BayLDA: Tätigkeitsbericht für die Jahre 2017 und 2018 vorgestellt

/in /von

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 22.03.2019

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig, stellte am Freitag, dem 22. März 2019 in den neuen Räumen des BayLDA den Tätigkeitsbericht für die Jahre 2017 und 2018 vor.

Präsident Kranig stellte den 150-seitigen Tätigkeitsbericht für die vergangenen beiden Jahre vor und wies zunächst darauf hin, dass man konkrete Fälle aus dem Zeitraum vor Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO), d.h. vor dem 25. Mai 2018 nur dann in dem Bericht dargestellt habe, wenn sie auch noch für den neuen Rechtsrahmen Bedeutung haben.

Tätigkeitsbericht nur noch digital und in Zukunft jährlich
Er wies ferner darauf hin, dass das BayLDA erstmals darauf verzichtet habe, den Tätigkeitsbericht als Buch herauszugeben. Rückfragen bei den Adressaten der verschickten Tätigkeitsberichte hätten ergeben, dass diese nach Erhalt des Buches eigentlich nur noch mit der digitalen Version gearbeitet hätten. Der vorgelegte Tätigkeitsbericht ist der letzte mit einem zweijährigen Berichtszeitraum, da die Datenschutz-Grundverordnung die Aufsichtsbehörden verpflichtet, in Zukunft jährlich ihren Bericht vorzulegen.

Beratung, Beratung, Beratung
Wie nicht anders zu erwarten, ist das BayLDA – wie andere Aufsichtsbehörden auch – mit Anfragen überhäuft worden, wie die Vorschriften der DS-GVO im Einzelfall auszulegen sind. Große Unternehmen hatten in aller Regel die zweijährige Übergangsfrist vom Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2016 bis zur Anwendbarkeit am 25. Mai 2018 genutzt, um sich darauf vorzubereiten und ihre Verarbeitungsprozesse anzupassen. Viele kleine und mittlere Unternehmen, insbesondere aber auch Vereine, wurden von dem neuen Recht überrascht und durch irreführende Presseberichte (Klingelschilder, Verbietung von Kinderbildern) zusätzlich verunsichert. Die Anstrengungen, die gerade in diesem Bereich, für den die DS-GVO relativ wenig neue Anforderung gebracht hat, erforderlich waren, um die bestehende Verunsicherung zu beseitigen, waren unvorstellbar. Tatsache ist jedoch, dass auch heute knapp ein Jahr nach Anwendbarkeit der DS-GVO das Bedürfnis nach Beratung und Rechtssicherheit noch lange nicht befriedigt ist.

Zahlen und Fakten
Eine größere Anzahl von Aufsichtsbehörden hat sich darauf verständigt, in einem Kapitel „Zahlen und Fakten“ statistische Angaben in einem einheitlichen Format darzustellen. Wir haben uns bemüht, dies erstmals umzusetzen. Besser geworden sind die Zahlen dadurch jedoch nicht.

Um die gestiegene Belastung für jede einzelne Mitarbeiterin oder Mitarbeiter transparent zu machen, wurde ermittelt, wie viele Beratungsanfragen, Beschwerden und Bearbeitung von Datenmitteilung über Datenschutzverletzungen auf jeweils eine Person fallen. Fielen auf eine Person im Jahr 2014 noch 176 Beratungsanfragen, waren dies im Jahr 2018 schon 384. Die Zahl der Beschwerden stieg von 60 auf 152 und die Zahl der Bearbeitung von Datenschutzverletzungen von einem Fall auf 103 Fälle. Wichtig ist in diesem Zusammenhang aber darauf hinzuweisen, dass es darüber hinaus noch eine ganze Menge anderer Arbeiten wie die Teilnahme an Sitzungen der Aufsichtsbehörden, Vortragsveranstaltungen, Erarbeitung von Inhalten für die Homepage, von Papieren für die Datenschutzkonferenz oder den europäischen Datenschutzausschuss usw. gibt.

Personalentwicklung
Aus heutiger Sicht besteht die begründete Erwartung, dass nach Abschluss des derzeit laufenden Verfahrens zur Verabschiedung des Doppelhaushalts für die Jahre 2019 und 2020 wir nicht die beantragte Personalaufstockung um 10 Stellen, aber dennoch eine gewisse Personalverstärkung bekommen werden.

Relevante Einzelthemen
Das neue europäische Datenschutzrecht in Form einer Verordnung, d. h. einer Rechtsnorm die unmittelbar in allen Mitgliedstaaten der Europäischen Union anwendbar ist, stellt uns vor besondere Herausforderungen bei der Interpretation. Einerseits wünschen viele Verantwortliche, wie in der Datenschutz-Grundverordnung diejenigen genannt werden, die mit personenbezogenen Daten von anderen umgehen, Informationen darüber, wie bestimmte Vorschriften zu verstehen sind. Andererseits könnte eine rechtssichere Auskunft nur dann erteilt werden, wenn die europäischen Aufsichtsbehörden darüber ein einheitliches Verständnis erzielt haben. Dies ist aber ein schwieriger und zäher Prozess.

