Berliner Beauftragte für Datenschutz: Neuauflage des Ratgebers „Wie sicher ist dein Smartphone?“

/in /von

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine Neuauflage des Ratgebers „Wie sicher ist dein Smartphone?“ veröffentlicht. Der Ratgeber richtet sich an Jugendliche und Heranwachsende und erklärt leicht verständlich, welche Gefahren beim Umgang mit dem Smartphone für die Privatsphäre drohen und mit welchen Tipps Nutzerinnen und Nutzer sich bestmöglich schützen können.

Die handliche Broschüre behandelt in kurzen übersichtlichen Kapiteln bekannte Gefahren, z. B. Smartphone-Viren, Spionage und Datenklau, und erklärt zudem weniger offensichtliche Risikofelder wie die Erstellung von Bewegungsprofilen oder die Nutzung unverschlüsselter WLAN-Hotspots. Darüber hinaus finden sich in dem Ratgeber nützliche Hinweise dazu, wie man persönliche Informationen datenschutzgerecht löscht, bevor ein Telefon entsorgt oder weggegeben wird, und wie wichtige Daten richtig gesichert werden können.

Der in der Vergangenheit stark nachgefragte Ratgeber wurde erstmalig im Jahr 2008 veröffentlicht und ist nun in der 3. aktualisierten und ergänzten Auflage kostenfrei erhältlich. Er kann als gedruckte Ausgabe bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit angefragt und digital unter _https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/informationsmaterialien/_ abgerufen werden.

LfDI RP: Anstieg von Datenpannen in diesen Tagen aufgrund von Phishing Mails

/in /von

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 03.06.2020

In den vergangenen Tagen sind zahlreiche Organisationen und Betriebe in Rheinland-Pfalz mit einer neuartigen Schadsoftware vergleichbar der Schadsoftware Emotet infiziert worden.

Beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) sind seit dem 20. Mai acht entsprechende Datenpannen gemeldet worden. Es sind Unternehmen als auch öffentliche Stellen von den Angriffen betroffen. Bei der derzeitigen Angriffswelle handelt es sich um eine Schadsoftware, bei der der Schädling in der Regel neben den E-Mail-Kontakten auch die vorhandene E-Mail-Kommunikation ausliest und sich dann auf dem E-Mail-Weg weiterverbreitet. Ist die Schadsoftware erstmal in IT-Systeme eingedrungen, kann sie unter Umständen andere Schadprogramme nachladen.

Ob und gegebenenfalls in welchem Umfang bei den jüngsten Angriffen in Rheinland-Pfalz über die Daten aus der E-Mail-Kommunikation hinaus weitere Daten abgeflossen sind, ist derzeit noch offen. Nach den ersten Angaben der Verantwortlichen der betroffenen Unternehmen und Einrichtungen sind bisher keine weiteren Abflüsse von Daten festgestellt worden; dies ist jedoch Gegenstand weiterer Ermittlungen. Datenschutzrechtlich sind Angriffe mit der neuartigen Schadsoftware problematisch, weil durch den Abfluss der E-Mails personenbezogene Daten unbefugten Dritten bekannt werden. Diese E-Mails können, je nach Zusammenhang, sensible Daten der Absender enthalten.

Die Angriffe verlaufen in der Regel nach folgendem Muster: Die Schadsoftware liest Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Anschließend werden authentisch aussehende Spam-Mails an die Empfänger aus der Kontaktliste verschickt. Diese erhalten also fingierte Mails von Absendern, mit denen sie kürzlich tatsächlich in Kontakt standen, was das Risiko erhöht, dass den E-Mails Vertrauen entgegengebracht wird. Die Beschreibungen der Betroffenen in Rheinland-Pfalz in den vergangenen Tagen ähneln sich in diesem Sinne: E-Mails mit den Adressen der betroffenen Unternehmen und Einrichtungen sind an Personen gegangen, die aus zwei Elementen bestanden. Im oberen Teil der E-Mail war ein kurzer Satz mit einem Link enthalten, über den womöglich eine Infektion erfolgen könnte. Im unteren Teil der E-Mail war eine ältere E-Mail angehängt, die die Person zuvor an das Unternehmen oder die Einrichtung gesandt hatte.

Bei einem Befall mit der neuartigen Schadsoftware liegt datenschutzrechtlich eine Datenschutzverletzung vor, die nach Artikel 33 DS-GVO bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden ist. Nach einem Angriff sollten alle betroffenen Personen, das heißt alle E-Mail-Absender, die sich im Postfach des infizierten Unternehmens befinden, nach dem Motto „Sharing is caring“ (Vorbeugen durch Informationen teilen) über den Vorfall informiert werden, um eine Ausbreitung zu verhindern. Handelt es sich bei den betroffenen E-Mails um E-Mails mit sensiblen Inhalten wie besonders geschützte Daten nach Art. 9 DS-GVO, ist von einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen auszugehen. In diesen Fällen unterliegt der Verantwortliche einer Pflicht zur Benachrichtigung der betroffenen Personen nach Art. 34 Abs. 1 DS-GVO.

