Kategorie: Aufsichtsbehördliche Maßnahmen

Italienische Datenschutzbehörde zum Einsatz von Google Analytics

7. Juli 2022

Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.

Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.

Der Sachverhalt

Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.

IP-Adresse: personenbezogenes Datum

Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.

Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.

Weitere Maßnahmen erforderlich

Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.

Europol: neue Verordnung sorgt für Kritik

29. Juni 2022

Am Montag dieser Woche wurde die neue Europol-Verordnung 2022/991 im Amtsblatt der Europäischen Union bekannt gegeben. Damit ändern die Europäische Kommission, der Rat und das Europäisches Parlament nach rund sechs Jahren die bisherige Europol-Verordnung 2016/794 ab.  

Reaktionen auf die Neuerungen folgten prompt. Der europäische Datenschutzbeauftragte Wojciech Wiewiórowski kritisierte in einer offiziellen Erklärung die Änderungen scharf. Insbesondere wies er darauf hin, dass die neue Verordnung das Grundrecht auf Privatsphäre schwäche.

Gesetzliche Änderungen

Mit der neuen Verordnungen erhält Europol mehr Befugnisse hinsichtlich der Verarbeitung personenbezogener Daten. Gem. ErwG 22 Verordnung 2022/991 sollen die nationalen Ermittlungsbehörden Europol „umfangreiche und komplexe Datensätze“ zur Verfügung stellen, sodass Europol diese analysieren kann. Auf diese Weise soll Europol grenzüberschreitende Verbindungen zwischen Straftaten in Mitgliedstaaten und außerhalb der Union aufdecken können. Daran kritisiert der Europäische Datenschutzbeauftragte die gleiche Behandlung der Daten von Personen, bei denen keine Verbindung zu kriminellen Aktivitäten bestehen mit Daten von Personen, die eine Verbindung zu kriminellen Tätigkeit haben.

Außerdem regelt die neue Europol-Verordnung, dass der Verwaltungsrat der Strafverfolgungsbehörde einen Grundrechtsbeauftragten bestimmt. Es ist aber fraglich, ob die Person, die dieses Amt künftig ausüben wird, die Befugnisse Europols, die hinsichtlich der Verarbeitung personenbezogener Daten bestehen, effektiv kontrollieren kann. Dies ist fraglich, da Europol nicht an die Weisungen des Grundrechtsbeauftragten gebunden ist. Aus Sicht des Europäischen Datenschutzbeauftragten fehle es demnach an der „(…) wirksame[n] Überwachung der neuen Befugnisse (…)“ der Europol.

Zusätzlich hinterfragte der Europäische Datenschutzbeauftragte kritisch, dass Europol es unterlassen hatte mehrere Petabyte an Datensätzen zu löschen (wir berichteten). Dazu hatte der Europäische Datenschutzbeauftragte die Strafverfolgungsbehörde bereits Anfang diesen Jahres erfolglos aufgefordert. Mit der neuen Verordnungen können die Mitgliedstaaten Europol rückwirkend dazu ermächtigen Datensätze zu verarbeiten, die sie hätten bereits löschen müssen.

Wiewiórowski fordert abschließend in seiner Erklärung, dass Europol spezifische Garantien zum Schutz personenbezogener Daten vorlegen solle. Mit diesen sollen die Auswirkungen von Eingriffen in die Privatsphäre der betroffenen Personen begrenzt werden.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor ‘Spoofing’

3. Juni 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Meldung vom 02.06.2022 vor ‘Spoofing’-Angriffen, die mit der Rufnummer des BSI erfolgen sollen. Verwendet werden dabei zum Beispiel die Nummern +49 228 9582 44 oder 0228 9582. Das BSI warnt eindringlich davor, Anrufenden persönliche Daten mitzuteilen oder Aufforderungen nachzukommen.

