Aufsichtsbehörden geben Hinweise zu Datenschutz und Corona
/in Ereignisse/von Jürgen SchmidtDie Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, veröffentlicht Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie. Die Datenschützer stellen klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.
Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber: „Uns haben Fragen erreicht, wie der Datenschutz in dieser besonderen Situation rechtssicher umgesetzt werden kann. Ich bin froh, dass die Datenschutzaufsichtsbehörden jetzt eine gemeinsame Empfehlung hierzu aussprechen können. Informationen zu unserer Gesundheit sind sehr sensible Daten. Wer solche Daten erhebt oder verarbeitet, muss sich der besonderen Verantwortung bewusst sein. So lange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg. Denn die Gesundheit der Bürgerinnen und Bürger steht jetzt im Mittelpunkt.“
Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern können datenschutzkonform Daten erhoben und verwendet werden. Es können beispielsweise personenbezogene Daten von Mitarbeiterinnen und Mitarbeitern erhoben werden, um eine Ausbreitung des Virus in der Mitarbeiterschaft bestmöglich zu verhindern. Auch die Erhebung von personenbezogenen Daten von Gästen und Besuchern ist möglich. Die ausführlichen Hinweise zum Umgang mit dem Datenschutz während der Corona-Pandemie finden Sie auf der Internetseite des BfDI (https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5216976).
Europäische Leitlinie zur Videoüberwachung beschlossen
/in Ereignisse/von Jürgen SchmidtPressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit
Der Europäische Datenschutzausschuss hat in seiner gestrigen Sitzung in Brüssel mit großer Mehrheit eine Leitlinie zum datenschutzkonformen Einsatz von Videoüberwachung beschlossen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, die die Entstehung der Leitlinie als Hauptberichterstatterin betreut hat, begrüßt das Ergebnis.
Die seit Mai 2018 wirksame Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regeln zur Videoüberwachung. Deswegen müssen die datenschutzrechtlichen Anforderungen an den Einsatz von Videoüberwachung aus den allgemeinen Regelungen des Gesetzeswerks abgeleitet werden. Dies fordert nicht nur die Unternehmen, die Videotechnik rechtskonform einsetzen möchten, heraus. Auch die europäischen Aufsichtsbehörden stehen vor der Herausforderung, eine europaweit einheitliche Handhabung im Bereich der Videoüberwachung zu schaffen. Die nun beschlossene europäische Leitlinie ist ein wichtiger Beitrag in diesem Prozess. Dem Beschluss gingen intensive Verhandlungen zwischen den europäischen Aufsichtsbehörden im Datenschutzausschuss voraus. Zudem erfolgte eine großangelegte Beteiligung der Öffentlichkeit, bei der sich Interessenvertreterinnen und -vertreter aus Wirtschaft, Politik, Zivilgesellschaft wie auch Privatpersonen einbringen konnten.
Die
Leitlinie betont den Grundsatz der Verhältnismäßigkeit. Da jede
Videoüberwachung mit einem Eingriff in die Persönlichkeitsrechte verbunden ist,
muss ihr stets ein berechtigtes Interesse des Kamerabetreibers zugrunde liegen.
Dieses Interesse muss objektiv vorliegen, das heißt, bei einer Videoüberwachung
aus Sicherheitsgründen müssen stets auch tatsächliche Anhaltspunkte für eine
Gefahr für Leib, Leben oder Sachgüter vorliegen. Die Leitlinie stellt klar,
dass ein rein subjektives Sicherheitsgefühl nicht genügt, um eine
Videoüberwachung zu rechtfertigen.
Auch mit Blick auf die Verarbeitung biometrischer Daten bietet die Leitlinie
Klarheit. Gemäß der DS-GVO ist es privaten Unternehmen ohne ausdrückliche
Einwilligung der Betroffenen grundsätzlich verboten, solche Daten zum Zwecke
der Identifizierung bestimmter Personen zu verarbeiten. Die Leitlinie
konkretisiert nunmehr die strengen Anforderungen der DS-GVO an die Wirksamkeit
solcher Einwilligungen. Außerdem bietet sie Hilfestellungen zu Fragen der
Transparenz bei Videoüberwachungsmaßnahmen.
