Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 05.12.2023

Mit seinem heutigen Urteil ( C-807/21 ) stellt der EuGH fest, dass datenschutzrechtliche Bußgelder direkt gegen Unternehmen festgesetzt werden können, ohne dass eine Pflichtverletzung einer Leitungsperson (z. B. Vorstand, Geschäftsführung) nachgewiesen werden muss. Damit bestätigt der EuGH die Sanktionspraxis der Datenschutzaufsichtsbehörden und stärkt so die effektive Durchsetzung von Sanktionen gegenüber Unternehmen.

Hintergrund ist ein Bußgeldbescheid der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) in Höhe von rund 14,5 Millionen Euro gegen die Deutsche Wohnen SE wegen der ausufernden Speicherung von Daten von Mieter:innen. Vor dem EuGH ging es um die Grundsatzfrage, ob ein Unternehmen als juristische Person unmittelbar für Datenschutzverstöße nach der Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Für eine direkte Sanktionierung des Unternehmens reicht der europäischen Rechtsprechung zufolge die Feststellung, dass Mitarbeitende eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen. Es bedarf noch nicht einmal einer Kenntnis der Leitungspersonen von dem Verstoß. Diese Ansicht deckt sich mit der Auffassung der BlnBDI, wie sie auch im Bußgeldverfahren vertreten wurde. Sie entspricht auch der Auffassung aller deutschen Datenschutzaufsichtsbehörden. Bereits 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit einer Entschließung darauf hingewiesen, dass die nationalen Haftungsregeln bislang nicht europarechtskonform angepasst wurden.

Zudem entschied der EuGH, dass ein Verstoß nur bejaht werden kann, wenn er vorsätzlich oder fahrlässig begangen wurde. Allerdings weist der EuGH auch darauf hin, dass ein Verantwortlicher für ein Verhalten sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, unabhängig davon, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt. In dem Bußgeldverfahren gegen die Deutsche Wohnen SE hatte die BlnBDI in dem Bußgeldbescheid ein vorsätzliches Handeln festgestellt.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen war in Deutschland gegenüber anderen EU-Mitgliedstaaten deutlich erschwert. Dies widersprach dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und stand nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Die Entscheidung des EuGH in dieser Frage sorgt damit für die erforderliche Rechtssicherheit bei den Aufsichtsbehörden aber auch den Unternehmen.“

Download EuGH bestätigt die Sanktionspraxis der deutschen Datenschutzbehörden als PDF

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 17.10.2023

Vor dem Hintergrund der anstehenden Beratungen im Rat der Europäischen Union über die Überwachung der elektronischen Kommunikation zur Verfolgung von Kindesmissbrauch im Internet richtet die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) den nachdrücklichen Appell an den EU-Gesetzgeber, bei der beabsichtigten Regulierung – bekannt unter dem Begriff „Chatkontrolle“ – die Grenzen der Rechtsstaatlichkeit einzuhalten und insbesondere Erforderlichkeit und Verhältnismäßigkeit zu wahren.

Im Mai 2022 hat die Kommission einen Vorschlag für eine Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern vorgelegt. Nach dem Vorschlag würden Anbieter von E-Mail-, Messenger- oder Chat-Diensten dazu verpflichtet, die Verbreitung von bekannten oder neuen Darstellungen sexuellen Kindesmissbrauchs oder die Kontaktaufnahme zu Kindern anhand bestimmter Indikatoren zu erkennen.

Es steht nicht infrage, dass Kinder vor sexuellem Missbrauch geschützt werden müssen. Die Wahl der Mittel ist jedoch äußerst zweifelhaft, denn es wäre die digitale Kommunikation sämtlicher Nutzender unterschiedslos und verdachtsunabhängig von einer Überwachung betroffen. Erfasst würden Informationen – auch sensible Daten – aus allen Lebensbereichen der Nutzenden. Anbieter müssten dafür sorgen, dass die mittlerweile für private Kommunikation weitgehend etablierte Ende-zu-Ende-Verschlüsselung aufgebrochen wird. Im Ergebnis bedeutet dies, dass die Sicherheit beim Austausch digitaler Nachrichten geschwächt wird. Gerade in einer Zeit, in der immer wieder Sicherheitslücken für missbräuchliche Zugriffe ausgenutzt werden, warnt die Datenschutzkonferenz davor, auch noch absichtlich Bruchstellen in die technischen Infrastrukturen einzubauen.

Die Datenschutzkonferenz weist in aller Deutlichkeit darauf hin, dass es sich bei der vorgesehenen Chatkontrolle um eine anlasslose Massenüberwachung handelt, die nicht mit den Grundrechten auf Achtung des Privat- und Familienlebens, der Vertraulichkeit der Kommunikation und zum Schutz personenbezogener Daten vereinbar ist.

