Kategorie: Aufsichtsbehördliche Maßnahmen

Baden-Württemberg: Schulen müssen bis zum Sommer Microsoft 365 ersetzen

26. April 2022

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Dr. Stefan Brink erwartet von Schulen, dass sie Schüler:innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten.

Microsoft 365 ist ein Online- bzw. Cloud-Dienst des Anbieters Microsoft. Spätestens ab dem kommenden Schuljahr sei die Nutzung von MS 365 an Schulen zu beenden. Andernfalls müssten die Schulen den datenschutzkonformen Betrieb des Cloud-Angebots eindeutig nachweisen können.

Pilotprojekt gescheitert

Die Entscheidung deutete sich schon länger an, der LfDI begleitete und beriet zuvor das Kultusministerium Baden-Württemberg über einen längeren Zeitraum in einem umfangreichen Pilotprojekt zum möglichen Einsatz von MS 365. Auch eine eigens modifizierte Version von Microsofts Programmpaket konnte Baden-Württembergs Datenschutzbeauftragten nicht überzeugen. Im Zuge dessen gab es weitere Sicherheitsfunktionen und Accounts ausschließlich für Lehrkräfte, nicht jedoch für Schüler:innen. Trotz der funktionell eingeschränkten und möglichst datenschutzkonformen Konfiguration von MS 365 sei eine datenschutzkonforme Nutzung kaum möglich. Nach dem Test kam Stefan Brink zu dem Ergebnis, dass die Schulen keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter in den Vereinigten Staaten hätten. Sie könnten nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet würden. Auch könne man nicht nachweisen, dass die Verarbeitung auf das notwendige Minimum reduziert sei. Die Ergebnisse der Prüfung sind hier abrufbar.

Alternativen vorhanden

Man werde in Kürze auf etwa 40 Schulen zugehen, die den Cloud-Dienst Microsoft 365 oder MS Teams verwenden und sie über seine rechtliche Bewertung zur Nutzung dieses Online-Dienstes informieren. Darüber hinaus werde man die Schulen um einen verbindlichen Zeitplan für den Umstieg auf Alternativen bitten. Zusammen mit dem Kultusministerium sollen die Schulen dann bei der Implementierung neuer Systeme unterstützt werden. Der Landesbeauftragte für den Datenschutz verweist dabei auf bereits erprobte Alternativen. Dazu gehören beispielsweise Moodle, itslearning oder das Web-Konferenzsystem BigBlueButton.

Umstieg kaum zu vermeiden

Sollten die Schulen dennoch den Cloud-Dienst weiter nutzen möchten, so müssten sie begründen, wie sie den datenschutzkonformen Betrieb garantieren und dies entsprechend ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung eindeutig nachweisen könnten. Dabei würde insbesondere die Drittstaatenübermittlung in die Vereinigten Staaten die Schulen vor größere Probleme stellen.

Corona-Daten von Mitarbeitern sollen spätestens jetzt gelöscht werden

21. April 2022

In einer Pressemitteilung hat die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel Unternehmen und öffentliche Stellen aufgefordert die aufgrund der Maßnahmen zur Pandemiebekämpfung verarbeiteten Corona-Daten dringend zu löschen.

Die Unternehmen und öffentlichen Stellen sollten in einem ersten Schritt prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Sollten diese Maßnahmen und damit der Zweck der Corona-Datenverarbeitung weggefallen sein, müssten diese Daten dringend gelöscht werden.

Als Beispiel nannte die Landesbeauftragte Corona-Daten, welche im Rahmen der Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle verarbeitet wurden. „Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen. Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen.“ teilte Thiel mit.

Weiterhin kündigte die Landesbeauftragte an, die Einhaltung des Datenschutzes durch unangekündigte Kontrollen bei den Verantwortlichen zu überprüfen.

Keine Kundendaten für private Zwecke

20. April 2022

In seinem Tätigkeitsbericht für das Jahr 2021 informierte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) über den Missbrauch von Kundendaten zu privaten Zwecken.

Hintergrund waren die Beschwerden mehrerer Kunden, die sich an das ULD gewendet hatten. Sie wiesen darauf hin, dass verschiedene Unternehmen ihre personenbezogenen Daten nicht nur zu den vorgesehenen geschäftlichen Zwecken verwendeten. So kam es vor, dass ein Kunde beispielsweise in einem Kontaktformular seine Handynummer angab, um leichter erreichbar zu sein. Einige Mitarbeiter nutzten die angegebenen Handynummern allerdings nicht ausschließlich für geschäftliche Zwecke. Stattdessen kontaktierten sie die Kunden, um ein persönliches Kennenlernen oder privates Treffen zu arrangieren.

