News – Seite 54 – Virtuelles Datenschutzbüro

Geimpft oder ungeimpft?

Veröffentlicht am: 5. November 2021

Pressemitteilung des Bayerischen Landesbeauftragten für den Datenschutz vom 04.11.2021

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht Arbeitspapier „Verarbeitung des COVID-19-Impfstatus im bayerischen öffentlichen Dienst„

„Geimpft oder ungeimpft?“ – Diese Frage möchten viele bayerische Dienstherren und öffentliche Arbeitgeber von ihren Beschäftigten beantwortet haben, wenn es um die Schutzimpfung gegen COVID-19 geht. Die Risiken, welche mit der Arbeit ungeimpfter Mitarbeiterinnen und Mitarbeiter für diese selbst, jedoch auch für andere verbunden sind, variieren nach Einsatzstelle und Tätigkeit, nach dem Kontakt zu Bürgerinnen und Bürgern, Kolleginnen und Kollegen ganz erheblich. Das Recht muss die Frage des Dienstherrn oder Arbeitgebers nach dem Impfschutz differenziert beantworten. Wie die Antworten im Einzelnen ausfallen, legt der Bayerische Landesbeauftragte für den Datenschutz in seinem nun veröffentlichten Arbeitspapier „Verarbeitung des COVID-19-Impfstatus im bayerischen öffentlichen Dienst“ näher dar.

Weiterlesen Geimpft oder ungeimpft?

Digitalisierung sicher gestalten: Mehr Schutz vor Cyberattacken notwendig

Veröffentlicht am: 5. November 20215. November 2021

Sachsens Datenschutzbeauftragter plädiert für mehr Prävention.
Jeder Cyberangriff kostet im Schnitt mehr als 21.000 Euro.

Angesichts der jüngsten Hacker-Angriffe gegen deutsche Unternehmen plädiert der Sächsische Datenschutzbeauftragte für deutlich mehr Prävention. „Sachsens Unternehmen sollten nicht erst warten, bis sie das Opfer von Hacker-Attacken geworden sind“, sagt Andreas Schurig. Im Gegenteil: „Prävention ist wirksamer und wichtiger als je zuvor, damit Daten von Kunden und Mitarbeitern nicht in die falschen Hände gelangen.“

Zuwachs bei gemeldeten Datenpannen

Nach der Datenschutz-Grundverordnung müssen Unternehmen genauso wie Organisationen und die Verwaltung Datenschutzverletzungen bei der zuständigen Aufsichtsbehörde melden. Der Trend in Sachsen zeigt hierbei deutlich nach oben: Im Jahr 2018 meldeten Verantwortliche dem Sächsischen Datenschutzbeauftragten 227 Fälle. 2019 waren es 450 Meldungen. 2020 verzeichnete die Behörde einen Anstieg um 40 Prozent auf 635 Meldungen. Und diese kontinuierliche Steigerung setzt sich 2021 fort: In den vergangenen zehn Monaten wurden bereits 750 Meldungen registriert. Davon sind rund ein Drittel auf Cyberkriminalität zurückzuführen – ein spürbarer Zuwachs in der Arbeit des Sächsischen Datenschutzbeauftragten. „Allerdings gehe ich davon aus, dass es in Wirklichkeit viel mehr Betroffene gibt. Die Dunkelziffer dürfte sehr hoch sein“, sagt Andreas Schurig. Und diese Hacker-Angriffe sind für die betroffenen Unternehmen und Organisationen teuer: Eine Cyberattacke kostet im Schnitt 21.818 EUR je Vorfall (Quelle: Statista). Die Zahl der Angriffe und das Ausmaß der Schäden nehmen stark zu. Insgesamt belaufen sich die Kosten für digitale Angriffe auf die deutsche Wirtschaft allein 2020 auf ca. 24,3 Milliarden Euro. Das waren viermal mehr als noch 2019 (Quelle: Bitkom-Studie).

Noch gravierender sind durch Erpressungssoftware (engl. “Ransomware”) verursachte Schäden: Die durchschnittlichen Gesamtkosten der Firmen für die Behebung eines Angriffs durch Erpressungssoftware liegen bei ca. einer Million Euro; etwa 46 Prozent der deutschen Unternehmen sind betroffen (Quelle: Sophos State of Ransomware 2021). “Diese Entwicklung ist sehr besorgniserregend. Mangelhafte Datensicherheit offenbart meist auch Schwächen beim Datenschutz. Das ist nicht nur für die betroffenen Unternehmen existenzbedrohend, sondern auch für Menschen, deren Daten in den Besitz von Kriminellen gelangen. Identitätsdiebstahl gehört dabei zu den schlimmsten Folgen. Betroffenen droht ein finanzieller und sozialer Totalschaden“, warnt Andreas Schurig.

