Schlagwort: BFDI

Datenschutzaufsicht im Gesundheitswesen vor Paradigmenwechsel: Zentralisierung der Zuständigkeit

30. August 2023

Das Bundesgesundheitsministerium (BMG) schlägt einen bedeutenden Paradigmenwechsel in der Datenschutzaufsicht im Gesundheitswesen vor. Im Referentenentwurf des Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) wird eine Neuregelung des § 9 des Bundesdatenschutzgesetzes (BDSG) vorgeschlagen, die auf eine Zentralisierung der Datenschutzaufsicht abzielt.

Ein neuer Absatz für eine breitere Zuständigkeit

Der Referentenentwurf des GDNG sieht vor, einen neuen Absatz 3 in § 9 BDSG einzuführen. In diesem Absatz wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) die exklusive Zuständigkeit für die Aufsicht über Stellen übertragen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 SGB X verarbeiten. Diese Zuständigkeit erstreckt sich auch auf die Kranken- und Pflegekassen, den Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Vereinigungen und weitere relevanten Einrichtungen.

Die Motivation für diese Änderung liegt laut der Begründung des Entwurfs darin, eine einheitliche Datenschutzpraxis sicherzustellen. Die unterschiedliche Auslegung durch verschiedene Aufsichtsbehörden hat bisher die Entwicklung einer konsistenten Datenschutzpraxis erschwert.

Ausbau der Zuständigkeit des BfDI

Mit dieser vorgeschlagenen Änderung würde der BfDI eine erweiterte Zuständigkeit erhalten. Bisher war der BfDI nur für bundesunmittelbare Krankenkassen verantwortlich, die in mehreren Bundesländern tätig sind. Doch nun würde der BfDI die Aufsicht über sämtliche Krankenkassen übernehmen, einschließlich derjenigen, die nur in einem Bundesland tätig sind, sowie Betriebskrankenkassen von Unternehmen.

Dies hätte zur Konsequenz, dass die Aufsicht innerhalb eines Konzerns oder einer Unternehmensgruppe fragmentiert würde. Eine Übersicht aller gesetzlichen Krankenkassen findet man beim GKV. Der BfDI wäre somit für sämtliche gesetzliche Krankenkassen alleinig zuständig.

Brisante Ausweitung der Zuständigkeit

Besonders brisant ist nicht nur die geplante Ausweitung der Zuständigkeit auf Krankenkassen, sondern auch der Vorschlag zur alleinigen Zuständigkeit für „Stellen, die gesundheitsbezogene Sozialdaten im Sinne des § 67 Zehntes Buch Sozialgesetzbuch verarbeiten“. Diese Definition schließe eine Vielzahl von Einrichtungen ein, wie Jobcenter, Rentenversicherungen, Unfallversicherungen und Jugendämter, wie die Landesdatenschutzbehörden in ihrer Stellungnahme darauf hinweisen.

Fazit: Weitreichende Änderungen in der Datenschutzaufsicht

Die vorgeschlagene Neuregelung des § 9 BDSG im Referentenentwurf des GDNG signalisiert einen bedeutsamen Wandel in der Datenschutzaufsicht im Gesundheitswesen. Die Zentralisierung der Zuständigkeit beim BfDI könnte dazu beitragen, eine einheitlichere Datenschutzpraxis zu etablieren. Allerdings stellen sich auch Fragen bezüglich der praktischen Umsetzbarkeit und der Fragmentierung der Aufsicht innerhalb von Konzernen und Unternehmensgruppen. Die geplante Ausweitung der Zuständigkeit auf Stellen, die gesundheitsbezogene Sozialdaten verarbeiten, erweitert den Einflussbereich des BfDI erheblich. Die genauen Auswirkungen und Implikationen dieser Änderungen auf die Datenschutzaufsicht im Gesundheitswesen bleiben abzuwarten.

