenden Projektfortschritt haben wir unsere Mitarbeit in der Arbeitsgruppe eingestellt. Im Ergebnis ist für uns nicht nachvollziehbar, dass die Gesundheitsämter zum Einsatz von SORMAS als einem nicht vollständig datenschutzkonformen Produkt gedrängt wurden (A I 2, Seite 22).

Ähnlich frustrierend war aus Sicht des Datenschutzes die Auseinandersetzung mit dem Einsatz des Luca-Systems. Auch hier strebten wir an, die in der Pandemie ohnehin stark beanspruchten Gesundheitsämter möglichst wenig zusätzlich zu belasten. Daher wollten wir mit dem Ministerium für Soziales, Gesundheit, Integration und Verbraucherschutz sowie ausgewählten Gesundheitsämtern einheitliche Vorgaben für die Nutzung der Daten aus dem Luca-System absprechen. Wir wiesen das Gesundheitsministerium frühzeitig auf unsere grundsätzlichen Bedenken hin. Neben nachgewiesenen Sicherheitslücken gehörten dazu auch unsere Zweifel an der grundsätzlichen Eignung des Luca-Systems für die Zwecke der Kontaktnachverfolgung. Das Gesundheitsministerium hielt trotzdem an seiner Entscheidung zur Nutzung des Luca-Systems fest und passte die Eindämmungsverordnung des Landes entsprechend an. Die von uns alternativ empfohlene Nutzung der datensparsamen Corona-Warn-App war damit nicht möglich.

Lange Zeit war gar nicht bekannt, wie das Luca-System durch die Gesundheitsämter tatsächlich genutzt wurde. Wir initiierten deshalb eine entsprechende Umfrage. Das Ministerium baten wir um die Versendung von Fragebögen und die statistische Auswertung der Antworten. Im Ergebnis teilte nur ein einziges Gesundheitsamt mit, Kontaktdaten aus dem Luca-System zur Kontaktnachverfolgung eingesetzt zu haben. Unsere Auffassung, dass dem Vorhaben die Geeignetheit zur Pandemiebekämpfung fehlte, bestätigte sich dadurch. Die Ergebnisse der Umfrage zeigten zudem, dass die Mehrheit der Gesundheitsämter keine hinreichenden Vorkehrungen getroffen hatte, um Kontaktdaten mit Hilfe des Luca-Systems datenschutzkonform zu verarbeiten. Erst im laufenden Jahr hat sich die Landesregierung entschieden, das Luca-System nicht weiter zu nutzen (A I 3, Seite 29). Dagmar Hartge:

Bei allem Verständnis für die Absicht der Landesregierung, die bedrohliche Corona-Pandemie so schnell wie möglich einzudämmen: Mit SORMAS und Luca standen dafür keine aus Datenschutzsicht geeigneten Mittel zur Verfügung. Wer sich mit der Luca-App in einem Restaurant eingecheckt hat, durfte erwarten, im Falle einer Infektion eines anderen Gastes benachrichtigt zu werden. Genau das geschah faktisch aber nicht. Die Speicherung der Daten war somit völlig zwecklos. Dies hätten die Verantwortlichen viel früher erkennen und die Reißleine ziehen müssen.

Unsere Behörde beteiligte sich im vergangenen Jahr an einer länderübergreifend koordinierten Prüfung von Webseiten verschiedener Medienunternehmen. Dabei ging es um das Werbe-Tracking – eine Datenverarbeitung, die zunehmend Gegenstand von Beschwerden ist. Wer ein Internetangebot besucht, bekommt in der Regel nicht mit, dass eine Vielzahl personenbezogener Informationen an Hunderte von Unternehmen übermittelt und dort ausgewertet wird. Für eine solche Datenverarbeitung bedarf es einer Einwilligung der Nutzerin oder des Nutzers. Zu diesem Zweck werden Cookie-Banner verwendet, die häufig eine Einwilligung mit einem Klick, eine Ablehnung aber unter wesentlich höherem Aufwand anbieten. Datenschutzrechtlich wirksam ist eine Einwilligung aber nur, wenn die Auswahl in gleichrangiger Weise angeboten wird. Mängel bestehen häufig auch bei der Information über die Weiterverarbeitung der zu Werbezwecken übermittelten Daten.

