Schlagwort: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Phishing mit Energiepauschale

9. September 2022

Das BSI warnt momentan auf seinem Twitter-Account vor Phishing-Mails, die dem Empfänger die Auszahlung der Energiepauschale versprechen. Diese Mails sollen Betreffe wie: „Jetzt Energiepauschale sichern!/ Wir überweisen die Energiepauschale /Bereit für Ihren Energiebonus?“ enthalten. In dem vom BSI veröffentlichten Beispiel sieht die Phishing-Mail aus, als wäre ihr Absender die Sparkasse. In dem Schreiben wird über die Auszahlung der Energiepauschale informiert. Dort steht u.a. folgendes geschrieben: „Um ihre Identät sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegebenen Daten […]. Gebe Sie noch heute Ihre aktuellen Daten auf unser Homepage an und erhalten Sie innerhalb der nächsten vier Wochen ihre Auszahlung der Energiepauschale[…]“.

Das BSI weist ausdrücklich darauf hin, dass unter keinen Umständen hier Daten angegeben werden sollen. Phishing-Mails sind E-Mails die vorgeben, von einem vertrauenswürdigen Absender zu stammen. Tatsächlich stecken hinter Phishing-E-Mails Kriminelle, die die Empfänger solcher E-Mails zur Weitergabe ihrer Daten, meist ihrer Zahlungsdaten verleiten wollen.

Um die immer professioneller werdenden Phishing-Mails von echten unterscheiden zu können, verweist das BSI auf seine Website. Dort wird erklärt, woran man Phishing-Mails gut erkennen kann. Es lohnt sich häufig auch, die E-Mails besonders sorgfältig zu lesen. So können u.a. Rechtschreibfehler wie in dieser Mail („Identät“) eine Phishing-Mail entlarven.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußert sich zu Online-Fragebogen des Zensus 2022

27. Mai 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat sich vergangene Woche zum Zensus 2022 geäußert. Grund dafür war, dass der BfDI Mitte Mai Kenntnis von der Möglichkeit einer Verletzung des Schutzes personenbezogener Daten durch den Online-Fragebogen zum Zensus 2022 erhalten hatte. Konkret geht es dabei um den Online-Fragebogen zur Gebäude- und Wohnungszählung des Zensus 2022. Für die Erhebung dieser Daten wird teilweise Technik des US-amerikanischen IT-Dienstleisters Cloudflare verwendet. Es wurde befürchtet, dass die in die Fragebögen eingetragenen Daten an Cloudflare übermittelt würden. Hierzu gab der BfDI jetzt Entwarnung und bestätigte, dass „zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat“. An Cloudflare übertragen wurden allerdings Metadaten (z. B. Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Herkunftsverweise und IP-Adresse). Ob dies rechtmäßig war, wird momentan noch überprüft. Vorsichtshalber wird Cloudflare für die Fragebögen erstmal nicht mehr eingesetzt, sodass auch keine Metadaten übertragen werden.

Im Zusammenhang mit dem derzeit stattfinden Zensus ergeben sich einige weitere Fragen:

Was genau ist der Zensus 2022?

Beim Zensus handelt es sich um eine Volkszählung. Dabei wird nicht nur die Menge der Bevölkerung erfasst, sondern auch stichprobenartig weitere Daten von den Befragten gesammelt. Der Zensus 2022 findet von Mitte Mai bis Mitte August statt und bildet dann für die nächsten zehn Jahre die Grundlage für amtliche Statistiken und darauf aufbauende Planungen, wie u.a. Bauprojekte. Auch z.B. Wahlkreise werden so eingeteilt. Die Befragten werden per Zufall ausgesucht. Wird man als Befragter ausgewählt, ist die Teilnahme am Zensus verpflichtend. Rechtliche Grundlage ist das Zensusgesetzes 2022 (ZensG 2022).

Welche Daten werden wie beim Zensus erhoben?