Das einheitliche Leitlinien Modell für DSGVO-Bußgelder

17. Juli 2023

Die Europäische Datenschutzgrundverordnung (DSGVO) sieht vor, dass Verstöße gegen ihre Bestimmungen von den Datenschutzbehörden der EU-Mitgliedsstaaten sanktioniert werden. Die möglichen Strafzahlungen belaufen sich auf bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Bisher war es in der Verantwortung der entsprechenden nationalen Datenschutzbehörden, die Höhe der Bußgelder festzulegen. Jedes EU-Mitgliedsland traf bisher eigenständige Entscheidungen darüber, inwieweit die in der DSGVO festgelegten “bis zu-Werte” ausgeschöpft werden. Jetzt gibt es neue Vorschriften für die Berechnung von Bußgeldern: Der Europäische Datenschutzausschuss (EDSA) hat die abschließenden Leitlinien zur Festsetzung von Bußgeldern angenommen.

Die neuen einheitlichen Leitlinien des EDSA

In seiner Sitzung am 24. Mai 2023 hat der Europäische Datenschutzausschuss (engl. European Data Protection Board, EDPB) die Leitlinien zur Bußgeldzumessung gemäß der DSGVO nach einer öffentlichen Konsultation angenommen.

Die neuen Leitlinien stellen den Datenschutzaufsichtsbehörden nun einheitliche Maßstäbe und harmonisierte Rahmenbedingungen zur Verfügung, um Bußgelder festzulegen. Diese Harmonisierung betrifft jedoch ausschließlich die Berechnungsgrundlage der Bußgelder. Die endgültige Höhe der Strafen wird weiterhin individuell von der jeweiligen nationalen Aufsichtsbehörde durch die Anpassungsmöglichkeiten des Leitlinien-Modells festgelegt.

BfDI von Entscheidung überzeugt

BfDI Prof. Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit begrüßt die Annahme der Leitlinien: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.“

Die 5 Stufen der Leitlinien

Die Leitlinien sehen ein 5-stufiges Verfahren zur Bußgeldfestlegung vor

Schritt 1 – Identifizierung sanktionierbarer Handlungen: Die Aufsichtsbehörden prüfen, ob der vorliegende Fall sanktionierbare Handlungen beinhaltet, die gegen die DSGVO verstoßen haben. Es wird geprüft, ob bußgeldbewehrte Handlungen vorliegen.

Schritt 2 – Ermittlung des Ausgangsbetrags: Der Ausgangsbetrag für die Bußgeldberechnung wird aus den Faktoren Art der Verstöße, Schwere des Verstoßes und Umsatz des Unternehmens ermittelt.

Schritt 3 – Berücksichtigung erschwerender oder mildernder Umstände: Die Aufsichtsbehörden ermitteln Umstände, die den in Schritt 2 festgestellten Betrag erhöhen oder reduzieren können, wie das Verhalten der Verantwortlichen und vergangene Verstöße gegen die DSGVO.

Schritt 4 – Festlegung der Obergrenze: Der ermittelte Bußgeldbetrag wird mit den gesetzlichen Höchstbeträgen der DSGVO (Art. 83 Abs. 4 – 6) verglichen, um die Obergrenze für das Bußgeld festzulegen.

Schritt 5 – Überprüfung und Anpassung: Im letzten Schritt bewerten die Aufsichtsbehörden das ermittelte Bußgeld hinsichtlich Wirksamkeit, Verhältnismäßigkeit und Abschreckung, um gegebenenfalls Anpassungen vorzunehmen.

Verbot für ChatGPT

6. April 2023

Vergangene Woche teilte die italienische Datenschutzbehörde mit, dass das Chat-Tool „ChatGPT“ in Italien künftig verboten sei. Aufgrund verschiedener datenschutzrechtlicher Bedenken sei es nicht mehr möglich die Internetseite, über die ChatGPT zur Verfügung gestellt wird, in Italien aufzurufen.