Die Entschließung der Datenschutzkonferenz „Geplante Chatkontrolle führt zu einer unverhältnismäßigen, anlasslosen Massenüberwachung!“ vom 17.10.2023 ist hier veröffentlicht:

https://www.datenschutzkonferenz-online.de/media/en/20231017DSKEntschliessungChatkontrolle.pdf

Kontakt:
Vorsitz der Datenschutzkonferenz 2023
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
Telefon: 0431 988 1289
E-Mail: dsk2023@datenschutzzentrum.de
https://www.datenschutzkonferenz-online.de

Download Geplante Chatkontrolle führt zu einer unverhältnismäßigen, anlasslosen Massenüberwachung! als PDF

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, hat heute ihren Jahresbericht für das Jahr 2022 vorgestellt. Auf 170 Seiten informiert sie darin über die wichtigsten Beratungen und Verfahren sowie maßgebliche Bußgeldfälle aus dem vergangenen Jahr.

Meike Kamp: „Im Jahr 2022 beschäftigten uns erneut die Folgen der Corona-Pandemie, etwa in mehreren Bußgeldfällen gegen Corona-Testzentren. Im Fokus standen aber auch Beratungen zur datenschutzkonformen Digitalisierung der Verwaltung sowie die Prüfung von knapp 4.500 Eingaben der Berlinerinnen und Berliner. Ich sehe es als meine Aufgabe an, sicherzustellen, dass Menschen von der Digitalisierung profitieren, ohne auf Selbstbestimmung und unbeobachtete Freiräume verzichten zu müssen.“

Im Jahr 2022 wandten sich Privatpersonen in insgesamt 4.445 Fällen mit einer Beschwerde oder einem Beratungsersuchen an die BlnBDI. Die Zahl ist weiterhin auf einem hohen Niveau, doch geringer als im Vorjahr (5.671 Eingaben), als sich besonders viele Menschen im Zusammenhang mit der Pandemiebekämpfung beschwerten. Auch die Zahl der gemeldeten Datenpannen ging leicht zurück auf 1.068 Vorfälle, häufig verursacht durch Schadsoftware-Angriffe oder Schwachstellen.

Die Behörde hat 269 Verwarnungen, sieben Warnungen und vier Anordnungen gegenüber privaten und öffentlichen Stellen ausgesprochen. Zudem erließ sie Bußgelder in Höhe von insgesamt 716.575 Euro, u. a. gegen eine Auskunftei, die 13 falsche Geburtsdaten zu einem Beschwerdeführer gespeichert hatte. Das höchste Bußgeld mit 525.000 Euro wurde gegen einen Online-Händler aufgrund eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten erlassen. Weitere Bußgelder ergingen gegen Corona-Testzentren und aufgrund unbefugter Datenbankabfragen durch Polizeibedienstete und Beschäftigte der Jobcenter.

Erheblichen Aufholbedarf beschreibt der Jahresbericht bei der Verwaltungsdigitalisierung . Die konkrete Umsetzung ist mit vielen technischen Herausforderungen verbunden und wirft zahlreiche Datenschutzfragen auf, bei deren Beantwortung die BlnBDI umfangreich unterstützt. So hat die Behörde das Sozialamt Mitte bei der Erstellung des Datenschutzkonzepts zur E-Akte beraten, das nun auch von anderen Behörden verwendet werden soll.

Wie gelungene Beratung öffentlicher Stellen aussehen kann, zeigte sich bei zwei Projekten in den Bereichen Jugendhilfe und Hochschulen. In beiden Fällen wurde die BlnBDI frühzeitig eingebunden, um hinsichtlich des Datenschutzes zu beraten. So verwarf eine Berliner Universität nach der Beratung ihre ursprüngliche Idee, Studieneignungstests mithilfe von Proctoring-Software umfassend zu überwachen. Die neuen Ausführungsvorschriften für die Jugendhilfe im Strafverfahren wurden durch die Beratung der BlnBDI praxisgerecht an die DSGVO angepasst.

Im Nachgang zur Bundestagswahl erreichten die Behörde zahlreiche Beschwerden zu personalisierten Testimonials von Prominenten aus Politik und Wirtschaft , die für einen Bundestagskandidaten warben. Die BlnBDI stellte mehrere Datenschutzverstöße fest, u. a., weil die Betroffenen über den wahren Absender und die Herkunft der Daten im Unklaren gelassen wurden. Angesichts der hohen Zahl an Betroffenen und der Schwere der Verstöße prüft die BlnBDI derzeit die Verhängung eines Bußgeldes gegen den Bezirksverband der Partei.