Befragt werden ca. 10 % der Bevölkerung in Deutschland zu Fragen wie u.a. Alter, Geschlecht, Staatsangehörigkeit, Wohnsituation, Beruf und Einkommen. Die Befragten werden persönlich durch InterviewerInnen bei ihnen zu Hause befragt und sollen zusätzlich für die Gebäude- und Wohnungszählung Online-Fragebögen nutzen.

Wie wird der Datenschutz gewährleistet?

Verwendet werden nur die Daten, die für den Zensus relevant sind. Diese werden anonym ausgewertet. Alle anderen personenbezogenen Daten (z.B. der Name des Befragten) werden gelöscht. Es werden keine Daten an andere staatliche Stellen wie Meldeämter, Finanzämter oder die Polizei weitergegeben. Die InterviewerInnen werden außerdem zur Geheimhaltung verpflichtet. Bei der Übermittlung von Daten über die Online-Fragebögen werden diese Daten verschlüsselt.

Weitere Fragen rund um den Datenschutz und die Informationsfreiheit werden umfangreich auf einer extra eingerichteten Website des Zensus beantwortet.

Falls Sie als Befragter ausgewählt wurden: Bitte achten Sie darauf, dass InterviewerInnen ihre Befragung immer ankündigen und nicht ohne eine Vorankündigung bei Ihnen zu Hause erscheinen werden. Sie können ihr Amt außerdem mit einem speziellen Ausweis nachweisen. Achten Sie darauf, dass Sie Ihre Daten nicht falschen InterviewerInnen mitteilen.

BfDI veröffentlicht Positionspapier zur Datenverarbeitung in polizeilichen Informationssystemen

28. April 2021

Die Möglichkeiten der Verarbeitung, Recherche und Auswertung von personenbezogenen Daten durch die Polizei wurden in den letzten Jahren weiter ausgedehnt. So werden nicht nur die Daten von Bürgerinnen und Bürgern erfasst, die durch ihr Verhalten Anlass gegeben haben, sondern auch die derer, die sich zufällig an bestimmten Orten aufhalten. Sobald die Daten erfasst sind, sind diese zeitlich unbegrenzt abrufbar.

In dem Positionspapier bezieht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Stellung zur Zweckbindung in polizeilichen Informationssystemen. Hierbei wird auch dem technischen und elektronischen Fortschritt der Datenverarbeitung Rechnung getragen. Vor diesem Hintergrund wird mit Blick auf den Grundrechtsschutz an den Zweckbindungsgrundsatz des deutschen und europäischen Datenschutzrechts angeknüpft. Demnach dürfen die personenbezogenen Daten nur zu dem Zweck verarbeitet werden, zu dem sie ursprünglich erhoben wurden.

Insbesondere bei Informationen aus polizeilichen Ermittlungen handelt es sich um sensible Daten, die grundsätzlich nur für Zwecke verarbeitet werden dürfen, für die sie erhoben wurden. Ausnahmen bedürfen demnach einer gesetzlichen Grundlage und sind streng auszulegen.

In dem Positionspapier werden die einzelnen Anforderungen wie beispielsweise die Zweckfestlegung, Zwecktrennung und die funktionsgerechte Vergabe von Zugriffsrechten dargelegt und erklärt.

Mit der Stellungnahme durch den BfDI wird eine Zielrichtung der datenschutzgerechten Weiterentwicklung der Informationssysteme der Polizei vorgegeben.

BfDI in Leitungsgremium der Global Privacy Assembly gewählt

22. Oktober 2020

Die Global Privacy Assembly (GPA) wählte am 15. Oktober einstimmig den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber in ihr Executive Comitee.

Die GPA ist ein internationales Bündnis der Datenschutzbeauftragten, das 1979 gegründet wurde. Die Versammlung setzt sich auf internationaler Ebene im Bereich des Datenschutzes und des Schutzes der Privatsphäre ein. Mehr als 130 Datenschutzbehörden aus der ganzen Welt sind Mitglied des Bündnisses. Professor Kelber wurde als erster deutscher Datenschutzbeauftragter bei der 42. Konferenz in das Executive Comitee gewählt.