Wenige Informationen und kein Jugendschutz

Als Grund für das Verbot nannte die italienische Datenschutzbehörde verschiede Gründe. Ausschlaggebend für das Aus sei zunächst ein Mangel an Informationen. Demnach informieren ChatGPT im Rahmen seiner Anwendung den Nutzer nicht darüber, welche personenbezogenen Daten sie sammele und zu welchem Zweck dies geschehe. Aus Sicht der Behörde sei es eindeutig, dass ChatGPT personenbezogene Daten der Nutzer zusammentrage und speichere. Allerdings sei es unklar, was mit den Daten geschehe und ob das hinter ChatGPT stehende Unternehmen „Open AI“ diese ggf. weiterveräußere.  Außerdem gebe das Unternehmen nicht an, auf welcher Rechtsgrundlage es personenbezogene Daten verarbeite.

Darüber hinaus dürfen nur Nutzer, die über 13 Jahre alt seien ChatGPT verwenden. Allerdings bestehen derzeit keine Kontrollmöglichkeit, mit der das Alter der Nutzer überprüft werde. Folglich sei es möglich, dass Kinder und Jugendliche auf Inhalte Zugriff erhielten, die für sie nicht bestimmt seien.

Des Weiteren könne es dazu kommen, dass über ChatGPT falsche Informationen verbreitet werden. Demnach antworte der Chat nicht immer richtig, sodass ungenaue personenbezogene Daten verarbeitet werden.

Verbot in Deutschland?

In Deutschland kann die Chat-Anwendung derzeit noch genutzt werden. In einem Kommentar  betonte eine Vertreterin des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), dass ChatGPT auf seine datenschutzrechtliche Konformität hin überprüft werden solle. Insoweit warte man auf Informationen der italienischen Datenschutzbehörde, damit sich die Datenschutzbehörden der Bundesländer genauer mit dem Verbot auseinandersetzen können.

Grundsätzlich bleibt abzuwarten, wie die Verwendung von ChatGPT in Deutschland künftig aussehen wird und ob OpenAI datenschutzrechtliche Nachbesserungen treffen wird.

BfDI legt Tätigkeitsbericht für 2022 vor

17. März 2023

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Professor Ulrich Kelber hat am 15. März 2023 den Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin spricht er insgesamt zehn Empfehlungen aus und befasst sich mit den verschiedenen Schwerpunktthemen.

Zahl der gemeldeten Verstöße nimmt zu

2022 gingen 10.658 Meldungen beim BfDI ein, das sind gut fünf Prozent mehr als im Vorjahr. Bürgerinnen und Bürger wendeten sich mit 6.619 Beschwerden und Anfragen an die Behörde. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) sei eine leicht fallende Tendenz in dieser Hinsicht zu beobachten. Der BfDI führt dies „auch auf die intensive Beratung z. B. bei Jobcentern und Finanzämtern zurück, die zur Verbesserung der Verarbeitungsprozesse und damit zu weniger Beschwerden geführt haben“ (S. 111).

Elektronische Patientenakte, Facebook-Fanpage, künstliche Intelligenz und mehr

Der Tätigkeitsbericht deckt zahlreiche Themenfelder ab. Viele davon sind und waren auch Teil der öffentlichen Debatte. So hält der BfDI das viel diskutierte Opt-Out-Verfahren bei der elektronischen Patientenakte grundsätzlich für möglich, sieht allerdings keine Erforderlichkeit, von der derzeitigen Opt-In-Lösung abzuweichen.

Auch die Anweisung gegenüber dem Bundespresseamt, den Betrieb von Facebook-Fanpages einzustellen, ist Teil des Tätigkeitsberichts. Nach Ansicht des BfDI ist ein datenschutzkonformer Betrieb nicht möglich. Inzwischen hat das Bundespresseamt beim Verwaltungsgericht Köln erhoben. Es ist der Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind“.

Der Einsatz von künstlicher Intelligenz (KI) wird im Tätigkeitsbereich an verschiedenen Stellen aufgegriffen. So empfiehlt der BfDI der Bundesregierung den Erlass eines Beschäftigtendatenschutzgesetzes, „in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden“. Zudem äußert er sich kritisch gegenüber der von der Europäischen Union geplanten Chat-Kontrolle. Diese biete „kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“ (S. 45).