Mithilfe eines Fragebogens haben die an der Prüfung beteiligten Datenschutzaufsichtsbehörden unter anderem die eingesetzten Tracking-Methoden erfragt. Das in unserem Zuständigkeitsbereich geprüfte Verlagshaus übermittelte beispielsweise die nutzerspezifischen Daten an bis zu 150 eingebundene Partnerunternehmen, informierte aber nur pauschal über den Einsatz von Cookies. Zwar nahm das Unternehmen anschließend Verbesserungen vor, erfüllte das Erfordernis des Angebots einer gleichwertigen Ablehnungsoption jedoch nicht. Schließlich entschied es sich für ein Modell, das die Wahl eröffnet, in das Tracking zu Werbezwecken einzuwilligen oder ein kostenpflichtiges Abonnement abzuschließen und im Gegenzug von dem Werbe-Tracking verschont zu bleiben. Dieses immer häufiger verwendete Modell wird zurzeit noch von den Datenschutzaufsichtsbehörden rechtlich geprüft (A I 4, Seite 36).

Kurz nach Bekanntwerden einer Sicherheitslücke in der Software Microsoft Exchange Server waren allein in Deutschland bereits zehntausende Unternehmen und zum Teil auch öffentliche Stellen betroffen. Über mehrere Wochen hinweg erhielten wir zahlreiche Meldungen von Datenschutzverletzungen. Viele Verantwortliche reagierten angemessen, professionell und zügig. In fünf Fällen geschah dies jedoch nicht, sodass wir dort Prüfungen vornahmen. Drei dieser Verantwortlichen haben den Sachverhalt im Berichtszeitraum nicht ausreichend aufgeklärt bzw. nicht auf unsere Nachfragen reagiert. Wir werden hierzu die nächsten Schritte prüfen und ggf. Sanktionsmaßnahmen einleiten. Der Vorfall zeigt, wie wichtig es ist, die aktuelle Bedrohungslage in der Informationstechnik stets zu beobachten und unverzüglich geeignete Gegenmaßnahmen zu ergreifen (A IV 1, Seite 80).

Credential Stuffing ist eine Form von Angriffen, die auf gestohlenen Nutzerdaten aufbaut. Hier probieren Kriminelle durch automatisierte Massenabfragen aus, ob erbeutete Zugangsdaten wie E-Mail-Adresse und Passwort auch auf anderen Internetplattformen eine Anmeldung ermöglichen. Im Berichtszeitraum meldete uns eine Unternehmensgruppe eine entsprechende Datenschutzverletzung, von der über 250.000 Nutzerkonten betroffen waren. Der Verantwortliche informierte die Betroffenen, setzte deren Passwörter zurück und forderte sie auf, neue Passwörter zu vergeben. (A IV 4, Seite 88). Dagmar Hartge:

Unternehmen müssen Warnsysteme betreiben, durch die digitale Angriffe entdeckt werden können. Gleichzeitig sind aber auch ihre Kundinnen und Kunden gefragt. Mit relativ einfachen Mitteln können sie selbst dazu beitragen, dass Angriffe ins Leere laufen. Sie sollten beispielsweise bei jedem Internetdienst ein anderes, möglichst sicheres Passwort und, falls dies angeboten wird, eine Zwei-Faktor-Authentisierung verwenden. Ein Verzicht darauf ist vielleicht bequemer, sicherer jedoch garantiert nicht.