In dieser Woche feiert die europäische Datenschutz-Grundverordnung (DSGVO) ihr fünfjähriges Jubiläum . Meike Kamp resümiert: „Es hat einige Zeit gedauert, aber mittlerweile gewinnt die europäische Kooperation unter den Aufsichtsbehörden an Fahrt. Jedes Jahr sehen wir mehr Sanktionen, mehr Aufsichtsmaßnahmen auf europäischer Ebene, auch gegen die großen Tech-Plattformen. Mit dem Digitalpaket und der Datenstrategie der Europäischen Union sowie der geplanten Regulierung des politischen Targetings stehen neue rechtliche Entwicklungen bevor, die unsere Arbeit mitbestimmen werden.“

Nach wie vor wartet Berlin auf die Verabschiedung eines modernen Transparenzgesetzes , nachdem der wiederholte Anlauf der letzten Koalition erneut scheiterte. Der Jahresbericht verdeutlicht, welchen Reformbedarf es bei der Informationsfreiheit in Berlin gibt. Dazu Meike Kamp: „Die Menschen in unserer Stadt müssen bei politischen Entscheidungen viel mehr mitgenommen werden. Da kann das Transparenzgesetz helfen, indem es die Behörden verpflichtet, von sich aus Informationen zur Verfügung zu stellen, die als Grundlage für politische Entscheidungen dienen.“

Der Jahresbericht ist abrufbar unter: www.datenschutz-berlin.de/jahresbericht-2022

Eine Übersicht über ausgewählte Themen gibt die Anlage zur Pressemitteilung.

Über die BlnBDI

Am 6. Oktober 2022 wählte das Abgeordnetenhaus Meike Kamp zur neuen Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI). Mit ihrem Amtsantritt am 15. November hat sie die Leitung der Dienststelle übernommen. Die BlnBDI ist in der Ausübung ihres Amtes unabhängig und nur dem Gesetz unterworfen.

Sie hat den Auftrag, die Einhaltung der datenschutzrechtlichen Vorschriften im Land Berlin zu kontrollieren sowie in Fragen des Datenschutzes zu informieren und zu beraten. Ihrer Aufsicht unterliegen die Berliner Behörden sowie private Stellen wie Unternehmen und Vereine mit Sitz in Berlin. Seit 1999 hat sie zudem die Wahrung des Rechts auf Akteneinsicht und Informationszugang sicherzustellen.

Kontakt

BlnBDI-Zusammenfassung-Jahresbericht-2022 Simon Rebiger, Pressesprecher
+ 49 30 13889-900
presse@datenschutz-berlin.de

Download Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht Jahresbericht 2022 als PDF

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 17.05.2023

Im vergangenen Jahr 2022 hat die niedersächsische Landesdatenschutzbeauftragte Barbara Thiel insgesamt 50 allgemeinbildende Schulen und Berufsschulen geprüft. Das Ergebnis dieser Prüfung liegt jetzt vor. Demnach sind die niedersächsischen Schulen in den Bereichen Datenschutzbeauftragte, Verzeichnisse von Verarbeitungstätigkeiten, Datenpannen- und Löschkonzepte überwiegend zufriedenstellend aufgestellt. „Dieses Ergebnis“, so Barbara Thiel, „führe ich auf die Arbeit der Datenschutzreferenten und -referentinnen der Regionalen Landesämter für Schule und Bildung (RLSB) zurück, die die Schulen bei der Anwendung des Datenschutzrechts im Schulalltag erfolgreich unterstützen.“

Weniger zufriedenstellend sieht es hingegen bei der Nutzung digitaler Lernsoftware im Unterrichtsalltag aus. Die Prüfung hat gezeigt, dass oftmals Software eingesetzt wird, die aus den Antworten der Schülerinnen und Schüler deren individuelle Stärken und Schwächen ableitet, um daraus individualisiert neue Aufgaben zu stellen. Derartige Software wird von den anbietenden privaten Bildungsverlagen als „KI-Anwendung“ oder „intelligentes Tutorensystem“ bezeichnet. Das Niedersächsische Kultusministerium unterstützt den Einsatz dieser Softwareprodukte in erheblichem Umfang durch die Bereitstellung entsprechender Lizenzen für die Schulen. „Diese Art von Software ist nicht mit ‚digitalisierten Büchern‘ (E-Books) zu vergleichen, sondern hier wird eine ‚digitale Lehrkraft‘ in den Schulen platziert. Entsprechend komplex sind die mit dem Einsatz verbundenen datenschutzrechtlichen Anforderungen.“ so die Landesdatenschutzbeauftragte. Dennoch hat es das niedersächsische Kultusministerium versäumt, die datenschutzrechtliche Unbedenklichkeit der erworbenen Software vorab zu klären. So ist zum Beispiel bereits die Rechtsgrundlage für die Datenverarbeitung durch die Bildungsverlage fraglich.

Hierzu Barbara Thiel: „Die Software wird den Schulen teilweise auch über die Niedersächsische Bildungscloud angeboten. Umso weniger ist nachvollziehbar, dass grundlegende datenschutzrechtliche Voraussetzungen nicht vorab geprüft wurden.“

• Den Prüfbericht inklusive Fragenkatalog als PDF-Download finden Sie hier

Download "Licht und (digitaler) Schatten" - Prüfung zum Datenschutzniveau an 50 niedersächsischen Schulen als PDF

Pressemitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten vom 16.05.2023

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat am Dienstag in Dresden ihren Datenschutz-Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Auf über 230 Seiten sind die Schwerpunkte der Datenschutzaufsicht, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst.