Vorsorge bestes Mittel

Gleichzeitig macht der oberste sächsische Datenschützer klar, dass Prävention und Vorsorge die richtigen Mittel gegen Hacker-Angriffe und Cyber-Erpressung sind. „Der beste Schutz ist, auf den Ernstfall gut vorbereitet zu sein.“ Folgende Vorkehrungen sind zu empfehlen:

Daten sichern! Die Daten von Firmen und Organisationen müssen unbedingt gesichert sein. Diese Backups sollten selbst nicht von Cyberangriffen erfasst werden können.
Firewall richtig konfigurieren! Die Firewall sollte nur erforderliche Datenverbindungen zulassen. Auch ein Frühwarnsystem über ungewöhnlich hohen Datenverkehr kann Systemverantwortlichen dabei helfen, größeren Schaden abzwenden.
Notfallplan beachten! Für die Fälle von Cyber-Erpressungen bzw. Hacker-Angriffen sollte ein Notfallplan vorliegen, der im Akutfall abzuarbeiten ist. Dazu gehört auch eine Regelung, wann der IT-Administrator, Datenschutzbeauftragte oder auch die Mitarbeiter, Unternehmensleitung und Kunden zu informieren sind.
Reservetechnik vorhalten! Eine dringende Empfehlung ist zudem, Reservetechnik vorzuhalten. Ermittler können das angegriffene IT-System forensisch untersuchen, während das Unternehmen trotz Cyberangriff rasch wieder arbeitsfähig ist.
Frühzeitig kommunizieren! Verantwortliche sollten betroffene Personen oder Abteilungen auch dann schnell über den Vorfall informieren, wenn noch nicht sicher ist, ob und welche personenbezogenen Daten betroffen sind.
Weiterbildung! IT-Verantwortliche und all jene, die in Unternehmen und Organisationen für die IT-Sicherheit zuständig sind, benötigen regelmäßig Weiterbildungen.

„Prävention ist eine richtige und kluge Investition, die sich im Fall einer Attacke erheblich auszahlt“, sagt Sachsens Datenschutzbeauftragter Andreas Schurig. Die Alternative zu Prävention sei bei Cyber-Erpressung oftmals nur der teure Freikauf.

Anzeige und Meldung bei der zuständigen Datenschutzbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche gemäß Artikel 33 der Datenschutz-Grundverordnung unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dies dem Sächsischen Datenschutzbeauftragten zu melden. Dazu bietet die Behörde auf ihrer Website ein Online-Formular an, mit dem die Verantwortlichen alle relevanten Informationen schnell und unkompliziert übermitteln können.

Welche Informationen benötigt der Sächsische Datenschutzbeauftragte?

Bei einem Hackerangriff, Datendiebstahl oder anderen Attacken sollten Unternehmen bzw. Verantwortliche sich so schnell wie möglich bei der Polizei melden. Parallel sollte die Datenschutzverletzung dem Sächsischen Datenschutzbeauftragten mitgeteilt werden. Wichtige Angaben für eine solche Meldung nach Artikel 33 Datenschutz-Grundverordnung sind:

Angaben zum Verantwortlichen (Name des betroffenen Unternehmens/Vereins etc.) inkl. Telefon- und E-Mail-Kontakt;
Zeitraum der Panne sowie Zeitpunkt des Vorfalls;
Angaben zu Bereich und Kategorie des Vorfalls (z. B. Hacking, Diebstahl usw.);
Angaben zu betroffenen Daten (z. B. Adressen, E-Mail-Adressen, Bank- oder Kreditdaten, Passwörter, Gesundheit)
Angaben zum Vorfall und zu den ergriffenen und/oder beabsichtigten Maßnahmen.

Auf die Meldung der Datenpanne folgt die Prüfung durch den Sächsischen Datenschutzbeauftragten. Hierbei ist vor allem von Interesse: Welcher Schaden könnte Personen durch den Vorfall entstehen bzw. welcher Schaden ist bereits eingetreten? Wie konnte es dazu kommen und welche Vorkehrungen sind zukünftig zur Vermeidung einer Wiederholung zu ergreifen? Sofern erforderlich, steht der Sächsische Datenschutzbeauftragte bei der Klärung dieser Fragen mit dem Verantwortlichen im Austausch und berät bei den zu ergreifenden Maßnahmen. Das Ziel ist stets, Bürgerinnen und Bürger bei hohen Risiken zu informieren und sie durch die richtigen Maßnahmen vor Schaden zu bewahren.

Über den Sächsischen Datenschutzbeauftragten

Der Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.

Seit 2004 hat Andreas Schurig das Amt inne und wird in seiner Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Der Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.

