Landesdatenschutzbeauftragter

Datenschutzaufsicht: Zentral oder dezentral?

von Sascha Kuhrau
17. September 20209. Dezember 2020

Unser Berufsverband der Datenschutzbeauftragten Deutschland (BvD) e.V. richtet heute, am 17.09.2020 eine sehr interessante Veranstaltung aus mit dem Titel “Föderal oder zentral – Wie sieht die Zukunft der Datenschutzaufsicht aus?”. Aufgrund der aktuellen Gegebenheiten rund um Corona kann die Veranstaltung mittels Live-Stream mitverfolgt werden und zwar unter der URL https://www.bvdnet.de/aufsicht-live/

Vor dem Hintergrund der Evaluierung des Bundesdatenschutzgesetzes steht der Vorschlag im Raum, die Datenschutzaufsicht für Unternehmen zukünftig in eine zentrale Hand zu legen statt auf 17 Aufsichtsbehörden (16 Land, 1 Bund) weiter verteilt zu lassen.

Start ist um 15 Uhr und besonders interessant wird es bei den Beiträgen ab 15:25 Uhr. “Standpunkte: Pro und Kontra Zentralisierung” und “Erfahrungen aus der Datenschutzpraxis”. Reinschauen bzw. Reinhören lohnt sich auf jeden Fall, wenn Vertreter der Landesdatenschutzbehörden auf Datenschutz-Anwälte und Praktiker aus der Wirtschaft treffen, um die Vor- und Nachteile der aktuell facettenreichen DSGVO Auslegungen und Meinungen in den verschiedenen Bundesländern zu diskutieren.

Vor- und Nachteile

Wer wie wir aufgrund der Kundenstruktur mit eigentlich allen Landesdatenschutzbehörden zu tun hat, kann den Wunsch nach einer Zentralisierung bzw. Vereinheitlichung durchaus nachvollziehen. Die nicht seltene weit gefächerte und divergierende Auslegung der DSGVO macht es nicht unbedingt leichter. Und selbst wenn es gemeinsame Stellungnahmen z.B. im Zuge der DSK (Datenschutzkonferenz) gibt, sind diese gelegentlich so vage, dass die Bedeutung für die Umsetzungspraxis durchaus gegen Null streben kann. Eine einheitliche Sichtweise wäre hier durchaus auch gegenüber Kunden sehr hilfreich. Es ist nicht immer leicht zu argumentieren, warum etwas in einem Bundesland ok ist, in einem anderen Bundesland von der Aufsicht nicht gerne gesehen wird. Ein prominentes Beispiel sind die doch sehr abweichenden Sichtweisen zur Art und Weise der Durchführung einer Datenschutzfolgenabschätzung (DSFA). Mittlerweile haben sich hier gefühlt zwei Lager gebildet, SDM vs. PIA. Ob man mit einer anderen Vorgehensweise aus Sicht der zuständigen Landesdatenschutzbehörde alles richtig macht, wird die Zeit zeigen.

Andererseits hat und kennt man durch die dezentrale Struktur seine Ansprechpartner, die bei Anfragen oft zeitnah und kompetent reagieren. Im Zuge einer Zentralisierung müsste durch ausreichende personelle Besetzung diese Beratungsfunktion auch zukünftig sichergestellt sein. Was einerseits ein Nachteil sein kann (unterschiedliche bis gegensätzliche Meinungen der Landesdatenschutzbehörden), stellt im Hinblick auf Meinungsvielfalt und Ideen für Umsetzungsmöglichkeiten andererseits durchaus auch einen Vorteil dar. Im Zuge einer Zentralisierung würde dies entfallen. Dann gibt es nur noch die eine Sichtweise der zentralen Instanz. Auch dies wäre dann erst mal eine Meinung, die andere Vorgehensweisen nicht zwingend ausschließen würde, aber der Pool zur Auswahl oder Entwicklung anderer Umsetzungsmöglichkeiten wäre stark reduziert bzw. nicht mehr vorhanden.

So haben beide Lösungen ein Für und Wider. Man darf auf die heutigen Diskussionen im Rahmen der Veranstaltung und im Hinblick auf die weitere Entwicklung sehr gespannt sein. Schauen Sie rein: https://www.bvdnet.de/aufsicht-live/ Start 15 Uhr.

Gesundheitsdaten gehen an die Polizei

von Sascha Kuhrau
30. April 20209. Dezember 2020

Nun auch Sachsen-Anhalt — das Innenministerium wies die Gesundheitsämter an, personenbezogene / Gesundheitsdaten aller Personen in Quarantäne den Polizeibehörden zur Verfügung zu stellen. Die Polizei erhielt somit personenbezogene Daten über Corona-Infizierte und Kontaktpersonen.

