Schlagwort-Archive: DS-GVO

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit verabschiedet sich

Am 6. Juli 2024 endet die Amtszeit von Prof. Ulrich Kelber als Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Selten habe ich ein Ausscheiden eines Politikers aus seinem Amt so bedauert, wie in diesem Fall. Leider viel zu selten treffen Kompetenz, Durchsetzungswille, internationale Vernetzung und nationale Einbindung in politische Entscheidungsprozesse aufeinander.

Ich habe Prof. Kelber als Redner zu Datenschutzfragen erlebt. Bei ihm wäre ich gern Student. Sein persönlicher Rückblick auf eine über fünfjährige Amtszeit ist hier nachzulesen.

Worin bestehen seine und die Leistungen der von ihm bisher geleiteten Behörde? Er treibt Digitalisierung in Deutschland voran. Zeitgemäße Kommunikationsformen, digitale Aktenführung oder Cell Broadcasting als Warnmöglichkeit in Extremsituationen wurden voran gebracht.

Die Schaffung eines einheitlichen Datenschutzniveaus und die permanente Überprüfung der gesetzlichen Grundlagen an der Praxis sind ebenfalls mit sein Verdienst. Grundrechte erhalten, Überwachung minimieren oder KI-Einsatz regulieren sind nur einige Baustellen, an denen er europaweit oder auch global gearbeitet hat.

Was mir besonders gut gefallen hat, waren zwei Projekte seiner Behörde. Die Pixi-Buchreihe vermittelt kindgerecht Grundlagen zum Datenschutz. Alle Bücher dieser Reihe stehen bei mir zu Hause im Bücherregal. Der Gang zu Mastodon und das Betreiben einer eigenen Serverinstanz durch die Behörde stellte einen wichtigen Schritt weg von Twitter/X hin zu einer besseren Plattform dar.

Ich wünsche mir, dass Prof. Kelber dem Thema Datenschutz gewogen bleibt, dass er weiter Stellung bezieht und den Finger in die schlimmsten Wunden legt.

EuGH stärkt Betroffenenrechte im Datenschutz

Die dritte Kammer des Europäischen Gerichtshofes (EuGH) hat in ihrem Urteil vom 11. April 2024 die Rechte Betroffener erneut gestärkt und Pflichten der Verantwortlichen deutlich herausgestellt. Grundlage ist der 85. Erwägungsgrund zur DS-GVO:

„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“

Wie ist es nun um die Pflichten der verantwortlichen Stelle bestellt? Bereits der Verlust der Kontrolle Betroffener stellt einen Schaden dar. Die verantwortliche Stelle kann sich dabei nicht auf Fehlverhalten Mitarbeitender berufen.

Anlass zur Klage eines deutschen Rechtsanwaltes war die Tatsache, dass dieser trotz Widerrufs seiner Einwilligung weiterhin Mails mit werbendem Charakter von der juris GmbH erhielt.

Rechenschaftsbericht des Bundesbeauftragten

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Ulrich Kelber, hat in dieser Woche seinen Tätigkeitsbericht für das Jahr 2023 vorgestellt.

Der Bericht steigt gleich steil ein mit Empfehlungen an den Gesetzgeber. Diese zeigen die aktuellen Schwerpunktthemen im Datenschutz:

  • Digitalisierung im Gesundheitsbereich
  • KI
  • Chat-Kontrolle
  • digitale Identitäten
  • Datennutzung durch öffentliche Stellen
  • Beschäftigtendatenschutz im Kontext von KI
  • Evaluierung des Zulässigkeitsrahmens von Videomeetings in Gerichtsverhandlungen

Beanstandungen im Berichtszeitraum gab es gegenüber:

  • Agenturen für Arbeit
  • Krankenkassen
  • Bundesämtern
  • Bundespolizei und Zoll
  • privaten Post- und Telekommunikationsdienstleistern

Was außerdem hervorhebenswert ist: Die von Prof. Kelber geleitete Behörde ist innerhalb der EU und in der Welt ein anerkannter Partner in Fragen des Datenschutzes.

Wir schaffen hohe Datenschutzstandards auf globaler Ebene. Diese Harmonisierung ist ein Fortschritt für die Rechte der Bürgerinnen und Bürger, aber eben auch für die Wirtschaft, die auf einen freien und vertrauensvollen Datenverkehr angewiesen ist. Die Expertise des BfDI dazu wird international geschätzt und intensiv nachgefragt.

