Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz vom 30.05.2022
Der Bayerische Landesbeauftragte für den Datenschutz erklärt, wie das im Datenschutzrecht geht
Der Umgang mit Risiken ist nicht immer einfach. Das ist auch im Datenschutzrecht so. Damit bayerische öffentliche Stellen Risiken bei der Verarbeitung personenbezogener Daten noch leichter aufspüren und bewältigen können, hat der Bayerische Landesbeauftragte für den Datenschutz seine Erkenntnisse zu diesem Thema in einer neuen Orientierungshilfe zusammengefasst.
Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat am Dienstag in Dresden ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken der Datenschutzbehörde unter ihrem Amtsvorgänger Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete.
Auf über 200 Seiten sind Schwerpunkte der Aufsichtstätigkeit, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst. Außerdem enthält der Bericht eine Übersicht zu den veröffentlichten Dokumenten der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.
Datenschutz in der Corona-Pandemie
Der Berichtszeitraum umfasst das zweite Pandemiejahr. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer (Beitrag 1.1), 3G-Regelung am Arbeitsplatz (1.1), Impfwerbung des Sozialministeriums (2.2.10), Testungen in Schulklassen (2.4.1) sowie die Quarantäne-Kontrolle durch Polizeibedienstete (2.4.5). Die Fragestellungen bewegten sich regelmäßig im Spannungsfeld zwischen einem wirksamen Infektionsschutz und dem nach Datenschutzrecht zulässigen Eingriffen in die Persönlichkeitsrechte der Bürgerinnen und Bürger.
Löschung von Corona-Datenbeständen
In Bezug auf die aktuelle Situation betont Dr. Juliane Hundert: „Unternehmen und Behörden haben noch vorhandene Corona-Datenbestände umgehend zu überprüfen und nicht mehr erforderliche Daten zu löschen. Für die Kontaktnachverfolgung, wie sie beispielsweise in Restaurants oder Behörden üblich war, gibt es inzwischen keine gesetzliche Grundlage mehr. Des Weiteren entfallen die Zutrittskontrollen zum Arbeitsplatz, denn Arbeitgeberinnen und Arbeitgeber dürfen den Impf-, Genesenen- und Teststatus von Beschäftigten grundsätzlich nicht mehr abfragen. Ausgenommen davon sind Einrichtungen und Unternehmen des Gesundheitswesens. Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen erforderlich und damit rechtskonform. Das betrifft die einrichtungsbezogene Impfpflicht in § 20a Infektionsschutzgesetz (neu).
Bei den zu löschenden Informationen und Unterlagen handelt es sich oftmals um besonders schützenswerte Gesundheitsdaten. Vor allem solche Dokumente dürfen nicht einfach in den Papierkorb geworfen werden, sondern sind fachgerecht zu vernichten.“
Die datenschutzkonforme Vernichtung von Datenträgern sollte sich nach der DIN 66399 richten. Die Norm enthält auch Vorgaben zum Löschen von Papierdokumenten. Demnach sind Aktenvernichter der Sicherheitsstufe 4 oder höher geeignet.
Anzahl der Beratungen steigt erneut (6.2.3)
Die Beratung in Datenschutzfragen zählte 2021 weiterhin zu den Hauptaufgaben. Über 1.100 Vorgänge entfielen auf diesen Bereich – ein Plus von über 9 Prozent gegenüber dem Vorjahr. Das waren fast so viele Fälle wie im Jahr 2018, als die Datenschutz-Grundverordnung wirksam wurde.
„Im Zuge der Digitalisierung haben wir es häufig mit sehr komplexen Datenverarbeitungen zu tun. Daher empfehle ich datenverarbeitenden Stellen stets, frühzeitig ihre Datenschutzbeauftragten einzubeziehen. Dieses Vorgehen hat sich bewährt. Schließlich lassen sich somit viele Verstöße von vornherein verhindern. Natürlich können sich Verantwortliche mit ihren Fragen auch an mich und meine Dienststelle wenden.“, erläutert Dr. Juliane Hundert.