Der LfDI empfiehlt den betroffenen Unternehmen und Organisationen ihre Mitarbeiter für die neue Welle von Phishing-Mails zu sensibilisieren und die Sicherheitsvorkehrung des Bundesamts für Sicherheit in der Informationstechnik zur Vorbeugung eines Angriffs zu befolgen. Weitere Informationen gibt es beim Bundesamt und dem Bayerischen Landesamt für Datenschutzaufsicht.

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz können hier abgerufen werden.

BGH Urteil: Cookies dürfen nicht voreingestellt sein, explizite Einwilligung notwendig

/in /von

Aktiv zustimmen oder nur nicht widersprechen? Für das Setzen von Cookies im Internet hat der BGH eine Unklarheit zwischen deutschem und europäischen Gesetzestext ausgeräumt.

Cookies sind allgegenwärtig im Internet. Wer sie auf seinen Internetseiten setzen will, braucht nach einem Urteil des Bundesgerichtshofs (BGH) vom Donnerstag aber in jedem Fall die aktive Zustimmung der Nutzer. Konkret ging es um den Streit zwischen Planet49, einem Anbieter von Online-Gewinnspielen, und dem Bundesverband der Verbraucherzentralen. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung benachteilige den Nutzer unangemessen.

Der Senat habe für seine Entscheidung das deutsche Telemediengesetz (TMG) mit seiner Widerspruchsregelung nach den Vorgaben der seit 2018 geltenden EU-Datenschutzgrundverordnung (DS-GVO) ausgelegt, sagte der Vorsitzende Richter Thomas Koch. Zuvor hatten die Richter dem Europäischen Gerichtshof Fragen zur Vorabentscheidung vorgelegt. Der deutsche Gesetzgeber habe das TMG nach Einführung der DS-GVO zwar nicht überarbeitet, es sei aber klar, dass er keinen Widerspruch zum europäischen Recht sehe. (I ZR 7/16).

Cookies speichern beim Surfen im Internet Daten auf der Festplatte des Nutzers. Bei einem späteren Besuch der Webseite werden mit ihrer Hilfe die Nutzer und ihre Einstellungen wiedererkannt. Cookies werden auch dazu verwendet, Verbrauchern individuelle Werbung zu präsentieren. Wenn ein Nutzer im vorliegenden Fall das voreingestellte Häkchen nicht entfernte, stimmte er einer Auswertung seines Surfverhaltens und interessengerichteter Werbung zu.

Das Urteil des Bundesgerichtshofs sorge dafür, dass die Rechtsunsicherheit für Unternehmen erheblich reduziert werde. Denn endlich ist klar, was in Sachen Cookies erlaubt ist und was nicht. Gleichzeitig steige mit sofortiger Wirkung auch das Abmahn- und Haftungsrisiko bei Verstößen – etwa, wenn Unternehmen nicht sofort handeln und ihre Webseiten und Apps nicht anpassen.

Der Verband der Internetwirtschaft (eco) begrüßte die BGH-Entscheidung. »Das Urteil gibt Unternehmen und Nutzern endlich Klarheit und Rechtssicherheit im Umgang mit Cookies«, sagte Eco-Geschäftsführer Alexander Rabe.

Der Branchenverband Bitkom kritisierte dagegen das Urteil scharf. Es treffe die Webseitenbetreiber schwer und es nerve viele Internetnutzer, erklärte Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Alle Cookies, die als nicht unbedingt erforderlichen gelten, dürften jetzt nur noch mit aktiver Einwilligung gesetzt werden. »Welche Cookies damit gemeint sind, bleibt jedoch unklar. Dieser Unsicherheit wird für alle Seiten zu höheren Aufwänden führen.« Für Internetnutzer entstehe mit dem BGH-Urteil ein weiterer Komfortverlust: »Sie müssen häufiger Banner wegklicken oder Häkchen setzen, bevor sie die gewünschten Inhalte sehen.« Dabei dienten Cookies den Webseitenbetreibenden und Usern gleichermaßen, etwa bei Warenkörben in Online-Shops oder um das Webseitenerlebnis für Nutzer zu verbessern.