Maja
Smoltczyk:
„Die kürzlich bekannt gewordenen Geschäftsgebaren des Dienstleisters Clearview
haben uns die Begehrlichkeiten nach biometrischen Daten in der heutigen Zeit
nicht nur von staatlicher, sondern auch von privater Seite deutlich vor Augen
geführt. Ich halte diese Entwicklung für höchst bedenklich. Die Freiheit, sich
in der Öffentlichkeit auch unbeobachtet bewegen zu können, ist ein besonders
hohes und schützenswertes Gut unserer freiheitlichen Gesellschaft, das wir
unbedingt bewahren müssen. Deshalb war es mir ein wichtiges Anliegen, dass
meine Behörde die Federführung für die Erarbeitung der Europäischen Leitlinie
zur Videoüberwachung übernimmt, um so auf ein möglichst hohes Datenschutzniveau
für Betroffene hinzuwirken und gleichzeitig für die Unternehmen klare und
handhabbare Vorgaben zu machen.“
Die Europäische Leitlinie zur Videoüberwachung wird in Kürze veröffentlicht und auf den Webauftritten der Berliner Beauftragten für Datenschutz und Informationsfreiheit (www.datenschutz-berlin.de) sowie des Europäischen Datenschutzausschusses (https://edpb.europa.eu/edpb_de) abrufbar sein.
Hintergrund
Mit Wirksamwerden der DS-GVO hat der Europäische Datenschutzausschuss (EDSA)
seine Arbeit aufgenommen. In diesem Gremium sind Datenschutzaufsichtsbehörden
aller europäischer Mitgliedstaaten sowie der Europäische Datenschutzbeauftragte
und die Europäische Kommission vertreten. Eine wichtige Aufgabe besteht darin,
allgemeine Leitlinien zur Interpretation der DS-GVO herauszugeben. Damit soll
Klarheit hinsichtlich der Begriffe in den europäischen Datenschutzgesetzen im
Sinne einer einheitlichen Auslegung geschaffen werden. Am 28./29. Januar 2020
tagte der EDSA zum 17. Mal.
Download Europäische Leitlinie zur Videoüberwachung beschlossen als PDF
BayLDA stellt Tätigkeitsbericht für das Jahr 2019 vor
/in Ereignisse/von Jürgen SchmidtPressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 28.01.2020
Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), Thomas Kranig, stellte am heutigen Europäischen Datenschutztag den letzten Tätigkeitsbericht in seiner Amtszeit vor.
Präsident Kranig stellte den 75 Seiten umfassenden 9. Tätigkeitsbericht für das vergangene Jahr 2019 persönlich vor und wies insbesondere darauf hin, dass die Belastung durch den erheblichen Anstieg von Bürgerbeschwerden und Meldungen über Datenschutzverletzungen von Unternehmen nochmals deutlich angestiegen sei. Damit habe sich die Bearbeitungszeit leider zwangsläufig verlängert. Durch die kürzlich erfolgte Personalaufstockung gehe er aber davon aus, dass sich die Situation im Laufe dieses Jahres verbessern werde.
Im nachfolgenden Abschnitt werden die wesentlichen Inhalte der Presseveranstaltung wiedergegeben:
1.
Tätigkeitsbericht nur noch digital
Wir haben wie im letzten Jahr darauf verzichtet, den Tätigkeitsbericht als Buch
herauszugeben. Die Reaktionen darauf waren zuletzt überwiegend positiv
ausgefallen. Durch die Veröffentlichung als digitales Dokument auf der Website
des BayLDA kann jeder Interessierte kostenfrei nachlesen, welche Themen für das
jeweilige Berichtsjahr besondere Relevanz hatten.
2. Statistik: Beschwerden, Beratungen und Meldungen von Datenschutzverletzungen
2.1. Beschwerden
und Kontrollanregungen
Rückblickend auf das Jahr 2019 waren wir von der Anzahl der Beschwerden und
Kontrollanregungen überrascht: Diese sind in den letzten zwölf Monaten noch
einmal enorm angestiegen. Wie schon im letzten Bericht ausgeführt, gehen wir
davon aus, dass insbesondere die zahlreichen Veranstaltungen, Presseberichte
und Informationsmaterialien dazu geführt haben, dass vielen Bürgern bewusster
geworden ist, dass sie selbst Betroffenenrechte haben und diese auch geltend
machen können.
Diese Entwicklung mag daher aus Sicht der Gesellschaft positiv zu bewerten sein, weil spürbar ein gesteigertes Datenschutzbewusstsein vorhanden ist. Für uns als Behörde wurde es aber dadurch noch schwieriger, weil wir mit der Bearbeitung der zahlreichen Eingaben nicht mehr in gewohnter Weise hinterhergekommen sind und wir somit unseren „Schuldenberg“ bzw. Arbeitsvorrat unfreiwillig aufbauen mussten.
