Schlagwort: BFDI

Ergebnisse des Konsultationsverfahrens zur Anonymisierung

1. Juli 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat die Ergebnisse des ersten öffentlichen Konsultationsverfahrens veröffentlicht. Thema ist die Anonymisierung von Daten unter der DSGVO unter besonderer Berücksichtigung der Telekommunikationsbranche.

Zusammengefasst ist die Anonymisierung personenbezogener Daten auch im Telekommunikationssektor grundsätzlich möglich. Besonderes Augenmerk verdient dabei die Validität des eingesetzten Anonymisierungsverfahrens. Eine Verpflichtung zur unverzüglichen Löschung ist durch eine Anonymisierung erfüllbar, hier ist allerdings ein strengerer Maßstab anzulegen.

Dazu führte der BfDI aus: „Wir haben viele Stellungnahmen aus Wirtschaft und Wissenschaft, von Behörden und der Zivilgesellschaft erhalten. Die verschiedenen Ansichten spiegeln dabei die Komplexität des Themas wider. Nach Auswertung aller Beiträge veröffentlichen wir jetzt unser Positionspapier, um für mehr Rechtssicherheit bei den von mir beaufsichtigten Stellen zu sorgen. Ich bedanke mich bei allen, die sich an unserem ersten Konsultationsverfahren beteiligt haben.“

Im Februar diesen Jahres hat der BfDI das erste öffentliche Konsultationsverfahren eröffnet, bei dem Vertreter aus Politik, Wissenschaft, Wirtschaft, Gesellschaft und Verwaltung Stellung zu dem Thema beziehen konnten. Kernfragen waren u.a. ob die Anonymisierung personenbezogener Daten rechtfertigungsbedürftig ist und auf welche Rechtsgrundlage sie sich stützen lässt. Das Positionspapier und die eingegangenen Stellungnahmen sind auf der Website des BfDI abrufbar.

Bundesdatenschutzbeauftragter warnt vor Einsatz von WhatsApp

23. Juni 2020

In einer aktuellen Stellungnahme hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger WhatsApp zur Kommunikation benutzen darf.

Hintergrund

Im Rahmen der Corona-Krise haben viele Beschäftigte in Behörden ihre Arbeit ins Homeoffice verlegt. Mit dem Wegfall der persönlichen Kommunikation vor Ort ging eine Zunahme der Kommunikation über WhatsApp einher. Diese erfolgte sowohl zwischen den Mitarbeitern untereinander als auch zwischen Mitarbeitern und Bürgern. Darüber haben sich einzelne Bürger beschwert, was den Bundesdatenschutzbeauftragen zu der Stellungnahme animiert hat.

Kritik

Darin führt er aus, dass allein das Versenden von Nachrichten Metadaten erzeugt, die an WhatsApp Ireland Ltd. – bzw. an das Mutterunternehmen Facebook – übermittelt werden. Die Erzeugung von Metadaten erfolgt unabhängig von der implementierten Ende-zu-Ende-Verschlüsselung. Metadaten sind unter anderem: die Versandzeit der Nachricht, Absender und Empfänger der Nachricht. Diese Metadaten sind unverzichtbar für die Funktionsweise von Messengern.

Gleichzeitig betonte er, dass öffentliche Stellen eine Vorbildfunktion haben, sich datenschutzkonform zu verhalten. Dazu verweist er auf den 27. Tätigkeitsbericht zum Datenschutz 2017 – 2018 vom 08.05.2019. Die Hauptkritikpunkte beziehen sich dabei auf die Übermittlung von Nutzerdaten durch die WhatsApp Ireland Ltd. an Facebook (siehe Blogbeitrag) sowie die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Auf diese Weise können alle Kontaktdaten eines Nutzers verarbeitet werden, die auf dessen Mobiltelefon hinterlegt sind und zwar unabhängig davon, ob der jeweilige Kontakt selbst den Messenger nutzt oder nicht.