Der BfDI freute sich über das ihm entgegengebrachte Vertrauen: „In der vernetzten Welt von heute müssen wir gemeinsame Lösungen finden. Durch die Wahl haben wir die Chance, auch unsere europäischen Positionen und Sichtweisen einzubringen. Ich werde mich dafür einsetzen, dass die GPA zukünftig eine noch wichtigere Stimme in der globalen Debatte um den Datenschutz wird.“

Steuer-ID als Bürgernummer

3. September 2020

Der Gesetzgeber plant mit dem Registermodernisierungsgesetz (RegMoG) die Einführung einer Identifikationsnummer (Bürgernummer). So sollen die in der öffentlichen Verwaltung geführten Register modernisiert und zusammengeführt werden.

Dabei ist geplant, die bereits jedem Bundesbürger zugewiesene Steuer-Identifikationsnummer (Steuer-ID) in Form einer Bürgernummer als übergreifendes Ordnungsmerkmal zu verwenden. Damit soll das so genannte E-Government eingeführt werden. Bürger müssen dann nicht mehr bei jeder Behörde immer wieder die gleichen Unterlagen mitführen, z.B. Geburtsurkunden oder Heiratsurkunden.

Der Entwurf sieht sich erheblicher Kritik von Seiten der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ausgesetzt. Diese weist darauf hin, dass bereits bei Einführung der aktuell verwendeten Steuer-ID, Gerichte die Verfassungskonformität nur aufgrund der Beschränkung des Zwecks auf rein steuerliche Sachverhalte bejaht haben.

So sieht der Gesetzesentwurf vor, bei mehr als 50 Registern die Steuer-ID als zusätzliches Ordnungsmerkmal einzuführen. Damit lassen sich zum Beispiel Daten aus dem Melderegister mit Daten aus dem Versichertenverzeichnis der Krankenkassen sowie dem Register für ergänzende Hilfe zum Lebensunterhalt oder dem Schuldnerverzeichnis abgleichen. Das ermöglicht die Erstellung umfassender Persönlichkeitsprofile.

Eine Ausweitung auf Zwecke darüber hinaus mithilfe einer Bürgernummer ist nicht nur datenschutzrechtlich bedenklich, sondern auch verfassungsrechtlich. Schon vor einiger Zeit hat der Datenschutzbeauftragte des Bundes auf potentielle Gefahren hingewiesen.

Ergebnisse des Konsultationsverfahrens zur Anonymisierung

1. Juli 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat die Ergebnisse des ersten öffentlichen Konsultationsverfahrens veröffentlicht. Thema ist die Anonymisierung von Daten unter der DSGVO unter besonderer Berücksichtigung der Telekommunikationsbranche.

Zusammengefasst ist die Anonymisierung personenbezogener Daten auch im Telekommunikationssektor grundsätzlich möglich. Besonderes Augenmerk verdient dabei die Validität des eingesetzten Anonymisierungsverfahrens. Eine Verpflichtung zur unverzüglichen Löschung ist durch eine Anonymisierung erfüllbar, hier ist allerdings ein strengerer Maßstab anzulegen.

Dazu führte der BfDI aus: „Wir haben viele Stellungnahmen aus Wirtschaft und Wissenschaft, von Behörden und der Zivilgesellschaft erhalten. Die verschiedenen Ansichten spiegeln dabei die Komplexität des Themas wider. Nach Auswertung aller Beiträge veröffentlichen wir jetzt unser Positionspapier, um für mehr Rechtssicherheit bei den von mir beaufsichtigten Stellen zu sorgen. Ich bedanke mich bei allen, die sich an unserem ersten Konsultationsverfahren beteiligt haben.“

Im Februar diesen Jahres hat der BfDI das erste öffentliche Konsultationsverfahren eröffnet, bei dem Vertreter aus Politik, Wissenschaft, Wirtschaft, Gesellschaft und Verwaltung Stellung zu dem Thema beziehen konnten. Kernfragen waren u.a. ob die Anonymisierung personenbezogener Daten rechtfertigungsbedürftig ist und auf welche Rechtsgrundlage sie sich stützen lässt. Das Positionspapier und die eingegangenen Stellungnahmen sind auf der Website des BfDI abrufbar.