Beim Umgang mit Kundendaten sind die datenschutzrechtlichen Vorgaben der DSGVO zu beachten. Insbesondere sind die Grundsätze der „Integrität und Vertraulichkeit“ nach Art. 5 Abs. 1 lit. f DSGVO beachtet. Demzufolge müssen personenbezogene Daten in einer Weise verarbeitet werden, „(…) die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich [dem] Schutz vor unbefugter oder unrechtmäßiger Verarbeitung (…)“. Laut dem ULD hat das Unternehmen die Aufgabe geeignete technische und organisatorische Maßnahmen zu ergreifen, um diesen Grundsatz bei der Datenverarbeitung zu garantieren. Dazu zählt es Mitarbeiterschulungen durchzuführen, die über den datenschutzkonformen Umgang mit Kundendaten informieren.

Das ULD stellte fest, dass in den zur Beschwerde gebrachten Fällen eine unrechtmäßige Verarbeitung personenbezogener Daten stattfand. Daraufhin erteilte sie den Verantwortlichen einen Hinweis nach Art. 58 Abs. 1 lit. d DSGVO. Obwohl die betroffenen Unternehmen ihre Mitarbeiter bereits vor den Missbräuchen im Datenschutzrecht geschult hatten, fand eine erneute Sensibilisierung der Mitarbeiter statt. Als weitere Sanktion verhängten einige Unternehmen arbeitsrechtliche Konsequenzen. 

BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten

8. April 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.

Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.

„Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden“, erklärte das BSI.

Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.

Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).

Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.

Deutschland, Griechenland, Finnland und Schweden müssen bei Datenschutz nachbessern

7. April 2022

In ihren Entscheidungen über Vertragsverletzungsverfahren hat die Europäische Kommission die Länder Deutschland, Griechenland, Finnland und Schweden dazu aufgefordert ihren Meldepflichten aus der Datenschutzgrundverordnung (DSGVO) und der Richtlinie zum Datenschutz bei der Strafverfolgung nachzukommen.

Aus der Entscheidung der Kommission geht hervor, dass Deutschland noch keine Maßnahmen zur Umsetzung der Richtlinie zum Datenschutz bei der Strafverfolgung in Bezug auf die Tätigkeiten der Bundespolizei mitgeteilt habe. Auch Griechenland habe einige Bestimmungen nicht ordnungsgemäß umgesetzt. Betroffen sind hier insbesondere Festsetzungen hinsichtlich des Anwendungsbereichs der Richtlinie zum Datenschutz bei der Strafverfolgung und die Fristen für die Speicherung von Daten. Neben Deutschland und Griechenland bemängelte die Kommission ebenfalls die mangelhafte Umsetzung datenschutzrechtlicher Verpflichtungen in den Ländern Finnland und Schweden. Im Rahmen der Durchsetzung von Betroffenenrechten wären die Länder in bestimmten Fällen dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf nicht nachgekommen.

Die Länder haben nun innerhalb von zwei Monaten die Möglichkeit auf das Schreiben zu reagieren und die für das Abstellen der von der Kommission festgestellten Verstöße notwendigen Maßnahmen zu ergreifen. Kommen die Länder diesem Erfordernis nicht nach, so kann die Kommission eine begründete Stellungnahme übermitteln.

Italien verhängt gegen Clearview AI eine Geldstrafe in Höhe von 20 Millionen Euro

23. März 2022

Die italienische Datenschutzbehörde hat gegen Clearview AI wegen Datenschutzverletzungen hinsichtlich der Gesichtserkennungstechnologie eine Geldstrafe in Höhe von 20 Millionen Euro verhängt. Das Gesichtserkennungssystem von Clearview AI verwendet über 10 Milliarden Bilder aus dem Internet. Die Datenschutzbehörden haben festgestellt, dass Clearview AI gegen zahlreiche DSGVO-Anforderungen verstößt. So wurden im datenschutzrechtlichen Rahmen keine fairen und rechtmäßige Verarbeitungen durchgeführt, außerdem gab es keine rechtmäßige Grundlage für die Sammlung von Informationen und keine geeigneten Transparenz- und Datenaufbewahrungsrichtlinien.

Im vergangenen November hatte bereits das britische ICO vor möglichen Bußgeldern gegen Clearview gewarnt, in diesem Zusammenhang forderte das ICO Clearview auch auf, die Verarbeitungen von Daten einzustellen.

Sodann ordnete im Dezember die französische CNIL Clearview an, die Verarbeitungen von Bürgerdaten einzustellen, und gab ihr zwei Monate Zeit, um alle Daten zu löschen, die sie gespeichert hatte, erwähnte jedoch keine explizite finanzielle Sanktion.