Offenlegung durch parlamentarische Nachfrage

Aus den Reihen des Landtags wurde am 22.04.2020 die Enthüllung bekannt, dass der Landesinnenminister vom 27. bis 31.03.2020 eine Verpflichtung zur Bereitstellung der Daten für alle Personen in Quarantäne des Bundeslandes verfügt habe. Seitdem würden Gesundheitsämter „nach eigenem Ermessen und im Einzelfall“ Daten von Personen in Quarantäne an die Polizei übermitteln. Bis 09.04.2020 über 800 Fälle in Sachsen-Anhalt — heißt es weiter in den zugehörigen Posts auf Twitter. Eine öffentliche Information über die Maßnahme durch das Innenministerium zur Erfüllung der DSGVO-gesetzlichen Transparenzpflicht war lange Zeit nicht erfolgt. Die kommunizierten Daten hätten Namen, Anschriften, Geburtsdaten, Wohnorte, Nationalitäten, Geschlechter sowie Beginn und Ende der behördlich definierten Quarantäne umfasst. Die Übermittlung, Verarbeitung und Speicherung auf Polizeidatenbanken von Gesundheitsdaten sei „rechtlich problematisch“ und der Landesbeauftragte für den Datenschutz sei thematisch zu involvieren. Weitere ~130 solcher Übermittlungen in Halle wurden zunächst laut Angabe der Stadtverwaltung wohl gar nicht erst gezählt.

Rechtmäßigkeitsfrage bei der Verarbeitung von Gesundheitsdaten

Auf Anfrage hatte das Landesinnenministerium gegenüber netzpolitik.org geleugnet, dass es derlei Gesundheitsdatenübermittlungen an die Polizei gegeben hatte. Später wurde bekannt, dass Gesundheits- / personenbezogene Daten auf der Fahndungsdatenbank des Landeskriminalamts gespeichert wurden. Zu direkten Anfragen von netzpolitik.org sei seitens der Polizei nicht Stellung genommen worden. Der Erlass sei dem Landesdatenschutzbeauftragtes Sachsen-Anhalts erst auf Nachfrage zur Verfügung gestellt worden, den dieser am 31.03.2020 für rechtswidrig erklärt habe. In seiner Haut möchte man jetzt eher nicht stecken. Aus DSB-Sicht stellt sich allerdings die Frage, aus welchem Grund keine Vorabinformation erfolgte und keine Datenschutzfolgeabschätzung in fachlicher Abstimmung mit dem Landes-DSB durchgeführt worden ist. l

Pauschale Übermittlung von Gesundheitsdaten in diversen Bundesländern

Auch in anderen Bundesländern wurden Datenübermittlungen von Infizierten und Kontaktpersonen eingeführt. Offiziell sei Ziel der Maßnahme die Überwachung der Einhaltung der Quarantäne und Schutz der Polizeibeamten.

Nach uns vorliegenden Informationen erklärte auch die niedersächsische Datenschutzbeauftragte Barbara Thiel die Maßnahme für ihr Bundesland als rechtswidrig. Allerdings hielt die Landesregierung an den Datenübermittlungen fest.

Die umstrittene Praxis wurde auch in weiteren Bundesländern eingeführt. In Folge vehementer Proteste wurde diese in Bremen aufgehoben. In Baden-Württemberg wird eine DSGVO konforme Verordnung zur Datenübermittlung positiv erwartet. In Mecklenburg-Vorpommern wurde das Procedere modifiziert. Hier wird bei der Übermittlung der Gesundheitsdaten nun auf den Bedarfsfall abgestellt. Ferner soll nun die Vorgabe sein, die Daten anonymisiert und verschlüsselt an einen definierten Personenkreis im Polizeidienst zu übermitteln. Es ist begrüßenswert, dass die tragenden Standards in der Informationssicherheit neben den Datenschutzanforderungen auch bei diesem Thema sukzessive Berücksichtigung finden.

