ULD: Contact Tracing *mit* Datenschutz by Design – jetzt die Chance nutzen

/in /von

„Datenschutz by Design“ – dafür setzt sich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) seit Jahrzehnten ein. Bisher waren Konzepte für innovative Datenschutztechnik hauptsächlich in akademischen Papieren zu finden. Obwohl die Datenschutz-Grundverordnung „Datenschutz durch Technikgestaltung“ fordert, finden die Ideen bisher nur selten den Weg in die Praxis. Für die Contact-Tracing-App ist „Datenschutz by Design“ möglich – und auch nötig.

Weltweit wird zurzeit als einer von vielen Bausteinen zur Pandemie-Bekämpfung das „Contact Tracing“ diskutiert, um Menschen zu warnen, die sich mit dem neuartigen Corona-Virus angesteckt haben könnten. Damit soll per App auf dem Smartphone mitgespeichert werden, wenn Nahkontakte mit anderen Menschen bestanden, die ebenfalls eine solche App einsetzen. Stellt sich später heraus, dass bei solchen Begegnungen eine der beteiligten Personen infiziert war, können die anderen per App benachrichtigt werden – auch wenn man einander nicht kennt.

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat sich mit den Konzepten eingehend beschäftigt: „Das Contact Tracing funktioniert wie eine Art digitales Tagebuch mit Einträgen über Nahkontakte auf dem Smartphone, die später abgeglichen werden können. Eine solche App kann in Ergänzung zu anderen Pandemie-Maßnahmen hilfreich zur Eindämmung sein. Das wird aber nur funktionieren, wenn die Nutzerinnen und Nutzer ein berechtigtes Vertrauen in die App haben können – und dafür ist ‚Datenschutz by Design‘ wesentlich. Das bedeutet zum Beispiel, dass Namen und Orte nicht gespeichert werden und alles verschlüsselt abgelegt wird. Entscheidend für ein Abschätzen des Missbrauchsrisikos ist dabei die Frage, wo die Daten beim Abgleich gespeichert sind und ob damit zusätzliche Auswertungen – bis hin zur Überwachung – ermöglicht werden.“

Grundlegend für die technische Entwicklung ist die Architektur des Systems: Die Kontaktdaten werden zunächst nur auf den Smartphones der Nutzerinnen und Nutzer gesammelt. Die Frage ist, ob Abgleich und Benachrichtigung der möglicherweise Betroffenen über einen zentralen Server realisiert werden oder ob der Abgleich dezentral in den Apps der Nutzerinnen und Nutzer geschieht und nur die Nutzenden selbst das Ergebnis erfahren.

Dieser Richtungsstreit „zentral – dezentral“ wurde besonders deutlich, als am 20.04.2020 Datenschutzforscherinnen und –forscher aus aller Welt, von denen viele an verschiedenen Entwicklungsprojekten zu Contact Tracing beteiligt sind, ihre Bedingungen an ein solches App-Design in einem offenen Brief formulierten: Insbesondere dürfe eine Contact-Tracing-App nur dem Zweck dienen, Kontakte nachzuverfolgen, und vollständige Transparenz und Datenminimierung seien zu gewährleisten. Sie betonen, dass bei mehreren Gestaltungsoptionen diejenige zu wählen sei, die Datenschutz am besten gewährleistet.

Am 21.04.2020 hat der Europäische Datenschutzausschuss (EDSA), in dem die Datenschutzaufsichtsbehörden von Bund und Ländern – auch Hansens Team – mitarbeiten, klargestellt, dass die Einhaltung von datenschutzrechtlichen Vorgaben unverzichtbar ist. Dies ist nicht zuletzt deshalb wichtig, um ein berechtigtes Vertrauen in der Bevölkerung herstellen zu können, das zwingende Voraussetzung für die Akzeptanz einer freiwilligen Lösung ist. Es gehört zu den Aufgaben der nationalen Gesetzgeber, sicherzustellen, dass diese Freiwilligkeit auch tatsächlich besteht. Personen, die eine solche Anwendung nicht nutzen wollen oder können, dürfen dadurch keinerlei Nachteile erleiden Auch muss sichergestellt sein, dass eine Verarbeitung nur für die im Vorfeld festgelegten Zwecken erfolgt. Wie bei allen anderen derartigen Maßnahmen gilt auch hier, dass eine zeitliche Befristung notwendig ist.

