Schlagwort: DSK

Neue Orientierungshilfe der DSK zur Sicherheit bei der E-Mail-Übermittlung

28. Juni 2021

Die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – hat kürzlich eine Orientierungshilfe veröffentlicht, welche Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vorstellt. Diese richtet sich nicht nur an öffentliche E-Mail-Dienstanbieter, sondern an sämtliche datenschutzrechtlich Verantwortliche sowie Auftragsverarbeiter, die personenbezogene Daten per E-Mail übermitteln. Die Orientierungshilfe behandelt dabei lediglich Risiken in Bezug auf die Vertraulichkeit und Integrität der Daten, also solche Risiken, die sich auf dem Transportweg ergeben. Gegenstand der vorgestellten Maßnahmen sind daher vor allem Verschlüsselungstechniken. Diese sollten jedoch durch Maßnahmen zum Schutz der beteiligten Systeme sowie zur Minimierung, Speicherbegrenzung und Zweckbindung der Verkehrsdaten ergänzt werden.

Inanspruchnahme öffentlicher E-Mail-Dienstanbieter

Nehmen Unternehmen die Dienste öffentlicher E-Mail-Dienstanbieter in Anspruch, sollten diese darauf achten, dass die Dienstanbieter hinreichende Garantien für die Einhaltung der datenschutzrechtlichen Anforderungen bieten können. Dazu gehört auch, dass die Dienstanbieter die Anforderungen der TR 03108-1 des Bundesamtes für Sicherheit und Informationstechnik (BSI) einhalten; dies ist für die Dienstanbieter verpflichtend. Daneben müssen die unternehmenseigenen Systeme und Endgeräte sicher an jene der Dienstanbieter angebunden sein. Sollten sich für die Verarbeitung nach Einschätzung des Verantwortlichen oder Auftragsverarbeiters gesteigerte Risiken ergeben, sind ggf. die zusätzlichen, in der Orientierungshilfe dargestellten Anforderungen einzuhalten.

Gezielter Empfang personenbezogener Daten

Die DSK stellt anschließend zwei Fallgruppen vor, für welche sich zusätzliche Verpflichtungen ergeben können: Einerseits die gezielte Entgegennahme personenbezogener Daten durch E-Mails, andererseits der Versand von E-Mail-Nachrichten. Werden gezielt personenbezogene Daten per E-Mail entgegengenommen, muss der Empfänger einen verschlüsselten Kanal zur Verfügung stellen, mindestens per TLS-Verbindung. Außerdem sollte ein möglichst breites Spektrum an qualifizierten Algorithmen für die Verschlüsselung und Authentifizierung zur Verfügung gestellt und DKIM-Signaturen überprüft werden, um die Authentizität und Integrität der empfangenen Nachrichten sicherzustellen. Bestünde durch den Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen, muss schließlich sowohl eine qualifizierte Transportverschlüsselung als auch der Empfang von Ende-zu-Ende-verschlüsselten Nachrichten ermöglicht werden. Auch die Signaturen müssen dann qualifiziert überprüft werden.

Versand von E-Mail-Nachrichten

Werden personenbezogene Daten per E-Mail versandt, sollten sich die Verantwortlichen oder Auftragsverarbeiter an der TR 03108-1 des BSI (s.o.) orientieren und eine obligatorische Transportverschlüsselung sicherstellen. Würde der Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen darstellen, ist grundsätzlich sogar eine Ende-zu-Ende-Verschlüsselung sowie eine qualifizierte Transportverschlüsselung erforderlich. Für Berufsgeheimnisträger können sich zudem besondere Anforderungen ergeben, da bei diesen ein hohes Risiko für die Betroffenen anzunehmen ist. Schließlich muss durch geeignete technische und organisatorische Maßnahmen sichergestellt werden, dass beim Empfänger nur jene Personen von der Nachricht Kenntnis nehmen können, für welche die Nachricht bestimmt ist. Bei hohem Risiko kann etwa eine Ende-zu-Ende-Verschlüsselung mit individueller Adressierung in Betracht kommen.