Facebook-Fanpages in der Kritik
Im Berichtszeitraum hat die SDTB ein aufsichtsrechtliches Verfahren gegen die Sächsische Staatskanzlei als Betreiberin einer Facebook-Fanpage eingeleitet (1.1). Dabei handelt es sich um ein Musterverfahren, denn auch andere Ministerien oder öffentliche Stellen sind auf der Plattform des Meta-Konzerns vertreten. Die Staatskanzlei hatte nach mehreren Fristverlängerungen schließlich Ende März 2023 eine Stellungnahme übersandt.
Dr. Juliane Hundert: »Ob ich der Staatskanzlei den Betrieb einer Facebook-Fanpage untersage, entscheidet die derzeitige datenschutzrechtliche Prüfung. Das Ergebnis liegt voraussichtlich in den kommenden Wochen vor. Unabhängig davon will ich noch einmal deutlich sagen: Es ist nicht die Aufgabe staatlicher Stellen, Facebook-Algorithmen mit Daten von Bürgerinnen und Bürgern zu füttern. Zumal eine Reihe an datenschutzfreundlichen Alternativen bereitstehen. Dazu zählen beispielsweise ein aktueller Internetauftritt, Newsletter oder soziale Netzwerke wie der Kurznachrichtendienst Mastodon.“

Zensus, Kommune und Polizei kontrolliert
Die SDTB befasste sich im Berichtszeitraum unter anderem mit dem Zensus 2022 (1.2). Zudem nahm sie nach Abklingen der Pandemie die Querschnittskontrollen bei Kommunen (1.3) wieder auf. „Bei Vor-Ort-Kontrollen habe ich mir die Datenverarbeitung genau angeschaut. Das Ergebnis war erfreulich. Sowohl bei der stichprobenartigen Kontrolle des Zensus als auch bei der überprüften Kommune wurde sorgsam mit den Daten der Bürgerinnen und Bürger umgegangen“, fasst Dr. Juliane Hundert zusammen.

Hingegen variierten die Ergebnisse bei der Kontrolle der Polizei. Im Fokus standen im Berichtszeitraum die besonders eingriffsintensiven Maßnahmen (8.5), wie beispielsweise die längerfristige Observation, Videoüberwachung, die elektronische Aufenthaltsüberwachung oder die Telekommunikationsüberwachung.
Dr. Juliane Hundert resümiert: »Während in vielen Fällen die Vorschriften des Sächsische Polizeivollzugsdienstgesetzes korrekt angewendet wurden, musste ich auch einige, teilweise gravierende Defizite feststellen. Beispielsweise enthielten die Anträge unzureichende Angaben zu Art und Umfang der geplanten Maßnahme. Auch habe ich festgestellt, dass Maßnah¬men für Zeiträume beantragt wurden, welche die gesetzlich normierte Höchstdauer weit überschritten. In mehreren Fällen wurden die betroffenen Personen nach Abschluss der Maßnahme nicht korrekt informiert. Insbesondere fehlten in den Benachrichtigungsschreiben zum Beispiel die Angabe der Rechtsgrundlage der Datenverarbeitung, der Speicherdauer sowie der Rechte der Betroffenen. Weiterhin wurden die erhobenen Daten, die für die polizeiliche Arbeit nicht mehr erforderlich waren, nicht in allen Fällen unverzüglich gelöscht. Die Speicherung von Daten über einen für den konkreten erforderlichen Zweck hinausgehenden Zeitraum ist jedoch rechtswidrig.«

Im Ergebnis der Kontrollen wies die SDTB die betroffenen Polizeistellen auf die festgestellten Fehler hin und forderte sie zur dringenden Beachtung der gesetzlichen Anforderungen auf. Über die Feststellungen informierte Dr. Juliane Hundert auch das Innenministerium als oberste Aufsichtsbehörde und das parlamentarische Kontrollgremium des Landtags. Gemeinsam mit dem Staatsministerium wurde erörtert, wie zukünftig die Beachtung der gesetzlichen Anforderungen und damit die Rechtmäßigkeit der Datenerhebung und -verarbeitung durch die Polizei sichergestellt werden können.
»Ich habe die Erstellung von einheitlichen Prüfschemata und Mustern für die Beantragung, Durchführung und Nachbereitung der Maßnahmen angeregt. Die Beachtung gesetzlicher Vorgaben ist Grundlage rechtsstaatlichen Handelns und dient dem Schutz der Betroffenen und der Gewährleistung ihrer Rechte«, betont die Sächsische Datenschutz- und Transparenzbeauftragte.