DSK: Schutz personenbezogener Daten bei der Übermittlung per E-Mail

/in /von

Verantwortliche und Auftragsverarbeiter sind gesetzlich gehalten, die Risiken, die sich aus ihren Verarbeitungen personenbezogener Daten ergeben, hinreichend zu mindern. Das betrifft auch Risiken, die durch die Übermittlung personenbezogener Daten per E-Mail entstehen. Der gesetzlich gebotene Schutz personenbezogener Daten im Zuge der Übermittlung von E-Mail-Nachrichten erstreckt sich sowohl auf die personenbezogenen Inhalte als auch die Umstände der Kommunikation, soweit sich aus Letzteren Informationen über natürliche Personen ableiten lassen.

Sowohl Transportverschlüsselung als auch Ende-zu-Ende-Verschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit und Integrität der übertragenen personenbezogenen Daten. Der Einsatz von Transportverschlüsselung bietet lediglich einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Der durchgreifendste Schutz der Inhaltsdaten wird hingegen durch Ende-zu-Ende-Verschlüsselung erreicht. Verantwortliche müssen beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen.

In einer von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mehrheitlich verabschiedeten Orientierungshilfe werden die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten erläutert. Dazu gehören

  • Obligatorische Transportverschlüsselung
    Verantwortliche, die E-Mail-Nachrichten mit personenbezogenen Daten versenden, bei denen ein Bruch der Vertraulichkeit ein normales Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, sollten sich an der TR 03108-1 orientieren und müssen eine obligatorische Transportverschlüsselung sicherstellen
  • Ende zu-Ende-Verschlüsselung:
    Verantwortliche, die E-Mail-Nachrichten versenden, bei denen ein Bruch der Vertraulichkeit von personenbezogenen Daten im Inhalt der Nachricht ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen darstellt, müssen regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung vornehmen.

Die Datenschutzkonferenz empfiehlt den Verantwortlichen, ihren Auftragsverarbeiternund öffentlichen E-Mail-Diensteanbietern, die in der Orientierungshilfe genannten Anforderungen umzusetzen, um den Schutz personenbezogener Daten bei der Übermittlung per E-Mail zu gewährleisten.

Die Webseite der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder kann hier abgerufen werden.

ULD: Contact Tracing *mit* Datenschutz by Design – jetzt die Chance nutzen

/in /von

„Datenschutz by Design“ – dafür setzt sich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) seit Jahrzehnten ein. Bisher waren Konzepte für innovative Datenschutztechnik hauptsächlich in akademischen Papieren zu finden. Obwohl die Datenschutz-Grundverordnung „Datenschutz durch Technikgestaltung“ fordert, finden die Ideen bisher nur selten den Weg in die Praxis. Für die Contact-Tracing-App ist „Datenschutz by Design“ möglich – und auch nötig.

Weltweit wird zurzeit als einer von vielen Bausteinen zur Pandemie-Bekämpfung das „Contact Tracing“ diskutiert, um Menschen zu warnen, die sich mit dem neuartigen Corona-Virus angesteckt haben könnten. Damit soll per App auf dem Smartphone mitgespeichert werden, wenn Nahkontakte mit anderen Menschen bestanden, die ebenfalls eine solche App einsetzen. Stellt sich später heraus, dass bei solchen Begegnungen eine der beteiligten Personen infiziert war, können die anderen per App benachrichtigt werden – auch wenn man einander nicht kennt.

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat sich mit den Konzepten eingehend beschäftigt: „Das Contact Tracing funktioniert wie eine Art digitales Tagebuch mit Einträgen über Nahkontakte auf dem Smartphone, die später abgeglichen werden können. Eine solche App kann in Ergänzung zu anderen Pandemie-Maßnahmen hilfreich zur Eindämmung sein. Das wird aber nur funktionieren, wenn die Nutzerinnen und Nutzer ein berechtigtes Vertrauen in die App haben können – und dafür ist ‚Datenschutz by Design‘ wesentlich. Das bedeutet zum Beispiel, dass Namen und Orte nicht gespeichert werden und alles verschlüsselt abgelegt wird. Entscheidend für ein Abschätzen des Missbrauchsrisikos ist dabei die Frage, wo die Daten beim Abgleich gespeichert sind und ob damit zusätzliche Auswertungen – bis hin zur Überwachung – ermöglicht werden.“

Grundlegend für die technische Entwicklung ist die Architektur des Systems: Die Kontaktdaten werden zunächst nur auf den Smartphones der Nutzerinnen und Nutzer gesammelt. Die Frage ist, ob Abgleich und Benachrichtigung der möglicherweise Betroffenen über einen zentralen Server realisiert werden oder ob der Abgleich dezentral in den Apps der Nutzerinnen und Nutzer geschieht und nur die Nutzenden selbst das Ergebnis erfahren.