2.2. Beratung
Im Vergleich zum letzten Jahr sind die Beratungsanfragen zahlenmäßig stark
gesunken. Insbesondere Vereine, kleine Handwerksbetriebe u. ä. haben nur noch
in relativ wenigen Fällen um Beratung gebeten. Unsere große Informationswelle
im Jahr 2018 in Verbindung mit einem gesteigerten Informationsangebot auf
unserer Homepage hat wohl dazu geführt, dass gerade diese Verantwortlichen
ausreichend darüber informiert sind, wie sie mit personenbezogenen Daten
umzugehen haben.
Beratung ist uns nach wie vor sehr wichtig, da wir damit zur Rechtssicherheit beitragen können und zudem erfahren, welche Fragestellungen Verantwortliche in der Praxis haben. Im Ergebnis hat sich die Beratungslast für uns aber nicht, wie man es allein aufgrund der Zahlen annehmen könnte, auf etwa ein Drittel reduziert. Stattdessen ist die Komplexität und Schwierigkeit der Anfragen mittlerweile deutlich gestiegen.
Dadurch hat auch die Bearbeitungszeit gelitten. In vielen Fällen ist es uns nicht gelungen, Beschwerdeführern innerhalb der gesetzlichen Frist von drei Monaten eine Information über den Sachstand bzw. Ausgang des Verfahrens zu erteilen. In Einzelfällen haben Beschwerdeführer deshalb eine Untätigkeitsklage beim Verwaltungsrecht Ansbach erhoben.
2.3. Meldung von
Datenschutzverletzungen
Wie zuletzt von uns prognostiziert, sind die Meldungen von Datenschutzverletzungen
nochmals deutlich angestiegen. Selbst wenn viele der Meldungen den so genannten
Fehlversand betreffen (z. B. Arzt schickt Arztbrief an falschen Empfänger),
haben sich gravierende Sicherheitsvorfälle in den anderen Bereichen wie
Cybercrime oder Verschlüsselungstrojaner gehäuft. Hier nahm der Aufwand der
Aufarbeitung solcher Vorfälle, insbesondere angemessen zu reagieren und auch zu
beraten, damit künftig weitere Schäden nicht mehr passieren, für uns enorm zu.
Vor dem Hintergrund einer überregionalen Bedrohungslage aus dem Cyberraum, die sich auch in den Meldungen von Datenschutzverletzungen spiegeln, hat die Bayerische Staatsregierung beschlossen, zum 1. Januar 2020 die „Cyberabwehr Bayern“ ins Leben zu rufen. Dabei handelt es sich um eine ausschließlich behördeninterne Informations- und Kooperationsplattform für alle bayerischen Landesbehörden mit Cybersicherheitsaufgaben. Wir haben uns entschieden, an dieser Plattform teilzunehmen, an der das CyberAllianz-Zentrum (CAZ) im Bayerischen Landesamt für Verfassungsschutz, die Zentrale Ansprechstelle Cybercrime (ZAC) im Bayerischen Landeskriminalamt, die Zentralstelle Cybercrime der Generalstaatsanwaltschaft Bamberg (ZCB), das Landesamt für Sicherheit in der Informationstechnik (LSI) und der Bayerische Landesbeauftragte für den Datenschutz (LfD) mitwirken.
3. Personelle
Entwicklung
Im Berichtszeitraum haben wir durch den Haushaltsgesetzgeber im engeren Sinne,
den Bayerischen Landtag, im Rahmen des Nachtragshaushalts keine neuen Stellen
erhalten. Wir haben aber durch den Bayerischen Staatsminister des Innern, für
Integration und Sport, im Zuge einer Haushaltsumschichtung nach Art. 6 des
Bayerischen Haushaltsgesetzes im März 2019 die Zusage für Haushaltsmittel
bekommen, mit denen wir neun Stellen in der 2. und 3. Qualifikationsebene nicht
nur für das Jahr 2019, sondern auf Dauer schaffen konnten.
Die Personalentwicklung der
letzten Jahre sieht wie folgt aus:
– Bis 31.12.2016: 16 Planstellen
– Bis 31.12.2017: 20 Planstellen
– Bis 31.12.2018: 24 Planstellen
– Bis 31.12.2019: 33 Planstellen (davon 31 besetzt)
4. Bußgeldverfahren
Nach wie vor erreichen uns viele Fälle, die den Einsatz von Dash-Cams,
Videoüberwachung des öffentlichen Raums durch Private oder Veröffentlichungen
personenbezogener Daten im Internet ohne Einwilligung der Betroffenen – v. a.
auf Social-Media Plattformen wie Facebook, Instagram und WhatsApp – betreffen.
Insgesamt haben wir ca. 100 Bußgeldverfahren abgeschlossen, eines davon mit
einem Bußgeldbescheid nach der DS-GVO. Darüber hinaus befinden sich derzeit
einige Verfahren bereits im Stadium der Anhörung und werden in absehbarer Zeit
in den Erlass eines Bußgeldbescheides münden.