Wir haben uns deshalb entschieden, sehr früh unsere Standpunkte transparent zu machen, in Kurzpapieren zu veröffentlichen und auch bei Beratungen oder Veranstaltungen zu vertreten. Wir haben dabei immer versucht, darauf hinzuweisen, dass dies eine erste vorläufige Einschätzung ist, die dann keinen Bestand mehr hat, wenn sich entweder die Gesamtheit der deutschen und/oder europäischen Aufsichtsbehörden auf ein anderes Verständnis geeinigt hat oder wenn der Europäische Gerichtshof eine verbindliche Auslegung getroffen hat.

Die größten Unsicherheiten und häufigsten Anfragen und auch Aussagen von uns, bezogen sich auf die Informationspflichten, d. h. darauf, in welcher Art und Weise und in welchem Umfang Betroffene Personen darüber informiert werden müssen, wie mit ihren Daten umgegangen wird. Etwa ebenso häufig waren Fragen nach den Rechtsvoraussetzungen für die Veröffentlichung von Bildern von Vereinsfesten, Mitarbeiterzeitungen, Berichte über Veranstaltungen, Erstellen von Chroniken usw.

In 19 von 24 Kapiteln des Tätigkeitsberichts haben wir aus allen Bereichen, vom Datenschutz im Internet, über Werbung, Versicherungswirtschaft, Gesundheit, Videoüberwachung bis zum technischen Datenschutz und der Informationssicherheit Einzelfälle dargestellt und unsere Bewertung transparent gemacht.

Sinn und Zweck des Tätigkeitsberichts
Die Aufsichtsbehörden sind verpflichtet, einen Tätigkeitsbericht zu erstellen. Unser Ansatz dabei war, zum einen durch eine möglichst detaillierte statistische Aufbereitung Transparenz in unsere Arbeit zu bringen. Erfahrungsgemäß wird er am meisten von Datenschutzbeauftragten gelesen, die sich darüber orientieren wollen, welche Rechtsauffassung ihre Aufsichtsbehörde zu bestimmten Themen hat. Wir wünschen uns auch, dass Bürger, die keine Sachverständigen für Datenschutz sind, mit dem Tätigkeitsbericht etwas anfangen können. Wir haben uns deshalb bemüht, die Texte so zu formulieren, dass sie auch für Nichtsachverständige verständlich sind, andererseits aber auch durch Angabe der entsprechenden Rechtsgrundlagen Datenschutzfachleuten eine Orientierung geben.

Fundstelle des Tätigkeitsberichts
Der Tätigkeitsbericht für die Jahre 2017 und 2018 ist unter folgendem Link erreichbar: https://www.lda.bayern.de/de/taetigkeitsberichte.html

Die Pressemitteilungen des Bayerischen Landesamts für Datenschutzaufsicht können hier abgerufen werden.

BfDI: Facebook offenbart erneut erhebliche Datenschutzdefizite

/in /von

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 21.03.2019

Der aktuelle Skandal belegt, dass Facebook das Thema Datenschutz immer noch stiefmütterlich behandelt. Gerade weil die Facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden können, sollten Nutzer des sozialen Netzwerks unbedingt ihre Passwörter ändern.

Bei Ulrich Kelber, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, hat der erneute Skandal vor allem Kopfschütteln ausgelöst: „Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssen, ob Zugangskennung und Passwort zueinander passen, ist es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert. Bei einem ähnlich gelagerten Fall hatte der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.

Der BfDI ist sich daher sicher, dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird: „Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Facebook hatte heute bekannt gegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern lagen und so für mehr als 20.000 Mitarbeiter zugänglich waren. Besonders kritisch ist der Fall, weil diese Daten nicht nur für den Zugang zum sozialen Netzwerk selbst, sondern auch als sogenanntes Single Sign-On genutzt werden können. Viele weitere Apps oder Online-Dienste ermöglichen es, sich mit den Facebook-Zugangsdaten bei ihnen anzumelden. So gewähren die Daten potentiell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. Facebook-Nutzer sollten daher dringend ihr Passwort ändern. Tipps für sichere Passwörter finden sich beispielsweise auf der Website des Bundesamts für Sicherheit in der Informationstechnik.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