Dieser Richtungsstreit „zentral – dezentral“ wurde besonders deutlich, als am 20.04.2020 Datenschutzforscherinnen und –forscher aus aller Welt, von denen viele an verschiedenen Entwicklungsprojekten zu Contact Tracing beteiligt sind, ihre Bedingungen an ein solches App-Design in einem offenen Brief formulierten: Insbesondere dürfe eine Contact-Tracing-App nur dem Zweck dienen, Kontakte nachzuverfolgen, und vollständige Transparenz und Datenminimierung seien zu gewährleisten. Sie betonen, dass bei mehreren Gestaltungsoptionen diejenige zu wählen sei, die Datenschutz am besten gewährleistet.

Am 21.04.2020 hat der Europäische Datenschutzausschuss (EDSA), in dem die Datenschutzaufsichtsbehörden von Bund und Ländern – auch Hansens Team – mitarbeiten, klargestellt, dass die Einhaltung von datenschutzrechtlichen Vorgaben unverzichtbar ist. Dies ist nicht zuletzt deshalb wichtig, um ein berechtigtes Vertrauen in der Bevölkerung herstellen zu können, das zwingende Voraussetzung für die Akzeptanz einer freiwilligen Lösung ist. Es gehört zu den Aufgaben der nationalen Gesetzgeber, sicherzustellen, dass diese Freiwilligkeit auch tatsächlich besteht. Personen, die eine solche Anwendung nicht nutzen wollen oder können, dürfen dadurch keinerlei Nachteile erleiden Auch muss sichergestellt sein, dass eine Verarbeitung nur für die im Vorfeld festgelegten Zwecken erfolgt. Wie bei allen anderen derartigen Maßnahmen gilt auch hier, dass eine zeitliche Befristung notwendig ist.

Weil ein App-Einsatz mit hohen Risiken für die Rechte und Freiheiten betroffener Personen verbunden ist, muss zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden, deren Veröffentlichung der EDSA nachdrücklich empfiehlt. Unter den zahlreichen Bedingungen, die der EDSA aufführt, findet sich ebenso wie bei den Datenschutzforscherinnen und –forschern die Forderung nach weitestgehender Transparenz. Der Quellcode der Anwendung und des Backends müssen offen sein (Open Source); ebenso müssen die technischen Spezifikationen veröffentlicht werden, um eine Überprüfung zu ermöglichen.

Der EDSA hebt hervor, dass das Prinzip der Datenminimierung und das Prinzip des Datenschutzes by Design sorgfältig zu berücksichtigen sind. Wie bereits in seinem Schreiben an die Europäische Kommission am 14.04.2020 stellt der EDSA in diesem Zusammenhang fest, dass der Grundsatz der Datenminimierung bei einem dezentralen Ansatz besser gewahrt werde.

Dies ist auch aus Hansens Sicht wichtig: „Es gilt, das Risiko einer Identifizierung der betroffenen Personen zu minimieren – auch im Hinblick auf unbefugte Zugriffe, die bei zentralen Infrastrukturen alle Teilnehmenden betreffen würden. Das entsprechende Know-how sowie tragfähige Konzepte sind da. Diese Früchte teilweise jahrelanger Forschungsarbeit jetzt nicht zu ernten und gerade solche Konzepte nicht zu berücksichtigen, die Datenschutz durch ausgefeilte Technik in hohem Maße befördern, wäre ein großes Versäumnis.“

Hansen begrüßt die Transparenz der bisherigen Arbeiten der Datenschutzforscherinnen und –forscher: „Durch die Offenlegung von Konzepten, die ehrliche Diskussion von möglichen Risiken und Gegenmaßnahmen und die Bereitstellung von Quellcode wird es den Datenschutzaufsichtsbehörden und der interessierten Öffentlichkeit ermöglicht, die Ergebnisse zu überprüfen und weiterzuentwickeln. Wichtig ist auch, dass nicht jeder im stillen Kämmerlein an seiner eigenen Lösung strickt, sondern taugliche und datenschutzwahrende Modelle weltweit interoperabel funktionieren können. Die ersten Schritte dafür sind getan: Die ‚Datenschutz by Design‘-Expertinnen und –Experten verschiedener Projekte haben sich zusammengetan und kooperieren im Sinne einer guten Gesamtlösung mit eingebautem Datenschutz.“

Auch vom deutschen Gesundheitsministerium wünscht sich Hansen ein deutliches Bekenntnis zu ‚Datenschutz by Design‘, Datenminimierung und maximaler Transparenz.