Polizeiliche und private Videoüberwachung
In einem anderen Fall schaute sich die SDTB die polizeiliche Videoüberwachung an Straßen im Grenzgebiet im Raum Görlitz an (8.6.). »Den weiteren Ausbau der Videoüberwachung sehe ich sehr kritisch. Vor Ort habe ich deutlich gemacht, dass Videoüberwachung nur dann zulässig ist, wenn es sich um einen Kriminalitätsschwerpunkt handelt oder sie in einem Ermittlungsverfahren angeordnet wurde. Liegen diese Voraussetzungen nicht mehr vor, sind die Anlagen abzuschalten. Das muss dann auch deutlich für die Bürgerinnen und Bürger erkennbar sein. Hierzu bin ich im ständigen Austausch mit der Polizei vor Ort.«

Die rechtlichen Anforderungen an eine Videoüberwachung sind auch im nichtöffentlichen Bereich hoch. Im Berichtszeitraum setzte sich die SDTB unter anderem mit der Videoüberwachung in Spielhallen (2.2.21), im Kleingartenverein (2.2.20) und auf Privatwegen (2.2.22) auseinander. »Wer unzulässig eine Kamera betreibt, für den kann das zu einer kostspieligen Angelegenheit werden. Zum einen sprechen Zivilgerichte Betroffenen auch Schadenersatzansprüche zu. Zum anderen droht ein Bußgeld meiner Behörde«, sagt Dr. Juliane Hundert.

Zahlen und Daten
Unerlaubte Videoüberwachung bildete 2022 erneut den größten Anteil der Ordnungswidrigkeitenverfahren im nichtöffentlichen Bereich (6.4.2). Etwa zwei Drittel der Anzeigen (47) bezogen sich auf die Anfertigung von Videoaufnahmen. Generell waren im Berichtszeitraum 71 neue Ordnungswidrigkeitenanzeigen zu verzeichnen – die Anzahl bewegte sich damit geringfügig unter dem Niveau von 2021. Hingegen gab es im öffentlichen Bereich insgesamt 18 neue Verfahren (6.4.1).

Im Berichtszeitraum gingen 1.068 Beschwerden und Kontrollanregungen bei der SDTB ein. Das Aufkommen lag damit etwas unter dem der Vorjahre (2021: 1.254).
Dr. Juliane Hundert: »Auffällig ist, dass der Rückgang sowohl den öffentlichen als auch den nichtöffentlichen Bereich betraf und auch bei Kolleginnen und Kollegen in den anderen Bundesländern zu verzeichnen war. Etwa zwei Drittel der in meiner Behörde eingehenden Beschwerden betreffen den Bereich der nichtöffentlichen Stellen, also mögliche Verstöße in Unternehmen oder durch Private.«

Ein leichter Rückgang zeigte sich ebenfalls bei den Beratungen. Mit 966 schriftlichen Anfragen registrierte die Behörde etwas weniger Vorgänge als in den ersten beiden Corona-Jahren (2021: über 1.100).

Der Trend bei der Meldung von Datenschutzverletzungen weist seit Jahren nach oben. »Im Berichtszeitraum meldeten Verantwortliche insgesamt 809 Datenpannen. Das waren weniger als 2021 (923), jedoch deutlich mehr als in den Vorjahren. Sollte es tatsächlich zu weniger Vorfällen gekommen sein, wäre dies vor dem Hintergrund der zunehmenden Digitalisierung eine erfreuliche Entwicklung«, erläutert Dr. Juliane Hundert.
Wie in den Jahren zuvor waren die häufigsten Datenpannen der Fehlversand und der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität (4.4.1).

Großes Themenspektrum auch in 2022
Neben den Vorgängen, die im Zusammenhang mit Datenpannen standen, bearbeitete die SDTB eine Vielzahl an weiteren Datenschutzthemen: Auskunftsrecht (3.2.), Abo-Modelle im Online-Bereich (2.3.6) sowie Websites und Apps (4.1.1; 4.3.1). Außerdem drehte sich im Berichtszeitraum vieles um den Schutz und die Verarbeitung von Gesundheitsdaten, beispielsweise um den Auskunftsanspruch bei Patientenakten (3.2.3) oder die Übermittlung von Gesundheitsdaten an Inkassounternehmen (2.4.1). Auch die ergriffenen Maßnahmen zur Corona-Pandemie waren Anfang des Jahres 2022 noch ein Thema (1.4, 1.5, 2.2.8). Ferner hat die SDTB eine Reihe von Rechtsetzungsvorhaben begleitet (6.2.8).

Bezug des Tätigkeitsberichts Datenschutz 2022
Der Bericht der Sächsischen Datenschutz- und Transparenzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de

Download Tätigkeitsbericht Datenschutz 2022 vorgelegt als PDF

Pressemitteilung des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 09.05.2023

Seit der letzten Änderung des Landesdatenschutzgesetzes (DSAG LSA) können die Landtagsfraktionen den oder die Kandidaten für die Wahl des Landesbeauftragten für den Datenschutz in Sachsen-Anhalt selbst dem Landtag vorschlagen. Die Kandidatinnen und Kandidaten müssen in diesem Verfahren folgende gesetzlich zwingenden Ernennungsvoraussetzungen erfüllen:

• Laufbahnbefähigung, z.B. nachgewiesen durch Universitätsabschluss
• Erforderliche Qualifikation (insbesondere Datenschutz)
• Erforderliche Erfahrung (insbesondere Datenschutz)
• Erforderliche Sachkunde (insbesondere Datenschutz)
• Leitungserfahrung
• Erfolgreiche erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen der Stufe Ü3.

Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat die Verpflichtung als Aufsichtsbehörde die Anwendung der datenschutzgesetzlichen Regelungen zu überwachen und durchzusetzen (§ 23 DSAG LSA in Verbindung mit Artikel 57 Datenschutz-Grundverordnung (DS-GVO)). Die Kontroll- und Durchsetzungspflicht gilt insbesondere für die gesetzlichen Vorgaben und Regelungen der DS-GVO und des DSAG LSA.

Diese Verpflichtung erstreckt sich somit auch auf die gesetzlichen Vorgaben „Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde“ (Artikel 53 DS-GVO) und „Voraussetzungen für die Wahl des Landesbeauftragten für den Datenschutz“ (§ 21 Abs. 1 DSAG LSA). Daher muss die Aufsichtsbehörde das Einhalten der dort gemachten gesetzlichen Vorgaben kontrollieren und durchsetzen.

„Neben den fachlichen Anforderungen ist auch das Bestehen der erweiterten Sicherheitsüberprüfung (Ü3) erforderlich. Das Fehlen einer solchen Sicherheitsüberprüfung würde auch bei ansonsten qualifizierten Kandidaten dazu führen, dass der Landebeauftragte den vorgeschriebenen Kontrollpflichten beim Landeskriminalamt und insbesondere beim Verfassungsschutz nicht nachkommen kann.“ erklärte der amtierende Landesbeauftragte Albert Cohaus.

Der amtierende Landesbeauftragte hat heute in einem Schreiben an den Landtagspräsidenten seine Prüfung angekündigt und gebeten die Fraktionen des Landtages hierüber zu informieren. Gleichzeitig hat er den Landtagspräsidenten gebeten, für jede der zur Wahl stehenden Personen ergänzend zu den vorzulegenden Nachweisen seinen qualifizierten Prüfvermerk beizufügen. Diese Unterlagen sind dann die Grundlage der Prüfung durch den Landesbeauftragten, so dass er als unabhängige Aufsichtsbehörde seiner Kontrollverpflichtung nachkommen kann.

Hintergrundinformationen:
Auf Grund der klaren rechtlichen Vorgaben in Artikel 57 Absatz 1 a) DS-GVO muss der Landesbeauftragte alle datenschutzrechtlichen Vorschriften „überwachen und durchsetzen“ (§ 23 DSAG LSA). Hierzu zählen alle einschlägigen Gesetze, die datenschutzrechtliche Regelungen enthalten. Zur Anwendung kommt insbesondere das Landesdatenschutzgesetz (DSAG LSA), in dem die fachlichen Voraussetzungen die für einen Landesbeauftragten für den Datenschutz vorgegeben sind. Vor diesem Hintergrund umfasst die Prüfungsverpflichtung folgende Punkte:

1. Voraussetzungen nach § 21 Absatz 1 DSAG LSA:

• Der Erwerb der Befähigung für den Zugang zu Laufbahnen der Laufbahngruppe 2 unter den Voraussetzungen des § 14 Absatz 4 des Landesbeamtengesetzes (Laufbahnbefähigung, i.d.R. nachgewiesen durch Universitätsabschluss und gegebenenfalls zusätzlichen Vorbereitungsdienst)
• Erforderliche Qualifikation (insbesondere Datenschutz)
• Erforderliche Erfahrung (insbesondere Datenschutz)
• Erforderliche Sachkunde (insbesondere Datenschutz)

Voraussetzungen nach § 22 Absatz 2 und 5 DSAG LSA: Leitungserfahrung

• § 22 Absatz 2 i.V.m. § 21 Absatz 1 DSAG LSA: Qualifikation zur Leitung der Geschäftsstelle
• § 22 Absatz 5 i.V.m. § 21 Absatz 1 DSAG LSA: Qualifikation zur Tätigkeit als oberste Dienstbehörde und oberste Aufsichtsbehörde

3. Erfolgreiche erweiterte Sicherheitsüberprüfung gem. § 12 SÜG LSA (Ü3)

• Der Landesbeauftragte übt als natürliche Person die datenschutzrechtliche Aufsicht über den Verfassungsschutz des Landes aus (§ 30 VerfSchG-LSA i.V.m. § 22 DSG-LSA). Um dieser persönlichen Aufsichtsverpflichtung nachkommen zu können, muss er vom ersten Tag an die Berechtigung zur Einsicht und Kontrolle aller Dokumente des Geheimdienstes haben.

§ 3 Absatz 1 Sicherheitsüberprüfungs- und Geheimschutzgesetz (SÜG-LSA) schreibt ausdrücklich vor, dass eine Person die mit einer sicherheitsempfindlichen Tätigkeit – hierzu zählt insbesondere die Aufsicht über den Verfassungsschutz – betraut werden soll, vorher einer Sicherheitsüberprüfung zu unterziehen ist. Aus diesem Grunde muss zumindest vor der Ernennung zum Landesbeauftragten die erfolgreiche Sicherheitsüberprüfung abgeschlossen worden sein.

