BayLDA stellt Tätigkeitsbericht für das Jahr 2022 vor

/in /von

2022 ist auch im Datenschutz ein Jahr der Zeitenwende – Weichenstellungen für eine zukunftsfähige Datenschutzaufsicht erforderlich

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat am Freitag, den 7. Juli 2023 seinen 12. Tätigkeitsbericht in der Hochschule Ansbach vorgestellt. Die Vorstellung des Tätigkeitsberichts im Rahmen einer hybriden Pressekonferenz war zugleich Anlass und Gelegenheit, mit Dozent:innen und Studierenden der Hochschule sowie Vertreter:innen der Fachöffentlichkeit zentrale Befunde des zurückliegenden Datenschutzjahrs zu diskutieren.

„Auch im Datenschutz ist 2022 ein Jahr der Zeitenwende. Fünf Jahre nach Inkrafttreten der Datenschutz-Grundverordnung blicken wir zumindest mehrheitlich auf mittlerweile funktionierende datenschutzrechtliche Grundstrukturen bei Verantwortlichen. Der mit ChatGPT und Co. bereits 2022 eingeläutete Einzug Künstlicher Intelligenz in unser aller Alltag ist eine Bewährungsprobe für den Datenschutz.“, so der Präsident des Landesamts, Michael Will.

„Für die Datenschutzaufsicht bedeutet die zunehmende Verbreitung Künstlicher Intelligenz und die fast universellen Einsatzmöglichkeiten vom Geschäftsbrief bis zur Personalauswahl neue Herausforderungen bei Prüfung und Beratung. Sie gibt uns über alle Versprechungen und Potentiale hinweg zunächst Grund zur Sorge: Schon heute ist einzuräumen, dass das Landesamt auf Grund der Vernachlässigung eines bedarfsgerechten Behördenaufbaus in den zurückliegenden Haushaltsjahren die von der DS-GVO vorgegebene Grundziele aufsichtlicher Aufgabenerfüllung in zu vielen Fällen verfehlt. Das gilt beispielsweise für die Dreimonatsfrist bei Beschwerden Betroffener oder auch für wichtige Präventionsleistungen datenschutzrechtlicher Beratung.“, bilanzierte Will die statistischen Übersichten des Tätigkeitsberichts und unterstrich den haushaltrechtlichen Handlungsbedarf:

„Für Vertrauen und Rechtssicherheit bei der Nutzung Künstlicher Intelligenz und anderer datengetriebener Technologien im Digitalland Bayern sind das denkbar schlechte Ausgangsbedingungen. 20 Jahre nach der Etablierung einer selbstständigen bayerischen Datenschutzaufsicht in Mittelfranken ist dringend ein neuer Schub für einen raschen und zukunftsfähigen Ausbau der Behörde erforderlich. Wir haben die gestrige Vorab-Präsentation unseres Tätigkeitsberichts im Ausschuss für Verfassung, Recht, Parlamentsfragen und Integration des Bayerischen Landtags dafür genutzt, um fraktionsübergreifend für Unterstützung dieser Handlungserfordernisse zu werben“, so Will.

Angesichts der personellen Ausstattung der Behörde mit nur 33 Mitarbeiter:innen können aktuell nur zwei von drei Beschwerden Betroffener innerhalb der gesetzlich geforderten Frist bearbeiten werden.

Die präventive Beratung von Verantwortlichen kann, wenn überhaupt, nur noch in engen Grenzen konkreter Beratungsanliegen betrieblicher Datenschutzbeauftragter geleistet werden. Das Landesamt verzeichnete im Jahr 2022 insgesamt 5032 Beschwerden und Kontrollanregungen, zudem wurden 2991 Datenschutzverletzungen gemeldet. Trotz des Rückgangs um 16% bzw. 24% lasten beide Fallgruppen die Ressourcen des Landesamts immer noch bei Weitem aus.

Einen erheblichen Mehrwert, wenngleich nicht ohne Aufwand, bringt die durch die DS-GVO gestärkte und mit zahlreichen Verfahrensregelungen verstetigte Zusammenarbeit mit den anderen europäischen Aufsichtsbehörden mit sich. Der Tätigkeitsbericht zeigt an Hand der unter dem Dach des Europäischen Datenschutzausschusses erarbeiteten Leitlinien etwa zu Datenübermittlungen in Drittstaaten oder zur Bußgeldzumessung bei Datenschutzverstößen wichtige Ergebnisse dieser Zusammenarbeit auf.