Weiterführende Informationen:

Datenschutzforscherinnen und –forscher zum Contact Tracing:

Die Informationen der Landesbeauftragten für Datenschutz zu Themen der Corona-Pandemie werden unter dem folgenden Link bereitgestellt und regelmäßig aktualisiert:

https://www.datenschutzzentrum.de/corona/

BfDI: EDSA beschließt weitere Leitlinien zu COVID-19

/in /von

Der Europäische Datenschutzausschuss (EDSA) hat am 21. April zwei neue Leitlinien zum Datenschutz während der Pandemiebekämpfung veröffentlicht. Mit seinen Beschlüssen gibt der EDSA Hinweise zum Umgang mit Gesundheitsdaten für Forschungszwecke und zu Grundsätzen von Tracking Tools. Beide Leitlinien nehmen direkten Bezug auf den Ausbruch von COVID-19.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber hatte sich bereits früh für einheitliche Vorgaben auf europäischer Ebene ausgesprochen: „Die Gesundheit der Menschen steht gerade im Mittelpunkt. Alle Mitgliedsländer des EDSA haben die gleichen Probleme zu bewältigen. Ich bin deshalb froh, dass wir uns auf eine gemeinsame Linie einigen konnten. Ich begrüße vor allem das Bekenntnis zur Freiwilligkeit. Sowohl in der Forschung als auch bei der Nachverfolgung von Kontakten können nur solche Lösungen erfolgreich sein, die transparent sind und ohne Zwang funktionieren. Es muss eindeutig und leicht verständlich sein, zu welchem Zweck die Daten erhoben und wann sie wieder gelöscht werden. Eine individuelles Tracking oder eine spätere Re-Personalisierung müssen ausgeschlossen sein. Diese Grundsätze werden wir als Aufsichtsbehörde von Verantwortlichen und Entwicklern einfordern.“

Der EDSA verweist darauf, dass die Datenschutz-Grundverordnung (DSGVO) sehr forschungsfreundlich gestaltet ist. Der Datenschutz stehe weder der Forschung, noch der Pandemiebekämpfung entgegen. Vielmehr ermögliche erst die DSGVO eine rechtmäßige Verarbeitung von so sensiblen Gesundheitsdaten. Gleiches gilt für den Einsatz von digitalen Hilfsmitteln zur Pandemiebekämpfung. Dazu sagte Professor Kelber: „Apps und andere Werkzeuge können nur unterstützende Maßnahmen sein. Sie sind kein Ersatz für ein funktionierendes Gesundheitssystem und gegenseitige Rücksichtnahme.“

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Aufsichtsbehörden geben Hinweise zu Datenschutz und Corona

/in /von

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, veröffentlicht Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie. Die Datenschützer stellen klar, dass der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion sich nicht entgegenstehen.

Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber: „Uns haben Fragen erreicht, wie der Datenschutz in dieser besonderen Situation rechtssicher umgesetzt werden kann. Ich bin froh, dass die Datenschutzaufsichtsbehörden jetzt eine gemeinsame Empfehlung hierzu aussprechen können. Informationen zu unserer Gesundheit sind sehr sensible Daten. Wer solche Daten erhebt oder verarbeitet, muss sich der besonderen Verantwortung bewusst sein. So lange die Maßnahmen der Arbeitgeber und Dienstherren verhältnismäßig sind, steht der Datenschutz der Infektionsbekämpfung nicht im Weg. Denn die Gesundheit der Bürgerinnen und Bürger steht jetzt im Mittelpunkt.“

Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern können datenschutzkonform Daten erhoben und verwendet werden. Es können beispielsweise personenbezogene Daten von Mitarbeiterinnen und Mitarbeitern erhoben werden, um eine Ausbreitung des Virus in der Mitarbeiterschaft bestmöglich zu verhindern. Auch die Erhebung von personenbezogenen Daten von Gästen und Besuchern ist möglich. Die ausführlichen Hinweise zum Umgang mit dem Datenschutz während der Corona-Pandemie finden Sie auf der Internetseite des BfDI (https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5216976).

Europäische Leitlinie zur Videoüberwachung beschlossen

/in /von

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Der Europäische Datenschutzausschuss hat in seiner gestrigen Sitzung in Brüssel mit großer Mehrheit eine Leitlinie zum datenschutzkonformen Einsatz von Videoüberwachung beschlossen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, die die Entstehung der Leitlinie als Hauptberichterstatterin betreut hat, begrüßt das Ergebnis.