BfDI-Stellungnahme zur elektronischen Patientenakte

8. April 2020

Letzte Woche hat das Bundeskabinett einen Gesetzentwurf zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur veröffentlicht. In seiner Stellungnahme begrüßt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber (BfDI) die Einführung einer elektronischen Patientenakte, bemängelt aber auch datenschutzrechtliche Defizite in dem Gesetzentwurf.

Der BfDI befürwortet die angestrebte Digitalisierung und hebt die Vorteile einer elektronischen Patientenakte, die die Kommunikationen zwischen den zuständigen Stellen und den Patienten erleichtern kann, hervor. Demnach sei es aber auch gut, dass die Nutzung einer solchen elektronischen Akte für Patienten freiwillig ist.

Schwerwiegende Defizite sieht der BfDI insbesondere in Bezug auf das Zugriffsmanagement für die elektronische Patientenakte. Zum einen können die Nutzer erst ein Jahr nach Einführung der elektronischen Patientenakte den Zugriff auf Dokumente feingranular, d.h. für jedes Dokument einzeln verwalten. Zum anderen wird dies nur mit einem geeigneten Endgerät mit der entsprechenden App möglich sein. Bis zu diesem Zeitpunkt und für alle Nutzer ohne geeignetes Endgerät ist es möglich den Zugriff auf ihre Daten nur grobgranular zu verwalten, was Kelber als unzureichend bewertet. Zudem äußert der BfDI Bedenken hinsichtlich der Freigabe von personenbezogenen Daten für die Forschung. Probleme ergeben sich unter anderem im Zusammenhang mit der notwendigen informierten Einwilligung zur Nutzung der Daten für Forschungszwecke. Außerdem wird nicht geklärt, welche Stelle die Aufgaben des geplanten Forschungsdatenzentrums wahrenehmen wird.

Künstliche Intelligenz und Datenschutz

1. Oktober 2019

Am 24. September fand in Berlin ein Symposium des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zum Thema „Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“ mit 150 Gästen statt.

Der BfDI Ulrich Kelber führte hierzu einleitend aus: „Nicht selten stehen wir hier vor einer Blackbox. Insofern ist die datenschutzrechtliche Bewertung von KI-Systemen zwar durchaus schwierig, die Ansicht, Datenschutz und KI schließen sich aus halte ich aber für grundlegend falsch. Das Ziel von KI muss es sein nicht nur innovativ, sondern auch transparent und fair zu sein. Hierzu leistet der Datenschutz einen wichtigen Beitrag.“

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte bei dieser Gelegenheit die „Hambacher Erklärung zur Künstlichen Intelligenz“ vor, datenschutzrechtliche Anforderungen an KI stellt. Außerdem wurden praktische Erfahrungen mit aktuellen KI-Anwendungen bei Google und der Techniker Krankenkasse ausgetauscht und die bedeutende Rolle von KI im Gesundheitsbereich betont. Das Beispiel der FSD Fahrzeugsystemdaten GmbH zeigte zudem, dass KI auch ohne die Verarbeitung von personenbezogenen Daten möglich sei. Mittels KI und Fahrzeugdaten von Herstellern sowie Anbietern von Kfz-Hauptuntersuchungen entwickelt das Unternehmen eine Software, die z.B. defekte Stoßdämpfer mit großer Genauigkeit erkennt. Problematisch sei, aber dass die Autohersteller dennoch Daten mit Personenbezug übermitteln, obwohl dies nicht notwendig ist.