Fazit

In „Täglich grüßt das Murmeltier“-Manier werden regelmäßig von verschiedenen Seiten datenschutzrechtliche Bedenken gegenüber dem WhatsApp-Messenger geäußert. Lesen Sie dazu unsere weiteren Beiträge:

Bundesdatenschutzbeauftragter lobt Corona-App, warnt aber auch

17. Juni 2020

Die geplante Corona-Tracing-App ist nach langer Entwicklungszeit und umfangreichen Diskussionen (wir berichteten) am gestrigen Dienstag (16.06.2020) für die Nutzung freigegeben worden. Nachdem sich der Bundesdatenschutzbeauftragte, Ulrich Kelber, bereits vor einigen Tagen zufrieden mit der gefundenen Lösung zeigte und die App aus Sicht des Datenschutzes als „solide“ bezeichnete, hat seine Behörde (BfDI) in einer Pressemitteilung nun ausführlicher Stellung bezogen.

Lob für Transparenz

Insgesamt sieht Kelber keine Gründe, die aus datenschutzrechtlicher Sicht gegen die Installation sprechen. Dabei sei insbesondere entscheidend, dass sowohl der Quellcode der App als auch die durchgeführte Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (durch welche potentielle Gefahren für die Rechte und Freiheiten der Nutzer ermittelt und mögliche Abhilfemaßnahmen festgelegt werden sollen) für die Öffentlichkeit zugänglich gemacht wurden. „Je transparenter das gesamte Projekt ist, umso mehr Vertrauen werden die Bürgerinnen und Bürger haben“, so Kelber.

Kritik an TAN-Verfahren

Trotz dieser ingesamt positiven Bewertung sieht der Bundesdatenschutzbeauftragte jedoch auch noch „Schwachstellen“, die von den zuständigen Behörden und Unternehmen angegangen werden müssten. Darunter falle insbesondere die Telefonhotline, durch welche der Nutzer eine TAN-Nummer erhält. Mittels dieser Nummer kann der Nutzer dann ein positives Testergebnis über die App melden. Durch diese zusätzliche Sicherheitsmaßnahme soll ein Missbrauch der App durch Meldung falscher Ergebnisse erschwert werden. Kelber sieht diese Lösung jedoch kritisch, weil so eben keine vollständig anonymisierte Nutzung der App möglich sei. Immerhin habe seine Behörde abwenden können, dass eine unangemessene Speicherung personenbezogener Daten aller Anrufer der Hotline stattfindet. Die zuständigen Behörden und Unternehmen müssten nun aber schnellstmöglich daran arbeiten, dass eine vollständig automatisierte Nutzung der App ermöglicht wird. Als zuständige Aufsichtsbehörde werde der BfDI dies überwachen und „alle Möglichkeiten der Datenschutz-Grundverordnung“ heranziehen, im Falle von auftretenden Mängeln somit auch entsprechend einschreiten.

Warnung an Dritte vor Einsichtnahmeversuchen

Schließlich spricht der Bundesdatenschutzbeauftragte in der Pressemitteilung noch eine Warnung an alle Personen, Unternehmen und Einrichtungen aus, die auf die Idee kommen könnten, sich durch Einsicht in die Corona App – und somit in die darin gespeicherten personenbezogenen Daten – darüber zu informieren, ob für die betroffene Person ein positives Testergebnis vorliegt oder nicht. Dabei handle es sich um eine Grenze, die nicht überschritten werden dürfe. Wörtlich sagte Kelber: „Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!“

Corona-Datenspende-App des RKI

9. April 2020

Am 07. April 2020 veröffentlichte das Robert-Koch-Institut (RKI) die „Corona Datenspende“-App.
Die App, die sowohl für iOS- als auch Android-Geräte verfügbar ist, funktioniert in Zusammenhang mit Smartwatches und Fitnessarmbändern.
Ziel der App ist es, die Ausbreitung der Infektionen einschätzen zu können. So können die Wissenschaftlerinnen und Wissenschaftler des RKI die aktuelle Lage besser bewerten und mit Hilfe der Daten von Fitnessarmbändern die mögliche Dunkelziffer an Coronavirus-Infektionen besser einschätzen.

