Zum Inhalt springen

Datenschutz

Regel­mä­ßi­ges Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”

Was liebt der Datenschutz?

Sen­si­bi­li­sier­te Mitarbeiter.

Wie­so liebt der Daten­schutz sen­si­bi­li­sier­te Mitarbeiter?

Unter ande­rem, weil sich damit die Risi­ken für eine Daten­schutz­ver­let­zung mini­mie­ren las­sen. Aber es hat noch vie­le wei­te­re posi­ti­ve Aspek­te (früh­zei­ti­ge Ein­bin­dung des DSB, funk­tio­nie­ren­des Daten­schutz­ma­nage­ment, ver­bes­ser­te und ver­ein­fach­te Erfül­lung der DSGVO Anfor­de­run­gen, Sen­ken von Buß­geld­ri­si­ken, und und und .…)

Wie bekom­men wir das hin? Wir kön­nen ja nicht jeden neu­en Mit­ar­bei­ter ein­zeln schulen.

Stimmt. Aber wie wäre es mit unse­rem Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

An wen wen­det sich denn die­ses Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

Bes­tens geeig­net für neue Mit­ar­bei­ter in der Orga­ni­sa­ti­on, die eine grund­le­gen­de Ein­füh­rung in das The­ma zu Beginn erhal­ten sollen.

Nur für neue Mitarbeiter?

Né, ger­ne auch für Mit­ar­bei­ter, die schon lan­ge nicht mehr mit dem The­ma ver­traut gemacht wur­den. Etwas Auf­fri­schung scha­det nicht.

Wie lan­ge dau­ert denn die Veranstaltung?

90 Minu­ten

Muss mein Mit­ar­bei­ter dafür etwas auf sei­nem End­ge­rät installieren?

Nö. Sie brau­chen nur einen mit dem Inter­net ver­bun­de­nen Web­brow­ser und Laut­spre­cher (bes­ser Headset).

Bekom­men Teil­neh­mer eine Bestätigung?

Wir machen im Lau­fe des Web­i­nar ein paar Anwe­sen­heits­checks in Form von Fra­gen /​ Begrif­fen. Die­se Begrif­fe trägt der Teil­neh­mer am Ende in ein For­mu­lar ein und gene­riert sich damit sei­ne Teil­nah­me­be­stä­ti­gung. Die­se wird als PDF-Anhang per Email direkt an den Teil­neh­mer ver­sen­det. Jedes Web­i­nar hat übri­gens ande­re Begriffe 😉

Daten­schutz als The­ma, ist das nicht furztrocken?

Man sagt unse­ren Web­i­na­ren nach, dass die­se hum­vor­voll, inter­es­sant und eben nicht tro­cken sind 🙂

Kön­nen im Web­i­nar Fra­gen gestellt werden?

Aber sicher doch. Wir freu­en uns über jede Fra­ge, die im Chat gestellt wird. Ganz muti­ge Teil­neh­mer schal­ten wir nach Auf­for­de­rung auch ger­ne mit Web­cam und Mikro­fon dazu, wenn gewünscht.

Wie ist das denn mit dem Daten­schutz bei unter­schied­li­chen Teilnehmern?

Chat und Teil­neh­mer­lis­te ste­hen auf anonym. Kei­ner der Teil­neh­mer sieht Namen oder Fra­gen der ande­ren. Fra­gen wer­den von den Mode­ra­to­ren ohne Namen des Fra­ge­stel­lers in einen für alle les­ba­ren Chat kopiert.

Wie oft fin­det das Web­i­nar statt?

Übli­cher­wei­se monat­lich. Die nächs­ten Ter­mi­ne fin­den Sie hier.

Kön­nen wir auch eine eige­ne Ver­an­stal­tung für unse­re Orga­ni­sa­ti­on buchen?

Das lässt sich einrichten 🙂

Was kos­tet die Teilnahme?

Wir hal­ten es ganz ein­fach. Meist nur ein ein­stel­li­ger Euro-Betrag plus MwSt. pro Teil­neh­mer (Aus­nah­me: Orga­ni­sa­ti­ons­in­di­vi­du­el­le Webinare)

Gibt es Beschrän­kun­gen im Hin­blick auf den Teilnehmerkreis?

Nö, das Web­i­nar ist für alle Per­so­nen geeig­net, die im Arbeits­all­tag mit per­so­nen­be­zo­ge­nen Daten han­tie­ren. Es gibt nur eine Ein­schrän­kung: Unser Web­i­nar-Ange­bot rich­tet sich nicht an pri­va­te Endverbraucher.

Müs­sen wir die a.s.k. Daten­schutz als Daten­schutz­be­auf­trag­te benannt haben, damit unse­re Mit­ar­bei­ter teil­neh­men können?

Um Him­mels wil­len, nein. Unser Web­i­nar-Ange­bot rich­tet sich expli­zit nicht nur an unse­re Bestands­kun­den. Aber viel­leicht wer­den Sie ja spä­ter einer 😉

Sind wei­te­re The­men geplant?

Nicht nur geplant. Wir haben wei­te­re The­men am Start wie “Email-Sicher­heit” und “Ein­füh­rung in die Grund­la­gen der Infor­ma­ti­ons­si­cher­heit”. Wei­te­re The­men sind in Vorbereitung.

Wir hät­ten Inter­es­se. Wie geht es jetzt weiter?

Dann schrei­ben Sie uns an.

 

 

 

Check­lis­te Daten­schutz im Home-Office

Check­lis­te Daten­schutz im Home-Office

Ob Coro­na nun vor­über ist oder nicht, dar­über sol­len sich ande­re strei­ten. Was jedoch in vie­len Orga­ni­sa­tio­nen nicht vor­über ist, ist das The­ma Home-Office. Zu Beginn der Pan­de­mie von dem einen oder ande­ren Arbeit­ge­ber mög­li­cher­wei­se nur als Work­around gedacht, ist das Home-Office gekom­men, um zu blei­ben. Da vie­le Orga­ni­sa­tio­nen auf das The­ma über­haupt nicht vor­be­rei­tet waren (Stich­wort Not­fall­ma­nage­ment Unter­punk­te Pan­de­mie und Per­so­nal­aus­fall 🙂 ),  muss­te es 2020 schnell gehen. Inte­rims­lö­sun­gen bzw. Not­nä­gel wur­den geschaf­fen, Haupt­sa­che erst mal arbeits­fä­hig sein. Daten­schutz und Infor­ma­ti­ons­si­cher­heit stan­den dabei nicht immer so im Fokus, wie es den tech­ni­schen und orga­ni­sa­to­ri­schen Risi­ken durch Home-Office ange­mes­sen gewe­sen wäre. Umso wich­ti­ger ist es nun, sich in der aktu­el­len Ver­schnauf­pau­se dem The­ma aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit sys­te­ma­tisch zu nähern. Dabei gilt es, mög­li­cher­wei­se schon vor­han­de­ne Schutz­maß­nah­men und Aspek­te zur Risi­ko­ver­mei­dung auf Wirk­sam­keit zu prü­fen, aber auch noch bestehen­de orga­ni­sa­to­ri­sche und tech­ni­sche Schwach­stel­len zu iden­ti­fi­zie­ren und zu besei­ti­gen. Wir haben unse­ren Kun­den im Zuge der gera­de durch­star­ten­den Pan­de­mie im Früh­jahr 2020 eine Check­lis­te Daten­schutz im Home-Office erstellt und zur Ver­fü­gung gestellt. Damit konn­te zumin­dest schon mal grob geprüft wer­den, ob die wich­tigs­ten Aspek­te in all dem Drun­ter und Drü­ber berück­sich­tigt wur­den. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das gol­de­ne Kalb Daten­schutz getanzt, son­dern das The­ma gesamt­or­ga­ni­sa­to­risch beleuch­tet. Von daher sind in der Check­lis­te Daten­schutz im Home-Office auch grund­le­gen­de Anfor­de­run­gen der Infor­ma­ti­ons­si­cher­heit ent­hal­ten, die sin­ni­ger­wei­se kei­ne Unter­schei­dung zwi­schen Per­so­nen­be­zug oder nicht machen, son­dern gene­rell das Schutz­ni­veau für Infor­ma­tio­nen aller Art ver­bes­sern. Klar durf­te dann auch das The­ma Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern nicht feh­len. Auch wenn es die eine oder ande­re Orga­ni­sa­ti­ons­lei­tung oder Füh­rungs­kraft nervt 😉