Die seit Mai 2018 wirksame Datenschutz-Grundverordnung (DS-GVO) enthält keine speziellen Regeln zur Videoüberwachung. Deswegen müssen die datenschutzrechtlichen Anforderungen an den Einsatz von Videoüberwachung aus den allgemeinen Regelungen des Gesetzeswerks abgeleitet werden. Dies fordert nicht nur die Unternehmen, die Videotechnik rechtskonform einsetzen möchten, heraus. Auch die europäischen Aufsichtsbehörden stehen vor der Herausforderung, eine europaweit einheitliche Handhabung im Bereich der Videoüberwachung zu schaffen. Die nun beschlossene europäische Leitlinie ist ein wichtiger Beitrag in diesem Prozess. Dem Beschluss gingen intensive Verhandlungen zwischen den europäischen Aufsichtsbehörden im Datenschutzausschuss voraus. Zudem erfolgte eine großangelegte Beteiligung der Öffentlichkeit, bei der sich Interessenvertreterinnen und -vertreter aus Wirtschaft, Politik, Zivilgesellschaft wie auch Privatpersonen einbringen konnten.

Die Leitlinie betont den Grundsatz der Verhältnismäßigkeit. Da jede Videoüberwachung mit einem Eingriff in die Persönlichkeitsrechte verbunden ist, muss ihr stets ein berechtigtes Interesse des Kamerabetreibers zugrunde liegen. Dieses Interesse muss objektiv vorliegen, das heißt, bei einer Videoüberwachung aus Sicherheitsgründen müssen stets auch tatsächliche Anhaltspunkte für eine Gefahr für Leib, Leben oder Sachgüter vorliegen. Die Leitlinie stellt klar, dass ein rein subjektives Sicherheitsgefühl nicht genügt, um eine Videoüberwachung zu rechtfertigen.
Auch mit Blick auf die Verarbeitung biometrischer Daten bietet die Leitlinie Klarheit. Gemäß der DS-GVO ist es privaten Unternehmen ohne ausdrückliche Einwilligung der Betroffenen grundsätzlich verboten, solche Daten zum Zwecke der Identifizierung bestimmter Personen zu verarbeiten. Die Leitlinie konkretisiert nunmehr die strengen Anforderungen der DS-GVO an die Wirksamkeit solcher Einwilligungen. Außerdem bietet sie Hilfestellungen zu Fragen der Transparenz bei Videoüberwachungsmaßnahmen.

Maja Smoltczyk:
„Die kürzlich bekannt gewordenen Geschäftsgebaren des Dienstleisters Clearview haben uns die Begehrlichkeiten nach biometrischen Daten in der heutigen Zeit nicht nur von staatlicher, sondern auch von privater Seite deutlich vor Augen geführt. Ich halte diese Entwicklung für höchst bedenklich. Die Freiheit, sich in der Öffentlichkeit auch unbeobachtet bewegen zu können, ist ein besonders hohes und schützenswertes Gut unserer freiheitlichen Gesellschaft, das wir unbedingt bewahren müssen. Deshalb war es mir ein wichtiges Anliegen, dass meine Behörde die Federführung für die Erarbeitung der Europäischen Leitlinie zur Videoüberwachung übernimmt, um so auf ein möglichst hohes Datenschutzniveau für Betroffene hinzuwirken und gleichzeitig für die Unternehmen klare und handhabbare Vorgaben zu machen.“

Die Europäische Leitlinie zur Videoüberwachung wird in Kürze veröffentlicht und auf den Webauftritten der Berliner Beauftragten für Datenschutz und Informationsfreiheit (www.datenschutz-berlin.de) sowie des Europäischen Datenschutzausschusses (https://edpb.europa.eu/edpb_de) abrufbar sein.

Hintergrund
Mit Wirksamwerden der DS-GVO hat der Europäische Datenschutzausschuss (EDSA) seine Arbeit aufgenommen. In diesem Gremium sind Datenschutzaufsichtsbehörden aller europäischer Mitgliedstaaten sowie der Europäische Datenschutzbeauftragte und die Europäische Kommission vertreten. Eine wichtige Aufgabe besteht darin, allgemeine Leitlinien zur Interpretation der DS-GVO herauszugeben. Damit soll Klarheit hinsichtlich der Begriffe in den europäischen Datenschutzgesetzen im Sinne einer einheitlichen Auslegung geschaffen werden. Am 28./29. Januar 2020 tagte der EDSA zum 17. Mal.

Download Europäische Leitlinie zur Videoüberwachung beschlossen als PDF

BayLDA stellt Tätigkeitsbericht für das Jahr 2019 vor

/in /von

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 28.01.2020

Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), Thomas Kranig, stellte am heutigen Europäischen Datenschutztag den letzten Tätigkeitsbericht in seiner Amtszeit vor.

Präsident Kranig stellte den 75 Seiten umfassenden 9. Tätigkeitsbericht für das vergangene Jahr 2019 persönlich vor und wies insbesondere darauf hin, dass die Belastung durch den erheblichen Anstieg von Bürgerbeschwerden und Meldungen über Datenschutzverletzungen von Unternehmen nochmals deutlich angestiegen sei. Damit habe sich die Bearbeitungszeit leider zwangsläufig verlängert. Durch die kürzlich erfolgte Personalaufstockung gehe er aber davon aus, dass sich die Situation im Laufe dieses Jahres verbessern werde.