Prof. Ulrich Kelber

Datenschutztag

Seit 1981 begehen wir den Europäischen Datenschutztag am 28. Januar. Warum? Am 28. Januar 1981 beschloss der Europarat das Übereinkommen Nr. 108 „zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“. Ziel war und ist es immer noch, die Grundrechte Betroffener bei automatisierter Verarbeitung personenbezogener Daten zu sichern und zu stärken.

Aktuell sehe ich drei große Probleme, vor denen der Datenschutz steht.

Problem 1: Informationelle Selbstbestimmung

Das Abwägen zwischen Bequemlichkeit und den Schutz eigener Daten, der eigenen digitalen Identität führt leider zu oft zu Entscheidungen in Richtung Bequemlichkeit. Cookies ablehnen ist leider immer noch zu häufig aufwendiger, als sie einfach nur schnell zu akzeptieren. Der Einsatz nicht datenschutzgerechter Werkzeuge ist allgemein anerkannt, auch wenn es sehr wohl datenschutzgerechte Lösungen gäbe. Die Hemmschwelle, auf Social-Media-Plattformen auch jedes noch so intime Detail zu posten, ist ungebremst niedrig. Und Bildung tut immer noch zu wenig, um Kompetenzen zur informationellen Selbstbestimmung bei Jugendlichen (und auch schon bei Kindern) zu stärken.

Problem 2: Unsere Daten sind unsicher

Immer noch gelingt es zu oft Kriminellen, an personenbezogene Daten zu gelangen. Der IT-Governance-Blog geht von über 8 Mrd. geleakten Datensätzen alleine 2023 aus. Hier werden zu sehr die Betroffen in die Pflicht genommen. Doch wo bleiben die Pflichten der Verantwortlichen, personenbezogene Daten vor Angriffen zu schützen?

Problem 3: KI

Bei aller Begeisterung für generative KI muss die Frage nach dem Schutz von Privatsphäre gestellt werden. Welche Daten werden als Trainingsdaten verwendet? Wie trainiert mein eigenes Nutzerverhalten eine KI und wie stehen die so gewonnenen Daten der Allgemeinheit zur Verfügung?

WhatsApp und kein Ende

Datenschutzrechtlich hängt das Thema „WhatsApp“ immer noch in der Luft. Nun hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber die irische Datenschutzbehörde aufgefordert, endlich alle im Verfahren noch offnen Fragen einer Klärung zuzuführen.

Hauptkritikpunkt ist die „erzwungene“ Einwilligung in die geänderten Nutzungsbedingungen.

Ich bin froh, dass ich mich rechtzeitig von WhatsApp verabschiedet habe.

In dieser Woche (KW26): Jetzt gibt es keine Ausreden mehr

OpenTalk ist gestartet. Für diese neue Videokonferenz-Plattform ist der Quellcode auf OpenCode veröffentlicht. Es geht um nichts geringeres als Zoom, Teams und anderen, nicht DS-GVO-konforme, Anbietern eine datenschutzgerechte und transparente Lösung entgegenzustellen. Die Preise sind moderat (die Premium-Lösung kostet 125 Euro pro Jahr netto).

Welche Ausreden will man jetzt noch bringen? OK – Funktionalität. Die werde ich testen. Ansonsten sollte es schwer fallen, weiter an den Gespenstern (Zoom, Teams, WebEx…) festzuhalten.

In dieser Woche (KW23): Datenschutztag in Berlin

Aktuelle Entwicklungen im Datenschutz

Meike Kamp (Berliner Beauftragte für Datenschutz und Informationsfreiheit)

Europäischer Datenschutzausschuss


Der Europäische Datenschutzausschuss harmonisiert die Bußgeldleitlinien im Geltungsbreich der DS-GVO. Grundlagen für die Bemessung von Bußgeldern sind Art eines Verstoßes, Schwere, Umsatz der verantwortlichen Stelle gemäß Art. 83 ABS. 4-6. In die Bußgeldbemessung fließen außerdem ein die Wirksamkeit des Bußgeldes sowie seine abschreckende Wirkung.