Sys­te­ma­tik der Check­lis­te Daten­schutz im Home-Office

Zu Beginn gab es nur eine Check­lis­te für alle uns in den Sinn gekom­me­nen Prüf­punk­te und Anfor­de­run­gen aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit. Prüf­punk­te waren bzw. sind:

  • Hard­ware-Ein­satz (Gestel­lung oder BYOD)
  • Anfor­de­run­gen an den Arbeits­platz zuhause
  • Umgang mit Papierdokumenten
  • Ein­satz von Videokonferenzsystemen
  • Gene­rel­le Anfor­de­run­gen tech­ni­sche Sicherheit
  • Nut­zung von Cloud-Diens­ten z.B. Datei­ab­la­ge oder Kollaborationstools
  • Nut­zung von Messengern
  • All­ge­mei­ne orga­ni­sa­to­ri­sche Anfor­de­run­gen (Rege­lun­gen, Richt­li­ni­en, Schu­lung, Ein­wei­sung etc.)

Dar­in waren sowohl Anfor­de­run­gen für Daten­schutz im Home-Office auf Arbeit­ge­ber­sei­te, aber auch aus Sicht des Arbeit­neh­mers im eige­nen Zuhau­se ent­hal­ten.  Schnell haben wir erkannt, dass dies nicht prak­ti­ka­bel ist und aus einer Check­lis­te Daten­schutz im Home-Office zwei sepa­ra­te Lis­ten gebas­telt. Es gibt daher nun die Check­lis­te Daten­schutz im Home-Office aus Sicht

  • des Arbeit­ge­bers und
  • des Arbeit­neh­mers.

Check­lis­te Home-Office für Arbeitgeber

Die­se etwas umfang­rei­che­re Check­lis­te für den Arbeit­ge­ber befasst sich inten­siv mit den Anfor­de­run­gen an und Vor­aus­set­zun­gen für tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heit, die der Arbeit­ge­ber sicher­stel­len bzw. erst mal schaf­fen muss, damit im Home-Office daten­schutz­kon­form und aus Sicht der Infor­ma­ti­ons­si­cher­heit “sicher” gear­bei­tet wer­den kann. Dar­in sind u.a. auch Punk­te wie die Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO für exter­ne Cloud-Ser­vices und auch admi­nis­tra­ti­ve Vor­ein­stel­lun­gen auf Sei­ten der genutz­ten Tech­ni­ken ent­hal­ten, die für den Arbeit­neh­mer bei sei­ner Tätig­keit im Home-Office jetzt eher weni­ger span­nend bzw. von Inter­es­se sind.

Mit­tels der Check­lis­te Daten­schutz im Home-Office kann schnell und ein­fach durch den Arbeit­ge­ber geprüft wer­den, ob

  • die wich­tigs­ten (tech­ni­schen) Vor­aus­set­zun­gen für siche­res Arbei­ten im Home-Office geschaf­fen sind,
  • die recht­li­chen Anfor­de­run­gen aus Sicht der DSGVO (wie Auf­trags­ver­ar­bei­tung) berück­sich­tigt sind,
  • alles ordent­lich gere­gelt, doku­men­tiert und für alle Betei­lig­ten leicht ver­ständ­lich beschrie­ben ist sowie
  • die Mit­ar­bei­ter aus­rei­chend ein­ge­wie­sen und sen­si­bi­li­siert sind.

Wo ein Haken in der Check­lis­te fehlt, besteht im Zwei­fel noch Hand­lungs­be­darf. Auch jetzt noch, 2 Jah­re später 😉

Check­li­s­te­Home-Office für Arbeitnehmer

Die­se deut­lich kür­ze­re Check­lis­te befasst sich mit den Aspek­ten, die im Home-Office auf Sei­ten des Arbeit­neh­mers erfüllt sein soll­ten. Mit­tels der Prüf­punk­te kann der Mit­ar­bei­ter che­cken, ob er “rea­dy to go” ist im Home-Office und auch auf sei­ner Sei­te die Vor­aus­set­zun­gen für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gewähr­leis­tet sind. Mög­li­cher­wei­se erge­ben die Prüf­punk­te jedoch auch, dass noch es noch an gewis­sen Unter­stüt­zungs­maß­nah­men sei­tens des Arbeit­ge­bers fehlt. Die­se kön­nen anhand der Check­lis­te iden­ti­fi­ziert, pro­to­kol­liert und an den Arbeit­ge­ber mit der Bit­te um Erle­di­gung gesen­det wer­den. Gleich­zei­tig dient die Check­lis­te für Arbeit­neh­mer als klei­ne Gedan­ken­stüt­ze für die not­wen­di­gen Sicher­heits­maß­nah­men im Home-Office, die der Arbeit­neh­mer nicht nur ein­ma­lig, son­dern über die gan­ze Zeit im Home-Office sicher­stel­len sollte.

Wei­te­rer Bene­fit der Checklisten

Neben der Selbst­über­prü­fung, ob an alles Wich­ti­ge und Not­wen­di­ge für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gedacht wur­de, ist die Zwei­tei­lung auch noch für etwas ande­res gut. Cle­ve­re Kun­den von uns haben die Check­lis­te Daten­schutz im Home-Office für Arbeit­neh­mer von Ihren Mit­ar­bei­tern früh­zei­tig aus­fül­len las­sen, um fest­zu­stel­len, was gene­rell vom Arbeit­ge­ber geschaf­fen /​ gestellt wer­den muss, damit Home-Office über­haupt erst sicher mög­lich ist. Im zwei­ten Schritt haben sie sich nach dem Roll­out der Home-Offices über die Check­lis­te für Arbeit­neh­mer durch den Mit­ar­bei­ter noch mal pro­to­kol­lie­ren las­sen, dass jetzt soweit alles zuhau­se im Home Office “passt”. Das Gan­ze natür­lich erst mal nach ent­spre­chen­der Ein­wei­sung und Schu­lung. Ver­steht sich von selbst 🙂

Vor­teil: Als Arbeit­ge­ber bzw. ver­ant­wort­li­che Stel­le kann man damit gleich sehr schön bele­gen, sei­nen Sorg­falts­pflich­ten auch außer­halb der eige­nen Räum­lich­kei­ten Genü­ge getan zu haben.