 

Bundesregierung muss Facebook-Fanpage abschalten

23. Februar 2023

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber veröffentlichte eine Pressemitteilung, der zufolge er der Bundesregierung den Betrieb ihrer Facebookseite untersagt habe. Für die Abschaltung der Facebookseite habe das zuständige Bundespresseamt (BPA) vier Wochen Zeit.

Fehlende Rechtsgrundlage und Cookies

Der Auslöser für die Untersagung sei, neben verschiedener datenschutzrechtlicher Bedenken, ein Gutachten einer Taskforce, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzt habe. In ihrem Gutachten habe sich die Taskforce mit dem Betrieb von sog. Facebook-Fanpages auseinandergesetzt (wir berichteten). Im Ergebnis habe die Taskforce festgestellt, dass keine wirksame Rechtsgrundlage zum Betrieb einer Facebook-Fanpage bestehe und dass der Betreiber der Seite seinen Informationspflichten nach Art. 12 ff. DSGVO nicht nachkommen könne.

Dementsprechend betonte der BfDI zunächst, dass bei der Erstellung einer Facebookseite eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe. Der Betreiber einer Fanpage und das Facebook-Mutterunternehmen Meta haben im Hinblick auf die Facebook-Fanpage sich ergänzende Interessen.

Aus der gemeinsamen Verantwortlichkeit folge für das BPA die Pflicht, den datenschutzkonformen Betrieb nachzuweisen. In einem zuvor erfolgten Verfahren sei es dem BPA allerdings nicht gelungen, den BfDI von der Datenschutzkonformität der Facebook-Fanpage zu überzeugen.

Konkret kritisierte der BfDI, dass es an einer für die Datenverarbeitung erforderlichen Rechtsgrundlage fehle. Auch die von der DSK eingesetzte Taskforce habe diesen Umstand in ihrem Gutachten vergangen Jahres bemängelt.

Zusätzliche monierte der BfDI den Einsatz von Cookies auf der Facebookseite. Den Einsatz von Cookies regele das TTDSG. Nach § 25 Abs. 1 TTDSG sei für die Speicherung von Informationen in der Einrichtung des Nutzer oder das Auslesen dieser Informationen, d.h. für den Einsatz von Cookies eine Einwilligung erforderlich. Einer solchen Einwilligung bedürfe es unter anderem nicht, wenn die Speicherung oder das Auslesen von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich“ sei. Aus Sicht des BfDI sei im Falle der Facebookseite allerdings problematisch, dass Meta nicht unbedingt erforderlich Cookies einsetzte. Für diese Verwendung werde indes keine, mangels Ausnahme erforderliche Einwilligung eingeholt.

Fazit

Die im Ergebnis bestehenden Bedenken der Datenschutzkonformität führen folglich zur Pflicht des BPA, die Facebookseite der Bundesregierung abzuschalten. Gegen die Entscheidung des BfDI könne das BPA Klage erheben.

Bereits vor einem Jahr hatte die DSK, im Zusammenhang mit dem veröffentlichten Gutachten öffentliche Stellen zur Überprüfung und zur eventuell erforderlichen Abschaltung ihrer Facebookseiten aufgerufen. Ob mit der Entscheidung des BfDI die Datenschutzkonformität von Facebookseiten privater Unternehmen vermehrt Aufmerksam erhalten wird, bleibt abzuwarten.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußert sich zu Online-Fragebogen des Zensus 2022

27. Mai 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat sich vergangene Woche zum Zensus 2022 geäußert. Grund dafür war, dass der BfDI Mitte Mai Kenntnis von der Möglichkeit einer Verletzung des Schutzes personenbezogener Daten durch den Online-Fragebogen zum Zensus 2022 erhalten hatte. Konkret geht es dabei um den Online-Fragebogen zur Gebäude- und Wohnungszählung des Zensus 2022. Für die Erhebung dieser Daten wird teilweise Technik des US-amerikanischen IT-Dienstleisters Cloudflare verwendet. Es wurde befürchtet, dass die in die Fragebögen eingetragenen Daten an Cloudflare übermittelt würden. Hierzu gab der BfDI jetzt Entwarnung und bestätigte, dass “zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat”. An Cloudflare übertragen wurden allerdings Metadaten (z. B. Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Herkunftsverweise und IP-Adresse). Ob dies rechtmäßig war, wird momentan noch überprüft. Vorsichtshalber wird Cloudflare für die Fragebögen erstmal nicht mehr eingesetzt, sodass auch keine Metadaten übertragen werden.