Weil ein App-Einsatz mit hohen Risiken für die Rechte und Freiheiten betroffener Personen verbunden ist, muss zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden, deren Veröffentlichung der EDSA nachdrücklich empfiehlt. Unter den zahlreichen Bedingungen, die der EDSA aufführt, findet sich ebenso wie bei den Datenschutzforscherinnen und –forschern die Forderung nach weitestgehender Transparenz. Der Quellcode der Anwendung und des Backends müssen offen sein (Open Source); ebenso müssen die technischen Spezifikationen veröffentlicht werden, um eine Überprüfung zu ermöglichen.

Der EDSA hebt hervor, dass das Prinzip der Datenminimierung und das Prinzip des Datenschutzes by Design sorgfältig zu berücksichtigen sind. Wie bereits in seinem Schreiben an die Europäische Kommission am 14.04.2020 stellt der EDSA in diesem Zusammenhang fest, dass der Grundsatz der Datenminimierung bei einem dezentralen Ansatz besser gewahrt werde.

Dies ist auch aus Hansens Sicht wichtig: „Es gilt, das Risiko einer Identifizierung der betroffenen Personen zu minimieren – auch im Hinblick auf unbefugte Zugriffe, die bei zentralen Infrastrukturen alle Teilnehmenden betreffen würden. Das entsprechende Know-how sowie tragfähige Konzepte sind da. Diese Früchte teilweise jahrelanger Forschungsarbeit jetzt nicht zu ernten und gerade solche Konzepte nicht zu berücksichtigen, die Datenschutz durch ausgefeilte Technik in hohem Maße befördern, wäre ein großes Versäumnis.“

Hansen begrüßt die Transparenz der bisherigen Arbeiten der Datenschutzforscherinnen und –forscher: „Durch die Offenlegung von Konzepten, die ehrliche Diskussion von möglichen Risiken und Gegenmaßnahmen und die Bereitstellung von Quellcode wird es den Datenschutzaufsichtsbehörden und der interessierten Öffentlichkeit ermöglicht, die Ergebnisse zu überprüfen und weiterzuentwickeln. Wichtig ist auch, dass nicht jeder im stillen Kämmerlein an seiner eigenen Lösung strickt, sondern taugliche und datenschutzwahrende Modelle weltweit interoperabel funktionieren können. Die ersten Schritte dafür sind getan: Die ‚Datenschutz by Design‘-Expertinnen und –Experten verschiedener Projekte haben sich zusammengetan und kooperieren im Sinne einer guten Gesamtlösung mit eingebautem Datenschutz.“

Auch vom deutschen Gesundheitsministerium wünscht sich Hansen ein deutliches Bekenntnis zu ‚Datenschutz by Design‘, Datenminimierung und maximaler Transparenz.

Weiterführende Informationen:

Datenschutzforscherinnen und –forscher zum Contact Tracing:

Die Informationen der Landesbeauftragten für Datenschutz zu Themen der Corona-Pandemie werden unter dem folgenden Link bereitgestellt und regelmäßig aktualisiert:

https://www.datenschutzzentrum.de/corona/

BfDI: EDSA beschließt weitere Leitlinien zu COVID-19

/in /von

Der Europäische Datenschutzausschuss (EDSA) hat am 21. April zwei neue Leitlinien zum Datenschutz während der Pandemiebekämpfung veröffentlicht. Mit seinen Beschlüssen gibt der EDSA Hinweise zum Umgang mit Gesundheitsdaten für Forschungszwecke und zu Grundsätzen von Tracking Tools. Beide Leitlinien nehmen direkten Bezug auf den Ausbruch von COVID-19.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber hatte sich bereits früh für einheitliche Vorgaben auf europäischer Ebene ausgesprochen: „Die Gesundheit der Menschen steht gerade im Mittelpunkt. Alle Mitgliedsländer des EDSA haben die gleichen Probleme zu bewältigen. Ich bin deshalb froh, dass wir uns auf eine gemeinsame Linie einigen konnten. Ich begrüße vor allem das Bekenntnis zur Freiwilligkeit. Sowohl in der Forschung als auch bei der Nachverfolgung von Kontakten können nur solche Lösungen erfolgreich sein, die transparent sind und ohne Zwang funktionieren. Es muss eindeutig und leicht verständlich sein, zu welchem Zweck die Daten erhoben und wann sie wieder gelöscht werden. Eine individuelles Tracking oder eine spätere Re-Personalisierung müssen ausgeschlossen sein. Diese Grundsätze werden wir als Aufsichtsbehörde von Verantwortlichen und Entwicklern einfordern.“