Down­load der Check­lis­te Daten­schutz im Home-Office

Wer uns etwas näher kennt, weiß von unse­rer Aus­bil­dungs­tä­tig­keit an der Baye­ri­schen Ver­wal­tungs­schu­le für Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te. Im Nach­gang sind alle Teil­neh­mer herz­lich ein­ge­la­den am kos­ten­frei­en ISB Pra­xis-Forum als Aus­tausch­platt­form im All­tag von Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten teil­zu­neh­men. Da kam die Fra­ge auf, ob es nicht für das The­ma Home-Office geeig­ne­te Prüf­lis­ten gäbe oder ob man die­se gemein­sam ent­wi­ckeln wol­le. Was liegt also näher, als die schon vor­han­de­nen Check­lis­ten aus unse­rem Fun­dus in leicht über­ar­bei­te­ter Ver­si­on für alle zur Ver­fü­gung zu stel­len, bevor sich jeder ein­zeln die Mühe macht. Zeit ist zu wertvoll.

Unse­re Bit­te: Die bei­den Check­lis­ten erhe­ben kei­nen Anspruch auf Voll­stän­dig­keit oder Kor­rekt­heit. Wer also Anre­gun­gen und Ergän­zun­gen zur Wei­ter­ent­wick­lung oder Kor­rek­tur hat, immer her damit. Und es gilt “fair use”. Die­se Vor­la­ge kann daher ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Fach­buch wie­der­fin­det. Haf­tung: Die Check­lis­ten stel­len ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen.

Check­lis­te Daten­schutz im Home-Office für Arbeitgeber
Check­lis­te Daten­schutz im Home-Office für Arbeitnehmer

 

E‑Privacy und der geleb­te Datenschutz

Am 04.11.2020 wur­de ein Ent­wurf für eine E‑Privacy Ver­ordnung von der EU-Rats­prä­si­dent­schaft den Mit­glieds­staa­ten vor­ge­legt. Die­sem zufol­ge sind die Ver­ar­bei­tung etwa von Stand­ort- und Zugriffs­da­ten /​ das Set­zen von cookies, die auf den End­ge­rä­ten von ‘visi­tors´ gespei­chert wer­den, unter dem pau­scha­len Ver­weis auf berech­tig­tes Inter­es­se und ohne fun­dier­te(re) Rechts­grund­la­ge nicht zuläs­sig. 

Aus­nah­men die­ser E-Priva­cy Aspek­te 

Für ver­tret­ba­re Ver­ar­bei­tun­gen, die aus Sicht der Ent­wer­fen­den ohne Rechts­grund­la­ge zuläs­sig blei­ben müssten, sind Erlaub­nis­tat­be­stän­de in den E‑Privacy Ent­wurf ein­ge­flos­sen. Hier kamen etwa IT-Sicher­heitfraud pre­ven­ti­onDirekt­wer­bung in Betracht. Auch für mes­sa­ging- und (ande­re) Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ist die Ver­ar­bei­tung der Daten ihrer Nut­zer unter Ein­wil­li­gung wei­ter­hin eingeräumt. Wenn Inhal­te auf einer web­site unent­gelt­lich ange­bo­ten wer­den und die Finan­zie­rung des­sen über Wer­be­ban­ner erfolgt, dür­fe die Nut­zung durch die visi­tors wei­ter­hin an das Set­zen von coo­kies ohne Ein­wil­li­gung /​ Geneh­mi­gung gekop­pelt wer­den, soweit ihm ver­schie­de­ne Optio­nen mittels ‘prä­zi­ser Infor­ma­tio­nen´ auf­ge­zeigt wür­den. In sei­nem Bei­trag zu die­sem The­ma führt hei​se​.de ein Bei­spiel die­ser Pra­xis mit “Spie­gel Online” an, wonach man der Ver­ar­bei­tung sei­ner Daten im vor­ge­nann­ten Sin­ne nur durch Abon­ne­ment ent­ge­hen kön­ne. 

Inte­gri­tät und Vertraulichkeit

Im Fokus steht auch die mit der geplan­ten E‑Privacy Ver­ord­nung den Mit­glied­staa­ten ein­zu­räu­men­de Mög­lich­keit der ‘recht­mä­ßigen Über­wachung´ elek­tro­ni­scher Kom­mu­ni­ka­ti­on, d.h. Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ent­spre­chend in die Pflicht zur Her­aus­ga­be von Stand­ort- und Ver­bin­dungs­da­ten neh­men zu kön­nen. Geset­zen zur Vor­rats­da­ten­spei­che­rung auf natio­na­ler Ebe­ne soll in bestimm­ten Gren­zen eben­falls Raum gege­ben wer­den. 

E‑Privacy und das Nut­zer­ver­hal­ten 

Hand aufs Herz — wer kennt die ‘do not track´ Funk­tio­na­li­tät und wer nutzt sie? Las­sen Sie es uns im Kom­men­tar­feld wis­sen und was Sie davon hal­ten. Der Ansatz, die Ver­ar­bei­tung von User­da­ten ein­zu­gren­zen schei­ter­te, u.a. weil Wer­be­indus­trie & Co. ihn nicht aner­kann­te. Wie kann man nur so gemein sein? 🙂 Auch in der vor­lie­gen­den E‑Privacy Ver­ord­nung in spe ist eine erset­zen­de oder ver­bes­sern­de Rege­lung nicht ent­hal­ten. Indes wur­de der EDSA (Euro­päi­scher Daten­schutz­aus­schuss) ersucht, ent­spre­chen­de Richt­li­ni­en sowie Empfehlungen zu fas­sen. 

Wei­te­re Aus­nah­men von dem Ein­wil­li­gungs­ge­bot könn­ten sich bei Waren­kör­ben, der im Hin­ter­grund ablau­fen­den Prü­fung der Iden­ti­tät von Per­so­nen bei online Trans­ak­tio­nen und zum Zwe­cke des Web­de­signs und der Wer­bung erge­ben. 

Die vor­ge­schla­ge­ne E‑Privacy Ver­ord­nung erstreckt sich auch auf das IoT über öffent­li­che Net­ze. Intel­li­gen­te Hab­se­lig­kei­ten wie medi­zi­ni­sche Gerä­te, Autos, Wasch­ma­schi­nen etc dür­fen auch wei­ter­hin in Daten­ver­ar­bei­tun­gen durch Anbie­ter invol­viert wer­den, ohne dass eine Ein­wil­li­gung /​ Kennt­nis des Besit­zers not­wen­dig wäre. Indes dür­fen die ‘Funk­tio­na­li­tä­ten´ der hard- und soft­wares nicht abge­än­dert wer­den. Das ist schon eine Beru­hi­gung, wenn man die Futura­ma Fol­ge kennt, in der die (Nutz-)Roboter rebellieren 😉 Lie­be Ver­schwö­rungs­theo­re­ti­ker — dies ist ein Scherz und bit­te nut­zen Sie die­sen nicht weiter. 