Corona Prävention und die Verarbeitung von Gesundheitsdaten

Es besteht ein großes Spannungsfeld zwischen Datenschutz / Grundrechten und einer effektiven Pandemiebekämpfung. Dass Menschen und Pflegepersonal, der öffentliche Dienst und andere Arbeitskräfte mit notwendigem Publikumskontakt des Schutzes bedürfen, steht völlig außer Frage. Allerdings kann als auffällig bezeichnet werden, dass gerade in solchen grenzwertigen Maßnahmen der Dialog mit den Datenschutzbehörden und auch den behördlichen Datenschutzbeauftragten aktiv vermieden wird. Gerade in solchen Zeiten darf erwartet werden, dass man sich zwecks ganzheitlicher Krisenbewältigung bereichsübergreifend abstimmt. So kann dafür Sorge getragen werden, dass die Verarbeitungen und Übermittlungen der Behörden den zwingend erforderlichen, zeitgemäßen Vorgaben des Datenschutzes sowie der Informationssicherheit / IT-Sicherheit genügen.

Etappensieg für Facebook: Klarnamenpflicht bleibt bestehen

von Sascha Kuhrau
18. Februar 2013

Das Verwaltungsgericht Schleswig hat entschieden: die Klarnamenpflicht für Facebook-Nutzer aus Deutschland bleibt (vorerst) bestehen! Das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein (ULD) hatte gegen diese Verpflichtung geklagt. Demnach wäre eine Pseudonymisierung der Nutzernamen aufgrund deutscher Rechtsvorschriften notwendig. Deutsches Recht sei anzuwenden, da Facebook eine GmbH mit Sitz in Hamburg habe.

Das Gericht ist der Argumentation des ULD nicht gefolgt. Nach dessen Sichtweise sei die europäische Niederlassung in Irland ausschlaggebend und somit gelte irisches Recht. Damit stellte das Gericht generell die Zuständigkeit deutscher Datenschutzbehörden in Frage. Das irische Datenschutzrecht kennt kein solches Anrecht auf Pseudonyme.

Thilo Weichert, Leiter des ULD zeigt sich überrascht: “Die Entscheidungen sind mehr als verblüffend und gehen in der Argumentation über das Vorbringen von Facebook hinaus, das die Nichtanwendbarkeit des deutschen Datenschutzrechtes damit begründete, Facebook Inc. in den USA sei nur der Auftragsdatenverarbeiter der Facebook Ireland Ltd. Sie sind in sich widersprüchlich, wenn sie die fehlende rechtliche Relevanz von Facebook Germany damit erklären, dass dort keine Daten verarbeitet würden, zugleich aber das Unternehmen in Irland für zuständig erklären, obwohl dort auch keine Daten verarbeitet werden.” Die Entscheidung sei auch im Hinblick auf das europäische Datenschutzrecht wenig nachvollziehbar.

Quelle:

Sensible Patientendaten in Klinik verschwunden — Datenpanne

von Sascha Kuhrau
12. Oktober 2012

DIE WELT berichtet heute nachmittag online von einer Datenpanne in zwei Kliniken in Baden-Württemberg:

Sicherungsbänder bei Zigarettenpause verbummelt

Der zuständige IT-Mitarbeiter ist wie jeden Tag mit den Sicherungsbändern auf dem Weg vom Serverraum zum Tresor. Unterwegs hält er an einer Rampe für eine kurze Rauchpause an, legt die Bänder auf einem Tisch ab. Nach der Pause ging er wieder an seine Arbeit, jedoch ohne die Sicherungsbänder. Als er seinen Fehler nach einiger Zeit bemerkte und an den Pausen-Ort zurückkehrte, waren die Sicherungsbänder verschwunden. Erschwerend kommt hinzu, dass der Mitarbeiter den Vorfall erst eine Woche später meldete und auch das interne Sicherungskontrollsystem das Verschwinden der Bänder nicht aufgedeckt hat.

Sensible Patientendaten betroffen

300.000 Datensätze sollen die Bänder umfasst haben. Darunter vollständige Patientenakten, Labordaten, Befunde, Arztbriefe und Schriftverkehr bis zurück ins Jahr 1996.

Datenschutzbehörde spricht von gravierendem Vorfall

Die Klinikleitung beteuert, lediglich die Arztbriefe können ausgelesen werden. Für alle weiteren Daten sei spezielle Hard- und Software notwendig. Weitere Ausführungen über eine zusätzliche Verschlüsselung wurden nicht getätigt. Aufgrund der Sensibilität der Daten und der erschreckend hohen Menge spricht der Landesdatenschutzbeauftragte von Baden-Württemberg, Jörg Klingbeil von einem gravierenden Vorfall.

§ 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Lt. Klingbeil hat die Klinik nicht gegen § 42a BDSG verstoßen. Die Datenpanne, wurde wenn auch verspätet, korrekt gemeldet und durch Anzeigen in überregionalen Zeitungen bekannt gemacht. Dies geschah zwar mit Verzögerung, jedoch auf Bitten der Staatsanwaltschaft, um die Ermittlungen zu diesem Zeitpunkt nicht zu gefährden. Alles weitere müsse jetzt geklärt werden.