Ausführlich beschäftigte uns eine Beschwerde über die Nutzung des Nachrichtendienstes WhatsApp in einer Pflegeeinrichtung für die Organisation der Arbeit sowie für die Kommunikation mit Bewohnerinnen und Bewohnern und deren Angehörigen. Ausgetauscht wurden dabei neben innerbetrieblichen Daten Informationen zum Leben in der Einrichtung sowie Gruppenbilder der Pflegebedürftigen. Wie selbstverständlich nutzten die Beschäftigten ihre privaten Mobiltelefone. Auf unser Tätigwerden hin wechselte die Pflegeeinrichtung den Kurznachrichtendienst, konnte uns aber nicht zweifelsfrei darlegen, welche konkreten Vorkehrungen zur Sicherung des Datenschutzes tatsächlich umgesetzt wurden. Im Ergebnis haben wir eine Reihe von Maßnahmen empfohlen, darunter den Verzicht auf Angebote aus Drittstaaten zugunsten einer Lösung im Rahmen der eigenen IT-Infrastruktur oder bei einem Webhoster in Europa, die Verwendung von Pseudonymen zur Benennung der Beschäftigten und der Pflegebedürftigen sowie das Verbot der Verwendung privater Mobiltelefone der Beschäftigten (A IV 2, Seite 82).

Das Ministerium des Innern und für Kommunales bat uns um Auskunft, inwieweit eine Recherche durch die Ausländerbehörden in sozialen Netzwerken, insbesondere auf Facebook, zur Identitätsfeststellung, zulässig ist. Wir bezweifelten die Rechtmäßigkeit aus verschiedenen Gründen und legten unsere Position ausführlich dar. Unter anderem ist eine Überprüfung der Authentizität und des Wahrheitsgehalts von Angaben in sozialen Netzwerken grundsätzlich nicht möglich und es können Daten unbeteiligter Personen bei der Recherche erfasst werden. Außerdem steht der Nutzung von Plattformen mit Sitz in den Vereinigten Staaten von Amerika der Umstand entgegen, dass hier ein angemessener Schutz der personenbezogenen Daten nur durch zusätzliche Maßnahmen gewährleistet werden kann (A V 6, Seite 120).

Erneut erhielten wir viele Meldungen von Datenschutzverletzungen, bei denen die Daten von Kindern betroffen waren – häufig durch Einbrüche und Diebstähle in Kindertagesstätten. In den meisten Fällen wurden elektronische Geräte gestohlen, wie zum Beispiel Kameras oder Laptops. Zwecks Aufklärung der Ursachen für diese Vorfälle starteten wir eine Befragung. Zu unserem Erstaunen geschahen die Diebstähle sowohl während als auch außerhalb der Öffnungszeiten der Einrichtungen. Wir empfehlen daher, die Geräte nicht nur nach Dienstschluss, sondern direkt nach Gebrauch zu verschließen. Zudem sollten Kameraaufnahmen nur möglichst kurz auf den Geräten vorgehalten und anschließend in ein geschütztes Speichersystem übertragen werden. Um die teils sensitiven Daten der Kinder zu schützen, ist es unabdingbar, möglichst verschlüsselte Datenträger einzusetzen. Den Datenschutzbeauftragten der Kindertagesstätten bzw. ihrer Träger haben wir empfohlen, die Beschäftigten intensiv für diese Belange zu sensibilisieren (A II 3, Seite 68).

Aber auch andere Verantwortliche erstatteten Meldungen von Datenschutzverletzungen (A VI 4, Seite 135). Dagmar Hartge:

Der erneute Anstieg der obligatorischen Meldungen von Datenschutzverletzungen – der sogenannten Datenpannen – bereitet mir große Sorgen. Häufig liegen solchen Meldungen die Ausnutzung von bekannten Sicherheitslücken und gezielte Hackerangriffe zu Grunde. Hieran wird deutlich, dass Verantwortliche dem Einsatz und der Aktualisierung der technischen und organisatorischen Datenschutzmaßnahmen verstärkt Aufmerksamkeit widmen müssen. Die IT-Sicherheit ist als Grundlage für einen effektiven Datenschutz unabdingbar. In zunehmendem Maße gilt das nicht nur für große Konzerne, sondern auch für kleine und mittlere Unternehmen.