LfDI Baden-Würt­tem­berg — neu­es Bildungszentrum

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit — LfDI Baden-Würt­tem­berg, Dr. Ste­fan Brink, hat in die­sem Monat ein neu­es Bil­dungs­zen­trum eröff­net. Das „Bil­dungs­zen­trum Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg“ (BIDIB) infor­miert alle inter­es­sier­ten Bür­ger, zivil­ge­sell­schaft­li­che Grup­pen, Ver­ei­ne, Ver­bän­de, Unter­neh­men etc. unter dem Mot­to „Daten­schutz und Infor­ma­ti­ons­frei­heit zum Anfas­sen“ und bil­det ein Forum für die moder­nen Grund­rech­te Daten­schutz und Informationsfreiheit. 

Das BIDIB des LfDI als neu­es Forum der Bil­dung und Diskussion

Die offi­zi­el­le Web­site des BIDIB kön­nen Sie hier auf­ru­fen und die zuge­hö­ri­ge Pres­se­mit­tei­lung hier. Die mit Mit­teln des Land­tags Baden-Würt­tem­berg eta­blier­te Bil­dungs­ein­rich­tung gibt Bil­dungs- und Dis­kus­si­ons­ver­an­stal­tun­gen Raum, in denen poli­ti­sche, ethi­sche, recht­li­che und sozio­lo­gi­sche Aspek­te des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit behan­delt wer­den. Die Dar­rei­chungs­for­men sind u.a. digi­ta­le For­ma­te, Vor­trä­ge, Kon­fe­ren­zen, Work­shops und Schu­lun­gen, die mit dem Know-how der LfDI Baden-Würt­tem­berg Mit­ar­bei­ten­den gespeist wer­den. Dazu gehört auch eine Dis­kus­si­ons­rei­he mit Dr. Ste­fan Brink zu ver­schie­de­nen gesell­schafts­re­le­van­ten Themen. 

Zukunfts­wei­sen­de Aspekte

Der LfDI Baden-Würt­tem­berg sieht „bedarfs­ge­rech­te Bil­dungs­an­ge­bo­te, die die­se Grund­rech­te aus mög­lichst vie­len Per­spek­ti­ven beleuch­ten und durch­drin­gen [..] von grund­le­gen­der und gesamt­ge­sell­schaft­li­cher Bedeu­tung“. Neben dem ste­ti­gen Aus­bau der Ver­an­stal­tungs- und Bil­dungs­an­ge­bo­te ist auch die Erwei­te­rung um /​ bestehen­der Koope­ra­tio­nen wie mit Han­dels­kam­mern, Gewerk­schaf­ten, Par­tei­en und wei­te­ren Orga­ni­sa­tio­nen avi­siert. Nach der Auf­bau­pha­se des BIDIB bis vor­aus­sicht­lich Ende die­sen Jah­res wird das Bil­dungs­zen­trum über eige­ne Räum­lich­kei­ten verfügen.

Fazit und Kom­men­tar zum neu­en Bil­dungs­zen­trum des LfDI Baden-Würt­tem­berg 

Zu den Gra­tu­lan­ten gehö­ren der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, Prof. Kel­ber, die Gesell­schaft für Frei­heits­rech­te und der CCC. Ins­be­son­de­re in Zei­ten, in denen vie­ler­orts unaus­ge­reif­te Digi­ta­li­sie­rung mit zeit­glei­chem Rück­gang der Trans­pa­renz vor­an­ge­trie­ben wird und der Bür­ger weit weni­ger ratio­nal auf das digi­ta­le Zeit­al­ter ein­ge­stellt wird als er annimmt, sind Ein­rich­tun­gen der Bil­dung, der zeit­ge­mä­ßen Auf­klä­rung und des Dis­kur­ses mehr als not­wen­dig. Es wäre zu begrü­ßen, wenn noch wei­te­re sol­cher Ein­rich­tun­gen in den Bun­des­län­dern eta­bliert würden. 

BfDI über­reicht sei­ne Berich­te zu Daten­schutz und Informationsfreiheit

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­fil­ing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Dark­net Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Brexit, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Dash­cams erlaubt? Im Daten­schutz Check

Wer hat nicht schon ein­mal mit einer sol­chen gelieb­äu­gelt? Der Kom­fort und die Rechts­si­cher­heit der Dash­cams, klei­ne Kame­ras hin­ter der Wind­schutz­schei­be, am Len­ker oder wel­che Vehi­kel auch immer bevor­zugt wer­den, erschei­nen als ein­deu­ti­ges Ver­hält­nis­mä­ßig­keits­kri­te­ri­um. Aller­dings sind sie durch­aus nicht unein­ge­schränkt und in jedem Land erlaubt. Was zu beach­ten ist, erklärt die­ser Beitrag. 

Die Funk­ti­ons­wei­se  

Dash­cams sol­len ins­be­son­de­re das Ver­kehrs­ge­sche­hen und ‑unfäl­le auf­zeich­nen, um tat­sa­chen­wid­ri­gen bzw. par­tei­ischen Aus­sa­gen ent­ge­gen­zu­wir­ken und eine ein­deu­ti­ge Beweis­füh­rung zu ermög­li­chen. Dass die Vide­os jeden Auf­ge­nom­me­nen belas­ten kön­nen — ein­schließ­lich des Dash­cam Besit­zers, muss nicht geson­dert erwähnt wer­den. Ange­schlos­sen an die Bord­elek­tro­nik und /​ oder per Akku sind sie in der Lage, auf Micro SD Kar­ten im Giga­byte Bereich in End­los­schlei­fe auf­zu­zeich­nen. Diver­se Model­le haben auch Bewe­gungs­sen­so­ren und Infrarotsicht. 

Dash­cams in der prak­ti­schen Anwen­dung 

Die Auf­zeich­nung amt­li­cher Kenn­zei­chen und Per­so­nen ist eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Das online Stel­len kennt­li­cher Inhal­te ist selbst­ver­ständ­lich ein­deu­tig ein Ver­stoß gegen die infor­ma­tio­nel­le Selbst­be­stim­mung. Aus behörd­li­cher Daten­schutz­sicht geht der Tenor dahin, dass der Betrieb von Dash­cams auch dann als unzu­läs­sig zu betrach­ten ist, wenn kurz und anlass­be­zo­gen auf­ge­zeich­net wird, da natur­ge­mäß kei­ne Infor­ma­ti­ons­pflich­ten über Zweck etc. mit­ge­teilt wer­den kön­nen. Nicht umsonst ach­tet man bei Video­über­wa­chung in Fir­men und ande­ren Ein­rich­tun­gen auf Beschil­de­rung außer­halb des Erfas­sungs­be­reichs u.a. mit den Zwe­cken und den Daten des Aufzeichnenden. 