Im Zusammenhang mit dem derzeit stattfinden Zensus ergeben sich einige weitere Fragen:

Was genau ist der Zensus 2022?

Beim Zensus handelt es sich um eine Volkszählung. Dabei wird nicht nur die Menge der Bevölkerung erfasst, sondern auch stichprobenartig weitere Daten von den Befragten gesammelt. Der Zensus 2022 findet von Mitte Mai bis Mitte August statt und bildet dann für die nächsten zehn Jahre die Grundlage für amtliche Statistiken und darauf aufbauende Planungen, wie u.a. Bauprojekte. Auch z.B. Wahlkreise werden so eingeteilt. Die Befragten werden per Zufall ausgesucht. Wird man als Befragter ausgewählt, ist die Teilnahme am Zensus verpflichtend. Rechtliche Grundlage ist das Zensusgesetzes 2022 (ZensG 2022).

Welche Daten werden wie beim Zensus erhoben?

Befragt werden ca. 10 % der Bevölkerung in Deutschland zu Fragen wie u.a. Alter, Geschlecht, Staatsangehörigkeit, Wohnsituation, Beruf und Einkommen. Die Befragten werden persönlich durch InterviewerInnen bei ihnen zu Hause befragt und sollen zusätzlich für die Gebäude- und Wohnungszählung Online-Fragebögen nutzen.

Wie wird der Datenschutz gewährleistet?

Verwendet werden nur die Daten, die für den Zensus relevant sind. Diese werden anonym ausgewertet. Alle anderen personenbezogenen Daten (z.B. der Name des Befragten) werden gelöscht. Es werden keine Daten an andere staatliche Stellen wie Meldeämter, Finanzämter oder die Polizei weitergegeben. Die InterviewerInnen werden außerdem zur Geheimhaltung verpflichtet. Bei der Übermittlung von Daten über die Online-Fragebögen werden diese Daten verschlüsselt.

Weitere Fragen rund um den Datenschutz und die Informationsfreiheit werden umfangreich auf einer extra eingerichteten Website des Zensus beantwortet.

Falls Sie als Befragter ausgewählt wurden: Bitte achten Sie darauf, dass InterviewerInnen ihre Befragung immer ankündigen und nicht ohne eine Vorankündigung bei Ihnen zu Hause erscheinen werden. Sie können ihr Amt außerdem mit einem speziellen Ausweis nachweisen. Achten Sie darauf, dass Sie Ihre Daten nicht falschen InterviewerInnen mitteilen.

Datenschutzkonferenz (DSK) fordert ein Beschäftigtendatenschutzgesetz

6. Mai 2022

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich “dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen” ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).

Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.”

Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.

Datenschutzkonferenz empfiehlt die Corona- Warn- App als datenschutzfreundlichere Alternative zur Kontakterfassung

1. Februar 2022

Am 27.01.2022 fand die erste Zwischenkonferenz der Datenschutzbeauftragten des Bundes und der Länder im neuen Jahr 2022 statt. In diesem Rahmen wurden aktuelle datenschutzrechtliche Fragen und Themen neu evaluiert und erörtert. Dabei soll die Sicherstellung des Grundrechts auf informationelle Selbstbestimmung gewährleistet werden.

Unter dem Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Herrn Prof. Ulrich Kelber wurden auch die grundrechtlichen Bedenken bei der Kontaktdatenerfassung in der Corona- Pandemie durch die Gesundheitsämter neu thematisiert.