Zu den Beratungsvorgängen zählte beispielsweise auch ein wissenschaftliches Projekt, bei dem eine Forschungseinrichtung mithilfe von Videobeobachtung das Fahrverhalten von E-Scootern untersuchte (2.2.4). Das Beispiel zeigt: „Es ist möglich, dass Forschungsdaten so verarbeitet werden, dass die Persönlichkeitsrechte der Bürgerinnen und Bürger bestmöglich geschützt werden“, so die Sächsische Datenschutzbeauftragte und fügt hinzu: „Ich unterstütze die Forderung der Datenschutzkonferenz, Methoden zu entwickeln, die eine Verarbeitung von Forschungsdaten nach europäischen Werten ermöglichen.“
Hohes Beschwerdeaufkommen (6.2.2)
Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen lag mit 1.254 auf dem hohen Niveau des Vorjahres. Ein Teil davon betraf die sogenannten Telemedien. Dr. Juliane Hundert empfiehlt: „Betreiber von Websites und Apps sollten die Verwendung von Cookies und anderen Technologien dringend überprüfen. Der häufig unrechtmäßige Einsatz von Tracking- und Zusatzdiensten offenbart Informationsdefizite bei den Verantwortlichen. Hier liegt noch viel Aufklärungsarbeit vor uns.“
Im Tätigkeitsbericht finden Verantwortliche ein vereinfachtes Prüfschema, mit dem sich häufige Datenschutzschwachstellen bei Websites und Apps ermitteln lassen (4.1.1).
Gemeldete Datenpannen auf neuem Höchststand (4.4)
Nach Artikel 33 der Datenschutz-Grundverordnung sind Verantwortliche verpflichtet, im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde zu melden.
„Im Berichtszeitraum sind 923 Meldungen von Datenschutzverletzungen in meiner Behörde eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um rund 45 Prozent. Wie in der Vergangenheit bereits prognostiziert steigt angesichts der fortschreitenden Digitalisierung auch das Risiko für Datenpannen“, erläutert die Sächsische Datenschutzbeauftragte.
Rund ein Drittel der Meldungen von Datenschutzverletzungen sind auf Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen zählten Anfang 2021 die Sicherheitslücken in Microsoft Exchange-Servern (4.4).
Weitere Fallgruppen, die im Berichtszeitraum besonders häufig auftraten: Fehlversand, offene E-Mail-Verteiler, Verlust auf dem Postweg, Verlust von Datenträgern und Datenschutzverletzungen durch Auftragsverarbeiter.
Breites Themenspektrum
Neben den Vorgängen, die im Zusammenhang mit der Pandemie standen, bearbeitete die Behörde eine große Vielfalt an weiteren Datenschutzthemen: Hingewiesen werden soll hier auf die Videoüberwachung durch Privatleute (2.2.6), den Einsatz einer Lernplattform mit künstlicher Intelligenz in der Schule (2.1.2), Internetveröffentlichungen von Wettkampfergebnissen im Jugendgolfsport (2.3.2), die biometrische Zutrittskontrolle in einer Freizeiteinrichtung (2.4.2), Stellungnahmen zu Gesetzesentwürfen und Rechtsverordnungen (6.2.7), Gesichtserkennung für die Strafverfolgung durch die Polizei (8.2) u. v. m.
Bezug des Tätigkeitsberichts 2021
Der Bericht der Sächsischen Datenschutzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de
Download als PDF-Datei: www.saechsdsb.de
Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.
Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht Jahresbericht 2021
Veröffentlicht am:
Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) veröffentlicht heute ihren Jahresbericht für das Jahr 2021. Erneut waren datenschutzrechtliche Fragestellungen im Zusammenhang mit der Pandemiebekämpfung ein Arbeitsschwerpunkt. Bei den Eingaben und den gemeldeten Datenpannen gab es einen deutlichen Anstieg im Vergleich zum Vorjahr.