Die Leitlinien zu den Rechten Betroffener konkretisieren Art. 15 DS-GVO. Besonders das Auskunftsrecht wurde präzisiert. Welchen Umfang hat das Auskunftsrecht und welche Modalitäten müssen beachtet werden? Dazu gibt es eine wesentliche Abgrenzung offenkundig unbegründeter und exzessiver Anträge.

Souveräne Clouds stellen ein immer wiederkehrendes Thema dar. Hier werden Mindestkriterien für digitale Souveränität der Anbieter und der Anwender beschrieben: selbstständig, selbstbestimmt, sicher.

Deutsche Datenschutzkonferenz

Mich nerven auch immer wieder Pur-Modelle auf Websites (Zugang zu Inhalten entweder als kostenpflichtiges Abo oder durch Einwilligung in eine Verarbeitung pbD für werbliche Zwecke). Hierfür gilt: Das Angebot eines trackingfreien Modells (auch kostenpflichtig) ist ausreichend.

Die Position der Datenschutzkonferenz zu Microsoft Online Dienste (Office 365) ist eindeutig:
MS praktiziert eine Verarbeitung personenbezogener Daten (pbD) zu eigenen und nicht legitimen Zwecken. Es erfolgt keine korrekte Löschung pbD. Es bestehen keine angemessenen Maßnahmen zum Schutz vor Übermittlung in Drittländer. Die TOMs sind nicht angemessen.
Fazit: Microsoft kann nicht nachweisen, dass datenschutzkonform gearbeitet wird.
Unabhängig von dieser Bewertung durch die Datenschutzkonferenz findet man häufig, besonders medial geführt, folgende Argumentationen: MS365 wird ja überall genutzt, also muss man großzügig sein. Andere nutzen es doch auch.

Zuletzt wurde konkreter auf das Recht auf eine Kopie pbD eingegangen.
Dem Anspruch auf Kopie pbD Betroffener muss die verantwortliche Stelle durch eine originalgetreue und verständliche Reproduktion der Daten Nachkommen. Das schließt Auszüge aus Dokumenten, ganze Dokumente und Auszüge aus Datenbanken ein.

Das Standard-Datenschutzmodell (SDM) – Version 3.0

Referent Martin Rost (Mitarbeiter beim
ULD Schleswig-Holstein und Autor des Buches
„Das Standard-Datenschutzmodell (SDM): Einführung,
Hintergründe und Kontexte zum Erreichen der Gewährleistungsziele“)

Ich lasse an dieser Stelle mal alle zu fachspezifischen Inhalte weg. Sehr cool fand ich die Einleitung in das Thema. Eine häufig anzutreffende Meinung ist ja, dass es im Datenschutz darum geht, Daten zu schützen. Fachlich etwas näher am Thema seiend führt zu der Annahme (so auch ich bisher), dass Datenschutz immer der Schutz von Menschen ist. Das stimmen sicherlich. Aber Datenschutz meint eben vor allem, Prozesse von Datennutzung so zu gestalten, das möglichst geringe Risiken für Betroffene bestehen. Und damit stehen eben Prozesse im Zentrum aller Überlegungen.

Datenschutzmaßnahmen stellen ein ausgewogenes Verhältnis her zwischen der Organisation der verantwortlichen Stelle mit Mitarbeitern, Dienstleistern, eingesetzter Software, Leistungserbringern, Logistik, Staat mit vielleicht untätiger Politik…

Künstliche Intelligenz im Spannungsfeld des Datenschutzes

Dr. Behrang Raji (Legal Counsel Data Protection)

Ein spannender Redebeitrag zum Thema KI und Datenschutz. Wichtig finde ich den Bezug zu den Vorschlägen aus Schleswig Holstein für eine ChatGPT-Nutzung in Unternehmen und Einrichtungen:

Richtlinien für den Umgang im Unternehmen schaffen.
Die Nutzung privater Accounts für dienstliche Zwecke sollte untersagt werden.
Es sollten keine personenbezogenen Daten für die Prompts genutzt werden.
Es sollten nur Unternehmensinformationen verwendet werden, die bereits öffentlich sind.
Die Nutzung des Dienstes unter Verwendung personenbezogener Daten zum Zweck der Erstellung von Beurteilungen der Persönlichkeit, der Arbeitsleistung sollte verboten werden.
Bei generierten Texten sollte ChatGPT als Quelle angegeben und und zusammen mit den Prompts dokumentiert werden.
Die Ausgaben von ChatGPT sollten immer auf Richtigkeit überprüft werden.
Der Dienst darf nicht genutzt werden, um Entscheidungen über natürliche Personen zu treffen (Art. 22 DSGVO).