Dabei merkte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit an, dass die Sammlung von Kontaktdaten bei aktuell sehr hohen Infektionszahlen ihren notwendigen Zweck nicht erfüllen, weil sie von den überlasteten Gesundheitsämtern nur noch wenig genutzt werden. Auch bei niedrigen Infektionszahlen sieht der Bundesbeauftragte dahingehend ein Problem, dass ein unverhältnismäßiger Eingriff in das Grundrecht auf informationelle Selbstbestimmung der betroffenen Personen vorliegt

Im Rahmen der Datenschutzkonferenz wurde auf Grundlage dessen eine Forderung formuliert, die Möglichkeiten der Corona-Warn App zu nutzen, anstatt weiterhin umfassend Kontaktdaten zu sammeln, welche in diesem Kontext sensible Gesundheitsdaten im Sinne des Art. 9 DSGVO darstellen. “Die App warnt schnell über mögliche Risikokontakte und ist dank der dezentralen Struktur besonders sicher”.

Die DSK sieht eine Realisierung der Forderung auch darin, dass im Landesrecht Regelungen für die Corona-Warn-App vorgesehen werden, um dann besser von den Landesregierungen als sicher beworben und bekannt gemacht werden zu können.

Weitere aktuelle Informationen zur Datenschutzkonferenz finden Sie hier.

Beschwerden beim Datenschutzbeauftragten versehentlich gelöscht

29. Juni 2021

Datenschutz-Beschwerden, die zwischen dem 9. und 18. Juni abgegeben wurden, haben den BfDI größtenteils nicht erreicht.

Aufgrund eines technischen Fehlers sind bestimmte Beschwerden beim Bundesdatenschutzbeauftragten unwiderruflich gelöscht worden. Das teilte die Behörde am Montag in Berlin mit. Der Auslöser der Panne war eine Neugestaltung des Internetauftritts des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Meldungen über die Formularseite wurden aufgrund von falschen Server-Einstellungen von den Sicherheitsvorkehrungen der Netze des Bundes als gefährliches Spoofing eingestuft. Beim „Spoofing“ versuchen Angreifer, die eigene Identität zu verschleiern und sich als vertrauenswürdig darzustellen. Anders als bei unerwünschten Werbe-Mails – die in einem herkömmlichen Spam-Ordner landen – werden „Spoofing“-Mails im Netz des Bundes sofort gelöscht.

Laut Mitteilung haben „Eingaben und Beschwerden, die zwischen dem 9. und 18. Juni 2021 über diese Formulare abgegeben wurden, die Behörde größtenteils nicht erreicht und konnten somit auch nicht bearbeitet werden. Betroffene Bürgerinnen und Bürger werden daher gebeten, ihre in diesem Zeitraum abgegebenen Eingaben und Beschwerden noch einmal einzureichen.“ Allerdings hatten „zu keinem Zeitpunkt unberechtigte Dritte Zugriff auf die über die Formulare versandten Informationen. Der BfDI wird den Vorfall auch dafür nutzen, die Prozesse bei der Abnahme von Softwareprojekten zu verbessern“, heißt es in der Mitteilung. Mittlerweile funktionieren die Formulare und wurden wieder online gestellt.

BfDI in Leitungsgremium der Global Privacy Assembly gewählt

22. Oktober 2020

Die Global Privacy Assembly (GPA) wählte am 15. Oktober einstimmig den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber in ihr Executive Comitee.

Die GPA ist ein internationales Bündnis der Datenschutzbeauftragten, das 1979 gegründet wurde. Die Versammlung setzt sich auf internationaler Ebene im Bereich des Datenschutzes und des Schutzes der Privatsphäre ein. Mehr als 130 Datenschutzbehörden aus der ganzen Welt sind Mitglied des Bündnisses. Professor Kelber wurde als erster deutscher Datenschutzbeauftragter bei der 42. Konferenz in das Executive Comitee gewählt.

Der BfDI freute sich über das ihm entgegengebrachte Vertrauen: „In der vernetzten Welt von heute müssen wir gemeinsame Lösungen finden. Durch die Wahl haben wir die Chance, auch unsere europäischen Positionen und Sichtweisen einzubringen. Ich werde mich dafür einsetzen, dass die GPA zukünftig eine noch wichtigere Stimme in der globalen Debatte um den Datenschutz wird.“