Zusammen mit ausgewählten Fragestellungen der verschiedenen Fachbereiche des Landesamts vom Auskunftsrecht bis zur Videoüberwachung vermittelt der insgesamt 80-seitige Bericht auf diese Weise wichtige Hilfestellungen und Impulse für die datenschutzrechtliche Praxis in Unternehmen und Vereinen.

Der Tätigkeitsbericht für das Jahr 2022 ist unter folgendem Link erreichbar: https://www.lda.bayern.de/de/taetigkeitsberichte.html.

Ein Videomitschnitt der virtuellen Pressekonferenz wird dort in den kommenden Tagen ebenfalls verfügbar sein.

Bayerisches Landesamt für Datenschutzaufsicht

  • Pressestelle –
    Promenade 18, 91522 Ansbach
    Email: presse@lda.bayern.de
    Pressemitteilungen: https://www.lda.bayern.de/de/pressemitteilungen.html

BSI: Unternehmensleitung darf Management von Cyberrisiken nicht wegdelegieren

/in /von

Unternehmen werden heute regelmäßig Opfer von Cyberangriffen und die Bedrohungslage hat ein nie da gewesenes Ausmaß erreicht. Das Bundesamt für Sicherheit in der Informationstechnik plädiert dafür, dass sich die Unternehmensleitung dieser Tatsache bewusst sein muss, um Cybersicherheit als wichtigen Bestandteil des Risikomanagements etablieren zu können.

Das Handbuch „Management von Cyber-Risiken“ , das in Zusammenarbeit mit der Internet Security Alliance (ISA) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt wurde, erhält nun ein umfassendes Update. Es beschäftigt sich mit einer umfassenden Unternehmenskultur, die Cybersicherheit ständig im Blick hat und somit die Widerstandsfähigkeit von Unternehmen erhöht. Die aktualisierte Version des Handbuchs wurde am 22.03.2023 veröffentlicht.

Die Forderungen lassen sich auf die Einhaltung von sechs Prinzipien verdichten:

  1. Cybersicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen:
    Die Unternehmensleitung muss die Cybersicherheit nicht nur als IT-Risiko, sondern als strategisches Unternehmensrisiko verstehen und angehen.
  2. Rechtliche Auswirkungen von Cyberrisiken verstehen:
    Die Unternehmensleitung sollte die rechtlichen Auswirkungen von Cyberrisiken in Bezug auf die individuellen Anforderungen ihres Unternehmens verstehen.
  3. Zugang zu Cybersicherheits-Expertise sowie regelmäßigen Austausch sicherstellen:
    Die Unternehmensleitung sollte einen angemessenen Zugang zu Cybersicherheits-Expertise fordern. Diskussionen über Cyberrisikomanagement sollten regelmäßig und in angemessenem Umfang auf die Tagesordnung gesetzt werden.

Das Hinweisgeberschutzgesetz (HinSchG) kommt!

/in /von

Nachdem Bundestag und Bundesrat den Empfehlungen des Vermittlungsausschusses zugestimmt haben, tritt das Gesetz bereits Mitte Juni 2023 in Kraft! Ab diesem Zeitpunkt werden Unternehmen ab 250 Beschäftigte dazu verpflichtet sein, Whistleblowing in einem geschützten Rahmen zu ermöglichen. Für Unternehmen ab 50 Beschäftigte gilt dies ab dem 17. Dezember 2023. Betroffene Unternehmen müssen jetzt handeln und die erforderliche interne Meldestelle einrichten.

Wir helfen bei der Umsetzung!