Die Kri­te­ri­en einer daten­schutz­kon­for­men Video­auf­zeich­nung sind nicht in Stein gemei­ßelt, aber klar defi­nier­bar. Gene­rell geht es um die Kennt­nis der kon­kre­ten Umstän­de und einer sach­ge­rech­ten Abwä­gung der Rechtsgüter. 

Auch Gene­rell Iin Fra­gen der rich­ti­gen Beur­tei­lung und der rechts­si­che­ren daten­schutz­kon­for­men Pro­zess­ge­stal­tung steht Ihnen unser Team als exter­ne Daten­schutz­be­auf­trag­te und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te zur Sei­te

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH 

In sei­ner Ent­schei­dung VI ZR 233/​17 vom 15.05.2018 ent­schied der Bun­des­ge­richts­hof, dass Dash­cam-Auf­zeich­nun­gen im Unfall­haft­pflicht­pro­zess aus zivil­recht­li­cher Sicht ver­wert­bar sein kön­nen. Im Ein­zel­fall sei jeden­falls eine Inter­es­sen- und Güter­ab­wä­gung vorzunehmen. 

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams 

Grund­sätz­lich wird man wohl das Inter­es­se des Dash­cam Betrei­bers den schutz­wür­di­gen Inter­es­sen ande­rer Ver­kehrs­teil­neh­mer unter­ord­nen müs­sen, ins­be­son­de­re dann, wenn per­ma­nen­te und nicht anlass­be­zo­ge­ne Auf­zeich­nun­gen vor­ge­nom­men wer­den. Ande­ren­falls wäre das Rechts­gut der infor­mel­len Selbst­be­stim­mung gefähr­det. Aller­dings ist die Anwen­dung von Dash­cams auch hin­sicht­lich der Ver­wer­tungs­fra­ge wei­ter­hin umstritten. 

Das BayL­DA kün­dig­te an, dass Über­mitt­lun­gen von Dash­cam-Auf­zeich­nun­gen an Poli­zei und Ver­si­che­run­gen als Ver­stoß gewer­tet und mit einem Buß­geld geahn­det wer­den könnten. 

Euro­pa­tag 2020 — Vide­orei­he des LfDI

In einer Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) vom 15.05.2020 wird zum Euro­pa­tag 2020 eine Vide­orei­he vorgestellt.

Jubi­lä­um — 70 Jah­re EU und der Daten­schutz zum Euro­pa­tag 2020

Der fran­zö­si­sche Außen­mi­nis­ter Robert Schu­man präg­te mit dem Aus­spruch, dass „Euro­pa [..] durch kon­kre­te Tat­sa­chen ent­ste­hen [wird], die zunächst eine Soli­da­ri­tät der Tat schaf­fen.“ am 09. Mai 1950 das poli­ti­sche Bewusst­sein für die Grün­dung der Euro­päi­sche Uni­on. Als Urhe­ber der DSGVO wird die EU sowie der Euro­pa­tag 2020 selbst­ver­ständ­lich auch von Daten­schüt­zern aller Her­ren Län­der began­gen und gefei­ert. Anläss­lich die­ses — 70-jäh­ri­gen — Jubi­lä­ums ehrt der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg ein zusam­men­wach­sen­des Euro­pa auf beson­de­re Art.

Vide­orei­he des LfDI

Unter dem für „LfDI“ akro­ny­men Titel „Daten­schutz – zum Lua­ga fir Daho­im ond Ibe­r­all“ wer­den in locke­rer und auf­schluss­rei­cher Form The­men des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit behan­delt und wie euro­pa­weit gel­ten­de Rege­lun­gen in dem Bun­des­land umge­setzt werden.

Das aktu­el­le Video zum Euro­pa­tag 2020

In der ers­ten Fol­ge wird eine Ein­füh­rung pas­send zum The­ma Daten­schutz zum Euro­pa­tag 2020 in das The­ma Daten­schutz ver­mit­telt mit Grund­be­grif­fen und Tipps. Neben Erläu­te­run­gen der Begrif­fe per­so­nen­be­zo­ge­ner Daten und der Ver­ar­bei­tung die­ser wer­den Sinn und Nut­zen des Daten­schut­zes prä­gnant the­ma­ti­siert. Letz­te­res ist noch nicht über­all eine Selbst­ver­ständ­lich­keit. Die Zuor­den­bar­keit von Daten zu Per­so­nen wird mit Bei­spie­len wie KFZ-Kenn­zei­chen und Video­auf­zeich­nun­gen ver­an­schau­licht. Tra­gen­de Grund­sät­ze des Daten­schut­zes wie u.a. die nach­fol­gen­den wer­den erklärt: 

  • Inte­gri­tät
  • Ver­trau­lich­keit
  • Zweck­bin­dung
  • Trans­pa­renz

Auch Recht­mä­ßig­keit, Rechen­schafts­pflich­ten und die Betrof­fe­nen­rech­te nach Artt. 15 ff. DSGVO sind Gegen­stand der Betrach­tung. Das Pro­zess­prin­zip Plan, Do, Check, Act sowie die Mel­dung von Daten­pan­nen auf dem online Wege und die Abgren­zung von Auf­trags­ver­ar­bei­tung und Gemein­sa­mer Ver­ant­wort­lich­keit iSd. Art. 26 DSGVO wer­den dem Zuschau­er näher gebracht.

Wei­te­re Epi­so­den zum Datenschutz

Nicht nur zum Euro­pa­tag 2020, son­dern gene­rell ist dies eine viel­ver­spre­chen­de Rei­he, Anwen­dern und Betrof­fe­nen wich­ti­ge Aspek­te des Daten­schut­zes und auch der Infor­ma­ti­ons­si­cher­heit in einem infor­ma­ti­ven und gut kon­su­mier­ba­ren For­mat anzu­bie­ten. Für die fol­gen­den Vide­os wer­den detail­lier­te­re The­men wie „Lösch­kon­zept“ und „Trans­pa­renz­pflicht“ ange­kün­digt. Adres­sa­ten der Vide­orei­he sei­en „ins­be­son­de­re [..] klei­ne und mit­tel­stän­di­sche Unter­neh­men, Ver­ei­ne und natür­lich auch an unse­re Kommunen.“

Trai­ning und Betreu­ung von Datenschutzexperten

Die Her­aus­for­de­run­gen für Unter­neh­men und Kom­mu­nen im Daten­schutz sind sehr anspruchs­voll. Ruf­schä­di­gen­de oder kos­ten­in­ten­si­ve Feh­ler sind schnell pas­siert. Wen­den Sie sich ver­trau­ens­voll an Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Dann for­dern Sie doch ein­fach ein unver­bind­li­ches Ange­bot für einen exter­nen Daten­schutz­be­auf­trag­ten bei uns an.