Ergänzend ist zu beachten, dass der Landesbeauftragte als Aufsichtsbehörde gesetzlich verpflichtet ist, mindestens alle 2 Jahre die Durchführung des Datenschutzes bei der Antiterrordatei und der Rechtsextremismus-Datei beim Landeskriminalamt (LKA) und beim Verfassungsschutz zu überprüfen (§ 10 Antiterrordateigesetz (ATDG), § 11 Rechtsextremismus-Datei-Gesetz (RED-G)). Die Unterlagen sind regelmäßig als „Geheim“ und „Streng Geheim“ klassifiziert. Die Kontrollen stehen noch in diesem Jahr zwingend an. Mit der Ernennung einer Person zum Landesbeauftragten für den Datenschutz erlöschen die Befugnisse des Direktors der Geschäftsstelle hinsichtlich seiner Tätigkeit als Aufsichtsbehörde. Aus diesem Grunde ist ein Landesbeauftragter ohne vorherige erfolgreiche Sicherheitsüberprüfung nicht in der Lage, den gesetzlich vorgeschriebenen Kontrollpflichten nachzukommen. Auch bei Meldungen über mögliche Datenschutzverletzungen dürften ihm hier keinerlei Informationen zugänglich gemacht werden. Dieses gilt im Übrigen für alle als sicherheitsrelevant eingestuften Papiere.

Es empfiehlt sich die genannten Voraussetzungen bereits vor einer Wahl festzustellen, da ansonsten bei Fehlen der Voraussetzungen, insbesondere bei Nichtbestehen der Sicherheitsüberprüfung, eine Abwahl durch das Parlament erfolgen müsste (§ 21 Absatz 3 DSAG LSA).

Für Nachfragen steht Ihnen Herr Albert Cohaus, Tel-Nr. 0391 81803-0; poststelle@lfd.sachsen-anhalt.de zur Verfügung.

Impressum:
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Verantwortlicher:
Herr Albert Cohaus als Vertreter im Amt
Direktor der Geschäftsstelle
Otto-von-Guericke-Str. 34a, 39104 Magdeburg
Telefon: 0391 81803 – 0
Telefax: 0391 81803 – 33
E-Mail: poststelle@lfd.sachsen-anhalt.de

Download Landesbeauftragter prüft fachliche Voraussetzungen von Kandidatinnen und Kandidaten der Landtagsfraktionen für das Amt des Landesbeauftragten für den Datenschutz als PDF

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 09.05.2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) wird am 10. und 11. Mai 2023 in Rendsburg tagen. Die Vorsitzende der Konferenz ist in diesem Jahr die Landesbeauftragte für Datenschutz Schleswig-Holstein, Dr. h. c. Marit Hansen. Die Teilnehmenden der Konferenz werden sich unter anderem zu den Themen wie Beschäftigtendatenschutz, Scoring, der automatisierten Datenanalyse bei Polizei und Nachrichtendiensten und funkbasierten Kaltwasserzählern austauschen.

Hansen freut sich auf spannende Diskussionen unter den Kolleginnen und Kollegen der Datenschutzaufsichtsbehörden: „Der Datenschutz ist stets von technischem Fortschritt und aktueller Rechtsprechung geprägt – das durchzieht unsere Tagesordnung. In der Datenschutzkonferenz verständigen wir uns beispielsweise über Empfehlungen an den Gesetzgeber und Hilfestellungen für die Datenverarbeiter.“

Über die Datenschutzkonferenz:
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Kontakt:
Vorsitz der Datenschutzkonferenz 2023
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
Telefon: 0431 988 1289
E-Mail: dsk2023@datenschutzzentrum.de
https://www.datenschutzkonferenz-online.de

Download Konferenz der unabhängigen Datenschutzaufsichtsbehörden tagt zum 105. Mal als PDF

Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 28.04.2023

Nach Eingang eines Hinweises einer Privatperson führte der EDÖB eine Sachverhaltsabklärung zu einer unzureichend gesicherten Datenbank privater Covid-19-Testzentren durch. Im heute veröffentlichten Schlussbericht hält der Beauftragte fest, dass die in der Datenbank bearbeiteten Gesundheitsdaten aufgrund der angezeigten Schwachstelle beträchtlichen Sicherheitsrisiken ausgesetzt waren. Da die Verantwortlichen nach Bekanntwerden des Mangels angemessene Sofortmassnahmen eingeleitet hatten, konnte das Risiko für die Betroffenen minimiert werden. Das Verfahren wird deshalb ohne Empfehlungen abgeschlossen.

Im November 2022 meldete eine Privatperson dem EDÖB und dem Nationalen Zentrum für Cybersicherheit (NCSC) einen Mangel der Zugriffskontrolle bei einer Datenbank, auf der Gesundheitsdaten gespeichert waren, die von privaten Covid-19-Testzentren mit mehreren Standorten in der Schweiz stammten. Die Privatperson hatte sich aufgrund einer Schwachstelle des Webservers Zugang zur Datenbank verschafft und eine Kopie der dort bearbeiteten Daten heruntergeladen. Die Verantwortlichen nahmen die Datenbank noch am Tag der Meldung vom Server und verschoben sie auf einen verschlüsselten physischen Datenträger.