Anforderungen müssen eingehalten werden

Die Orientierungshilfe enthält außerdem umfangreiche technische Anforderungen an die dargestellten Verschlüsselungs- und Signaturverfahren. Für betroffene Unternehmen gilt es also zu prüfen, ob diese erforderlich sind, und wenn ja, ob die Anforderungen korrekt umgesetzt werden. Wichtig ist die Feststellung, dass die DSK lediglich typische Verarbeitungssituationen berücksichtigen konnte. Ergeben sich bei einem Verantwortlichen oder Auftragsverarbeiter Besonderheiten für die Verarbeitung, etwa aus dem Umfang, den Umständen oder den Zwecken der Übermittlung, muss dies berücksichtigt werden und kann ggf. abweichende Anforderungen notwendig machen. Zudem betont die DSK, dass andere Kommunikationskanäle ausgewählt werden müssen, wenn die dargestellten Anforderungen nicht erfüllt werden können.

Sicherheitsexperten kritisieren Luca-App

3. Mai 2021

Nachdem bereits die Datenschutzkonferenz des Bundes und der Länder (DSK) der Luca-App Mängel attestiert hatte, hat sich nun auch eine Gruppe führender IT-Sicherheitsexpertinnen und -experten kritisch über die App geäußert, welche bereits durch einige Bundesländer erworben wurde und die Kontaktnachverfolgung in der Corona-Pandemie erleichtern soll. Die App weise demnach derart schwerwiegende Defizite auf, dass die mit der Nutzung einhergehenden Risiken gegenüber dem Nutzen der Anwendung „völlig unverhältnismäßig“ seien.

Wesentliche Prinzipien seien nicht erfüllt

In der gemeinsamen Stellungnahme kritisieren die Expertinnen und Experten nicht das Vorhaben der technischen Kontaktnachverfolgung per se, dieses könne – wenn richtig eingesetzt – ein wirksames Mittel zur Pandemie-Bekämpfung darstellen, indem die Arbeit der Gesundheitsämter vereinfacht wird. Jedoch erfülle die Luca-App nicht die sicherheitsrelevanten Prinzipien der Zweckbindung, Offenheit/Transparenz, Freiwilligkeit und Risikoabwägung.

Intransparent, unfreiwillig und unsicher?

Zweckbindung bedeute im Rahmen der Kontaktnachverfolgung, dass die erhobenen Daten nur zum Zwecke der Pandemiebekämpfung eingesetzt werden dürfen. Weil jedoch bereits weitere Geschäftsmodelle mit der App als Basis diskutiert würden, sei dieses Kriterium nicht erfüllt. In diesem Zusammenhang wird auch die Gewinnerzielungsabsicht des Betreibers kritisch betrachtet. Zudem wird der Entwicklungsprozess des Systems als intransparent bezeichnet und dem Entwickler vorgeworfen, dass „selbst leicht zu findende Sicherheitslücken“ erst im laufenden Betrieb entdeckt wurden. Schließlich könne auch nicht mehr von einer freiwilligen Nutzung gesprochen werden, wenn die Verwendung der App zur Voraussetzung der Teilhabe am gesellschaftlichen Leben gemacht wird.

Besonders kritisiert wird die mangelhafte Nutzen-Risiko-Abwägung. Einerseits sei bereits der Nutzen für die Gesundheitsämter fraglich, wenn die Auswertung weiterhin manuell erfolge. Zudem könnte auch die App mit falschen Daten gefüttert bzw. manipuliert werden. Sicherheitsrisiken bestünden auch hinsichtlich der erhobenen Daten selbst. Diese seien besonders sensibel, würden aber zentralisiert und auf Vorrat gespeichert. Bereits aus Metadaten ließen sich Bewegungsprofile erstellen, sodass auch eine doppelte Verschlüsselung keinen vollständigen Schutz biete. Ohnehin seien die zentral gespeicherten Daten kaum vor Angriffen zu schützen. Insgesamt seien somit die mit der Nutzung verbundenen Risiken „völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.“

Betreiber weisen Kritik zurück

Patrick Hennig, Geschäftsführer der der Culture4Life GmbH, die das Luca-System betreibt, wies die geäußerte Kritik zurück. Die App sei transparent und werde den Nutzern nicht aufgezwungen. Auch sei das System sicher, trotz der zentralisierten Struktur. Dies sei auch bei vielen anderen Systemem – wie im Finanzsystem, der Gesundheitsakte oder bei den Gesundheitsämtern – üblich, und durch eine umfassende dezentrale Verschlüsselung seien die Daten nicht durch eine einzige Partei lesbar.