Aktuelle Bedrohungen und Entwicklungen in der IT-Landschaft

Mark Semmler (Dipl. Informatiker und IT Security Specialist)

Mark Semmler erlebe ich zum zweiten Mal auf dem Datenschutztag. Und es war wieder ein Erlebnis.

Ich fasse nur einige Punkte seines Vortrages zusammen. In der Gesamtheit kann man dieses Feuer aus Sprache, Fakten und Inhalt nicht wiedergeben.

Ransomware ist immer noch ein Multimilliardengeschäft und weist inzwischen eine starke Diversifizierung auf. Über 100 Gruppen agieren weltweit, wobei etwa 95 % aller Akteuere aus Russland und Weißrussland kommen. Zielgerichtete Angriffe auf kritische Infrastrukturen haben deutlich zugenommen.
Hinzu kommen Fakenews, die auf Twitter und Facebook verbreitet werden. Semmler spricht von A-BC-D-Kriegsführung. Das D steht für „digital“. Das technisches Niveau der Akteure ist niedrig und mittelhoch und immer noch, erstaunlicherweise, erfolgreich.

Dabei ist derKonkurrenzdruck gestiegen. Es geht nur noch darum, schnell Daten von Opfern zu verschlüsseln und Geld zu machen:
Kunde durch eine Backdoor öffnen – in der Breite Kunden unter Kontrolle bekommen – Daten verschlüsseln – Geld fordern.
Der Handlungsdruck auf Seiten der Angreifer bedeutet für Betroffene eine deutlich geringere Reaktionszeit.

Dieser Markt ist immer noch nicht ausgetrocknet. Neu Angriffe erfolgen zunehmend auf kleine und mittlere Unternehmen.

Was fordert Semmler von der Politik? Maßnahmen müssen verpflichtend werden und gesetzlich verankern sein. Lösegeldzahlung müssen unter Strafe gestellt werden. Nur so kann dieser Sumpf trocken gelegt werden. Semmler selbst verhandelt kein Lösegeld mehr. Auslöser für diese Entscheidung war der Ukraine-Krieg.

Fazit

Ein toller, informativer Tag geht zu Ende. Es hat sich gelohnt!

5 Jahre DS-GVO

25. Mai 2018: Die Datenschutzgrundverordnung tritt in Kraft. Das ist heute genau 5 Jahre her. Ich kann mich noch gut an das Gejammer erinnern. Dabei waren es mehr als zwei Jahre, die Zeit waren, sich auf das neue Gesetz vorzubereiten.

Seite 1 der DS-GVO: von 27. April 2016

Was ist das Besondere an der Datenschutz-Grundverordnung? Fragt man 10 Personen, wird man mindestens 6 verschiedene Antworten erhalten. Ich kann nur sagen, worin für mich die Besonderheiten liegen.

Die wichtigste Besonderheit zu erst: Wir haben Datenschutzniveau, welches einheitlich und gleichermaßen den gesamten Europäischen Wirtschaftsraum umfasst. Egal, wo im EWR ich mich befinde. Das Datenschutzniveau ist immer gleich. Meine Betroffenenrechte sind identisch. Die Aufgaben für verantwortliche Stellen sind gleich.

Die Betroffenenrechte werden in den Brennpunkt gerückt. Erst kürzlich wurde ein Rekordbußgeld in Höhe von 1,2 Mrd. Euro an den Meta-Konzern erteilt. Egal ob ich in der Rolle des Mitarbeiters, des Kunden oder des Patienten bin, es existiert ein angemessenes Schutzniveau.

Den Betroffenen von Datennutzungsprozessen wird eine Mitwirkungspflicht auferlegt. Wie oft höre ich: „Oh mein Gott! Ich soll am Zensus teilnehmen… Mimimi…“ Aber Android als Smartphone-Betriebssystem nutzen, WhatsApp verwenden und regelmäßig Statusfotos Posten.