Das ‘Spoofing’ ist, ähnlich wie das ‘Smishing’ ein bekanntes Betrugskonzept. Der Begriff (auf deutsch übersetzt etwa: Manipulation, Verschleierung, Vortäuschung) umfasst Handlungen, bei denen sich Kriminelle am Telefon oder per E-Mail als jemand anders ausgeben, um so direkt oder indirekt an Daten der Angerufenen zu gelangen. Meist treten die Anrufer dabei als Vertreter oder Mitarbeiter einer Behörde, eines Unternehmens oder anderer seriöser Institutionen (z.B. Banken oder Vereine) auf. Die Angerufenen werden dann entweder im Gespräch selbst gebeten, gewisse Daten herauszugeben oder werden auf eine entsprechende Website verwiesen. Bei Mails sind häufig Trojaner und Viren im Anhang in Dokumenten versteckt. Meist sind die Angreifer auf die Herausgabe von Kontodaten oder Bargeld aus.

Perfide an der Betrugsmasche ist, dass bei solchen Anrufen meist eine falsche Rufnummer übermittelt und angezeigt wird (sog. Call-ID-Spoofing). So kann dann z.B. die Nummer einer Behörde den Angerufenen angezeigt werden, obwohl diese mit dem Anruf nichts zu tun hat. Dadurch soll zum einen der Eindruck von Seriösität und Vertrauen erweckt werden, zum anderen soll so die Identität der Anrufer verschleiert werden. Vorgekommen ist in der Vergangenheit z.B. schon, dass die 110 als Anrufer angezeigt wurde, obwohl dies eine reine Einwahlnummer ist und die Polizei von dieser Nummer aus niemanden anrufen kann. Bei Mails wird der Absender manipuliert, sodass es dem Empfänger scheint, als habe eine offizielle Stelle oder ein Bekannter ihn kontaktiert. Weitere Informationen zur Manipulation von Rufnummern sind auf der Website der Bundesnetzagentur zu finden.

Verhaltenstipps: Sollten Sie einen Anruf oder eine Mail bekommen, bei denen Sie sich nicht sicher sind, ob ein ‘Spoofing’-Angriff vorliegt, sollten sie zunächst die Kommunikation einstellen, d.h. auflegen oder nicht mehr antworten, den Kontakt ggf. blockieren. Unbekannte Links oder Anhänge sollten sie niemals öffnen. Danach sollten Sie die Behörde, das Unternehmen oder die Institution, von der der Anruf/ die Mail angeblich ausging über einen offiziellen Weg kontaktieren und sich nach der Authentizität der Anfrage erkundigen. Geben Sie niemals persönliche Daten raus, bevor Sie bestätigt haben, dass es sich nicht um eine kriminelle Anfrage handelt!
Falls Sie in diesem konkreten Fall einen Anruf des angeblichen BSI bereits engegengenommen haben, sollten Sie das Service-Center des BSI mit der Rufnummer 0800 274 1000 kontaktieren.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußert sich zu Online-Fragebogen des Zensus 2022

27. Mai 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat sich vergangene Woche zum Zensus 2022 geäußert. Grund dafür war, dass der BfDI Mitte Mai Kenntnis von der Möglichkeit einer Verletzung des Schutzes personenbezogener Daten durch den Online-Fragebogen zum Zensus 2022 erhalten hatte. Konkret geht es dabei um den Online-Fragebogen zur Gebäude- und Wohnungszählung des Zensus 2022. Für die Erhebung dieser Daten wird teilweise Technik des US-amerikanischen IT-Dienstleisters Cloudflare verwendet. Es wurde befürchtet, dass die in die Fragebögen eingetragenen Daten an Cloudflare übermittelt würden. Hierzu gab der BfDI jetzt Entwarnung und bestätigte, dass “zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat”. An Cloudflare übertragen wurden allerdings Metadaten (z. B. Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Herkunftsverweise und IP-Adresse). Ob dies rechtmäßig war, wird momentan noch überprüft. Vorsichtshalber wird Cloudflare für die Fragebögen erstmal nicht mehr eingesetzt, sodass auch keine Metadaten übertragen werden.

Im Zusammenhang mit dem derzeit stattfinden Zensus ergeben sich einige weitere Fragen:

Was genau ist der Zensus 2022?