BayLDA: Prüfung zu Stellung und Aufgaben von DSBs

/in /von

Knapp fünf Jahre nach dem Geltungsbeginn der Datenschutz-Grundverordnung startet heute die zweite europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden. Koordiniert durch den Europäischen Datenschutzausschuss widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Diese stellen einen der Eckpfeiler des Datenschutzes in Unternehmen und Behörden dar, der sich als zentrale Neuerung mit der Datenschutz-Grundverordnung nun auch in den übrigen Mitgliedstaaten etabliert hat. Michael Will, Präsident des BayLDA erläutert das Ziel der gemeinsamen europaweiten Prüfung: “Für das BayLDA sind die Datenschutzbeauftragten seit jeher mehr als nur die ersten Ansprechpartner:innen der Aufsichtsbehörde. Sie sind die Garanten des Datenschutzes im Alltag, gerade für kleine und mittlere Unternehmen. Sie leisten Tag für Tag einen zentralen Beitrag für das Gelingen datenschutzgerechter Digitalisierung. Mit der Datenschutz-Grundverordnung wurde ihre Stellung im Unternehmen als vorgelagerte Beratungs- und auch Kontrollinstanz nochmals gestärkt. Die gemeinsame Prüfaktion bildet den Rahmen für eine genaue Analyse der heutigen Handlungsbedingungen in der betrieblichen Praxis und den Austausch der Datenschutzbehörden über mögliche Verbesserungen oder auch Abhilfemaßnahmen. Wir werden versuchen, die Ergebnisse unserer Untersuchungen so rasch wie möglich auszuwerten und unsere Schlussfolgerungen damit für alle der mehr als 36.000 bei uns gemeldeten Datenschutzbeauftragten nutzbar zu machen.“


Zum Hintergrund:

Der Europäische Datenschutzausschuss hatte bereits in seiner konstituierenden Sitzung am 25. Mai 2018 Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) verabschiedet, die gemeinsam mit mehreren aktuellen Entscheidungen des Europäischen Gerichtshofs, u.a. vom 22. Juni 2022 und 27. Oktober 2022, grundlegende Maßstäbe für die gemeinsame Prüfaktion der europäischen Datenschutzaufsichtsbehörden vermitteln. Im Mittelpunkt der Prüfung stehen neben Fragen der Qualifikation und Ressourcenausstattung vor allem mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung. Insbesondere die Ausübung von Zusatzfunktionen kann dabei Interessenkonflikte begründen, wie etwa bei Compliance-Beauftragten, IT-Verantwortlichen bzw. Personalverantwortlichen. Ein besonderes Augenmerk gilt außerdem der Anforderung, dass Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen oder Auftragsverarbeiters zu berichten haben. Präsident Will erläutert hierzu: „Auf Grundlage unserer Prüfbefugnisse werden wir die Handlungsbedingungen der betrieblichen Datenschutzbeauftragten gezielt in den Blick nehmen und uns sowohl Organigramme als auch Jahresberichte der Datenschutzbeauftragten vorlegen lassen. Wir werden sehr genau hinterfragen, wie Datenschutzbeauftragte, die nur über eine sog. dotted line über verschiedene Hierarchieebenen hinweg an die Unternehmensleitung herantreten können, dem Erfordernis jederzeitiger unmittelbarer Berichtsrechte genügen, um so ein klares Bild zur Situation der Datenschutzorganisation zu vermitteln und Fehlentwicklungen entgegenzutreten.“

https://www.lda.bayern.de/media/pm/pm2023_03.pdf

200 Jahre Ohm – Die Technische Hochschule Nürnberg feiert Jubiläum

/in /von

Die TH Nürnberg feiert ihr 200-jähriges Bestehen.

1823 als „Städtische Polytechnische Schule“ gegründet, wurde sie bereits früh von Physiker Georg Simon Ohm geprägt: Zunächst als Professor, ab 1839 als ihr Rektor.

Heute trägt sie seinen Namen: Technische Hochschule Nürnberg Georg Simon Ohm.

An der TH Nürnberg studieren derzeit mehr als 13.000 Studierende in über 60 Studiengängen an dreizehn Fakultäten.

Zum 200-jährigen Jubiläum zeigt sich Nürnbergs größte Hochschule in all ihren Facetten mit einem abwechslungsreichen Veranstaltungsprogramm an unterschiedlichen Orten in der ganzen Stadt.