Gibt es auch was zu kritisieren? Ja! Das Thema „Digitale Fotos“ hätte aus meiner Sicht mehr Beachtung verdient. Die Art und Weise, wie wir heute Fotos erzeugen, hat sich gegenüber 2014/2016 deutlich verändert. Swipe ich auf meinem Smartphone-Display oder mache ich ein Foto – nicht erkennbar. Teleobjektive haben sich vom Preis-Leistungs-Verhältnis verändert. Auf Grund großer möglicher Distanzen ist für eine fotografierte Person nicht mehr erkennbar, dass sie überhaupt Fotografiert wird. Digitales Bild- und Videomaterial sind allgegenwärtig: Actioncams, Dashcams, Videoüberwachung…

Final: Ich mag die DS-GVO. In meiner Praxis als Datenschutzbeauftragter erlebe ich es immer wieder, dass sich Betroffen mit ihren Fragen oder mit ihren Problemen an mich wenden. Die Rolle des DSB ist stärker in den Mittelpunkt gerückt: Transparenz, Informationspflicht – beides unterstützt und stärkt die Rolle der Betroffenen.

In dieser Woche (KW20): Der Tätigkeitsbericht der Sächsischen Datenschutz- und Transparenzbeauftragten

Ich sitze gerade im Zug nach München. Die Arbeit ruft. Bei Kaffee und einer Streuselschnecke lese ich den Tätigkeitsbericht für das Jahr 2022.

Na, wer erkennt die Herkunft der leckeren Streuselschnecke?

Weg von der Kulinarik und hin zum Datenschutz. Was habe ich mir im Tätigkeitsbericht angestrichen? Alle Zitate in diesem Beitrag stammen aus dem Tätigkeitsbericht 2022.

Allgemeines

Tätigkeitsbericht, a. o. a. O., S. 4

Warum ist dieser Abschnitt bemerkenswert? Hier werden Verantwortliche für den Datenschutz benannt. Wichtig: Auch Betroffene haben eine Verantwortung. Wie gehe ich mit meinem Daten um? An wen gebe ich welche Daten weiter? Das sind keine Aufgaben ausschließlich für verantwortliche Stellen im Sinne der DS-GVO. Das geht uns alle an!

Tätigkeitsbericht, a. o. a. O., S. 5

Im Vorfeld dieses Abschnittes wird auf die Probleme von Facebook-Seiten aus der Sicht des Datenschutzes hingewiesen. Die Konsequenz findet sich hier. Und ja, ich habe meinen Twitter-Account gelöscht und bin zu Mastodon gewechselt.

WhatsApp im nicht ausschließlich privaten/familiären Umfeld

Am Beispiel von Gerichtsvollziehern geht die Landesbeauftragte auf die unzulässige Nutzung von WhatsApp ein.

Tätigkeitsbericht, a. o. a. O., S. 67

Tätigkeitsbericht, a. o. a. O., S. 67

Es gäbe da doch so viele datenschutzgerechtere Lösungen. Ich bin schon lange von WhatsApp weg und nutze Signal (privat) und Threema (beruflich). Cool ist auch Element. Hier werden Daten dezentral verschlüsselt gespeichert.

Gemeldete Datenschutzvorfälle

Tätigkeitsbericht, a. o. a. O., S. 144

Postsachen können falsch adressiert oder in den falschen Umschlag gelangen. So etwas habe ich in meiner Praxis auch schon erlebt. wichtig ist aus meiner Sicht, dass es nach einem solchen Vorfall kein „weiter wie bisher“ geben darf. Was ist falsch gelaufen? Wo müssen Prozesse verändert werden?

Tätigkeitsbericht, a. o. a. O., S. 145

Prävention

Tätigkeitsbericht, a. o. a. O., S. 147

Finde ich eine super kompakte und sehr zutreffende Anleitung.

Bußgelder

Hier wird es jetzt bemerkenswert. Und mein Vertrauen in die Sächsische Polizei wird nicht größer…

Tätigkeitsbericht, a. o. a. O., S. 175
Tätigkeitsbericht, a. o. a. O., S. 177

Eine Dashcam kann schon datenschutzgerecht betrieben werden. Vielleicht widme ich dem Thema mal einen eigenen Beitrag.

So, das war meine Zusammenfassung zum Tätigkeitsbericht. Ich habe ihn durchaus als interessant und abwechslungsreich empfunden. Nichts, was zum Vorlesen geeignet wäre. Aber wenn man sich für das Thema Datenschutz interessiert, kann das eine abwechslungsreiche Lektüre sein.