Kategorien: Allgemein · Coronavirus
Schlagwörter: ,

DSK: Kontaktverfolgung durch Apps sicher gestalten und regeln

7. April 2021

Die Nachverfolgung persönlicher Kontakte wird seit Beginn der Covid-19-Pandemie als ein wirksames Mittel zur Pandemiebekämpung betrachtet. Nachdem das Robert-Koch-Institut die Corona-Warn-App veröffentlichte, machten sich auch private Anbieter an die Entwicklung entsprechender Apps, wie beispielsweise die App Luca. In einer Stellungnahme vom 26. März hat sich die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – zu diesen Thema geäußert.

Öffentliche Stellen wollen privat betriebene Apps nutzen

Hintergrund der Stellungnahme ist, dass nunmehr einige Länder und Landkreise die Absicht bekundet hätten, private entwickelte Apps zu nutzen und auch eine Verbindung zu den lokalen Gesundheitsämtern zu ermöglichen. Dabei weist die DSK noch einmal darauf hin, dass ein solches Vorgehen datenschutzkonform erfolgen müsse. Dies sei in datensparsamer Weise aber nur dann möglich, wenn es bundesweit auf einheitliche Regelungen gestützt werde. Solche gesetzliche Regelung fehlten jedoch, so die DSK.

DSK zu den Anforderungen an die Datensicherheit

Auch fasst die DSK noch einmal zusammen, welche Funktionen eine App zur Gewährleistung der Datensicherheit aufweisen sollte: Ende-zu-Ende-Verschlüsselung (sodass auch der Betreiber nicht auf die Daten zugreifen kann), automatisierte fristgemäße und datenschutzkonforme Datenlöschung, sichere Wege zur Datenübermittlung von Nutzer/Veranstalter zum Gesundheitsamt (anstatt E-Mail oder Fax), strikte Zweckbindung der Daten (sichergestellt durch entsprechende technische und organisatorische Maßnahmen) sowie unverzügliche Information über das Infektionsrisiko. Aus organisatorischer Sicht müsse die datenschutzrechtliche Verantwortung klar verteilt werden, Betroffenenrechte seien transparent und eindeutig zu regeln und die Freiwilligkeit der digitalen Erhebnung sicherzustellen.

Auch Luca-App habe noch Anpassungsbedarf

In Bezug auf die App Luca seien bereits wesentliche Punkte sichergestellt, jedoch identifiziert die DSK auch hier noch notwendige Anpassungen. So sieht die DSK die derzeit implementierte zentrale Speicherung aller erhobenen Daten kritisch und möchte hier auf eine dezentrale Speicherung hinwirken. Problematisch sei zudem, dass der Schlüssel zur Entschlüsselung der Daten (es gebe nur einen Schlüssel für alle Gesundheitsämter) bei dem Anbieter liege. Hier könne beispielsweise ein Hacker-Angriff alle erhobenen Daten in Gefahr bringen.

DSK: Orientierungshilfe für Betreiber und Appell an Gesetzgeber

Schließlich betont die DSK die Verantwortung der zuständigen Aufsichtsbehörden, die Systemsicherheit zu überprüfen und mit den Anbietern entsprechender Apps im Gespräch zu bleiben. Zur Unterstützung werde die DSK eine Orientierungshilfe für die App-Betreiber erarbeiten und kurzfristig veröffentlichen. Gleichzeitig appelliere die DSK an die Gesetzgeber des Bundes und der Länder, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen. Dabei sei auch zu prüfen, inwieweit mit datensparsameren Verfahren das Ziel der Kontaktnachverfolgung im Rahmen der aktuellen Pandemiebekämpfung erreicht werden kann.