Im nachfolgenden Abschnitt werden die wesentlichen Inhalte der Presseveranstaltung wiedergegeben:

1. Tätigkeitsbericht nur noch digital
Wir haben wie im letzten Jahr darauf verzichtet, den Tätigkeitsbericht als Buch herauszugeben. Die Reaktionen darauf waren zuletzt überwiegend positiv ausgefallen. Durch die Veröffentlichung als digitales Dokument auf der Website des BayLDA kann jeder Interessierte kostenfrei nachlesen, welche Themen für das jeweilige Berichtsjahr besondere Relevanz hatten.

2. Statistik: Beschwerden, Beratungen und Meldungen von Datenschutzverletzungen

2.1. Beschwerden und Kontrollanregungen
Rückblickend auf das Jahr 2019 waren wir von der Anzahl der Beschwerden und Kontrollanregungen überrascht: Diese sind in den letzten zwölf Monaten noch einmal enorm angestiegen. Wie schon im letzten Bericht ausgeführt, gehen wir davon aus, dass insbesondere die zahlreichen Veranstaltungen, Presseberichte und Informationsmaterialien dazu geführt haben, dass vielen Bürgern bewusster geworden ist, dass sie selbst Betroffenenrechte haben und diese auch geltend machen können.

Diese Entwicklung mag daher aus Sicht der Gesellschaft positiv zu bewerten sein, weil spürbar ein gesteigertes Datenschutzbewusstsein vorhanden ist. Für uns als Behörde wurde es aber dadurch noch schwieriger, weil wir mit der Bearbeitung der zahlreichen Eingaben nicht mehr in gewohnter Weise hinterhergekommen sind und wir somit unseren „Schuldenberg“ bzw. Arbeitsvorrat unfreiwillig aufbauen mussten.

2.2. Beratung
Im Vergleich zum letzten Jahr sind die Beratungsanfragen zahlenmäßig stark gesunken. Insbesondere Vereine, kleine Handwerksbetriebe u. ä. haben nur noch in relativ wenigen Fällen um Beratung gebeten. Unsere große Informationswelle im Jahr 2018 in Verbindung mit einem gesteigerten Informationsangebot auf unserer Homepage hat wohl dazu geführt, dass gerade diese Verantwortlichen ausreichend darüber informiert sind, wie sie mit personenbezogenen Daten umzugehen haben.

Beratung ist uns nach wie vor sehr wichtig, da wir damit zur Rechtssicherheit beitragen können und zudem erfahren, welche Fragestellungen Verantwortliche in der Praxis haben. Im Ergebnis hat sich die Beratungslast für uns aber nicht, wie man es allein aufgrund der Zahlen annehmen könnte, auf etwa ein Drittel reduziert. Stattdessen ist die Komplexität und Schwierigkeit der Anfragen mittlerweile deutlich gestiegen.

Dadurch hat auch die Bearbeitungszeit gelitten. In vielen Fällen ist es uns nicht gelungen, Beschwerdeführern innerhalb der gesetzlichen Frist von drei Monaten eine Information über den Sachstand bzw. Ausgang des Verfahrens zu erteilen. In Einzelfällen haben Beschwerdeführer deshalb eine Untätigkeitsklage beim Verwaltungsrecht Ansbach erhoben.

2.3. Meldung von Datenschutzverletzungen
Wie zuletzt von uns prognostiziert, sind die Meldungen von Datenschutzverletzungen nochmals deutlich angestiegen. Selbst wenn viele der Meldungen den so genannten Fehlversand betreffen (z. B. Arzt schickt Arztbrief an falschen Empfänger), haben sich gravierende Sicherheitsvorfälle in den anderen Bereichen wie Cybercrime oder Verschlüsselungstrojaner gehäuft. Hier nahm der Aufwand der Aufarbeitung solcher Vorfälle, insbesondere angemessen zu reagieren und auch zu beraten, damit künftig weitere Schäden nicht mehr passieren, für uns enorm zu.