Link zu den Veranstaltungen: https://www.th-nuernberg.de/veranstaltungen/jubilaeum/veranstaltungen/

KfW: Mittelständler häufig Ziel von Cyberattacken

/in /von

Rund 29 % aller mittelständischen Unternehmen in Deutschland sind in den Jahren 2018-2020 Opfer von Cyberkriminalität geworden. Die Betroffenheit steigt mit der Breite und Intensität von Digitalisierungsaktivitäten und der Größe der mittelständischen Unternehmen. Wesentlicher Grund hierfür ist eine Kombination aus einer größeren Angriffsfläche dieser Unternehmen und unzureichenden Schutzvorkehrungen. Dies zeigt eine Sonderauswertung des jüngsten repräsentativen KfW-Mittelstandspanels.

Der stark ausgeprägte Zusammenhang zwischen Unternehmensgröße und der Betroffenheit von Cyberkriminalität zeigt sich darin, dass 28 % der kleineren Unternehmen mit weniger als fünf Beschäftigten Cyberkriminellen zum Opfer gefallen sind, aber 49 % der Unternehmen mit 100 oder mehr Beschäftigten. Ein wichtiger Grund hierfür ist, dass Cyberkriminelle vor allem umsatzstärkere Unternehmen im Blick haben. Die Analyse macht zudem deutlich, dass größere mittelständische Unternehmen häufiger zu den digitalen Vorreitern zählen und damit eine größere Angriffsfläche für potenzielle Cyberattacken bieten. Dabei nimmt die Betroffenheit von Cyberangriffen sowohl mit der thematischen Breite als auch mit der Intensität von Digitalisierungsaktivitäten zu. So waren insgesamt 45 % der Unternehmen mit vier oder mehr verschiedenen Projektarten sowie 43 % der Unternehmen mit Digitalisierungsausgaben in Höhe von mindestens 10.000 EUR von Cyberkriminalität betroffen. Unter den Unternehmen mit Digitalisierungsstrategie, welche als Indikator für besonders ambitionierte Digitalisierungsaktivitäten gilt, waren mit 37 % ebenfalls überdurchschnittliche viele Unternehmen Opfer von Cyberattacken. Zwischen einzelnen Wirtschaftszweigen gibt es dagegen kaum Unterschiede. So waren im Untersuchungszeitraum in allen Wirtschaftszweigen zwischen 28 % und 30% der Unternehmen von Cyberkriminalität betroffen. Lediglich Unternehmen des Forschungs- und Entwicklungsintensiven Verarbeitenden Gewerbes waren mit 35 % vergleichsweise häufiger von Angriffen betroffen.

Die Hauptbedrohung im Cyberraum geht von der Erpressung von Löse- oder Schweigegeld aus. Auch die gezielte Überlastung von Internetseiten ist eine weit verbreitete Angriffsmethode. Die Notwendigkeit von Schutzvorkehrungen zur Abwehr solcher Bedrohungen wird dabei insbesondere von kleinen und mittleren Unternehmen verkannt. Oft fehlt es ihnen an Personal mit fachlicher Expertise zum Thema IT-Sicherheit. Folglich bleiben notwendige Investitionen in IT-Sicherheit aus. Mittelständler, welche sich der Bedrohungslage bewusst sind, haben angesichts des Fachkräftemangels bei IT-Experten oftmals große Schwierigkeiten, geeignetes Personal zu rekrutieren oder geeignete externe IT-Dienstleister zu identifizieren.

„Vor allem kleine und mittlere Unternehmen müssen für die Bedrohungen durch Internetkriminalität sensibilisiert und dabei unterstützt werden, Know-how zur IT-Sicherheit aufzubauen“, sagt Dr. Fritzi Köhler-Geib, Chefvolkswirtin der KfW. Eine Bündelung bestehender Informationsplattformen könnte ein Weg sein, um die Transparenz hinsichtlich der von Cyberkriminalität ausgehenden Bedrohungslage zu erhöhen. Darüber hinaus ließen sich viele IT-Sicherheitsvorfälle durch entsprechende Schulungen, Trainings und regelmäßige Auffrischungskurse vermeiden. „Verbesserte Kenntnisse im Bereich IT-Sicherheit in den Unternehmen ermöglichen einen höheren Schutz vor Cyberkriminalität. Gleichzeitig können sie zu einer Stärkung der Digitalisierungsaktivitäten im Mittelstand beitragen. Denn die Anforderungen an Datenschutz und Datensicherheit sind immer noch das am häufigsten genannte Digitalisierungshemmnis im Mittelstand,“ so Dr. Fritzi Köhler-Geib.