Entschließungen der 100. Datenschutzkonferenz veröffentlicht

10. Dezember 2020

Bereits am 25. und 26. November 2020 hatten sich die Datenschutzbehörden des Bundes und der Länder (DSK) zu ihrer 100. Sitzung zusammengefunden. Dabei berieten und äußerten sich die obersten Datenschützer zu zahlreichen aktuellen Themen: Nutzung von MS Office 365, Fragen der Datenverarbeitung im Rahmen der Covid-19-Pandemie, Ende-zu-Ende-Verschlüsselung, Umsetzung der ePrivacy-Richtlinie und Zentralisierung der Datenschutz-Aufsicht (alle Entschließungen können hier eingesehen werden).

Nutzung von MS Office 365 zulässig?

Die DSK stellte ihre Ergebnisse zur Untersuchung von Windows 10 in der „Enterprise“-Version vor. Dabei wurde festgestellt, dass es zu Übermittlungen von Telemetriedaten kommen kann. Um diese zu verhindern und eine zulässige Nutzung zu ermöglichen, sollte – so die DSK – die Telemetriestufe „Security“ genutzt und mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z.B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sichergestellt werden, dass keine Übermittlung von Telemetriedaten erfolgt.

Im Hinblick auf MS Office 365 kündigte die DSK an, weiterhin im Gespräch mit Microsoft bleiben zu wollen. Hier wurden demnach keine neuen Ergebnisse vorgestellt.

Umsetzung der ePrivacy-Richtlinie angemahnt

Die DSK hat den Gesetzgeber zudem dazu angemahnt, endlich die Vorgaben der sog. ePrivacy-Richtlinie vollständig und ordnungsgemäß in deutsches Recht umzusetzen. Vor dem Hintergrund des BGH-Urteils zur Verwendung von Cookie-Bannern (wir berichteten) sei die Unsicherheit der Webseiten-Betreiber groß, welche rechtlichen Regelungen bei der Verarbeitung nicht-personenbezogener Daten denn nun gelten. Insofern sei der Gesetzgeber dazu verpflichtet, die Vorgaben der ePrivacy-Richtlinie nunmehr vollständig, ordnungsgemäß und im Einklang mit der DSGVO umzusetzen.

Gegen Aufweichung der Ende-zu-Ende-Verschlüsselung

Kritisch äußerte sich die DSK auch zu Vorschlägen des Rates der Europäischen Union, welche die Aufweichung der Ende-zu-Ende-Verschlüsselung im Rahmen vertraulicher privater Kommunikation betreffen. Nach diesen Vorschlägen sollte den Sicherheitsbehörden und Geheimdiensten der Zugriff auf verschlüsselte Kommunikation in Messengerdiensten und anderen Kommunikationsmitteln vereinfacht werden. Die DSK wendet gegen dieses Vorhaben insbesondere ein, dass dies durch Kriminelle und Terroristen leicht umgangen werden könnte, im Gegenteil aber die Digitalisierung in Wirtschaft und Verwaltung beeinträchtigen könne und auch das Vertrauen der Bürger in sichere Kommunikationsmittel gefährde.

Zentralisierung der Datenschutzaufsicht kontraproduktiv

Schließlich äußerte die DSK auch Bedenken gegenüber Forderungen, die Datenschutzaufsicht im nicht-öffentlichen Bereich zu zentralisieren. Diese sei kontraproduktiv, denn eine Zentralisierung führe zu einer Entfernung von den Unternehmen und Bürgern. Auch genießen die Aufsichtsbehörden ein hohes fachliches Ansehen. Statt eine solche Debatte zu führen, sollte die bessere personelle Ausstattung vorangetrieben werden, sodass alle Behörden ihre Aufgaben vollumfänglich erfüllen können.

Weitere Stellungnahmen der Aufsichtsbehörden zum Privacy-Shield-Aus

31. Juli 2020

Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere „Big Player“ unter den Aufsichtsbehörden zu Wort gemeldet.

Stellungnahme und FAQ des EDSA

Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des „right to privacy“ auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.

Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.