Coro­na App und Daten­schutz — ein Update und vie­le Grüße

Vor allem ande­ren möch­ten wir Sie lie­be Leu­te, lie­be Leser, lie­be Kun­den herz­lich grü­ßen. Wir hof­fen, dass es Ihnen und den Ihri­gen gut geht und dass Ihr Ein­stieg in das Home-Office bzw. in die  Coro­na beding­ten Son­der­si­tua­tio­nen ok bis gut war. Abge­se­hen von den inter­na­tio­nal schwie­ri­gen Zustän­den in Pfle­ge und Logis­tik — wie etwa das kol­lek­ti­ve Mas­ken­bas­teln in Indus­trie­län­dern — kön­nen ins­be­son­de­re Unge­wiss­hei­ten, sub­jek­ti­ve Inter­pre­ta­tio­nen und Unge­nau­ig­kei­ten in Bericht­erstat­tun­gen die­ser Tage schon ziem­lich ner­ven. Wenn Sie also zu Coro­na, Coro­na App, Daten­schutz oder Home-Office im All­ge­mei­nen etwas schrei­ben möch­ten, nut­zen Sie ger­ne das Kom­men­tar­feld zu die­sem Post. 

Ihr Team von a.s.k. Datenschutz. 

P.S. Wir sind gesund und mun­ter und hal­ten unse­re Por­sche Design Pyja­mas mode­ge­mäß 😉 Wir freu­en uns, Sie bald wie­der zu sehen. Und wenn Sie sich zu Daten­schutz etc. kurz­fris­tig bespre­chen möch­ten, las­sen Sie uns ein­fach ger­ne per Video Call in Ver­bin­dung treten. 

App Lösun­gen gegen Coro­na 

Um der Coro­na Pan­de­mie bes­ser Herr zu wer­den, sind ver­schie­de­ne Ansät­ze für soft­ware­ba­sier­te Lösun­gen ent­wi­ckelt wor­den, wie zum Bei­spiel die Kon­zep­te DP-3T und PEPP-PT, die auf per­so­nen­be­zo­ge­ne Daten zurück­grei­fen. Eine der­zeit beson­ders pro­mi­nen­te Vari­an­te ist das Cont­act Tra­cing, bei der man als Nut­zer der zuge­hö­ri­gen App gewarnt wird, wel­che ande­ren App Nut­zer im Umkreis x infi­ziert sein kön­nen. Die EU-Kom­mis­si­on befasst sich mit dem Thema. 

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App 

Der Daten­schutz­aus­schuss der EU-Kom­mis­si­on (EDPB) ist bestrebt, den Ent­wick­lungs­pro­zess von Apps und Soft­ware zur Coro­na Bekämp­fung nach daten­schutz­ge­rech­ten Maß­ga­ben zu för­dern. In die­sem Kon­text hat der Aus­schuss am Diens­tag, den 21.04.2020 eine Richt­li­nie zum Ein­satz von Ortungs­da­ten und Soft­ware­lö­sun­gen /​ Apps, wie etwa zur per­so­nen­be­zo­ge­nen Kon­takt­nach­ver­fol­gung, her­aus­ge­ge­ben, wel­che die natio­na­len Behör­den und die Deve­lo­per Ein­rich­tun­gen adressiert. 

Inhaltli­che Anfor­de­run­gen 

Bei der Aus­wer­tung sen­si­bler Daten und dem Ein­satz von Coro­na Apps sei­en Zweck­bin­dung, Trans­pa­renz und Daten­spar­sam­keit uner­läss­lich — alles zen­tra­le Pos­tu­la­te der DSGVO. In der auf Mas­se ange­leg­ten Ana­ly­se von Bewe­gungs­da­ten sei ein erheb­li­cher Ein­griff in die Frei­heits­rech­te zu sehen, daher sei hier das Prin­zip der Frei­wil­lig­keit (Abschnitt zu 2020-02) zu wahren. 

Stand­ort­da­ten sei­en grund­sätz­lich nicht zu erfas­sen, da sie für Mit­tei­lun­gen über mög­li­che Infek­ti­ons­ket­ten nicht benö­tigt wür­den und fer­ner die Auf­he­bung der Anony­mi­sie­rung erleich­ter­ten. Fer­ner sei eine Daten­schutz­fol­ge­ab­schät­zung für den Ein­satz sol­cher Apps durch­zu­füh­ren und zu veröffentlichen. 

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App  

Die App könn­te über ein zen­tra­les Ser­ver­sys­tem betrie­ben wer­den mit restrik­ti­ven Zugriffs­be­rech­ti­gun­gen und gerä­te­ori­en­tier­ten, nati­ven Sicher­heits­maß­ga­ben. Es bestand gro­ße Unei­nig­keit betref­fend die Fra­ge des zen­tra­len oder dezen­tra­len App-Betriebs. Der Schwer­punkt sol­le dar­auf gelegt wer­den, dass Daten eher lokal gespei­chert werden. 

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten  

Die Richt­li­nie defi­niert auch Aus­nah­men für den Ermes­sens­spiel­raum der natio­na­len Behör­den, im Rah­men der Gesetz­ge­bung Aus­nah­men von DSGVO-Grund­sät­zen zu machen. So kann etwa das Erfor­der­nis der Ein­wil­li­gung für die Ver­ar­bei­tung von Gesund­heits­da­ten ent­fal­len, bzw. die Rechts­grund­la­ge durch Wahr­neh­mung einer Auf­ga­be des öffent­li­chen Inter­es­ses oder die Aus­übung öffent­li­cher Gewalt gege­ben sein. 

Eine Coro­na App in der Pra­xis 

Bril­lan­te Ent­wick­lun­gen wie das Cont­act Tra­cing und die KI-basier­te Aus­wer­tung von Daten zur intel­li­gen­ten Gesund­heits­vor­sor­ge sind als wah­rer Fort­schritt in der not­wen­di­gen Digi­ta­li­sie­rung zu sehen. Dass der kon­struk­ti­ve Erfolg indes mit der effek­ti­ven Aus­füh­rung in allen orga­ni­sa­to­ri­schen Ebe­nen steht und fällt, beschäf­tigt die Daten­schutz­ex­per­ten weltweit. 

Fach­leu­te wie die des EU-Aus­schus­ses und der Daten­schutz­be­hör­de Schles­wig-Hol­stein sehen den Erfolg die­ses kon­kre­ten Pro­jekts auch ins­be­son­de­re vom Ver­trau­en des Anwen­ders in die pro­fes­sio­nel­le Ver­ar­bei­tung sei­ner Daten abhängig 

Oft wird in die­sem Kon­text aus­drück­lich dar­auf hin­ge­wie­sen, dass der Daten­schutz weder der Pan­de­mie­be­kämp­fung noch der For­schung im Wege steht. 

Big Brot­her Awards 2020

Vie­le haben schon von ihnen gehört, aber kei­ne kon­kre­te Vor­stel­lung. Die Big Brot­her Awards sind eine inter­na­tio­na­le Aus­zeich­nung, die in Deutsch­land gestar­tet und bereits in 19 Län­dern ver­lie­hen wur­de.  Sie wird vom  Digi­tal­cou­ra­ge e.V., einem Ver­ein u.a. für Daten­schutz und Infor­ma­ti­ons­frei­heit seit dem Jahr 2000 jähr­lich aus­ge­rich­tet. Als Nega­tiv­preis zeich­net Ein­rich­tun­gen und Per­so­nen aus, die Pri­vat­sphä­re und Daten­schutz in her­aus­ra­gen­der Wei­se igno­rie­ren und kompromittieren. 