Zunächst soll der Nutzer der App einmalig Angaben zu seinem Geschlecht, Alter, Gewicht und der Körpergröße machen.
Die weiterhin durch die Smartwatch oder das Fitnessarmband des Nutzers gesammelten Gesundheits- und Aktivitätsdaten zum Schlafverhalten, Herzfrequenz und Körpertemperatur, werden über die App an das RKI gesendet.
Mithilfe von Algorithmen können dann anhand der übertragenen Daten verschiedene Symptome erkannt werden, die mit einer Coronavirus-Infektion in Verbindung gebracht werden.

Dadurch, dass der Nutzer der App einmalig seine Postleitzahl angibt, können diese Ergebnisse dann auch geographisch aufbereitet und die Verbreitung von möglicherweise infizierten Personen bis auf die Ebene der Postleitzahl auf einer Karte visuell dargestellt werden. Diese Karte soll regelmäßig aktualisiert und auf der Webseite der Corona-Datenspende veröffentlicht werden.

Die Corona-Datenspende-App wurde durch den Datenschutzbeauftragten des Robert Koch-Instituts in datenschutzrechtlicher Hinsicht geprüft und freigegeben. Im Vorfeld wurde das RKI hinsichtlich der Umsetzung der App auch durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) beraten. Auch die weitere Datenverarbeitung durch die App soll von Seiten des BfDI begleitet werden.
Sichergestellt ist, dass die Daten durch das RKI pseudonymisiert verarbeitet werden. Nach eigenen Angaben erlangt das RKI zu keinem Zeitpunkt Kenntnis über persönliche Informationen wie Name oder Anschrift der App-Nutzer. Weiterhin findet die Übertragung der Daten ausschließlich über TLS/SSL-verschlüsselte Schnittstellen unter Nutzung des individuellen Pseudonyms statt.

BfDI-Stellungnahme zur elektronischen Patientenakte

8. April 2020

Letzte Woche hat das Bundeskabinett einen Gesetzentwurf zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur veröffentlicht. In seiner Stellungnahme begrüßt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber (BfDI) die Einführung einer elektronischen Patientenakte, bemängelt aber auch datenschutzrechtliche Defizite in dem Gesetzentwurf.

Der BfDI befürwortet die angestrebte Digitalisierung und hebt die Vorteile einer elektronischen Patientenakte, die die Kommunikationen zwischen den zuständigen Stellen und den Patienten erleichtern kann, hervor. Demnach sei es aber auch gut, dass die Nutzung einer solchen elektronischen Akte für Patienten freiwillig ist.

Schwerwiegende Defizite sieht der BfDI insbesondere in Bezug auf das Zugriffsmanagement für die elektronische Patientenakte. Zum einen können die Nutzer erst ein Jahr nach Einführung der elektronischen Patientenakte den Zugriff auf Dokumente feingranular, d.h. für jedes Dokument einzeln verwalten. Zum anderen wird dies nur mit einem geeigneten Endgerät mit der entsprechenden App möglich sein. Bis zu diesem Zeitpunkt und für alle Nutzer ohne geeignetes Endgerät ist es möglich den Zugriff auf ihre Daten nur grobgranular zu verwalten, was Kelber als unzureichend bewertet. Zudem äußert der BfDI Bedenken hinsichtlich der Freigabe von personenbezogenen Daten für die Forschung. Probleme ergeben sich unter anderem im Zusammenhang mit der notwendigen informierten Einwilligung zur Nutzung der Daten für Forschungszwecke. Außerdem wird nicht geklärt, welche Stelle die Aufgaben des geplanten Forschungsdatenzentrums wahrenehmen wird.

BfDI-Stellungnahme zur Novelle des Infektionsschutzgesetzes

24. März 2020

Um das Infektionsschutzgesetz (Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen, IfSchG) an die aktuelle Situation anzupassen, hat das Bundeskabinett einen Entwurf zur Änderung des Gesetzes vorgelegt. In einer Stellungnahme kritisiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber, dass nicht alle Einschränkungen des Grundrechts auf informationelle Selbstbestimmung in jeder Hinsicht verhältnismäßig seien.