Im Rahmen der Sachverhaltsabklärung, die der EDÖB im Nachgang an die erhaltene Meldung und darauf gestützte erste Abklärungen eröffnete, stellte er verschiedene Mängel in Bezug auf die Datensicherheit fest. Der für die Testzentren Verantwortliche konnte gestützt auf die Protokolle der Zugriffe nachweisen, dass kein weiterer unbefugter Zugriff auf die Daten stattgefunden hatte. Durch die ergriffenen Sofortmassnahmen bestand zudem kein Risiko für die betroffenen Personen mehr. Aufgrund dieser Konstellation und angesichts der Tatsache, dass der Betrieb der Covid-Testzentren schon einige Zeit vor Bekanntwerden der Schwachstelle eingestellt worden war, hat der EDÖB das Verfahren ohne Erlass einer Empfehlung abgeschlossen.

Aufgrund des Auslandbezugs des Systems hatte sich der EDÖB amtshilfeweise mit verschiedenen Behörden, insbesondere mit den Datenschutzbehörden Österreichs und des Fürstentums Liechtenstein ausgetauscht.

Der Fall zeigt einerseits auf, welche Risiken sich aus Schwachstellen in einer Datenbank ergeben können. Andererseits konnten dank des Ergreifens von Sofortmassnahmen und der Protokollierung der Zugriffe auf die Datenbank weitere Risiken für die Betroffenen ausgeschlossen werden.

Dokumente

Schlussbericht vom 16.03.2023 mit Ergänzungen 28.04.2023 (geschwärzt) (PDF, 213 kB)

Adresse für Rückfragen

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Tel. +41 58 464 94 10, info@edoeb.admin.ch, https://www.newsd.admin.ch/

Download EDÖB: Abschluss der Sachverhaltsabklärung zur Datenbank privater Covid-19-Testzentren als PDF

Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz vom 27.04.2023

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht neue Orientierungshilfe zu Datenschutz als Kriterium im Vergabeverfahren

Dass unbedachte Konsumentscheidungen nachhaltig Ärger bereiten können, weiß jeder. Einkaufende in bayerischen Staatsbehörden oder Kommunen können diese Alltagserfahrung im Berufsleben manchmal unerwartet „auffrischen“. Nur wird es da oft kostspieliger als bei einem Staubsaugerfehlgriff – wenn etwa eine teure IT-Leistung beschafft wird, sich aber im Nachhinein herausstellt, dass sie aus Datenschutzgründen gar nicht eingesetzt werden darf.

Viele Leistungen und Produkte, die bayerische öffentliche Stellen beschaffen, haben Bezüge zum Datenschutz und müssen einschlägigen rechtlichen Anforderungen sowie ergänzenden technisch-organisatorischen Standards entsprechen. Die Weichen zum (auch) datenschutzgerechten Produkt werden im Zuge des Beschaffungsprozesses gestellt.

Prof. Dr. Thomas Petri: „Effektive Datenschutzarbeit legt einen Schwerpunkt auf Prävention. Und die muss manchmal früh wirken, lange bevor ein Verantwortlicher produktiv mit der Verarbeitung personenbezogener Daten beginnt. Ich freue mich daher besonders, die neue Orientierungshilfe ‚Datenschutz als Kriterium im Vergabeverfahren‘ vorstellen zu können.“

Das 43-seitige Papier zeigt unter Berücksichtigung der jüngsten Spruchpraxis von Vergabekammern und Gerichten systematisch, welche „Einfallstore“ sich in Beschaffungsprozessen für datenschutzrechtliche Anforderungen öffnen und wie man sie zielführend nutzt. Es befasst sich dabei unter anderem auch mit den Rechtmäßigkeitsvoraussetzungen der besonders praxisrelevanten Vergabe von Cloud-Leistungen. Datenschutzrecht und Vergaberecht sind durchgängig im Verbund dargestellt. Das Papier ist gleichermaßen an Personen mit diesem wie jenem fachlichen Schwerpunkt gerichtet.

Prof. Dr. Thomas Petri: „Ich hoffe, meine neue Orientierungshilfe kann dazu beitragen, dass Vergaberecht und Datenschutzrecht noch mehr als bisher ins Gespräch kommen. Dass Beschaffungsprozesse konsequent auf datenschutzkonforme Leistungen ausgerichtet werden, ist eine unabdingbare Voraussetzung für einen sparsamen und wirtschaftlichen Mitteleinsatz.“

Die Orientierungshilfe „ Datenschutz als Kriterium im Vergabeverfahren “ steht im Internet auf https://www.datenschutz-bayern.de in der Rubrik „Datenschutzreform 2018“ zum kostenfreien Download bereit.

Download Datenschutz einkaufen als PDF