Der EDSA verweist darauf, dass die Datenschutz-Grundverordnung (DSGVO) sehr forschungsfreundlich gestaltet ist. Der Datenschutz stehe weder der Forschung, noch der Pandemiebekämpfung entgegen. Vielmehr ermögliche erst die DSGVO eine rechtmäßige Verarbeitung von so sensiblen Gesundheitsdaten. Gleiches gilt für den Einsatz von digitalen Hilfsmitteln zur Pandemiebekämpfung. Dazu sagte Professor Kelber: „Apps und andere Werkzeuge können nur unterstützende Maßnahmen sein. Sie sind kein Ersatz für ein funktionierendes Gesundheitssystem und gegenseitige Rücksichtnahme.“

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Aufsichtsbehörden geben Hinweise zu Datenschutz und Corona

/in /von

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, veröffentlicht Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie. Die Datenschützer stellen klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber: „Uns haben Fragen erreicht, wie der Datenschutz in dieser besonderen Situation rechtssicher umgesetzt werden kann. Ich bin froh, dass die Datenschutzaufsichtsbehörden jetzt eine gemeinsame Empfehlung hierzu aussprechen können. Informationen zu unserer Gesundheit sind sehr sensible Daten. Wer solche Daten erhebt oder verarbeitet, muss sich der besonderen Verantwortung bewusst sein. So lange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg. Denn die Gesundheit der Bürgerinnen und Bürger steht jetzt im Mittelpunkt.“

Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern können datenschutzkonform Daten erhoben und verwendet werden. Es können beispielsweise personenbezogene Daten von Mitarbeiterinnen und Mitarbeitern erhoben werden, um eine Ausbreitung des Virus in der Mitarbeiterschaft bestmöglich zu verhindern. Auch die Erhebung von personenbezogenen Daten von Gästen und Besuchern ist möglich. Die ausführlichen Hinweise zum Umgang mit dem Datenschutz während der Corona-Pandemie finden Sie auf der Internetseite des BfDI (https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5216976).

Europäische Leitlinie zur Videoüberwachung beschlossen

/in /von

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Der Europäische Datenschutzausschuss hat in seiner gestrigen Sitzung in Brüssel mit großer Mehrheit eine Leitlinie zum datenschutzkonformen Einsatz von Videoüberwachung beschlossen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, die die Entstehung der Leitlinie als Hauptberichterstatterin betreut hat, begrüßt das Ergebnis.

Die seit Mai 2018 wirksame Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regeln zur Videoüberwachung. Deswegen müssen die datenschutzrechtlichen Anforderungen an den Einsatz von Videoüberwachung aus den allgemeinen Regelungen des Gesetzeswerks abgeleitet werden. Dies fordert nicht nur die Unternehmen, die Videotechnik rechtskonform einsetzen möchten, heraus. Auch die europäischen Aufsichtsbehörden stehen vor der Herausforderung, eine europaweit einheitliche Handhabung im Bereich der Videoüberwachung zu schaffen. Die nun beschlossene europäische Leitlinie ist ein wichtiger Beitrag in diesem Prozess. Dem Beschluss gingen intensive Verhandlungen zwischen den europäischen Aufsichtsbehörden im Datenschutzausschuss voraus. Zudem erfolgte eine großangelegte Beteiligung der Öffentlichkeit, bei der sich Interessenvertreterinnen und -vertreter aus Wirtschaft, Politik, Zivilgesellschaft wie auch Privatpersonen einbringen konnten.

Die Leitlinie betont den Grundsatz der Verhältnismäßigkeit. Da jede Videoüberwachung mit einem Eingriff in die Persönlichkeitsrechte verbunden ist, muss ihr stets ein berechtigtes Interesse des Kamerabetreibers zugrunde liegen. Dieses Interesse muss objektiv vorliegen, das heißt, bei einer Videoüberwachung aus Sicherheitsgründen müssen stets auch tatsächliche Anhaltspunkte für eine Gefahr für Leib, Leben oder Sachgüter vorliegen. Die Leitlinie stellt klar, dass ein rein subjektives Sicherheitsgefühl nicht genügt, um eine Videoüberwachung zu rechtfertigen.
Auch mit Blick auf die Verarbeitung biometrischer Daten bietet die Leitlinie Klarheit. Gemäß der DS-GVO ist es privaten Unternehmen ohne ausdrückliche Einwilligung der Betroffenen grundsätzlich verboten, solche Daten zum Zwecke der Identifizierung bestimmter Personen zu verarbeiten. Die Leitlinie konkretisiert nunmehr die strengen Anforderungen der DS-GVO an die Wirksamkeit solcher Einwilligungen. Außerdem bietet sie Hilfestellungen zu Fragen der Transparenz bei Videoüberwachungsmaßnahmen.