Beim Zensus handelt es sich um eine Volkszählung. Dabei wird nicht nur die Menge der Bevölkerung erfasst, sondern auch stichprobenartig weitere Daten von den Befragten gesammelt. Der Zensus 2022 findet von Mitte Mai bis Mitte August statt und bildet dann für die nächsten zehn Jahre die Grundlage für amtliche Statistiken und darauf aufbauende Planungen, wie u.a. Bauprojekte. Auch z.B. Wahlkreise werden so eingeteilt. Die Befragten werden per Zufall ausgesucht. Wird man als Befragter ausgewählt, ist die Teilnahme am Zensus verpflichtend. Rechtliche Grundlage ist das Zensusgesetzes 2022 (ZensG 2022).

Welche Daten werden wie beim Zensus erhoben?

Befragt werden ca. 10 % der Bevölkerung in Deutschland zu Fragen wie u.a. Alter, Geschlecht, Staatsangehörigkeit, Wohnsituation, Beruf und Einkommen. Die Befragten werden persönlich durch InterviewerInnen bei ihnen zu Hause befragt und sollen zusätzlich für die Gebäude- und Wohnungszählung Online-Fragebögen nutzen.

Wie wird der Datenschutz gewährleistet?

Verwendet werden nur die Daten, die für den Zensus relevant sind. Diese werden anonym ausgewertet. Alle anderen personenbezogenen Daten (z.B. der Name des Befragten) werden gelöscht. Es werden keine Daten an andere staatliche Stellen wie Meldeämter, Finanzämter oder die Polizei weitergegeben. Die InterviewerInnen werden außerdem zur Geheimhaltung verpflichtet. Bei der Übermittlung von Daten über die Online-Fragebögen werden diese Daten verschlüsselt.

Weitere Fragen rund um den Datenschutz und die Informationsfreiheit werden umfangreich auf einer extra eingerichteten Website des Zensus beantwortet.

Falls Sie als Befragter ausgewählt wurden: Bitte achten Sie darauf, dass InterviewerInnen ihre Befragung immer ankündigen und nicht ohne eine Vorankündigung bei Ihnen zu Hause erscheinen werden. Sie können ihr Amt außerdem mit einem speziellen Ausweis nachweisen. Achten Sie darauf, dass Sie Ihre Daten nicht falschen InterviewerInnen mitteilen.

Guidelines des EDSA zur Berechnung von Bußgeldern

20. Mai 2022

Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien zur Berechnung von Bußgeldern veröffentlicht. Aktuell befinden sich diese noch in der „Public Consultation“-Phase. Ziel sei es, die Methodik bei der Berechnung der Bußgelder zu vereinheitlichen.

Die Leitlinien richten sich an die Aufsichtsbehörden. Diese sollen demnach die Bußgelder künftig über eine standardisierte, fünfstufige Methodik berechnen. Sie ergänzen somit die Leitlinien für die Anwendung und Festsetzung von Bußgeldern (2016/679 (WP253)), die sich auf die Umstände konzentrieren, unter denen eine Geldbuße überhaupt verhängt werden kann.

Grundsätzlich liegt die Berechnung der Höhe der Geldbuße im Ermessen der Aufsichtsbehörde, vorbehaltlich der Vorschriften der Datenschutz-Grundverordnung (DSGVO). In diesem Zusammenhang schreibt die DSGVO vor, dass die Höhe der Geldbuße wirksam, verhältnismäßig und abschreckend sein muss (Art. 83 Abs. 1 DSGVO). Zusätzlich müssen die Aufsichtsbehörden bei der Festsetzung der Höhe der Geldbuße eine Liste von Umständen berücksichtigen, die sich auf bestimmte Merkmale des Verstoßes (die Schwere) oder des Verursachers bezieht (Art. 83 Abs. 2 DSGVO).

Einstufung der Schwere des Verstoßes

Der EDSA erstellte eine aus fünf Schritten bestehende Methodik für die Berechnung von Bußgeldern für Verstöße gegen die DSGVO. Grundlage für die Höhe der Strafen ist laut der Verordnung der Umsatz des betroffenen Unternehmens.