Mehr Informationen: www.saechsdsb.de

LfD Niedersachsen veröffentlicht neue Handreichung zum Datenschutz für kommunale Abgeordnete

Veröffentlicht am: 27. Oktober 2021

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 27.10.2021

Zum Beginn der kommunalen Wahlperiode am 1. November veröffentlicht die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, eine neue Handreichung für kommunale Abgeordnete. Darin werden neben den Grundsätzen des Datenschutzes vor allem konkrete Fragen aus dem Arbeitsalltag der Mandatsträgerinnen und -träger erläutert.

Weiterlesen LfD Niedersachsen veröffentlicht neue Handreichung zum Datenschutz für kommunale Abgeordnete

Datenschutzkonferenz zur Verarbeitung des Impfstatus von Beschäftigten

Veröffentlicht am: 26. Oktober 2021

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat ihren Beschluss zur Verarbeitung des Impfstatus von Beschäftigten durch Arbeitgeberinnen und Arbeitgeber veröffentlicht. Für eine grundsätzliche Abfrage des Impfstatus sehen die Datenschutzaufsichtsbehörden keine gesetzliche Grundlage.

In Einzelfällen ist die Abfrage auf Grundlage gesetzlicher Regelungen jedoch möglich, beispielsweise wenn Beschäftigte einen Anspruch auf Geldentschädigung (Lohnersatz) während einer Quarantäne geltend machen. Den vollständigen Beschluss finden Sie auf unserer Webseite.

Artikel auf https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2021/17-DSK-Impfstatus-Besch%C3%A4ftigte.html;jsessionid=D2C6136308ADD70BB79BC689D2F6CC14?nn=251928

„Zeit der Umbrüche“: Amtszeit von Maja Smoltczyk als BlnBDI endet

Veröffentlicht am: 19. Oktober 2021

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Am 27. Oktober 2021 endet die 5-jährige Amtszeit von Maja Smoltczyk als Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) nach Ablauf von fast sechs Jahren. Da sich das Parlament auch während der gesetzlich zulässigen 9-monatigen Verlängerung der Amtszeit von Frau Smoltczyk nicht auf eine Nachfolge einigen konnte, übernimmt ab dem 28. Oktober bis zu einer Neuwahl ihr Stellvertreter Volker Brozio die Behördenleitung.

Die Amtszeit von Maja Smoltczyk war von elementaren Umbrüchen im Datenschutz geprägt: Das Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO) mit unmittelbarer Geltung in allen europäischen Mitgliedsstaaten gleich nach ihrer Ernennung leitete eine neue Ära ein – mit erheblichen Herausforderungen sowohl für alle datenverarbeitenden Stellen in Wirtschaft und Verwaltung als auch für die Aufsichtsbehörden. Diese fanden sich nunmehr in einem europaweiten Netzwerk der Zusammenarbeit wieder, für das völlig neue Verfahren entwickelt werden mussten.

“Die Europäisierung des Datenschutzrechts ist die Antwort auf eine über alle Grenzen hinweg digitalisierte Welt zum Schutz der Bürgerinnen und Bürger und ihrer Grundrechte“, sagt Smoltczyk. In diesem Bewusstsein hat sich die Berliner Aufsichtsbehörde auf nationaler und auf europäischer Ebene sehr intensiv in den Prozess der praktischen Umsetzung der neuen europäischen Regeln eingebracht. Zahlreiche europaweit verbindliche Auslegungen wurden unter maßgeblicher Beteiligung der Berliner Behörde verfasst. Nur als ein Beispiel sei hier die intensive Mitarbeit an der Entwicklung von Empfehlungen zur Umsetzung der vom Europäischen Gerichtshof in seinem Schrems-II-Urteil definierten datenschutzrechtlichen Anforderungen an die Übermittlung von Daten in Drittstaaten genannt, die zur Unterstützung datenexportierender Unternehmen gedacht sind.

„Festzuhalten ist: Die DS-GVO hat das öffentliche Bewusstsein für den Schutz personenbezogener Daten enorm gestärkt“ so die Behördenleiterin Maja Smoltczyk. Dies ist nicht zuletzt an der erheblichen und dauerhaften Steigerung der Eingaben und Anfragen bei der Berliner Aufsichtsbehörde seit Wirksamwerden der DS-GVO im Mai 2018 abzulesen. Um diesen neuen Anforderungen gerecht zu werden, mussten die Arbeitsprozesse der Behörde umfassend modernisiert und an die neuen Anforderungen angepasst werden. „Erfreulich ist, dass es nach intensiven Verhandlungen gelungen ist, eine dringend notwendige personelle und finanzielle Verstärkung der Behörde zur Bewältigung dieser Herausforderungen durch das Berliner Abgeordnetenhaus zu erreichen“, sagt Smoltczyk.