Der BfDI spricht sich in der Stellungnahme zunächst dafür aus, dass ein vorgesehener Bericht des Bundesministeriums für Gesundheit zu den Erkenntnissen aus der durch das neuartige SARS-CoV-2 verursachten Epidemie auch Informationen zu Maßnahmen, die geeignet sind das Recht auf informationelle Selbstbestimmung einzuschränken (§ 5 Abs.3 Nr.1 lit.c), d) und e) des Enwurfs), enthalten soll. Des Weiteren sollen Löschregelungen für (teils sensible) personenbezogene Daten von Reisenden, die nach § 5 Abs.3 Nr.1 und 2 des Entwurfs verarbeitet werden dürfen, aufgenommen werden. Außerdem regt der BfDI an, dass seine Bundesdatenschutzbehörde bei Vorhaben der Versorgungs-und Gesundheitsforschung, an denen mehrere Verantwortliche beteiligt sind, die zuständige Aufsichtsbehörden sein soll. Darüber hinaus begrüßt der BfDI, dass die Regelung zur Erfassung von Daten aus Mobilfunkgeräten, die im vorangegangenen Entwurf des BMG noch enthalten waren, nicht in den aktuellen Entwurf des Kabinetts aufgenommen wurden.

Das IfSchG regelt, zum einen welche Krankheiten bei Verdacht, Erkrankung oder Tod und welche labordiagnostischen Nachweise von Erregern meldepflichtig sind. Zum anderen legt es fest, welche Angaben von den Meldepflichtigen gemacht werden müssen und welche weiteren Meldewege (z.B. an das Gesundheitsamt) einzuhalten sind.

Öffentliches Konsultationsverfahren des BfDI

10. Februar 2020

Am 10.02.2020 eröffnete der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zum ersten Mal ein öffentliches Konsultationsverfahren, bei dem Akteure aus Politik, Wirtschaft, Gesellschaft und Verwaltung, Stellung zu einem ausgewählten datenschutzrechtlichen Thema nehmen können.

Im Fokus des ersten Konsultationsverfahrens soll die Anonymisierung von Daten unter der DSGVO unter besonderer Berücksichtigung der Telekommunikationsbranche sein. Zu diesem umstrittenen Thema hat der BfDI ein Positionspapier veröffentlicht. Ziel ist es, Verantwortlichen „eine Orientierung zum rechtssicheren und datenschutzfreundlichen Umgang mit der Anonymisierung von Daten“ zu geben.

Der BfDI Ulrich Kelber betonte hierbei: Das Konsultationsverfahren ist ein weiterer Schritt zu noch mehr Transparenz in meiner Behörde. Der Datenschutz lebt von einer breiten gesellschaftlichen Diskussion. Daher werde ich zukünftig vermehrt auf dieses Mittel der Öffentlichkeitsbeteiligung zurückgreifen. Wir wollen alle Stimmen hören, um gemeinsam konstruktive Vorschläge zu erarbeiten. Ich fordere die Expertinnen und Experten auf, diese Möglichkeit intensiv zu nutzen.

Stellungnahme des BfDI zur Datenstrategie der Bundesregierung

27. Januar 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat in seiner Stellungnahme zur Datenstrategie der Bundesregierung dazu aufgefordert, den „Datenschutz als Innovationsmotor einer Digitalisierung made in Germany bzw. made in Europe zu sehen.

Der BfDI fordert, dass klare Grenzen gesetzt werden sollen, „wo Daten von Bürgerinnen und Bürger[n] nicht mit ihrem Einverständnis und zu ihrem Wohl, sondern zu deren Nachteil genutzt werden oder genutzt werden können“. Um diesen Grundschutz in der digitalisierten Welt zu erreichen seien klare Regelungen und wirksame Sanktionen notwendig.

Dabei würde Datenschutz die technische Entwicklung nicht blockieren. Der Datenschutz in Form einer „digitalen Souveränität“ soll Innovationen eine Richtung vorgeben. Die Datenstrategie der Bundesregierung soll den Bürgerinnen und Bürgern ermöglichen die Hoheit über ihre digitalen Datenspuren zurückzugewinnen. So kann Datenschutz zum „Alleinstellungsmerkmal für Produkte und Dienstleistungen“ werden.