Easycash GmbH zahlt 60000 Euro Bußgeld

von Sascha Kuhrau
22. September 2011

Die Easycash GmbH zahlte für die unberechtigte Weitergabe von Kontodaten — siehe “Easycash sammelt Daten von EC-Karteninhabern zwecks Bewertung der Zahlungsfähigkeit” und “Hamburger Datenschützer stellt Strafantrag gegen easycash Loyalty Solutions” — ein Bußgeld in Höhe von 60.000 Euro.

Der zuständige Datenschutzbeauftragte von Nordrhein-Westfalen, Ulrich Lepper kommentiert sein Vorgehen: “Wer Zahlungsvorgänge quasi als Treuhänder für Einzelhandelsunternehmen abwickelt, muss besonders sorgfältig mit diesen Daten umgehen. Er darf so sensible Daten über Zahlungsverhalten und Kontoverbindungen, die durchaus auch Profilbildungen erlauben würden, nicht für andere Zwecke an Dritte übermitteln. Deswegen musste ich hier einschreiten.”

Die Daten hatte Easycash an die in Hamburg ansässige Firma easycash Loyalty Solutions als Schwesterunternehmen vermittelt, das Kunden- und Bonusprogramme anbietet, und die Daten statistisch auswertete. Easycash wickelt im Auftrag von Einzelhändlern EC-Kartenzahlungen ab und verfügt daraus über zahlreiche Datensätze über Kartenzahlungsvorgänge. An das Schwesterunternehmen gab Easycash die Daten von rund 400.000 Zahlungsvorgängen weiter.

Nach Angaben von Lepper zeigte sich Easycash einsichtig und kooperativ. Das Bußgeld sei bereits bezahlt.

Quellen:

Hilfreiche Datenschutz-Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Hessen kündigt verstärkte Datenschutzkontrollen an

von Sascha Kuhrau
7. Juli 2011

Erweiterter Zuständigkeitsbereich

Seit diesem Monat ist der hessische Datenschutzbeauftragte nicht mehr nur für die Datenschutzkontrolle in den Behörden des Bundeslandes zuständig. Seine Befugnisse wurden erweitert und auf die nicht-öffentlichen Bereiche, also Unternehmen ausgeweitet.

Viel Feind’, viel Ehr’

Dies nahm er zum Anlaß, um bereits im Juni 2011 verstärkte Kontrollen gegen Stromversorger, Banken und Drogerieketten anzukündigen. Intelligente Stromzähler, die Bespitzelung von Mitarbeitern und der Umgang mit Kundendaten — gerade bei Banken und der SCHUFA — stehen auf seiner Prüfliste. Verstöße will er ahnden, “mit Sanktionen bis hin zu Bußgeldbescheiden”.

Eigenverantwortung tut Not

In der letzten Zeit mehren sich die Stimmen, daß Verbraucher aufgrund ihres Rechts auf informationelle Selbstbestimmung auch die Verpflichtung haben, selbst aufIhre Daten zu achten und wem sie diese anvertrauen. Er stößt in das selbe Horn und äußert z.B. zu Kundenkarten wie PAYBACK: “[…] die Daten der Kunden werden verkauft. Doch die Gefahr ist den Menschen nicht bewusst.”

Sorge bereite ihm ebenfalls der sorglose Umgang von Kindern und Jugendlichen mit ihren Daten. “Die wissen nicht, was sie anrichten, und das Internet vergisst nichts, deshalb muss man sie schützen.”

Die Hoffnung stirbt zuletzt

Für die Zukunft hofft er, daß sich Datenschutz zu einem Wirtschaftsfaktor entwickelt. “Sobald es sich wirtschaftlich auszahlt, dass man seinen Kunden Vertraulichkeit zusichern kann, ist der Datenschutz auf dem besten Weg, auch in den privaten Bereich Einzug zu halten.”

Hilfreiche Datenschutz-Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Behörden mischen mit: Datenpanne bei Kfz-Steuer in Baden-Württemberg

von Sascha Kuhrau
23. Juni 2011
1 Kommentar

Nur nicht drängeln, jeder darf ein Mal

Das Behörden vor Datenschutzpannen nicht gefeit sind, zeigt das Land Baden-Württemberg und bringt etwas Abwechslung in die Liste aktueller Verursacher von Datenpannen.

Der Landesdatenschutzbeauftragte nahm dazu heute öffentlich auf seiner Webseite Stellung.