  • Zunächst müssten die relevanten Verarbeitungsprozesse ermittelt und die Schwere des Verstoßes bewertet werden (Kapitel 3).
  • Anschließend müsste der Ausgangspunkt für die weitere Berechnung der Höhe der Geldbuße festgelegt werden (Kapitel 4). Dies erfolge durch die Einstufung des Verstoßes, gemessen an den vorliegenden DSGVO-Verstößen, der Schwere des Verstoßes im Lichte der Umstände des Falles sowie an der Bewertung des Umsatzes des Unternehmens.
  • Der dritte Schritt beschreibt die Bewertung der belastenden und mildernden Umstände, die sich auf das frühere oder gegenwärtige Verhalten des für die Verarbeitung Verantwortlichen/Auftragsverarbeiters beziehen sowie die Erhöhung oder Herabsetzung der Geldbuße (Kapitel 5).
  • Schritt vier erläutert dann die Ermittlung der einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verstöße. Die in den vorhergehenden oder nachfolgenden Schritten angewandten Erhöhungen dürfen diesen Höchstbetrag nicht überschreiten (Kapitel 6).
  • Im letzten Schritt sei zu prüfen, ob der berechnete Endbetrag die Anforderungen an die Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt. Die Geldbuße könne dann noch entsprechend angepasst werden (Kapitel 7), jedoch ohne den jeweiligen gesetzlichen Höchstbetrag zu überschreiten.

Hohe Geldbußen möglich

Ausschlaggebend ist somit der Ausgangsbetrag. Dieser bildet den Maßstab für die Berechnung. Die Verstöße lassen sich demnach in drei Kategorien einordnen.

  • Verstöße von geringer Schwere:  Ausgangsbetrag zwischen 0 und 10 Prozent des geltenden gesetzlichen Höchstbetrags
  • Verstöße mittlerer Schwere: Ausgangsbetrag zwischen 10 und 20 Prozent des geltenden gesetzlichen Höchstbetrags
  • Schwerwiegende Verstöße: Ausgangsbetrag zwischen 20 und 100 Prozent des geltenden gesetzlichen Höchstbetrags

So könnte ein mittelschwerer Verstoß theoretisch schon früh zu sehr empfindlichen Geldbußen führen. Bei allen vorgenannten Schritten sei jedoch zu berücksichtigen, dass die Berechnung einer Geldbuße keine rein mathematische Angelegenheit darstelle. Vielmehr seien die Umstände des konkreten Falles ausschlaggebend für die endgültige Höhe. In den Guidelines befinden sich auch einige Beispiele mit Fällen zur Bußgeldbemessung.

Darüber hinaus werde man die Leitlinien und die darin vorgeschlagene Methodik fortlaufend überprüfen.

Adresshandel kurz vor dem Aus

11. Mai 2022

Ob Wahlwerbung oder Rabattcodes – die eigenen Adressdaten und Daten zu Vorlieben haben die werbenden Unternehmen mit großer Wahrscheinlichkeit von Adresshändlern. Sie tragen Daten zusammen, verkaufen sie an ihre Werbekunden und nehmen so eine integrale Rolle im Direktmarketing ein. Mehr als tausend Adresshändler soll es allein in Deutschland geben, sagt der Deutsche Dialogmarketing-Verband (DDV). Deren Praxis wird nun gefährdet von einem Vorhaben der Datenschutzbeauftragten des Bundes und der Länder, die darin einen Verstoß gegen die DSGVO sehen.

Kritik aus datenschutzrechtlicher Sicht

Bislang konnte sich die Praxis auf ein “berechtigtes Interesse” gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage stützen, was nun laut einigen Datenschutzbeauftragten nicht mehr ausreichen soll. Dieser Gedanke ist nicht neu (wir berichteten ausführlich hier). Stattdessen brauche es eine Einwilligung, die informiert und freiwillig abgegeben worden sein muss. Der Verbraucher müsste also im Vorhinein darüber informiert werden, was mit seinen Daten passiert, wer der Empfänger welcher Daten ist und was wiederum beim Empfänger mit seinen Daten geschieht. Diese unaufgeforderte Aufklärung vorab ist für den Adresshändler de facto kaum umsetzbar. Die Aufklärungspflicht könnte damit eine echte Hürde für die gesamte Branche werden.