Vor dem Hintergrund einer überregionalen Bedrohungslage aus dem Cyberraum, die sich auch in den Meldungen von Datenschutzverletzungen spiegeln, hat die Bayerische Staatsregierung beschlossen, zum 1. Januar 2020 die „Cyberabwehr Bayern“ ins Leben zu rufen. Dabei handelt es sich um eine ausschließlich behördeninterne Informations- und Kooperationsplattform für alle bayerischen Landesbehörden mit Cybersicherheitsaufgaben. Wir haben uns entschieden, an dieser Plattform teilzunehmen, an der das CyberAllianz-Zentrum (CAZ) im Bayerischen Landesamt für Verfassungsschutz, die Zentrale Ansprechstelle Cybercrime (ZAC) im Bayerischen Landeskriminalamt, die Zentralstelle Cybercrime der Generalstaatsanwaltschaft Bamberg (ZCB), das Landesamt für Sicherheit in der Informationstechnik (LSI) und der Bayerische Landesbeauftragte für den Datenschutz (LfD) mitwirken.

3. Personelle Entwicklung
Im Berichtszeitraum haben wir durch den Haushaltsgesetzgeber im engeren Sinne, den Bayerischen Landtag, im Rahmen des Nachtragshaushalts keine neuen Stellen erhalten. Wir haben aber durch den Bayerischen Staatsminister des Innern, für Integration und Sport, im Zuge einer Haushaltsumschichtung nach Art. 6 des Bayerischen Haushaltsgesetzes im März 2019 die Zusage für Haushaltsmittel bekommen, mit denen wir neun Stellen in der 2. und 3. Qualifikationsebene nicht nur für das Jahr 2019, sondern auf Dauer schaffen konnten.

Die Personalentwicklung der letzten Jahre sieht wie folgt aus:
– Bis 31.12.2016: 16 Planstellen
– Bis 31.12.2017: 20 Planstellen
– Bis 31.12.2018: 24 Planstellen
– Bis 31.12.2019: 33 Planstellen (davon 31 besetzt)

4. Bußgeldverfahren
Nach wie vor erreichen uns viele Fälle, die den Einsatz von Dash-Cams, Videoüberwachung des öffentlichen Raums durch Private oder Veröffentlichungen personenbezogener Daten im Internet ohne Einwilligung der Betroffenen – v. a. auf Social-Media Plattformen wie Facebook, Instagram und WhatsApp – betreffen. Insgesamt haben wir ca. 100 Bußgeldverfahren abgeschlossen, eines davon mit einem Bußgeldbescheid nach der DS-GVO. Darüber hinaus befinden sich derzeit einige Verfahren bereits im Stadium der Anhörung und werden in absehbarer Zeit in den Erlass eines Bußgeldbescheides münden.

Sofern die Rechtslage nicht klar ist, haben wir in aller Regel zunächst im aufsichtliche Verfahren eine Klärung herbeigeführt, bevor ein Bußgeldverfahren eingeleitet wurde. Wir wollen nicht, dass Verantwortliche erstmals in einem Bußgeldverfahren unsere Rechtsauffassung zur Kenntnis nehmen können. Dies sollte vorab entweder im Rahmen einer Beratung oder eines aufsichtlichen Verfahrens erfolgt sein. Aus diesem Grund und, weil wir noch eine erhebliche Anzahl von Verfahren nach dem alten Recht abwickeln mussten, sind die Bußgeldverfahren erst in den letzten Monaten des Jahres 2019 richtig angelaufen.

5. Relevante Einzelthemen
Im Tätigkeitsbericht sind ferner aus den verschiedensten Lebensbereichen einzelne Fälle mit unserer Entscheidung dargestellt, wie z. B. Internet, Steuerberatung, Versicherungswirtschaft, Werbung, Handel und Dienstleistung, Beschäftigtendatenschutz, Gesundheit und Soziales, Vereine, Verbände, Wohnungswirtschaft, Videoüberwachung usw.

6. Sinn und Zweck des Tätigkeitsberichts
Die Aufsichtsbehörden sind verpflichtet, in festgelegten Abständen einen Bericht über ihre Tätigkeit zu erstellen. Unser Ansatz dabei ist, zunächst durch eine statistische Aufbereitung Transparenz in unsere Arbeit zu bringen. Erfahrungsgemäß werden Tätigkeitsberichte überwiegend von Datenschutzbeauftragten gelesen, die sich darüber orientieren wollen, welche Rechtsauffassung „ihre“ Aufsichtsbehörde zu bestimmten Themen vertritt. Wir hoffen aber auch, dass Bürger, die keine Sachverständigen für Datenschutz sind, mit unserem Tätigkeitsbericht etwas anfangen können. Wir haben uns deshalb bemüht, die Texte so zu formulieren, dass sie allgemein verständlich sind, aber durch Angabe der entsprechenden Rechtsgrundlagen auch für Datenschutzexperten als Orientierung dienen.7. Fundstelle des Tätigkeitsberichts
Der Tätigkeitsbericht für das Jahr 2019 ist unter folgendem Link erreichbar: www.lda.bayern.de/de/taetigkeitsberichte.html