Vor dem Hintergrund verschiedener Anfragen, die einen erheblichen Beratungsbedarf der zuständigen Behörden erkennen ließen, haben wir die Einhaltung der datenschutzrechtlichen Vorgaben bei der Aufgabenwahrnehmung nach dem Asylbewerberleistungsgesetz durch die Sozialbehörden von drei Landkreisen überprüft und Mängel festgestellt. Die Leistungsakten enthielten unter anderem Rezepte, Überweisungsträger und auch Diagnosen, denen ein detailliertes Bild des gesundheitlichen Zustands der betroffenen Personen zu entnehmen war. Auch befanden sich darin personenbezogene Daten Unbeteiligter, die Rückschlüsse auf deren gesundheitlichen Zustand ermöglichten. Schutzmaßnahmen, die der hohen Sensitivität dieser Gesundheitsdaten angemessenen gewesen wären, fehlten. Die Daten waren zur Leistungsgewährung nicht notwendig. Wir haben die Verletzung der datenschutzrechtlichen Vorgaben moniert und die Sozialbehörden zu Korrekturen aufgefordert (A III 4, Seite 70).

Im Berichtszeitraum beschwerte sich ein Mitglied eines Garagenvereins darüber, dass der Vorstand seine vertrauliche Korrespondenz in Schaukästen auf dem Vereinsgelände veröffentlicht hatte. Alle anderen Mitglieder sowie Gäste des Vereins konnten so Einzelheiten des Schriftwechsels zur Kenntnis nehmen. Das war weder erforderlich noch rechtmäßig. Wir haben gegen den Verein deshalb eine Verwarnung ausgesprochen (A II 3, Seite 50).

Bizarr mutet der Fall eines Aktenverlustes an: Ein Mitarbeiter einer Körperschaft des öffentlichen Rechts ließ eine Akte mit personen- und unternehmensbezogenen Daten, die eigentlich besonders sorgfältig zu verwahren gewesen wäre, auf dem Autodach liegen und fuhr los. Das Fahrzeug und die Aktenmappe nahmen dann unterschiedliche Wege; die Dokumente waren später nicht mehr auffindbar. Der Verantwortliche meldete uns diese Datenschutzverletzung und sensibilisierte die gesamte Belegschaft für einen sorgsameren Umgang mit solchen sensitiven Daten (A IV 7, Seite 95).

Die Landesbeauftragte setzte ihre Begleitung des Pilotprojekts zum Einsatz von Bodycams bei der Polizei Brandenburg fort. Den Schwerpunkt legten wir dabei auf die technischen und organisatorischen Maßnahmen, die ergriffen werden müssen, um einen sicheren und datenschutzgerechten Betrieb der Körperkameras zu gewährleisten. Die Polizei legte uns schließlich eine stimmige Risikoanalyse vor. Natürlich müssen die daraus folgenden Maßnahmen zur Gewährleistung des Datenschutzes auch umgesetzt werden. Großen Wert legten wir in unserer Beratung auf solche Maßnahmen, die verhindern, dass die Hersteller dieser Kameras unberechtigten Zugriff auf die von der Kamera erfassten Daten erhalten (B 3.1, Seite 152).

Bei einem großen Informationsverbund wie dem der Polizei Brandenburg bedarf es eines verfahrensunabhängigen Rahmenkonzepts für die IT-Sicherheit. Es dient als Basis für darauf aufbauende Teil-Sicherheitskonzepte für die einzelnen automatisierten Verfahren. Die Entwicklung eines solchen Rahmensicherheitskonzeptes wies über Jahre hinweg erhebliche Defizite auf. Inzwischen haben sich erfreulicherweise sowohl die Realisierungsplanung als auch der Umsetzungsstand insbesondere der als hoch-prioritär erkannten technischen und organisatorischen Maßnahmen deutlich verbessert. Die Landesbeauftragte wird die Arbeit der Polizei an dem Rahmensicherheitskonzept weiterhin konstruktiv und kritisch begleiten (B 3.2, Seite 154). Dagmar Hartge:

Immer wieder habe ich das Fehlen eines IT-Rahmensicherheitskonzepts der Polizei Brandenburg bemängelt. Dass es endlich vorliegt und wir jetzt nur noch über Details diskutieren, ist ein großer Fortschritt. Auch bei der Vorbereitung des Einsatzes von Bodycams hat die Polizei mich rechtzeitig und umfassend beteiligt. Datenschutzkonforme Lösungen sind gerade da besonders wichtig, wo der Staat tief in die Grundrechte der Bürgerinnen und Bürger eingreift.

Feststellen müssen wir aber auch, dass die Zahl der bußgeldrelevanten Vorgänge im Zusammenhang mit unbefugten Datenverarbeitungen von Polizeibediensteten des Landes Brandenburg im Vergleich zum Vorjahr erneut gestiegen ist. Insgesamt betreffen ca. 26 % unserer Bußgeldverfahren derartige Verarbeitungen (A II 4.4, Seite 56).

Die Bußgeldstelle der Landesbeauftragten verfolgte datenschutzrechtliche Ordnungswidrigkeiten aber auch in anderen Fällen. In 23 Fällen verhängte sie wegen der festgestellten datenschutzrechtlichen Verstöße ein Bußgeld. Die Gesamtsumme der festgesetzten Bußgelder betrug 13.430 Euro (A VI 5.2, Seite 137).

Beispielsweise veröffentlichte ein Gartenbauunternehmen die Videoaufnahme von Probearbeiten eines Beschwerdeführers. Zu Werbezwecken publizierte es die Aufnahmen sowohl im sozialen Netzwerk Facebook als auch auf der Online-Plattform YouTube und der Webseite des Unternehmens. Die vorsätzliche Veröffentlichung des Videos sowie die unterlassene Löschung haben wir mit einem Bußgeld geahndet (A II 4.2, Seite 53).

Eine ehemalige Mitarbeiterin eines Unternehmens hatte sich – als sie noch dort angestellt war – von ihrem dienstlichen Rechner eine Tabelle mit den Daten anderer Beschäftigter an ihre private E-Mail-Adresse zugesandt. Die Tabelle umfasste neben den vollständigen Namen u. a. auch einen Überblick über Urlaubstage, Krankentage, Lohndaten, geleistete Überstunden und Sozialversicherungsbeiträge. Zur Erfüllung ihrer betrieblichen Aufgaben war dies nicht erforderlich und damit rechtswidrig. Diesen Verstoß ahndeten wir ebenfalls mit einer Geldbuße (A II 4.5, Seite 58). Genauso erging es einem Angestellten, der Bewerbungsunterlagen, die bei seinem Arbeitgeber eingegangen waren, an seine private E-Mail-Adresse weiterleitete. Er wollte sich damit für die visuelle Gestaltung eigener Bewerbungen inspirieren lassen (A II 4.6, Seite 58).

Ihre neue Praxisanschrift teilte eine Ärztin für Kinder- und Jugendlichenpsychotherapie einer großen WhatsApp-Gruppe mit. Dieser gehörten Eltern, Therapeutinnen und Therapeuten, Sozialpädagoginnen und Sozialpädagogen sowie Lehrkräfte an. Ihnen wurden so die Telefonnummern der anderen Mitglieder offenbart. Wer diese Nummern als eigene Kontakte führte, konnte Rückschlüsse darauf ziehen, dass sich Kinder aus ihnen bekannten Familien bei der Ärztin in Behandlung befinden oder befunden hatten. Gegen die Ärztin haben wir ein Bußgeld verhängt (A II 4.7, Seite 60).

Verantwortlich: Sven Müller, Tel. 033203 356-0
Kleinmachnow, 9. Mai 2022