Unabhängig davon stammen laut Clearview mehr als 2 Milliarden seiner Bilder aus dem russischen Social-Media-Netzwerk Vkontakte. Clearview hat der Ukraine Berichten zufolge seine Dienste kostenlos angeboten, um ihnen zu helfen, russische „Infiltratoren“ zu identifizieren, Fehlinformationen zu bekämpfen und Familien wieder zusammenzuführen. Unbestätigten Berichten zufolge begann die Ukraine am Wochenende mit dem Einsatz der Technologie.

Niederländische Aufsichtsbehörde verhängt Bußgeld in Höhe von 525.000 €

22. März 2022

Aus einer Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens („AP“) geht hervor, dass gegen die DPG Media Magazines B.V. eine Geldstrafe in Höhe von 525.000 Euro verhängt wurde.

Vorausgegangen waren mehrere Beschwerden gegenüber der AP über die Art und Weise, wie Sanoma Media Netherlands B.V. (jetzt DPG Media Magazines B.V.) mit dieser Art von Anfragen umging. Die Personen, die sich beschwerten, hatten z. B. ein Abonnement für eine Zeitschrift. Das Medienunternehmen wurde infolgedessen zu der Geldstrafe verurteilt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen mussten. Darüber hinaus wurden die Betroffenen nicht darüber informiert, dass sie Daten aus dem Dokument sperren dürfen. Laut der AP sei dies in dieser Situation jedoch nicht notwendig. Das Medienunternehmen fordere somit zu viele personenbezogene Daten an.

Hinsichtlich der behördichen Entscheidung äußerte sich Monique Verdier, Vizepräsidentin der AP: „Man darf nie einfach einen Identitätsnachweis verlangen. Er enthält eine Menge personenbezogener Daten. Selbst wenn Teile eines Ausweises geschützt sind, ist es oft zu schwierig, anhand einer Kopie festzustellen, ob jemand derjenige ist, der er vorgibt zu sein. Auch Kopien von Ausweispapieren müssen mit großer Sorgfalt aufbewahrt werden.“

Die DPG Media Magazines B.V. legte gegen den Bußgeldbescheid der Autoriteit Persoonsgegevens Widerspruch ein.

Belgien: Wichtiger Standard für Cookiebanner für rechtswidrig erklärt

18. März 2022

Die belgische Datenschutzbehörde hat einen für die Onlinewerbung zentralen Standard für datenschutzrechtlich unzulässig erklärt. Das System Transparence and Consent (TCF) mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspricht nach Auffassung der Datenschutzbehörde nicht den Grundsätzen von Rechtmäßigkeit und Fairness.

Die Datenschutzbehörde hat die Entscheidung gegen den Werbeverband IAB Europe getroffen, der den TCF-Mechanismus entwickelt und betreibt. IAB muss nun nicht nur alle auf diese Weise gesammelten Daten löschen, sondern auch ein Bußgeld von 250.000 Euro bezahlen.

Das Transparency & Consent Framework (TCF) ist der zentrale Standard hinter Cookie-Bannern und personalisierter Werbung. Wenn ein Nutzer bei einem Cookie-Banner auf „Akzeptieren“ klickt, erzeugt das System einen sogenannten TC-String und schickt diesen an alle Partner weiter, die am System teilnehmen. Kernaufgabe des TCF ist damit die Weitergabe der Einwilligung in die Datenverarbeitung zu Werbezwecken an alle Partner des Systems. Der TC-String bildet die Grundlage für die Erstellung von individuellen Profilen jeden Nutzers und für Auktionen, in denen Werbeplätze für die gewünschte Zielgruppe in Echtzeit versteigert werden.

Die Entscheidung könnte nicht nur für belgische Unternehmen möglicherweise schwerwiegende Auswirkungen haben: Nach Art. 56 Abs. 6 DSGVO gilt das „One-Stop-Shop“-Prinzip. Demnach ist bei grenzüberschreitender Datenverarbeitung die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters. Dies bedeutet, dass Unternehmen bei grenzüberschreitenden Datenverarbeitungen nur einen Ansprechpartner für die Beurteilung der datenschutzrechtlichen Belange haben. Die Entscheidung dieses Ansprechpartners gilt dann europaweit. Viele Betreiber:innen von Websiten, der Großteil der Online-Medien und auch Google oder Amazon nutzen das System , um die im Cookiebanner erteilte Einwilligung von Nutzer:innen in die Verarbeitung von persönlichen Daten zu verteilen.

Zwar hat IAB angekündigt, gegen die Entscheidung vorzugehen. Die möglichen Auswirkungen für die Werbebranche sind dennoch enorm und könnten das Prinzip personalisierter Werbung grundsätzlich in Frage stellen.