Es gab aber auch kritische Stimmen, dass der Grundsatz des Verbots mit Erlaubnisvorbehalt in der DSGVO im KI-Zeitalter überholt sei und kleine und mittelständische Unternehmen vom Einsatz von KI abhalte.

In einer abschließenden Diskussion zur Vereinbarkeit von Künstlicher Intelligenz und Datenschutz wurde zudem betont, dass in Europa dezentrale Modelle von KI entstehen sollten.

Multilaterale Verwaltungsvereinbarung zum Datentransfer zwischen Finanzaufsichtsbehörden genehmigt

30. April 2019

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) genehmigte am 24. April 2019 erstmals eine multilaterale Verwaltungsvereinbarung entsprechend der Regelung des Art. 46 Abs. 3 lit. b) DSGVO.

Art. 46 Abs. 3 lit. b) DSGVO lautet: Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.

Hierbei geht es um eine Musterverwaltungsvereinbarung zwischen den EU Wertpapier- und Marktaufsichtsbehörden, vertreten durch die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und ihren internationalen Partnerbehörden, vertreten durch die Internationale Organisation der Wertpapieraufsichtsbehörden (IOSCO).

Diese Vereinbarung enthält geeignete Datenschutzgarantien sowie Betroffenenrechte und unterliegt der fortlaufenden Kontrolle des BfDI. Fehlt eine solche Vereinbarung, fehlt auch die Voraussetzung für den rechtmäßigen Datenaustausch mit Finanzaufsichtsbehörden in Drittstaaten.

Youngdata.de – Datenschutz der Jugend näher bringen

19. Februar 2015

Am 10.02.2015 wurde anlässlich des Safer Internet Day in Erfurt das Portal Youngdata freigeschaltet. Youngdata ist ein Gemeinschaftsprojekt der Datenschutzbeauftragten des Bundes und er Länder. Das Jugendportal ist eine Informationsplattform sowohl für junge Leute als auch für Eltern und Lehrer rund um das Thema Datenschutz und Informationsfreiheit.

Die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Andrea Voßhoff, betont, wie wichtig es ist, in einer zunehmend digital vernetzten Welt, Jugendliche schon möglichst früh für bestehende Sicherheitsrisiken zu sensibilisieren. Auf youngdata.de werden Kindern und Jugendlichen deshalb altersgerechte Werkzeuge an die Hand gegeben. So wird nicht nur abstrakt erklärt, was Datenschutz und Informationsfreiheit eigentlich ist und wen es in welcher Form betrifft. Ganz konkret werden vor allem die Medien vorgestellt, mit denen Kinder und Jugendliche heute wie selbstverständlich aufwachsen: Facebook, Google, WhatsApp, Skype werden den Interessierten auf einfache Weise nahegebracht. Es wird ihnen erklärt, welche persönlichen Daten die Services verwenden und wie man als Nutzer seine Datenschutzeinstellungen richtig vornimmt. Auch über Konsolen und Smartphones wird aufgeklärt, ganz nach dem Motto „sensibilisieren statt verbieten“.

Besonders lobenswert erscheint, dass das Gemeinschaftsprojekt von Bund und Ländern nicht nur über zivile Internetfirmen aufklären und Schutz bieten will. Auch werden unter dem Begriff „Staat und Bürgerdaten“ Themen wie Geheimdienste, Staatstrojaner und die Vorratsdatenspeicherung erklärt.

Überdies werden konkrete Hilfestellungen und Anlaufstellen für Opfer von Cybermobbing angeboten. Ein digitales Quiz, Videos, einen Blogg und viele weitere Information finden sich zusammengetragen, gebündelt und auf das für junge Menschen Wesentliche reduziert auf Youngdata: Ein Projekt, das in die Zukunft investiert, das Eltern und Lehrkräften Hilfestellungen bietet und sie im digitalen Dschungel der Erziehung nicht alleine lässt, ein Projekt, das hoffentlich Schule machen wird.

1 2