Ausblick

Diese Ansicht vertreten auf Anfrage der Süddeutschen Zeitung aktuell die Datenschutzbeauftragten von zehn Bundesländern. Man arbeite an einem Beschluss, um hier bundesweit einheitlich aufzutreten. Quer stellt sich allerdings vor allem die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen, Bettina Gayk, die das Stützen auf ein berechtigtes Interesse der Adresshändler an den Daten weiterhin für zulässig hält. Hierbei ist allerdings zu beachten, dass in Nordrhein-Westfalen mit Bertelsmann und der Deutschen Post immerhin zwei der größten Branchenvertreter ihren Sitz haben.

Ein Beschluss der Datenschutzkonferenz wird wohl noch etwas auf sich warten lassen. Aufgrund der großen Mehrheit der Datenschutzbehörden, die diese Ansicht vertreten, ist es jedoch wahrscheinlich, dass sich die Rechtslage für Adresshändler und damit für die gesamte Branche schon bald empfindlich spürbar verändert.

Datenschutzkonferenz (DSK) fordert ein Beschäftigtendatenschutzgesetz

6. Mai 2022

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich “dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen” ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).

Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.”

Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.

Videoüberwachung im Fitnessstudio unzulässig

Das Verwaltungsgericht (VG) Ansbach hat mit Urteil vom 23.02.2022 entschieden, dass die Videoüberwachung eines Fitnessstudios unzulässig ist.

Die Klägerin betreibt ein Fitnessstudio, welches drei Trainingsräume hat. Alle Trainingsräume wurden auf der gesamten Fläche durchgehend während der Öffnungszeiten videoüberwacht (ohne Tonaufzeichnung). Die Aufzeichnungen wurden 48 Stunden lang gespeichert und anschließend gelöscht. Hinweisschilder zur Videoüberwachung befanden sich auf Innen- und Außenseite der Eingangstür.

Ein Kunde des Fitnessstudios wandte sich an die zuständige Datenschutzbehörde, das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und schilderte die Videoüberwachung. Daraufhin sandte das BayLDA einen Fragebogen an das Fitnessstudio. Der Betreiber des Fitnessstudios erklärte die Überwachung damit, dass sie der Prävention und Aufklärung von Diebstählen und Sachbeschädigungen, welche es in der Vergangenheit mehrfach gegeben habe, diene. Das BayLDA sah jedoch keine Notwendigkeit, dafür die gesamte Trainingsfläche zu überwachen. Vielmehr würde bei einer Interessenabwägung der Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) der Trainierenden, das Interesse des Betreibers überwiegen. Kernpunkt der Streitigkeit ist die Frage, ob die umfassende Videoüberwachung auf eine Rechtsgrundlage der DSGVO gestützt werden kann. Das BayLDA geht nicht davon aus und ordnete deswegen an, die Videoüberwachung auf die konkret gefährdeten Bereiche zu beschränken, z.B. die Spiegelwände. Gegen diese Anordnung erhob der Fitnessstudiobetreiber Klage.

Dieser Klage hat das VG Ansbach aber nicht stattgegeben. Das Gericht geht davon aus, dass die Anordnung des BayLDA rechtmäßig war und die Videoüberwachung beschränkt werden muss. Es schließt sich der Ansicht des BayLDA an, dass keine Rechtsgrundlage für die Überwachung vorliege. So lag insbesondere keine Einwilligung der Betroffenen (Art. 6 Abs. 1 a) DSGVO) vor, die Videoüberwachung war nicht für die Erfüllung des Vertrages notwendig (Art. 6 Abs. 1 b) Alt. 1 DSGVO) und der Betreiber kann sich auch nicht auf ein überwiegendes, berechtigtes Interesse (Art. 6 Abs. 1 f) Alt. 1 DSGVO) stützen. Um Straftaten zu verhindern, muss der Betreiber zunächst auf mildere Mittel zurückgreifen, z.B. auf eine Aufstockung des Personals.