Thematisch war die Zeit vor allem geprägt durch Fragen des Datenschutzes im Zuge der Digitalisierung von öffentlicher Verwaltung und Schulen, der Verarbeitung von Daten in den Berliner Krankenhäusern und in der öffentlichen Gesundheitsverwaltung, durch die Beratung von Wirtschaft und Verwaltung hinsichtlich der Umsetzung der DS-GVO, die Begleitung zahlloser Gesetzesvorhaben sowie in den vergangenen zwei Jahren durch vielfältige Fragen in Verbindung mit Maßnahmen der Pandemie-Bekämpfung.

Unter Maja Smoltczyk richtete die Behörde eine Start-up-Sprechstunde ein, um junge Wirtschaftsunternehmen zu beraten, wie datenschutzrechtliche Anforderungen von Beginn an im jeweiligen Unternehmenskonzept umgesetzt werden können. Entwickelt wurden außerdem Unterrichtsmaterialien sowie eine Homepage speziell für Grundschüler*innen, deren Eltern und Lehrkräfte, um schon die Kleinsten im sicheren Umgang mit ihren Daten im Netz vertraut zu machen und Eltern und Lehrkräfte bei der Vermittlung dieses komplexen Themas zu unterstützen. Diese Angebote erfreuen sich enormer Beliebtheit und sind nunmehr fester Bestandteil der Arbeit der Berliner Behörde.

Mit ihrer weit über den Berliner Raum beachteten Prüfung von Videokonferenzsystemen hat die Behörde nicht nur Orientierung in und nach Pandemiezeiten gegeben, sondern auch ein deutlich erweitertes Angebot datenschutzkonformer Produkte bewirkt. Daneben schufen die neuen Befugnisse der Datenschutz-Aufsichtsbehörden zur Sanktionierung von Datenschutz-Verstößen auch neue Möglichkeiten der Durchsetzung der europäischen Regeln. An der Entwicklung eines deutschen und daran anschließend eines europäischen Bußgeldkonzepts wirkte die Behörde maßgeblich mit. Eine mehrere Wirtschaftsbereiche umfassende Überprüfung von Cookie-Bannern wurde gestartet und wird die Behörde noch einige Zeit in Anspruch nehmen.

Die durch den Ausbruch der Corona-Pandemie extrem beschleunigte Digitalisierung von Gesellschaft und Arbeitsleben verwies wie durch ein Brennglas auf umfassenden Nachholbedarf bei der Umsetzung grundlegender datenschutzrechtlicher Anforderungen. Hier konnten zwar mittlerweile wichtige Weichen gestellt und auch erfreuliche Erfolge erzielt werden, jedoch wird für die Nachfolge von Maja Smoltczyk in diesem Zusammenhang noch enormer Handlungsbedarf bestehen.

Im Bereich der Informationsfreiheit hat sich Frau Smoltczyk nicht nur für ein modernes Transparenzgesetz in Berlin, sondern intensiv auch für die Formulierung von Forderungen zur Transparenz algorithmischer Verfahren in der öffentlichen Verwaltung eingesetzt, die sich letztlich auch die Internationale Konferenz der Informationsfreiheitsbeauftragten zu eigen gemacht hat.

Maja Smoltczyk zum Ende ihrer Amtszeit:

„Es war eine sehr spannende und herausfordernde Zeit und ich bin dankbar, dass ich an der Gestaltung dieser tiefgreifenden Veränderungen mitwirken durfte. In einer zunehmend digitalisierten Welt sind der verantwortungsvolle Umgang mit personenbezogenen Daten und das Recht auf informationelle Selbstbestimmung essenziell, damit Menschen nicht zum reinen Objekt wirtschaftlicher oder politischer Interessen werden. Souveräne Menschen brauchen einen geschützten Raum, in dem sie nicht beobachtet werden, damit sie sich frei entfalten können. Letztlich ist der Datenschutz das grundrechtliche Korrektiv zur Digitalisierung.

Ich bedaure sehr, dass trotz gegenteiliger Ankündigungen bislang keine Evaluierung des Berliner Datenschutzgesetzes erfolgt ist. Darauf hinzuwirken wird genauso wie der Einsatz für ein Transparenzgesetz, das seinen Namen verdient, Aufgabe meiner Nachfolge sein. Der künftigen Leitung wünsche ich in diesem wichtigen Amt daher viel Tatkraft, Fortune und vor allem Standhaftigkeit. Sie oder er wird sich auf eine herausragend qualifizierte Behörde verlassen können, die bereitsteht, auch die zukünftigen Herausforderungen mit viel Engagement und Gestaltungsfreude zu meistern. Ich danke meinen Mitarbeiterinnen und Mitarbeitern für ihre vorbildliche Arbeit. Ohne ihre Fachkunde, ihre Einsatzfreude und ihren Idealismus wären die Erfolge der vergangenen Jahre nicht erreichbar gewesen.“