Erweiterung der Verordnung über den automatisierten Datenaustausch für die polizeiliche Zusammenarbeit innerhalb der EU sorgt für Kritik

16. März 2022

Anfang März veröffentlichte der Europäische Datenschutzbeauftrage (EDSB) Wojciech Wiewiórowski eine Stellungnahme zu dem Vorschlag der EU-Kommission für eine Verordnung über den automatisierten Datenaustausch für die polizeiliche Zusammenarbeit („Prüm II“). Eine zweite Stellungnahme wurde bezüglich des Vorschlags für eine Richtlinie über den Informationsaustausch zwischen den Strafverfolgungsbehörden der Mitgliedstaaten veröffentlicht.

Ziel der Vorschläge für die polizeiliche Zusammenarbeit ist es, die Zusammenarbeit der Strafverfolgungsbehörden und insbesondere den Informationsaustausch zwischen den für die Verhütung, Aufdeckung und Untersuchung von Straftaten zuständigen Behörden zu verbessern. Zu diesem Zweck legt der Vorschlag für die „Prüm II“-Verordnung die Bedingungen und Verfahren für den automatisierten Abruf von DNA-Profilen, Fingerabdrücken, Gesichtsbildern, polizeilichen Aufzeichnungen und Fahrzeugregisterdaten fest. Der Vorschlag für die Richtlinie über den Informationsaustausch zielt darauf ab, den Zugang der Strafverfolgungsbehörden zu Informationen anderer Mitgliedstaaten zu erleichtern.

In Bezug auf den Vorschlag für die „Prüm-II-Verordnung“ betont Wiewiórowski, dass wesentliche Elemente in Bezug auf seinen sachlichen und persönlichen Anwendungsbereich fehlen, wie z. B. die Arten von Straftaten, die eine Abfrage rechtfertigen können, und die Kategorien von betroffenen Personen. Insbesondere solle der automatisierte Abruf von DNA-Profilen und Gesichtsbildern nur im Zusammenhang mit einzelnen Ermittlungen bei schweren Straftaten möglich sein und nicht bei jeder Straftat, wie im Vorschlag vorgesehen. Darüber hinaus ist der EDSB nicht von der Notwendigkeit des vorgeschlagenen automatisierten Abrufs und Austauschs von Daten aus polizeilichen Aufzeichnungen überzeugt und unterstreicht, dass strenge Sicherheitsvorkehrungen erforderlich sind, um die Risiken für die Datenqualität anzugehen.

In Bezug auf den Vorschlag für die Richtlinie über den Informationsaustausch unterstreicht Wiewiórowski die Notwendigkeit, den persönlichen Anwendungsbereich der Maßnahme klar zu definieren und auf jeden Fall die Kategorien personenbezogener Daten über Zeugen und Opfer zu begrenzen. Er äußert ferner Bedenken hinsichtlich der Dauer der Datenspeicherung in den Fallverwaltungssystemen der Behörden.

Die polizeiliche Zusammenarbeit in den Mitgliedstaaten sei laut Wiewiórowski „ein wichtiges Element eines gut funktionierenden Raums der Freiheit, der Sicherheit und des Rechts“. Sie dürfe allerdings nicht „als Nebeneffekt zur Schaffung neuer großer zentralisierter Datenbanken führen“.

Irische Datenschutzbehörde verhängt Bußgeld gegen Meta in Höhe von 17 Mio. EUR

Die irische Datenschutzkommission (DPC) hat am 15.03.2022 eine Pressemitteilung veröffentlicht, in der sie mitteilte, dem Konzern Meta Platforms (ehem. Facebook) ein Bußgeld von 17 Mio. EUR auferlegt zu haben. Grund dafür seien insgesamt zwölf Datenschutzverstöße zwischen Juni und Dezember 2018. In diesen Fällen habe es keine angemessenen technischen und organisatorischen Maßnahmen gegeben, um Daten von EU-Nutzern zu schützen. Konkret habe Meta Platforms gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO verstoßen.

Da die Datenverarbeitung von Meta Platforms eine (EU-) grenzüberschreitende ist, waren die anderen europäischen Datenschutzbehörden ebenfalls in diese Entscheidung involviert. Meta Platforms hat seinen Hauptsitz in Dublin (Irland), deshalb ist die irische Datenschutzbehörde gem. Art. 56 DSGVO ‚federführend‘. Dies bedeutet, dass sie hauptzuständiger, zentraler Ansprechpartner in dieser Angelegenheit ist und das Verfahren leitet.

Meta Platforms bzw. Facebook stand in der Vergangenheit für seinen Umgang mit Daten wiederholt in der Kritik. Erst kürzlich hatte Facebook verkündet, die automatische Gesichtserkennung auf ihrer Plattform abzuschaffen. Die irische Datenschutzbehörde hatte zudem gegen die Facebook-Tochter WhatsApp erst im September 2021 ein Rekord-Bußgeld in Höhe von 225 Mio. EUR erlassen. Grund dafür war u.a. die Weitergabe von Nutzerdaten an andere Facebook-Unternehmen.

1 2 3 4 5 30