LBDI BW: Datenleck bei E-Scooter-Verleih

/in /von

Einem Bericht zufolge konnten Journalisten Daten von 460.000 Nutzern eines schwedischen Kickscooterverleihers einsehen: Namen, Mailadressen und Mobilfunknummern. Von einem „gravierenden Vorfall“ spricht Stefan Brink, der Landesbeauftragte für Datenschutz in Baden-Württemberg: „Da würde ich grundsätzlich schon von einem hohen Risiko ausgehen, weil man mit solchen Daten zum Beispiel so etwas wie einen Identitätsdiebstahl begehen kann.“

https://www.br.de/nachrichten/netzwelt/datenpanne-bei-start-up-voi,RL5Hb5R

Gigantische Datenpanne bei Myspace

/in /von

Das soziale Netzwerk Myspace hat bei einem Serverumzug aus Versehen mehr als 50 Millionen Fotos, Videos und Musikstücke unwiederbringlich gelöscht.

Immer wieder warnen Experten davor, dass das Internet nichts vergisst. Wenn der hochseriöse Arbeitgeber einen beim Bewerbungsgespräch plötzlich auf die Vollrauschfotos aus dem Stripclub beim Junggesellenabschied abspricht, kann das mehr als peinlich sein. Aber auch der umgekehrte Fall ist nicht immer unbedingt angenehm, wie jetzt eine gigantische Panne beim sozialen Netzwerk Myspace zeigt. Bei einem Umzug auf neue Server wurden über 50 Millionen alte Dateien versehentlich so korrumpiert, dass sie nicht mehr nutz- und wiederherstellbar sind. Von dem Datenunfall betroffen ist ein großer Teil der Mediendateien wie Fotos, Videos und vor allem Musikstücke, die zwischen 2003 und 2015 auf Myspace veröffentlicht wurden.

Das ist für die Nutzer und das Netzwerk gleichermaßen ärgerlich. Zwar hat die 2003 gegründete Plattform ihren Zenit längst überschritten und hat Giganten wie Facebook mit ihren zuletzt noch rund 10 bis 15 Millionen monatlich aktiven Nutzern kaum noch etwas entgegen zu setzen. Aber gerade bei noch wenig bekannten Künstlern und insbesondere Musikern ist die Plattform noch immer beliebt, um neue Werke zu veröffentlichen und sich darüber ein Publikum zu erschließen. Immerhin war Myspace vor dem großen Aufschwung von Youtube bis fast 2010 unangefochtener Spitzenreiter für solche Zwecke. Manch ein Backup-Fauler dieser Musiker könnte damit nun einen Teil seiner Werke für immer verloren haben. Und das Netzwerk selbst dürfte durch den Reputationsverlust seinen eigenen Niedergang nochmals beschleunigt haben.

Auskunftsrecht Mitarbeiter: Firmen droht Prozesswelle

/in /von

Der Landesdatenschutzbeauftragte für den Datenschutz, Dr. Stefan Brink, sieht das „Potenzial für eine Klagewelle“. Firmen und Beschäftigten sei oft noch nicht bewusst, wie umfassend das Auskunftsrecht sei; es müsse „im Prinzip alles“ herausgegeben werden.

https://www.stuttgarter-zeitung.de/inhalt.urteil-des-landearbeitsgerichts-datenschutz-firmen-droht-prozesswelle.8316adb5-1ce0-472b-963e-2ed87682f4cd.html

BVD: Merkblatt zu den datenschutzrechtlichen Auswirkungen des Brexits

/in /von

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat sich den Folgen des Brexits aus Sicht des Datenschutz gewidmet und in einem Merkblatt zusammengefasst.

Dieses Merkblatt soll beim richtigen Umgang mit den Folgen des ungeregelten Austritts des Vereinigten Königreiches (UK) aus der Europäischen Union (EU) helfen.

Informieren möchte der BvD mit diesem Merkblatt sowohl die von der Datenverarbeitung betroffenen Personen als auch Einrichtungen wie Unternehmen, Vereine, Einrichtungen des öffentlichen Dienstes, Arztpraxen usw. die personenbezogene Daten verarbeiten.

Vorbehaltlich etwaiger Übergangsregelungen, die in einem möglichen Rücktrittsabkommen enthalten sein können, gilt ab dem 30. März 2019:

Durch den Austritt aus der EU wird UK zu einem Drittland im Sinne der Artt. 44 ff. Datenschutz-Grundverordnung (DS-GVO). Demnach muss grundsätzlich sichergestellt sein, dass angemessene Schutzmaßnahmen in Großbritannien als Drittstaat durch die Zielunternehmen bestehen (Art. 46 DS-GVO). Diese Maßnahmen beinhalten Standardvertragsklauseln, Binding Corporate Rules o. ä. Instrumente. Auftragsverarbeitung und gemeinsame Verarbeitung sind bei Anwendung der zusätzlichen Instrumente nach der DS-GVO auch in Drittstaaten möglich.


Zum BvD Merkblatt Brexit