Die aktuelle Studie ist abrufbar unter:


www.kfw.de/fokus

Zum Datenhintergrund:
Die Analyse zu Cyberkriminalität im Mittelstand basiert auf einer Auswertung der Hauptbefragung zum KfW-Mittelstandspanel 2021. Zur Grundgesamtheit des KfW-Mittelstandspanels gehören alle privaten Unternehmen sämtlicher Wirtschaftszweige, deren Umsatz die Grenze von 500 Mio. EUR pro Jahr nicht übersteigt. An der Hauptbefragung (Befragungszeitraum: 15.02.2021 bis 25.06.2022) haben sich 11.403 mittelständische Unternehmen beteiligt.

Trend Micro: Cybervorfälle häufig bei Auto-Zulieferern

/in /von

Trend Micro hat eine Studie zur Cybersicherheit im Automobilsektor veröffentlicht. Die Analyse von mehr als 50 signifikanten Sicherheitsvorfällen zwischen Januar 2021 und Juni 2022 zeigt: Alle Bereiche entlang der Produktions- und Lieferkette sind betroffen. Besonders gefährdet sind die Zulieferer.

Am häufigsten kommt es zu Ransomware-Attacken und Datendiebstahl. Außerdem identifiziert der japanische IT-Sicherheitsspezialist Hochrisiko-Bereiche von vernetzten Autos und stellt Security-Prognosen für 2023 auf.

Die Automobilbranche steht unter Druck, die Transformation zur Elektromobilität zu meistern. Durch die Energiekrise hat die Entwicklung weiter an Fahrt aufgenommen. Immer mehr E-Autos kommen auf die Straße. Doch der Wandel in der Branche erhöht auch das Risiko für Sicherheitslücken, die gefährlich für Hersteller, Lieferanten und Kunden sein können. Cyberkriminelle nutzen Schwachstellen entlang der gesamten Produktions- und Lieferkette aus. Laut der Studie von VicOne, dem auf Automotive Cybersecurity spezialisierten Tochterunternehmen von Trend Micro, sind Zulieferer am häufigsten betroffen: Sie waren in 67 Prozent der untersuchten Vorfälle involviert.

Gerade kleinere Lieferanten sind oft schlechter vor Cyberangriffen geschützt und brauchen länger, um sich wieder zu erholen. Dies führt zu Produktionsverzögerungen bis hin zu Ausfällen. Das größte Risiko sind derzeit Ransomware-Attacken. Im Studienzeitraum waren 43 Unternehmen aus der Automobilindustrie Opfer solcher Angriffe. Am häufigsten kam dabei Malware aus der Conti-Familie zum Einsatz. Außerdem gab es neun Daten-Vorfälle. Vor allem Kundeninformationen (41,7 Prozent) und sensible Unternehmensinformationen (16,7 Prozent) wurden gestohlen.

BayLfD: Arbeitspapier zu Löschen oder Archivieren

/in /von

Ein effektives Datenschutzmanagement erfordert vom Verantwortlichen sich nicht nur, sich Gedanken um die Zulässigkeit der Datenerhebung zu machen. Der datenschutzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch auf den Vorgang des Löschens.
Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist“. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen.
In der Praxis kann sich die Frage stellen, ob der Verantwortliche durch die Archivierung von personenbezogenen Daten den Datenschutz umsetzen kann oder vielleicht sogar muss (Archivierung als Löschungssurrogat).
Den damit zusammenhängenden Fragen widmet sich ein Arbeitspapier (Löschung oder Archivierung?), das der Bayerische Landesbeauftragte für den Datenschutz als Datenschutz-Aufsichtsbehörde für den bayerischen öffentlichen Sektor und die Generaldirektion der Staatlichen Archive Bayerns als zentrale staatliche Fachbehörde für alle Fragen des Archivwesens gemeinsam erarbeitet haben. Das Arbeitspapier skizziert die wesentlichen Aspekte der archivrechtlichen Aufbewahrungs- und der datenschutzrechtlichen Löschungsregelungen; es behandelt Gemeinsamkeiten, Unterschiede und grundlegende Wertungen, die im Schnittbereich beider Rechtsmaterien auftauchen.
Es charakterisiert die Archivierung als Löschungssurrogat und geht – unter Berücksichtigung der je eigenen Perspektive von Datenschutz- und Archivrecht – auf die Frage der Aufbewahrungsdauer ein. Der Aspekt der datenschutzrechtlichen Informationspflichten bei der Archivierung von Unterlagen bleibt ebenfalls nicht unbeachtet. Damit stellt das Arbeitspapier auch einen guten Ratgeber für die Herausforderungen dar, denen sich Verantwortliche nicht nur aus dem öffentlichen Bereich im Rahmen der Digitalisierung konfrontiert sehen. Damit dürfte das Arbeitspapier auch für Verantwortliche aus dem privatrechtlichen Bereich hilfreiche Anregungen bieten, die die Verarbeitung personenbezogener Daten im Spannungsfeld von Datenschutz- und Archivrecht organisieren müssen.