In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine „Gnadenfrist“ gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.

Presseerklärung der DSK

Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.

Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.

Asset Deal- Katalog von Fallgruppen

3. Juli 2019

Am 24.05.2019 hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Unternehmensverkauf zu berücksichtigen sind.

Ein Asset Deal ist eine Unterart des Unternehmenskaufs, bei dem Wirtschaftsgüter (engl. Assets) eines Unternehmens, wie Grundstücke, Gebäude, Maschinen, Patente etc., im Rahmen der Singularsukzession übertragen werden.

Bisher war es umstritten, ob und in welchem Umfang in einem solchen Fall auch Daten von Kunden verkauft werden dürfen.

Folgende Fallgruppen wurden von der DSK nun beschlossen:

  • Kundendaten bei laufenden Verträgen
  • Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung älter als 3 Jahre
  • Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzte Vertragsbeziehung jünger als 3 Jahre
  • Kundendaten im Falle offener Forderungen
  • Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DS-GVO
Kategorien: Allgemein
Schlagwörter: , , ,

Keine Abschaffung des Datenschutzbeauftragten

29. April 2019

Die Datenschutzkonferenz lehnt die Forderung ab, die Pflicht zur Benennung von Datenschutzbeauftragten aufzuweichen.

In dem Entschließungsantrag des Landes Niedersachsen vom 02. April 2019 war nachfolgende Forderung angeführt:

„Der Bundesrat fordert eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Gemäß § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Zwar ist diese Regelung nicht neu, sondern an den § 4 f Abs. 1 S. 4 BDSG a. F. angelehnt, sie stellt jedoch eine nationale Besonderheit dar, durch die in Deutschland ansässige Unternehmen gegenüber Unternehmen in anderen Mitgliedsstaaten mit mehr Bürokratie belastet werden. Der Bundesrat fordert die Bundesregierung daher auf, hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.“

Dieser Forderung kommt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einem Beschluss nicht nach.

Nach der DSK habe sich diese Pflicht seit vielen Jahren bewährt und sei auch deshalb bei der Datenschutzreform im deutschen Recht beibehalten worden. Aufgrund einer betrieblichen Selbstkontrolle sorgen die Datenschutzbeauftragten für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten.

Ein Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten würde dem nicht entgegenkommen.
Mittelfristig ginge interne Kompetenz verloren.

Die Konferenz spricht sich daher gegen eine Abschaffung oder Auflockerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen (§ 38 BDSG) aus.

Kategorien: Allgemein · EU-Datenschutzgrundverordnung
Schlagwörter: , , ,

EU-Datenschutzgrundverordnung aktuell (3): Positionspapier der DSK

27. August 2015

Der Trilog zwischen Europäischem Parlament, Rat der Europäischen Union und Europäischer Kommission zu den Beratungen zu der EU-Datenschutzgrundverordnung geht in die „heiße Phase“. Daher hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) am gestrigen Tag ein Positionspapier veröffentlicht und darin diverse Nachbesserungen gefordert. Die EU-Datenschutzgrundverordnung müsse im Vergleich zum geltenden Rechtsstand einen verbesserten, mindestens aber dem bisherigen Standard gleichwertigen Grundrechtsschutz gewährleisten. Daher appelliert die DSK an die Trilogpartner, bei ihren Verhandlungen insbesondere zu berücksichtigen:

  • Die Datensparsamkeit muss Gestaltungsziel bleiben!
  • Es darf keine Aufweichung der Zweckbindung geben!
  • Die Einwilligung des Einzelnen muss die Datenhoheit sichern!
  • Die Rechte der Betroffenen dürfen nicht eingeschränkt werden!
  • Die Profilbildung muss wirksam begrenzt werden!
  • Effektiver Datenschutz braucht betriebliche und behördliche Datenschutzbeauftragte!
  • Datenübermittlungen an Behörden und Gerichte in Drittstaaten bedürfen einer stärkeren Kontrolle!

Das Positionspapier steht in detaillierter Version zum Download bereit.