Maja Smoltczyk:
„Die kürzlich bekannt gewordenen Geschäftsgebaren des Dienstleisters Clearview haben uns die Begehrlichkeiten nach biometrischen Daten in der heutigen Zeit nicht nur von staatlicher, sondern auch von privater Seite deutlich vor Augen geführt. Ich halte diese Entwicklung für höchst bedenklich. Die Freiheit, sich in der Öffentlichkeit auch unbeobachtet bewegen zu können, ist ein besonders hohes und schützenswertes Gut unserer freiheitlichen Gesellschaft, das wir unbedingt bewahren müssen. Deshalb war es mir ein wichtiges Anliegen, dass meine Behörde die Federführung für die Erarbeitung der Europäischen Leitlinie zur Videoüberwachung übernimmt, um so auf ein möglichst hohes Datenschutzniveau für Betroffene hinzuwirken und gleichzeitig für die Unternehmen klare und handhabbare Vorgaben zu machen.“

Die Europäische Leitlinie zur Videoüberwachung wird in Kürze veröffentlicht und auf den Webauftritten der Berliner Beauftragten für Datenschutz und Informationsfreiheit (www.datenschutz-berlin.de) sowie des Europäischen Datenschutzausschusses (https://edpb.europa.eu/edpb_de) abrufbar sein.

Hintergrund
Mit Wirksamwerden der DS-GVO hat der Europäische Datenschutzausschuss (EDSA) seine Arbeit aufgenommen. In diesem Gremium sind Datenschutzaufsichtsbehörden aller europäischer Mitgliedstaaten sowie der Europäische Datenschutzbeauftragte und die Europäische Kommission vertreten. Eine wichtige Aufgabe besteht darin, allgemeine Leitlinien zur Interpretation der DS-GVO herauszugeben. Damit soll Klarheit hinsichtlich der Begriffe in den europäischen Datenschutzgesetzen im Sinne einer einheitlichen Auslegung geschaffen werden. Am 28./29. Januar 2020 tagte der EDSA zum 17. Mal.

Download Europäische Leitlinie zur Videoüberwachung beschlossen als PDF

BayLDA stellt Tätigkeitsbericht für das Jahr 2019 vor

/in /von

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 28.01.2020

Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), Thomas Kranig, stellte am heutigen Europäischen Datenschutztag den letzten Tätigkeitsbericht in seiner Amtszeit vor.

Präsident Kranig stellte den 75 Seiten umfassenden 9. Tätigkeitsbericht für das vergangene Jahr 2019 persönlich vor und wies insbesondere darauf hin, dass die Belastung durch den erheblichen Anstieg von Bürgerbeschwerden und Meldungen über Datenschutzverletzungen von Unternehmen nochmals deutlich angestiegen sei. Damit habe sich die Bearbeitungszeit leider zwangsläufig verlängert. Durch die kürzlich erfolgte Personalaufstockung gehe er aber davon aus, dass sich die Situation im Laufe dieses Jahres verbessern werde.

Im nachfolgenden Abschnitt werden die wesentlichen Inhalte der Presseveranstaltung wiedergegeben:

1. Tätigkeitsbericht nur noch digital
Wir haben wie im letzten Jahr darauf verzichtet, den Tätigkeitsbericht als Buch herauszugeben. Die Reaktionen darauf waren zuletzt überwiegend positiv ausgefallen. Durch die Veröffentlichung als digitales Dokument auf der Website des BayLDA kann jeder Interessierte kostenfrei nachlesen, welche Themen für das jeweilige Berichtsjahr besondere Relevanz hatten.