Tra­di­tio­nell fin­den die Big Brot­her Awards im Stadt­thea­ter Bie­le­feld statt. Die für die­sen Monat — am 30.04.2020 — geplan­te Preis­ver­lei­hung wird aus aktu­el­lem Anlass ver­scho­ben und der Ersatz­ter­min neu bekannt gegeben. 

Umset­zung der Big Brot­her Awards 

Wer­den etwa Daten ent­ge­gen der ursprüng­li­chen Moti­va­ti­on ihrer Erhe­bung ver­wen­det und gar gehan­delt, so liegt regel­mä­ßig das Feh­len einer Zweck­bin­dung und einer Rechts­grund­la­ge vor, zwei der ele­men­ta­ren For­de­run­gen des gel­ten­den euro­päi­schen Daten­schutz­rechts

Ein Ziel der Aus­zeich­nung ist das Publik­ma­chen von rechts­wid­ri­gen Ambi­tio­nen und Hand­lun­gen, wel­che die Infor­ma­ti­ons­si­cher­heit im wei­te­ren Sin­ne und demo­kra­ti­sche Kri­te­ri­en fahr­läs­sig oder vor­sätz­lich belas­ten. Damit möch­ten die Preis­ver­lei­her die Ver­ur­sa­cher unter Druck set­zen und damit zur Trans­pa­renz ver­an­las­sen. Die vor­aus­sicht­lich von den Preis­trä­gern uner­wünsch­ten Schlag­zei­len sind dabei offi­zi­ell erwünsch­tes Resul­tat der Ver­lei­hung der Big Brot­her Awards. 

Die Jury hier­zu­lan­de setzt sich aus Ver­tre­tern der Digi­tal­cou­ra­ge e.V., der Deut­schen Ver­ei­ni­gung für Daten­schutz  (DVD), des Forums Infor­ma­ti­ke­rIn­nen für Frie­den und gesell­schaft­li­che Ver­ant­wor­tung  (FIfF), des För­der­ver­eins Infor­ma­ti­ons­tech­nik und Gesell­schaft  (Fitug), des Cha­os Com­pu­ter Clubs  (CCC), der Huma­nis­ti­schen Uni­on  (HU) und der Inter­na­tio­na­len Liga für Men­schen­rech­te  (ILMR) zusam­men. Bei die­sen Orga­ni­sa­tio­nen han­delt es sich nicht — wie ger­ne kol­por­tiert — um (Cyber-) Kri­mi­nel­le, son­dern um Ein­rich­tun­gen, die sich für den Schutz und die Kul­ti­vie­rung die­ser gesetz­lich vor­ge­schrie­be­nen Rech­te ver­pflich­ten. Sehen Sie selbst: 

Preis­trä­ger des vori­gen Jahres 

  • In der Kate­go­rie Tech­nik ging der Big Brot­her Award 2019 an das Euro­päi­sche Insti­tut für Tele­kom­mu­ni­ka­ti­ons­nor­men (ETSI), Abtei­lung „Tech­ni­cal Com­mit­tee CYBER“. Dies betraf For­schun­gen zu einem neu­en geplan­ten Stan­dard „ETS“ (vor­mals “eTLS”) für eine Soll­bruch­stel­le in der Ver­schlüs­se­lung im Inter­net, der es staat­li­chen Behör­den erlaubt, Onlin­ever­bin­dun­gen zu ent­schlüs­seln. Wäh­rend vie­ler­orts Gerä­te­her­stel­ler die Soll­bruch­stel­le aus­bau­en, forscht man hier an der fina­len Besei­ti­gung von Daten­schutz und Grund­rech­ten aus der Digi­ta­li­sie­rung. Eine wohl­ver­dien­te Preis­ver­lei­hung für den größ­ten bevor­ste­hen­den Rück­schritt der BRD. 
  • In der Kate­go­rie Ver­brau­cher­schutz — „ZEIT“. Das Online-Modul der Zei­tung hat für das so hei­mat­lich und auf­recht klin­gen­de Pro­jekt „Deutsch­land spricht“ Goog­le-Diens­te ein­ge­setzt, über die poli­ti­sche Ansich­ten der „spre­chen­den Deut­schen“ an Ser­ver in den USA über­mit­telt wur­den. Das Nach­fol­ge­pro­jekt von „Deutsch­land spricht“ ließ sich die Zeit anschlie­ßend gleich von Goog­le direkt finan­zie­ren. Eine ech­te Arbeit „am Bür­ger“. Dass „Zeit Online“ zudem Wer­be­tra­cker und Face­book-Pixel ein­setz­te, trug eben­falls zur Preis­ver­lei­hung bei. 
  • Ein beson­de­res Schman­kerl der bereits impli­zit poten­zi­ell rechts­wid­ri­gen Über­wa­chung ist Palan­tir. Der zuge­hö­ri­ge Preis­trä­ger des Big Brot­her Awards in der Kate­go­rie Behör­den & Ver­wal­tung — der hes­si­sche Innen­mi­nis­ter Peter Beuth. Unter sei­ner Feder­füh­rung kam man mit dem auch bei der CIA geschätz­ten US-Unter­neh­men Palan­tir ins Geschäft. Ein­ge­setzt wird seit­her deren Ana­ly­se­soft­ware mit zuge­hö­ri­gem Zugriff des Unter­neh­mens auf umfang­rei­che Daten­be­stän­de der hes­si­schen Poli­zei von den USA aus. Hof­fent­lich hat man auch an den AV-Ver­trag gedacht 🙂 Die Soft­ware erlaubt es, Mas­sen­da­ten aus exter­nen sowie Poli­zei­quel­len auto­ma­ti­siert zu ana­ly­sie­ren und nach eigens defi­nier­ba­ren Kri­te­ri­en aus­zu­wer­ten. Die DSGVO spricht bei sol­chen Ver­ar­bei­tun­gen u.a. direkt vom Pro­fil­ing und knüpft mit Art. 22 hier­an stren­ge Kri­te­ri­en. Die­ses natur­ge­mäß nur in den Hän­den pro­fes­sio­nel­ler Infor­ma­ti­ker kon­trol­lier­ba­re Instru­ment dürf­te in der all­täg­li­chen Anwen­dung durch mehr oder weni­ger geschul­te Sach­be­ar­bei­ter Aus­wir­kun­gen auf die fak­ti­sche Exis­tenz von Grund­rech­ten, Daten­schutz und Infor­ma­ti­ons­si­cher­heit gene­rell haben. 
  • In Sachen Bio­tech­nik ging der Big Brot­her Award 2019 an die weit ver­brei­tet bekann­te Fir­ma Ancestry​.com. Per­so­nen, die Fami­li­en­for­schung betrei­ben woll­ten, wur­den auf­ge­for­dert, ihre Spei­chel­pro­ben ein­zu­sen­den. Die dar­aus gewon­ne­nen Gen-Daten wur­den anschlie­ßend von Ancestry an die kom­mer­zi­el­le Phar­ma­for­schung ver­kauft, u.a. Grund­la­ge ver­deck­ter Vater­schafts­test und für poli­zei­li­che gene­ti­sche Rasterungen. 
  • Der Big Brot­her Award 2019 in der Kate­go­rie Kom­mu­ni­ka­ti­on ging an die Fir­ma Pre­ci­re mit ihrer Sprach­ana­ly­se-Soft­ware, die Aus­wahl von Bewer­bern und die Ana­ly­se der Emo­tio­nen von Anru­fern ermöglicht. 