Sofern die Rechtslage nicht klar ist, haben wir in aller Regel zunächst im aufsichtliche Verfahren eine Klärung herbeigeführt, bevor ein Bußgeldverfahren eingeleitet wurde. Wir wollen nicht, dass Verantwortliche erstmals in einem Bußgeldverfahren unsere Rechtsauffassung zur Kenntnis nehmen können. Dies sollte vorab entweder im Rahmen einer Beratung oder eines aufsichtlichen Verfahrens erfolgt sein. Aus diesem Grund und, weil wir noch eine erhebliche Anzahl von Verfahren nach dem alten Recht abwickeln mussten, sind die Bußgeldverfahren erst in den letzten Monaten des Jahres 2019 richtig angelaufen.
5. Relevante
Einzelthemen
Im Tätigkeitsbericht sind ferner aus den verschiedensten Lebensbereichen
einzelne Fälle mit unserer Entscheidung dargestellt, wie z. B. Internet,
Steuerberatung, Versicherungswirtschaft, Werbung, Handel und Dienstleistung,
Beschäftigtendatenschutz, Gesundheit und Soziales, Vereine, Verbände,
Wohnungswirtschaft, Videoüberwachung usw.
6. Sinn und Zweck
des Tätigkeitsberichts
Die Aufsichtsbehörden sind verpflichtet, in festgelegten Abständen einen
Bericht über ihre Tätigkeit zu erstellen. Unser Ansatz dabei ist, zunächst
durch eine statistische Aufbereitung Transparenz in unsere Arbeit zu bringen.
Erfahrungsgemäß werden Tätigkeitsberichte überwiegend von
Datenschutzbeauftragten gelesen, die sich darüber orientieren wollen, welche
Rechtsauffassung „ihre“ Aufsichtsbehörde zu bestimmten Themen vertritt. Wir
hoffen aber auch, dass Bürger, die keine Sachverständigen für Datenschutz sind,
mit unserem Tätigkeitsbericht etwas anfangen können. Wir haben uns deshalb
bemüht, die Texte so zu formulieren, dass sie allgemein verständlich sind, aber
durch Angabe der entsprechenden Rechtsgrundlagen auch für Datenschutzexperten
als Orientierung dienen.7. Fundstelle des
Tätigkeitsberichts
Der Tätigkeitsbericht für das Jahr 2019 ist unter folgendem Link erreichbar: www.lda.bayern.de/de/taetigkeitsberichte.html
Michael Will wird neuer Präsident des BayLD
/in Ereignisse/von Jürgen SchmidtMinisterialrat Michael Will wird neuer Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Der bisherige Leiter des Sachgebiets Datenschutz im Bayerischen Staatsministerium des Innern und für Integration folgt damit auf Thomas Kranig. Thomas Kranig wurde im Jahr 2011 zum ersten Präsidenten des BayLDA ernannt. Auf Beschluss der Bayerischen Staatsregierung wurde Kranig am 26. Juli 2016 dann für weitere fünf Jahre mit der Leitung der Baye-rischen Datenschutzaufsicht für den nicht öffentlichen Bereich betraut. Die zweite Amtsperiode begann am 3. August 2016. Nach Art. 18 Abs. 3 des Bayerischen Datenschutzgesetz (BayDSG) gilt die Ernennung für fünf Jahre. Dementsprechend würde die Amtszeit von GDD-Preisträger Kranig noch bis zum Jahr 2021 andauern, doch mit 65 Jahren darf Herr Kranig nun schon in diesem Jahr in den Ruhestand.Sein Nachfolger, Michael Will, ist Ministerialrat im Bayerischen Staatsministerium des Innern und für Integration und leitet das Referat Datenschutz. Zudem bringt er praktische Erfahrung als Datenschutzbeauftragter mit, da er im Ministerium das Amt des behördlichen Datenschutzbeauftragten ausübt. Ferner ist er Mitglied der Datenschutzkommission des Bayerischen Landtages. Er hat im Auftrag des Bundesrates in den Jahren 2012 bis 2015 die gesamten Beratungen der Ratsarbeitsgruppe Datenschutz und Informationsaustausch (DAPIX) zur DS-GVO begleitet und nimmt außerdem die Aufgaben des Länderbeobachters in der Art. 31-Datenschutzgruppe wahr.Ende Januar erfolgt die Amtseinführung durch den bayerischen Innenminister und jetzigen Vorgesetzten von Michael Will, Joachim Herrmann.