2. Statistik: Beschwerden, Beratungen und Meldungen von Datenschutzverletzungen

2.1. Beschwerden und Kontrollanregungen
Rückblickend auf das Jahr 2019 waren wir von der Anzahl der Beschwerden und Kontrollanregungen überrascht: Diese sind in den letzten zwölf Monaten noch einmal enorm angestiegen. Wie schon im letzten Bericht ausgeführt, gehen wir davon aus, dass insbesondere die zahlreichen Veranstaltungen, Presseberichte und Informationsmaterialien dazu geführt haben, dass vielen Bürgern bewusster geworden ist, dass sie selbst Betroffenenrechte haben und diese auch geltend machen können.

Diese Entwicklung mag daher aus Sicht der Gesellschaft positiv zu bewerten sein, weil spürbar ein gesteigertes Datenschutzbewusstsein vorhanden ist. Für uns als Behörde wurde es aber dadurch noch schwieriger, weil wir mit der Bearbeitung der zahlreichen Eingaben nicht mehr in gewohnter Weise hinterhergekommen sind und wir somit unseren „Schuldenberg“ bzw. Arbeitsvorrat unfreiwillig aufbauen mussten.

2.2. Beratung
Im Vergleich zum letzten Jahr sind die Beratungsanfragen zahlenmäßig stark gesunken. Insbesondere Vereine, kleine Handwerksbetriebe u. ä. haben nur noch in relativ wenigen Fällen um Beratung gebeten. Unsere große Informationswelle im Jahr 2018 in Verbindung mit einem gesteigerten Informationsangebot auf unserer Homepage hat wohl dazu geführt, dass gerade diese Verantwortlichen ausreichend darüber informiert sind, wie sie mit personenbezogenen Daten umzugehen haben.

Beratung ist uns nach wie vor sehr wichtig, da wir damit zur Rechtssicherheit beitragen können und zudem erfahren, welche Fragestellungen Verantwortliche in der Praxis haben. Im Ergebnis hat sich die Beratungslast für uns aber nicht, wie man es allein aufgrund der Zahlen annehmen könnte, auf etwa ein Drittel reduziert. Stattdessen ist die Komplexität und Schwierigkeit der Anfragen mittlerweile deutlich gestiegen.

Dadurch hat auch die Bearbeitungszeit gelitten. In vielen Fällen ist es uns nicht gelungen, Beschwerdeführern innerhalb der gesetzlichen Frist von drei Monaten eine Information über den Sachstand bzw. Ausgang des Verfahrens zu erteilen. In Einzelfällen haben Beschwerdeführer deshalb eine Untätigkeitsklage beim Verwaltungsrecht Ansbach erhoben.

2.3. Meldung von Datenschutzverletzungen
Wie zuletzt von uns prognostiziert, sind die Meldungen von Datenschutzverletzungen nochmals deutlich angestiegen. Selbst wenn viele der Meldungen den so genannten Fehlversand betreffen (z. B. Arzt schickt Arztbrief an falschen Empfänger), haben sich gravierende Sicherheitsvorfälle in den anderen Bereichen wie Cybercrime oder Verschlüsselungstrojaner gehäuft. Hier nahm der Aufwand der Aufarbeitung solcher Vorfälle, insbesondere angemessen zu reagieren und auch zu beraten, damit künftig weitere Schäden nicht mehr passieren, für uns enorm zu.

Vor dem Hintergrund einer überregionalen Bedrohungslage aus dem Cyberraum, die sich auch in den Meldungen von Datenschutzverletzungen spiegeln, hat die Bayerische Staatsregierung beschlossen, zum 1. Januar 2020 die „Cyberabwehr Bayern“ ins Leben zu rufen. Dabei handelt es sich um eine ausschließlich behördeninterne Informations- und Kooperationsplattform für alle bayerischen Landesbehörden mit Cybersicherheitsaufgaben. Wir haben uns entschieden, an dieser Plattform teilzunehmen, an der das CyberAllianz-Zentrum (CAZ) im Bayerischen Landesamt für Verfassungsschutz, die Zentrale Ansprechstelle Cybercrime (ZAC) im Bayerischen Landeskriminalamt, die Zentralstelle Cybercrime der Generalstaatsanwaltschaft Bamberg (ZCB), das Landesamt für Sicherheit in der Informationstechnik (LSI) und der Bayerische Landesbeauftragte für den Datenschutz (LfD) mitwirken.