„Erste Grundlagen wurden bereits gelegt: Die Datenethikkommission hat der Bundesregierung wichtige Empfehlungen gegeben, wie datenschutzfreundliche Innovationen gezielt gefördert werden können. Gerade im Bereich Dataspaces, persönliche Datenmanagementsysteme und Datentreuhänder sowie dezentrales Lernen könnte Deutschland leicht in Führung gehen. Auch im Bereich der Interoperabilität können Regierung und Gesetzgeber Voraussetzungen schaffen, damit die bestehenden Oligopole abgebaut werden und Raum für europäische Anbieter entsteht.“

Am Donnerstag, den 23. Januar fand im Bundeskanzleramt eine Expertenanhörung zur Datenstrategie der Bundesregierung statt. Experten aus Wirtschaft, Wissenschaft und Politik haben über die Frage „Wie können wir in Deutschland Daten verantwortungsvoll und innovativ nutzen?“ beraten.

Kategorien: Allgemein
Schlagwörter: , ,

Bundesdatenschutzbeauftragter für Verbot von Gesichtserkennung im öffentlichen Raum

22. Januar 2020

Aufgrund der neuesten Berichte über das US-Unternehmen Clearview, das eine Datenbank mit rund 3 Milliarden frei im Internet verfügbaren Fotos erstellt haben soll und mit dieser nun bei Behörden für einen Gesichtserkennungsdienst wirbt, hat sich Ulrich Kelber, der Bundesdatenschutzbeauftragte, nun klar gegen ein solches Vorgehen in Europa gestellt.

Im Statement gegenüber den Zeitungen des „Redaktionsnetzwerks Deutschland“ stellte Kelber klar, dass die biometrische Gesichtserkennung im öffentlichen Raum einen potenziell sehr weitgehenden Grundrechtseingriff darstelle, der auf jeden Fall durch konkrete Vorschriften legitimiert sein müsste, an der es allerdings bislang fehle. Fraglich sei allerdings auch bereits, ob eine solche Rechtsgrundlage überhaupt verfassungskonform ausgestaltet werden könne.

Kelber befürchtet zudem, dass der Einsatz von Gesichtserkennung im öffentlichen Raum das Verhalten der betroffenen Bürger zu sehr beeinträchtigen könnte, die so beispielsweise auf die Teilnahme an Demonstrationen – und damit auf die Ausübung ihrer Freiheitsrechte – verzichten könnten, um so eine Identifizierung durch Gesichtserkennung zu verhindern.

Letztlich liegt es daher nach Aussage Kelbers daran, den Einsatz von Technologie so zu regulieren, dass eine missbräuchliche und sozialschädliche Nutzung ausgeschlossen wird.

Mehr Mitarbeiter für den BfDI

18. November 2019

Der Haushaltsausschuss des Bundestages hat eine personelle Stärkung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) beschlossen. Ab nächstem Jahr sollen 67 neue Stellen in der Behörde geschaffen werden. Mit dieser Aufstockung soll der BfDI unter anderem bei der Digitalisierung im Gesundheitswesen unterstützen und verstärkt in internationalen Gremien auftreten und Themen voranbringen können.

Aktuell sind 250 MitarbeiterInnen bei der Behörde beschäftigt. Die neuen Stellen werden nach Angaben des BfDI Ulrich Kelber genutzt, um das Beratungs- und Informationsangebot für die Regierung, das Parlament und Unternehmen zu erweitern. Auf EU-Ebene will sich der BfDI dafür einsetzen, dass die DSGVO in verständliche und detaillierte Regelungen umgesetzt wird. Außerdem will der BfDI unter anderem gegen das Tracking von Nutzern durch Geräte und Websites vorgehen.

Kelber ruft auch die Landesparlamente dazu auf, die Landesdatenschutzbehörden mit mehr Personal auszustatten, damit diese besser ihren Aufgaben nachkommen können.

Kategorien: Allgemein
Schlagwörter: , , ,
1 2 3 6