BayLDA: Weihnachtspost vom Hacker–Warnung vor neuer Emotet-Infektionswelle
/in Ereignisse/von Jürgen SchmidtPressemitteilung vom 18.12.2019
Weihnachtspost vom Hacker – Warnung vor neuer Emotet-Infektionswelle
Nach den Erkenntnissen des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) infizieren sich derzeit zahlreiche Organisationen mit dem Emotet-Trojaner. Die Malware verursachte bislang bereits einen erheblichen wirtschaftlichen und datenschutzrechtlichen Schaden. Das BayLDA warnt daher alle Verantwortliche – egal ob Unternehmen, Arzt, Handwerker etc. – eindringlich und empfiehlt, besonders aufmerksam bei eingehenden E-Mails zu bleiben. Dies bezieht ich auch auf Weihnachtsgrüße von vermeintlich bekannten Kommunikationspartnern. Links oder Anhänge dürfen nicht sorglos geöffnet werden. Sollte es zu einer Infektion kommen, ist eine Meldung bei der Datenschutzaufsichtsbehörde verpflichtend.
Link zur Pressemeldung https://www.lda.bayern.de/media/pm/pm2019_15.pdf
BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister 1&1
/in Ereignisse/von Jürgen SchmidtDer Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.
Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.
Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.
Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.
Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.
Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.
Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.
DSK beschließt Prüfschema zu Windows 10!
/in Ereignisse/von Jürgen SchmidtPressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 11.11.2019
Auf ihrer 98.Sitzung am 6. und 7. November 2019 in Trier hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit vielfältigen Themen befasst.
Besondere Bedeutung für die Praxis hat in den Augen des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Lutz Hasse, das erarbeitete Prüfschema zu Windows 10. Hierzu äußerte der Vorsitzende der DSK:
„Im Zusammenhang mit der automatisierten Übertragung sogenannter Telemetriedaten bei Windows Betriebssystem- und Anwendungslösungen hat die Konferenz im Nachgang auf hochrangiger Ebene Gespräche mit Vertretern von Microsoft geführt. Ziel ist es dabei, den Personenbezug von Nutzungsdaten zu vermindern bzw. deren Übertragung in die Entscheidung der Nutzerinnen und Nutzer zu stellen. In diesem Zusammenhang hat die Datenschutzkonferenz ein Prüfschema für das Betriebssystem Windows 10 veröffentlicht, das Verantwortlichen die Möglichkeit gibt, die datenschutzrelevanten Fragen im Zusammenhang mit dem Einsatz der Software, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten.“
Dr. Lutz Hasse stellt fest: „Mit dem Prüfschema haben die Aufsichtsbehörden den Verantwortlichen zunächst ein Instrument an die Hand gegeben, mit dem sie prüfen können, ob die erforderlichen Voraussetzungen für einen Einsatz dieses Betriebssystems gewährleistet werden können. Der TLfDI wird über weitere Entwicklungen umgehend berichten.“
Das Prüfschema finden Sie unter https://tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/beschluss_zu_top_13_win10_prufschema.pdf
und die Anlage unter https://tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/beschluss_zu_top_10_win_10_prufschema_anlage.pdf.
Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft
/in Ereignisse/von Jürgen SchmidtP r e s s e m i t t e i l u n g vom 5. November 2019
Am 30.Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.
Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.
Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten Datenschutzverstoß bei ca. 28 Millionen Euro.
Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen. Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.
LbfDI BW: Datenschutz für kleine Betriebe gelockert? Eben nicht!
/in Ereignisse/von Jürgen SchmidtArchive
BayLDA
- Koalitionspläne zum Datenschutz bringen Nachteile für die regionale Wirtschaft und die Menschen vor Ort
- Vorstellung des BayLDA-Tätigkeitsberichts 2024 im Bayerischen Landtag
- „Sicher online, clever dabei – Kinder im digitalen Zeitalter“?
- „Frau, Mann und dann?“ Geschlechtliche Diversität und datenschutzrechtliche Anforderungen – was ist „erforderlich“?
- Sicher wie in einer Ritterburg
Shortlinks
RSS Feed Abo
Um den Blog als RSS-Feed zu abonieren, nutzen Sie bitte den Link
https://buscon.de/feed/
Business- & IT-Consulting
Jürgen Schmidt
Hohe Eichen 10
91207 Lauf
T: 09123-789630
* Datenschutz
* Informationssicherheit
* Externer Datenschutzbeauftragter
* Datenschutzaudits
* Risiko-Check nach DIN SPEC 27076
* TISAX Beratung und Audits
* ISMS-Beauftragter nach ISO 27001
* ISMS-Auditor nach ISO 27001