Aus für Corona-Datenerfassung auch in Hamburg

28. April 2022

Nachdem bereits in der letzten Woche die Landesbeauftragte für den Datenschutz Niedersachsen Unternehmen und öffentliche Stellen zur Löschung von Corona-Daten aufgefordert hatte (wir berichteten), werden nun auch Arbeitgeber in Hamburg zur Löschung dieser Daten aufgefordert.

In einer entsprechenden Pressemitteilung teilte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) Thomas Fuchs mit, dass ab dem 1. Mai 2022 aufgrund des Wegfalls der Hotspot-Regelungen in Hamburg viele gesetzliche Grundlagen für die Verarbeitung von Corona-Daten wegfielen. Die Unternehmen und öffentlichen Stellen sollten diese neue Phase der Pandemie zum Anlass nehmen, eine Inventur der Corona-Datenbestände durchzuführen. Vorhandene Datenbestände müssten daher überprüft und nicht mehr erforderliche Daten gelöscht werden.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigte nun an, aktiv auf Kammern und Verbände zuzugehen und diese darüber zu informieren, was im Rahmen des “digitalen Frühjahrsputzes” zu tun sei.

Baden-Württemberg: Schulen müssen bis zum Sommer Microsoft 365 ersetzen

26. April 2022

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Dr. Stefan Brink erwartet von Schulen, dass sie Schüler:innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten.

Microsoft 365 ist ein Online- bzw. Cloud-Dienst des Anbieters Microsoft. Spätestens ab dem kommenden Schuljahr sei die Nutzung von MS 365 an Schulen zu beenden. Andernfalls müssten die Schulen den datenschutzkonformen Betrieb des Cloud-Angebots eindeutig nachweisen können.

Pilotprojekt gescheitert

Die Entscheidung deutete sich schon länger an, der LfDI begleitete und beriet zuvor das Kultusministerium Baden-Württemberg über einen längeren Zeitraum in einem umfangreichen Pilotprojekt zum möglichen Einsatz von MS 365. Auch eine eigens modifizierte Version von Microsofts Programmpaket konnte Baden-Württembergs Datenschutzbeauftragten nicht überzeugen. Im Zuge dessen gab es weitere Sicherheitsfunktionen und Accounts ausschließlich für Lehrkräfte, nicht jedoch für Schüler:innen. Trotz der funktionell eingeschränkten und möglichst datenschutzkonformen Konfiguration von MS 365 sei eine datenschutzkonforme Nutzung kaum möglich. Nach dem Test kam Stefan Brink zu dem Ergebnis, dass die Schulen keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter in den Vereinigten Staaten hätten. Sie könnten nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet würden. Auch könne man nicht nachweisen, dass die Verarbeitung auf das notwendige Minimum reduziert sei. Die Ergebnisse der Prüfung sind hier abrufbar.

Alternativen vorhanden

Man werde in Kürze auf etwa 40 Schulen zugehen, die den Cloud-Dienst Microsoft 365 oder MS Teams verwenden und sie über seine rechtliche Bewertung zur Nutzung dieses Online-Dienstes informieren. Darüber hinaus werde man die Schulen um einen verbindlichen Zeitplan für den Umstieg auf Alternativen bitten. Zusammen mit dem Kultusministerium sollen die Schulen dann bei der Implementierung neuer Systeme unterstützt werden. Der Landesbeauftragte für den Datenschutz verweist dabei auf bereits erprobte Alternativen. Dazu gehören beispielsweise Moodle, itslearning oder das Web-Konferenzsystem BigBlueButton.

Umstieg kaum zu vermeiden

Sollten die Schulen dennoch den Cloud-Dienst weiter nutzen möchten, so müssten sie begründen, wie sie den datenschutzkonformen Betrieb garantieren und dies entsprechend ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung eindeutig nachweisen könnten. Dabei würde insbesondere die Drittstaatenübermittlung in die Vereinigten Staaten die Schulen vor größere Probleme stellen.

1 8 9 10 11 12 37