Für den Anstieg der Eingaben sind u. a. die Auswirkungen der Corona-Pandemie verantwortlich. So erreichten die Datenschutzbeauftragte viele Beschwerden zum Impfmanagement des Landes Berlin, bei dem die Bürger:innen zur Terminvereinbarung zwingend ein Vertragsverhältnis mit einem Privatunternehmen eingehen mussten. Hier hat die zuständige Senatsverwaltung die Hinweise der Datenschutzbeauftragten zur datenschutzkonformen Einbindung des Unternehmens bislang ignoriert. Viele Beschwerden richteten sich auch gegen die Corona-Teststellen. Im Zuge der Datenverarbeitungen kam es hier zu einer Reihe von Datenpannen und zahlreichen anderen datenschutzrechtlichen Verstößen.
Als elektronisches System zur Kontaktnachverfolgung etablierte sich eine von vielen Bundesländern geförderte Anwendung, die zahlreiche rechtliche und technische Mängel aufwies. Die Datenschutzbehörde führte intensive Gespräche zur Behebung der festgestellten Mängel mit der in Berlin ansässigen Betreiberin. „Ein solches System muss von Grund auf datensparsam, mit starker Zweckbindung und sicherheitsorientiert gestaltet werden“, sagt Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI.
Eine Herausforderung bleibt auch die datenschutzkonforme Digitalisierung der Schulen. Mit der Reform des Berliner Schulgesetzes hat Berlin 2021 die rechtliche Grundlage für einen datenschutzgerechten Unterricht geschaffen. Dazu Brozio: „Erfreulicherweise hat das Abgeordnetenhaus unsere Vorschläge für die datenschutzkonforme Nutzung digitaler Lehr- und Lernmittel in das Schulgesetz übernommen. Meine Behörde steht der Bildungsverwaltung bei diesem und weiteren Projekten der Schuldigitalisierung weiterhin beratend zur Seite.“
Infolge der Schrems-II-Entscheidung des Europäischen Gerichtshofes befasste sich die Datenschutzbeauftragte im Jahr 2021 intensiv mit der Übermittlung personenbezogener Daten in Drittstaaten. Im Rahmen einer deutschlandweiten Aktion führte sie eine teilautomatisierte Vorprüfung von 900 Berliner Unternehmen hinsichtlich möglicher Datenexporte durch. Dabei wurde festgestellt, dass zahlreiche Unternehmen selbst die grundlegenden Anforderungen nicht umgesetzt haben.
Erstmals sprach die BlnBDI in einem Verfahren zwei Beanstandungen gegen die Polizei Berlin aus. Anlass waren die fehlende Kooperationsbereitschaft und eine eklatant rechtswidrige Datenübermittlung seitens der Polizei. Die Polizei Berlin hatte Akten ungeschwärzt an ein Gericht übersandt, wodurch ein Anwalt im Rahmen einer Akteneinsicht Einblick in Daten der Anmelder:innen von Gegendemonstrationen erhielt.
Als Aufsichtsbehörde für die Informationsfreiheit im Land Berlin hat die BlnBDI im letzten Jahr den Gesetzentwurf für ein neues Transparenzgesetz eng begleitet. Der Gesetzentwurf scheiterte schließlich auch aufgrund der ausufernden Bereichsausnahmen, die von der Beauftragten für Informationsfreiheit zuvor kritisiert worden waren. Brozio stellt hierzu fest: „Die Schaffung eines Berliner Transparenzgesetzes, das seinem Namen gerecht wird, bleibt in der neuen Legislaturperiode die entscheidende Aufgabe im Bereich der Informationsfreiheit.“
Im Jahr 2021 wandten sich Betroffene in insgesamt 5.671 Fällen mit einer Beschwerde oder einem Beratungsersuchen an die BlnBDI – so häufig wie noch nie zuvor. Einen weiteren Höchstwert gab es bei den Datenpannen, von denen private und öffentliche Stellen insgesamt 1.163 Fälle meldeten. Die Behörde hat 212 Verwarnungen, zwei Warnungen und eine Anordnung gegenüber privaten und öffentlichen Stellen ausgesprochen. Zudem verhängte sie 61 Bußgelder in Höhe von insgesamt 133.350,00 Euro.
Am 27. Oktober 2021 endete die Amtszeit von Maja Smoltczyk als Berliner Beauftragte für Datenschutz und Informationsfreiheit. Bis zur Neuwahl einer Nachfolge durch das Abgeordnetenhaus, leitet der Stellvertreter Volker Brozio die Dienststelle kommissarisch.
Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
Der BfDI, Prof. Ulrich Kelber, übergab am 20. Mai 2022 seinen 30. Tätigkeitsbericht zum Datenschutz an den Präsidenten des Bundesrats, Bodo Ramelow.
Seit Einführung der DSGVO berichtet der BfDI gegenüber den Ländervertretern direkt über seine Arbeit. Der diesjährige Tätigkeitsbericht thematisierte vor allem Pandemiethemen wie Fragen zur Abfrage von Test-, Impf- und Genesenenstatus am Arbeitsplatz oder den Aktualisierungen der Corona-Warn-App. Daneben hat sich der BfDI auch mit der Regulierung von Künstlicher Intelligenz und dem Umgang mit Forschungsdaten beschäftigt. Der Bundesrat selbst wirkt an der Bundesgesetzgebung zum Datenschutz maßgeblich mit und bestimmt den Stellvertreter des BfDI im Europäischen Datenschutzausschuss. Die Tätigkeitsberichte waren bereits am 5. April 2020 der Präsidentin des Deutschen Bundestags überreicht worden.
Start des Zensus 2022 – Dr. Juliane Hundert: „Einhaltung des Datenschutzes wird kontrolliert“
Veröffentlicht am:
Am 15. Mai startet in Sachsen mit dem Zensus 2022 eine große Bevölkerungs-, Gebäude- und Wohnungszählung.
Das Statistische Landesamt organisiert die Erhebung, bei der rund 15 Prozent der sächsischen Bevölkerung im Rahmen einer Haushaltebefragung persönliche Informationen über sich preisgeben müssen. Die gesetzliche Grundlage bildet insbesondere das vom Bundesgesetzgeber verabschiedete Zensusgesetz 2022, wonach für Befragte eine Auskunftspflicht besteht. Weiterhin enthält das Gesetz detaillierte Regelungen zum Datenschutz und zur Datenverarbeitung.
Dazu erklärt die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert:
„In seinem wegweisenden Volkszählungsurteil aus dem Jahr 1983 hat das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung festgeschrieben. Die Richter haben damit dem Staat bei Bevölkerungsbefragungen klare Grenzen gesetzt. Er muss unter anderem eine Rechtsgrundlage schaffen sowie organisatorische und verfahrensrechtliche Vorkehrungen treffen, damit die erhobenen Daten nicht in falsche Hände gelangen. In der Praxis heißt das beispielsweise, dass statistische Einzelangaben einer befragten Person streng geheim zu halten sind. Sie dürfen nicht an Verwaltungsbehörden oder Private herausgegeben werden. Mit meiner Behörde werde ich beim Zensus 2022 stichprobenartig überprüfen, ob die datenschutzrechtlichen Bestimmungen eingehalten werden. Bürgerinnen und Bürger haben schließlich ein Recht darauf, dass der Staat ihre Daten stets rechtskonform verarbeitet.“
Befragte Personen haben beim Zensus zum Beispiel Angaben zu ihrer Wohnsituation, zur Bildung und Erwerbstätigkeit zu machen.
Ein Teil der Erhebung ist die Haushaltebefragung. Dabei nehmen Beauftragte des Statistischen Landesamts persönlich Kontakt zu den auskunftspflichtigen Personen auf.
Die zweite Säule bildet die Gebäude- und Wohnungszählung (GWZ). Alle Eigentümerinnen und Eigentümer sowie Verwalterinnen oder Verwalter von Wohneigentum erhalten hierzu Post. Bei der GWZ wird kein persönlicher Kontakt durch Erhebungsbeauftragte aufgenommen. Zu befragende Personen erhalten Zugangsdaten zum Online-Fragebogen. Über eine Hotline können sie auch einen Papierfragebogen anfordern.
Über die Sächsische Datenschutzbeauftragte
Die Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.
Seit 2022 hat Dr. Juliane Hundert das Amt inne und wird in ihrer Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.
Mehr Informationen: www.saechsdsb.de
RSS Feed abonnieren