Wei­te­re Stel­lung­nah­men, Inhal­te und die voll­stän­di­ge Sen­dung Preis­ver­lei­hung 2019 fin­den Sie auf der Web­site der Big Brot­her Awards. 

Was ist Datenschutz?

Unter Daten­schutz ver­steht man den Schutz per­so­nen­be­zo­ge­ner Daten vor Miss­brauch, oft im Zusam­men­hang auch mit dem Schutz der Pri­vat­sphä­re. Zweck und Ziel im Daten­schutz ist die Siche­rung des Grund­rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung der Ein­zel­per­son. Jeder soll selbst bestim­men kön­nen, wem er wann wel­che sei­ner Daten und zu wel­chem Zweck zugäng­lich macht. 

Daten­schutz-Defi­ni­ti­on 

Per­so­nen­be­zo­ge­ne Daten sind gemäß Art. 4 Abs. 1 DSGVO “alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen”. 

Das Gesetz sieht eine natür­li­che Per­son als iden­ti­fi­zier­bar an, “die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie“ 

  • Namen 
  • einer Kenn­num­mer 
  • Stand­ort­da­ten 
  • einer Online-Ken­nung oder 
  • „einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann” 

Rechts­grund­la­gen im Daten­schutz 

Um per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten zu dür­fen, braucht es eine recht­li­che Grund­la­ge. Ein­fach so erlang­te Daten ande­rer Per­so­nen zu spei­chern, bear­bei­ten, ana­ly­sie­ren .. das klingt nicht logisch oder? 

Arti­kel 6 Absatz 1 DSGVO lie­fert eini­ge mög­li­che Rechts­grund­la­gen, die eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten recht­mä­ßig machen kön­nen. In den sechs auf­ge­zähl­ten Punk­ten a bis f wer­den bekann­te und viel­leicht auch noch nicht so bekann­te Rechts­grund­la­gen wie etwa die Ein­wil­li­gung (a), die (vor)vertraglichen Maß­ga­ben (b) und die berech­tig­ten Inter­es­sen (f) prä­sen­tiert. Ins­be­son­de­re letz­te­re sind sehr beliebt, weil ver­meint­lich unbü­ro­kra­tisch, jedoch auch häu­fig überstrapaziert. 

Auch gesetz­li­che Vor­schrif­ten unter c, sehr wich­tig gera­de für öffent­li­che Stel­len, und lebens­wich­ti­ge Inter­es­sen per se unter d sowie die Öffent­lich­keit /​ öffent­li­che Inter­es­sen sind uns als Rechts­grund­la­gen an die Hand gegeben. 

Norm­ge­bungen 

Nicht nur in der DSGVO und dem neu­en BDSG ist der Daten­schutz anzu­tref­fen. Auch in den spe­zi­al­ge­setz­li­chen Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den /​ Kom­mu­nen — wie z.B. dam vie­len unse­rer Kun­den wohl­be­kann­ten BayDSG — sowie dem TMGSGB und Kir­chen­recht, z.B. DSG-EKD

Lei­der ist jedoch der Urva­ter jeden Daten­schut­zes schon lan­ge in Ver­ges­sen­heit gera­ten. Das Grund­recht, dass es kein Ver­bre­chen ist, über die Preis­ga­be sei­ner Daten selbst zu bestimmen. 

Daten­schutz im Bewusst­sein 

Der ste­tig zuneh­men­den Erhe­bung, Spei­che­rung, Wei­ter­ga­be, Ver­net­zung und Nut­zung von Daten durch fort­schrei­ten­de Tech­no­lo­gi­sie­rung (Email, Inter­net, Mobil­te­le­fo­ne, sozia­le Netz­wer­ke, Kun­den­kar­ten etc.) steht oft eine gewis­se Gleich­gül­tig­keit ent­ge­gen. In wei­ten Tei­len der Bevöl­ke­rung, aber auch auf Unter­neh­mer­sei­te, wird dem Daten­schutz teils kein oder nur ein gerin­ger Stel­len­wert zuge­bil­ligt. Dabei ist Daten­schutz gera­de im Lich­te fort­schrei­ten­der Glo­ba­li­sie­rung ein wich­ti­ger Weg­be­glei­ter von Kind­heit an und in zahl­lo­sen Aspek­ten des All­tags. Die welt­wei­te Ver­net­zung und eine Ver­la­ge­rung von Daten in Län­der, in denen deut­sche und euro­päi­sche Schutz­ge­set­ze kei­ne Gül­tig­keit haben, machen Daten­schutz oft wir­kungs­los oder erschwe­ren die­sen zumin­dest. Daten­schutz ist daher nicht als umständ­li­che Eigen­art son­dern Län­der­über­grei­fen­de Ver­ant­wor­tung zu aufzufassen. 

Daten­schutz prak­tisch gelebt 

Von daher geht es beim The­ma Daten­schutz mitt­ler­wei­le nicht mehr um die rei­ne Daten­si­cher­heit z.B. durch tech­ni­sche Hilfs­mit­tel, son­dern auch um eine effek­ti­ve Durch­set­zung.  Das Yin und Yang eines zeit­ge­mä­ßen und sou­ve­rä­nen Daten­schut­zes sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men. Auch als TOM bekannt sind sie das Herz­stück von IT-Sicher­heit und Daten­schutz, die bei­den Ele­men­te der Infor­ma­ti­ons­si­cher­heit

.. eine ech­te Errun­gen­schaft 

Bei uns in Deutsch­land ist Daten­schutz kein neu­es The­ma. Schon 1977 trat ein Bun­des­da­ten­schutz­ge­setz in Kraft, wel­ches sich jedoch mit dem Daten­schutz in der öffent­li­chen Bun­des­ver­wal­tung befass­te. Öffent­lich­keits­wirk­sam trat der Daten­schutz mit dem sog. “Volks­zäh­lungs­ur­teil” des Bun­des­ver­fas­sungs­ge­richts 1983 in den Vor­der­grund. Aus­lö­ser waren die zahl­rei­chen Wei­ge­run­gen vie­ler Mit­bür­ger, sich und ihre per­sön­li­chen Lebens­ver­hält­nis­se anläss­lich der bun­des­wei­ten Volks­zäh­lung kund­zu­tun. Das Volks­zäh­lungs­ge­setz wur­de — spek­ta­ku­lär — in Tei­len auf­ge­ho­ben und der Begriff der “infor­ma­tio­nel­len Selbst­be­stim­mung” geprägt. Die­se lei­tet sich aus dem Arti­kel 2 des Grund­ge­set­zes ab — dem Recht auf freie Ent­fal­tung der Persönlichkeit. 

Mehr zum The­ma bei Wiki­pe­dia 

Die mobile Version verlassen