BfDI untersagt Betrieb der Fanpage der Bundesregierung

/in /von

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 22.02.2023

Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI zu Beginn der Woche versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.

Der BfDI sagte dazu: „Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“

Da sich insbesondere die Interessen von Betreibenden von Fanpages und von Meta ergänzen, besteht nach Einschätzung des BfDI eine gemeinsame Verantwortlichkeit für die Verarbeitung der bei Nutzung der Fanpage erhobenen personenbezogenen Daten. Das BPA muss als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Einen solchen Nachweis konnte das BPA im Verfahren nicht zur aufsichtsbehördlichen Überzeugung erbringen. Der BfDI kritisiert insbesondere, dass es nach seiner Begutachtung hier bislang an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlt. Außerdem muss nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien eine Einwilligung eingeholt werden. Im Falle der Facebook Fanpages wird eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.

Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI zu klagen.

Dokument aus dem Verwaltungsverfahren:

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

EDSA entscheidet über Cookie-Banner und Cloud-Dienste 

/in /von

Der Europäische Datenschutzausschuss (EDSA) ist in seiner gestrigen Sitzung mit der Task Force Cookie-Banner sowie mit seiner koordinierten Maßnahme zu Cloud-Diensten zu Ergebnissen gekommen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt die Fortschritte zu einer einheitlicheren Aufsicht in diesen Bereichen.

Dazu sagte der BfDI: Eine gut gemachte und faire Internetseite benötigt kein Cookie-Banner, weil sie nur technisch notwendige Cookies verwendet. Wenn Webseitenbetreibende aber unbedingt personenbezogene Daten sammeln wollen, dann dürfen sie sich eine Einwilligung dafür nicht mit unfairen oder rechtswidrigen Mitteln holen. Nach den Richtlinien zu trügerischen Designmustern habe ich mich mit meinen Kolleginnen und Kollegen im EDSA jetzt darauf geeinigt, wie wir das in der Aufsicht möglichst einheitlich umsetzen. Die Ergebnisse des Abschlussberichts der Task Force Cookie-Banner entsprechen nun zum größten Teil dem, was wir in Deutschland schon in der Orientierungshilfe Telemedien festgehalten haben.

Der EDSA hat außerdem seine erste koordinierte Durchsetzungsmaßnahme durchgeführt. Dabei haben die EDSA-Mitglieder die Nutzung von Cloud-Diensten bei öffentlichen Einrichtungen untersucht. Professor Kelber sieht sich durch die Ergebnisse der Untersuchung bestärkt: Meine Behörde berät die Bundesregierung beispielsweise zum Thema souveräne Cloud, unter anderen in den Gremien des IT-Rats und des IT-Planungsrats. Wir betonen dabei immer wieder, dass gerade mit Blick auf die Schwierigkeiten internationaler Datentransfers bei Cloud-Projekten der Datenschutz von Anfang an mitgedacht werden muss. Der EDSA sorgt dafür, dass wir auch hier eine europaweit einheitliche Linie haben.

Die Pressemitteilung des EDSA zur Sitzung finden Sie hier.

Quelle: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/02_EDSA-Cookie-Banner-Cloud-Dienste.html?nn=251944