3. Personelle Entwicklung
Im Berichtszeitraum haben wir durch den Haushaltsgesetzgeber im engeren Sinne, den Bayerischen Landtag, im Rahmen des Nachtragshaushalts keine neuen Stellen erhalten. Wir haben aber durch den Bayerischen Staatsminister des Innern, für Integration und Sport, im Zuge einer Haushaltsumschichtung nach Art. 6 des Bayerischen Haushaltsgesetzes im März 2019 die Zusage für Haushaltsmittel bekommen, mit denen wir neun Stellen in der 2. und 3. Qualifikationsebene nicht nur für das Jahr 2019, sondern auf Dauer schaffen konnten.

Die Personalentwicklung der letzten Jahre sieht wie folgt aus:
– Bis 31.12.2016: 16 Planstellen
– Bis 31.12.2017: 20 Planstellen
– Bis 31.12.2018: 24 Planstellen
– Bis 31.12.2019: 33 Planstellen (davon 31 besetzt)

4. Bußgeldverfahren
Nach wie vor erreichen uns viele Fälle, die den Einsatz von Dash-Cams, Videoüberwachung des öffentlichen Raums durch Private oder Veröffentlichungen personenbezogener Daten im Internet ohne Einwilligung der Betroffenen – v. a. auf Social-Media Plattformen wie Facebook, Instagram und WhatsApp – betreffen. Insgesamt haben wir ca. 100 Bußgeldverfahren abgeschlossen, eines davon mit einem Bußgeldbescheid nach der DS-GVO. Darüber hinaus befinden sich derzeit einige Verfahren bereits im Stadium der Anhörung und werden in absehbarer Zeit in den Erlass eines Bußgeldbescheides münden.

Sofern die Rechtslage nicht klar ist, haben wir in aller Regel zunächst im aufsichtliche Verfahren eine Klärung herbeigeführt, bevor ein Bußgeldverfahren eingeleitet wurde. Wir wollen nicht, dass Verantwortliche erstmals in einem Bußgeldverfahren unsere Rechtsauffassung zur Kenntnis nehmen können. Dies sollte vorab entweder im Rahmen einer Beratung oder eines aufsichtlichen Verfahrens erfolgt sein. Aus diesem Grund und, weil wir noch eine erhebliche Anzahl von Verfahren nach dem alten Recht abwickeln mussten, sind die Bußgeldverfahren erst in den letzten Monaten des Jahres 2019 richtig angelaufen.

5. Relevante Einzelthemen
Im Tätigkeitsbericht sind ferner aus den verschiedensten Lebensbereichen einzelne Fälle mit unserer Entscheidung dargestellt, wie z. B. Internet, Steuerberatung, Versicherungswirtschaft, Werbung, Handel und Dienstleistung, Beschäftigtendatenschutz, Gesundheit und Soziales, Vereine, Verbände, Wohnungswirtschaft, Videoüberwachung usw.

6. Sinn und Zweck des Tätigkeitsberichts
Die Aufsichtsbehörden sind verpflichtet, in festgelegten Abständen einen Bericht über ihre Tätigkeit zu erstellen. Unser Ansatz dabei ist, zunächst durch eine statistische Aufbereitung Transparenz in unsere Arbeit zu bringen. Erfahrungsgemäß werden Tätigkeitsberichte überwiegend von Datenschutzbeauftragten gelesen, die sich darüber orientieren wollen, welche Rechtsauffassung „ihre“ Aufsichtsbehörde zu bestimmten Themen vertritt. Wir hoffen aber auch, dass Bürger, die keine Sachverständigen für Datenschutz sind, mit unserem Tätigkeitsbericht etwas anfangen können. Wir haben uns deshalb bemüht, die Texte so zu formulieren, dass sie allgemein verständlich sind, aber durch Angabe der entsprechenden Rechtsgrundlagen auch für Datenschutzexperten als Orientierung dienen.7. Fundstelle des Tätigkeitsberichts
Der Tätigkeitsbericht für das Jahr 2019 ist unter folgendem Link erreichbar: www.lda.bayern.de/de/taetigkeitsberichte.html