88. DSK: Datenschutz erfordert unabhängige Kontrollbehörden

9. Oktober 2014

Die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat im Rahmen einer Entschließung den Gesetzesentwurf der Bundesregierung, der auf eine Stärkung der Unabhängigkeit der Bundesbeauftragten abzielt, explizit begrüßt. Gleichzeitig weist sie darauf hin, dass eine unabhängige Datenschutzaufsicht jedoch nur erfolgen könne, wenn der Behörde ausreichende Personal- und Sachmittel zur Verfügung gestellt werden. Insbesondere müsse sich der stetige Aufgabenzuwachs auch in der personellen Ausstattung widerspiegeln. Das gelte auch gerade für viele Datenschutzbehörden in den Ländern, die oft defizitär ausgestattet sind und damit die Grundrechte Betroffener nur unzureichend schützen können. 

Die weiteren Entschließungstexte der 88. DSK sind auf der Website des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit abrufbar.

DSK: Mehr Datenschutz auf nationaler, europäischer und internationaler Ebene!

2. Oktober 2013

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat auf ihrer 86. Tagung in Bremen an alle Akteurinnen und Akteure der 18. Legislaturperiode appelliert, sich für die Stärkung des Datenschutzes auf nationaler, europäischer und internationaler Ebene einzusetzen. Angesichts der anlasslosen und umfassenden internationalen Überwachungsaktivitäten von Nachrichtendiensten fordere man von dem Bundesgesetzgeber und der neuen Bundesregierung wirksame Maßnahmen zum Schutz der Vertraulichkeit der Kommunikation und der Privatsphäre. Wenn hier nicht entschieden gegengesteuert wird, sei zu befürchten, dass eine Gewöhnung an eine allgegenwärtige Überwachung einsetze und damit rechtsstaatliche Garantien dauerhaft außer Kraft gesetzt würden. „In der neuen Legislaturperiode haben die Bundesregierung und der Bundestag die Chance für einen Neuanfang im Datenschutz. Die Bürgerinnen und Bürger erwarten zu Recht, dass sie gegen den Datenhunger von Unternehmen und gegen überbordende Überwachungsaktivitäten geschützt werden.“, so der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar.

Im Rahmen der Entschließung „Forderungen für die neue Legislaturperiode: Die Datenschutzgrundrechte stärken!“ nimmt die Datenschutzkonferenz zu den drei besonders bedeutsamen Bereichen öffentliche Sicherheit, Gesundheitsdatenschutz und Vertraulichkeit der elektronischen Kommunikation in gesonderten Entschließungen Stellung.
In der Entschließung zur öffentlichen Sicherheit betont die Datenschutzkonferenz Handlungsbedarf im Hinblick auf diesen besonders eingriffsintensiven Bereich. Erforderlich sei eine rechtsstaatlich transparente Kontrolle der Nachrichtendienste im nationalen wie im internationalen Rahmen. Darüber hinaus müsse diesen Behörden, deren Tätigkeit tief in die Grundrechte der Bürgerinnen und Bürger eingreift, enge Grenzen gesetzt werden. Auch für Grundrechtseingriffe anderer Sicherheitsbehörden seien wirksame Beschränkungen erforderlich.
Mit der Entschließung „Stärkung des Datenschutzes im Sozial- und Gesundheitswesen“ fordern die Teilnehmer der Konferenz angesichts der mit dem zunehmenden Wettbewerb im Sozial- und Gesundheitswesen verbundenen Risiken für die informationelle Selbstbestimmungen die Stärkung der Schutzrechte für die Privat- und Intimsphäre von Patientinnen, Patienten und Versicherten.
In der Entschließung „Sichere elektronische Kommunikation gewährleisten – Ende-zu-Ende-Verschlüsselung einsetzen und weiterentwickeln“ setze man sich für die Förderung der Vertraulichkeit und Integrität elektronischer Kommunikation ein. Gefordert werde, dass der öffentliche Bereich mit gutem Beispiel vorangeht und die Ende-zu-Ende-Verschlüsselung unter Verwendung des in Bremen entwickelten Standards OSCI-Transport flächendeckend einsetzt.
Kategorien: Allgemein
Schlagwörter: , , ,
1 2