Michael Will wird neuer Präsident des BayLD

/in /von

Ministerialrat Michael Will wird neuer Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Der bisherige Leiter des Sachgebiets Datenschutz im Bayerischen Staatsministerium des Innern und für Integration folgt damit auf Thomas Kranig. Thomas Kranig wurde im Jahr 2011 zum ersten Präsidenten des BayLDA ernannt. Auf Beschluss der Bayerischen Staatsregierung wurde Kranig am 26. Juli 2016 dann für weitere fünf Jahre mit der Leitung der Baye-rischen Datenschutzaufsicht für den nicht öffentlichen Bereich betraut. Die zweite Amtsperiode begann am 3. August 2016. Nach Art. 18 Abs. 3 des Bayerischen Datenschutzgesetz (BayDSG) gilt die Ernennung für fünf Jahre. Dementsprechend würde die Amtszeit von GDD-Preisträger Kranig noch bis zum Jahr 2021 andauern, doch mit 65 Jahren darf Herr Kranig nun schon in diesem Jahr in den Ruhestand.Sein Nachfolger, Michael Will, ist Ministerialrat im Bayerischen Staatsministerium des Innern und für Integration und leitet das Referat Datenschutz. Zudem bringt er praktische Erfahrung als Datenschutzbeauftragter mit, da er im Ministerium das Amt des behördlichen Datenschutzbeauftragten ausübt. Ferner ist er Mitglied der Datenschutzkommission des Bayerischen Landtages. Er hat im Auftrag des Bundesrates in den Jahren 2012 bis 2015 die gesamten Beratungen der Ratsarbeitsgruppe Datenschutz und Informationsaustausch (DAPIX) zur DS-GVO begleitet und nimmt außerdem die Aufgaben des Länderbeobachters in der Art. 31-Datenschutzgruppe wahr.Ende Januar erfolgt die Amtseinführung durch den bayerischen Innenminister und jetzigen Vorgesetzten von Michael Will, Joachim Herrmann.

BayLDA: Weihnachtspost vom Hacker–Warnung vor neuer Emotet-Infektionswelle

/in /von

Pressemitteilung vom 18.12.2019

Weihnachtspost vom Hacker – Warnung vor neuer Emotet-Infektionswelle

Nach den Erkenntnissen des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) infizieren sich derzeit zahlreiche Organisationen mit dem Emotet-Trojaner. Die Malware verursachte bislang bereits einen erheblichen wirtschaftlichen und datenschutzrechtlichen Schaden. Das BayLDA warnt daher alle Verantwortliche – egal ob Unternehmen, Arzt, Handwerker etc. – eindringlich und empfiehlt, besonders aufmerksam bei eingehenden E-Mails zu bleiben. Dies bezieht ich auch auf Weihnachtsgrüße von vermeintlich bekannten Kommunikationspartnern. Links oder Anhänge dürfen nicht sorglos geöffnet werden. Sollte es zu einer Infektion kommen, ist eine Meldung bei der Datenschutzaufsichtsbehörde verpflichtend.

Link zur Pressemeldung https://www.lda.bayern.de/media/pm/pm2019_15.pdf

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister 1&1

/in /von

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus. 

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen. 

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt. 

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens. 

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen. 

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.

DSK beschließt Prüfschema zu Windows 10!

/in /von

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 11.11.2019

Auf ihrer 98.Sitzung am 6. und 7. November 2019 in Trier hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit vielfältigen Themen befasst.

Besondere Bedeutung für die Praxis hat in den Augen des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Lutz Hasse, das erarbeitete Prüfschema zu Windows 10. Hierzu äußerte der Vorsitzende der DSK:

„Im Zusammenhang mit der automatisierten Übertragung sogenannter Telemetriedaten bei Windows Betriebssystem- und Anwendungslösungen hat die Konferenz im Nachgang auf hochrangiger Ebene Gespräche mit Vertretern von Microsoft geführt. Ziel ist es dabei, den Personenbezug von Nutzungsdaten zu vermindern bzw. deren Übertragung in die Entscheidung der Nutzerinnen und Nutzer zu stellen. In diesem Zusammenhang hat die Datenschutzkonferenz ein Prüfschema für das Betriebssystem Windows 10 veröffentlicht, das Verantwortlichen die Möglichkeit gibt, die datenschutzrelevanten Fragen im Zusammenhang mit dem Einsatz der Software, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten.“

Dr. Lutz Hasse stellt fest: „Mit dem Prüfschema haben die Aufsichtsbehörden den Verantwortlichen zunächst ein Instrument an die Hand gegeben, mit dem sie prüfen können, ob die erforderlichen Voraussetzungen für einen Einsatz dieses Betriebssystems gewährleistet werden können. Der TLfDI wird über weitere Entwicklungen umgehend berichten.“

Das Prüfschema finden Sie unter https://tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/beschluss_zu_top_13_win10_prufschema.pdf

und die Anlage unter https://tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/beschluss_zu_top_10_win_10_prufschema_anlage.pdf.