Freizügigkeit? Nicht bei der Steuerbemessung, jedoch bei der Datenübermittlung

Kfz-Steuerpflichtige Bürger trauten ihren Augen nicht. Der Abbuchungstext der fälligen Kfz-Steuer auf dem Kontoauszug enthielt neben den üblichen Angaben wie Namen des Steuerpflichtigen, Kfz-Kennzeichen und Steuersumme noch weitere Details parat: Angaben zu Steuernummern und Umsatzsteuer anderer Bürger und Unternehmen sowie zur Religionszugehörigkeit.

Fehlende Rechtsgrundlage

Keine noch so wohlwollende Bewertung des Vorgangs wird eine rechtliche Legitimation dieser umfassenden Datenübermittlung an die mit dem Lastschriftverfahren beauftragten Kreditinstitute hervorbringen. Die Übermittlung fand in der Zeit vom 17. Juni bis 20. Juni 2011 statt. Das Lastschriftverfahren wurde umgehend gestoppt.

Die Software ist schuld

Der Übeltäter war schnell gefunden. Nach dem Update der genutzten Software ist der Fehler aufgetreten. Im Umkehrschluß bedeutet dies jedoch, die Verantwortlichen haben Ihre Kontrollfunktion nicht richtig wahrgenommen. Softwareaktualisierungen sind vor dem Einspielen in Produktivsysteme ausführlich und gewissenhaft zu testen. Einerseits werden dadurch Sicherheitsrisiken für die Systeme sowie Datenverlust und letztendlich auch solche Datenpannen vermieden. Systeme mit sensiblen Daten sollten stets nach dem Mehr-Augen-System geprüft werden.

Vermeidbar?

Fehler können jedem passieren, alle Beteiligten sind auch nur Menschen. Von daher sind solche Pannen nie auszuschließen. Jedoch kann das Risiko aktiv minimiert werden. Wie? Das erklärt Ihnen gerne Ihr Datenschutzbeauftragter. Sie haben keinen? Dann sprechen Sie uns an, bevor Sie bei einer möglichen Bestellpflicht auch ganz ohne Datenpannen einem berächtlichen Bußgeldrisiko ausgesetzt sind.

Update

Zu diesem Beitrag erreichte uns eine Email-Anfrage, die wir gerne öffentlich ohne Nennung des Anfragenden beantworten. Die Frage lautete knapp: “Wieso müssen Behörden keine Bußgelder bezahlen, wenn gegen Datenschutzbestimmungen verstoßen wird?”

Ohne auf rechtliche Hintergründe eingehen zu wollen, werfen wir einen Blick auf das Rechte-Tasche-Linke-Tasche-Prinzip. Eine Behörde als öffentliche Einrichtung würde das Bußgeld aus der Staats- oder Landeskasse (je nach Ebene) in die Staats- oder Landeskasse bezahlen. Wo würde da der angedachte Strafcharakter bleiben?

Hamburger Unternehmen weiter unter Druck in Sachen Datenschutz — der Landesdatenschutzbeauftragte prüft nach

von Sascha Kuhrau
16. Juni 2011

Im April letzten Jahres hat der Hamburger Landesdatenschutzbeauftragte Johannes Caspar verstärkte Datenschutzkontrollen bei Unternehmen angekündigt und dies auch in die Tat umgesetzt. Über 700 Unternehmen aus den Bereichen Spedition, Immobilien, Arbeitsvermittlung, Pflegedienste und Arztpraxen standen auf der Prüfliste. Die Ergebnisse einer ersten Befragung liegen nun vor.

Während Logistik- und Pflegeunternehmen so gut wie keinen Grund zur Beanstandung gaben, ist wohl jedes zehnte Immobilienunternehmen der Verpflichtung zur Bestellung eines Datenschutzbeauftragten nicht nachgekommen.

Caspar sieht dies positiv, denn er wertet die Beachtung der Bestellpflicht als Zeichen, daß sich der Umgang mit dem Thema Datenschutz in den Unternehmen verbessert hat. Er schränkt dies jedoch sogleich wieder ein und kündigt Vor-Ort-Überprüfungen an. Zweifel überkommen ihn bei manchen Angaben, wie die von Unternehmen mit mehr als hundert Mitarbeitern, von denen lediglich zwei (2!) mit personenbezogenen Daten gem. Bundesdatenschutzgesetz in Kontakt kommen. Die Zweifel scheinen berechtigt. Zusätzlich werden die Überprüfungen nun auf weitere Branchen ausgeweitet.

Im Konflikt mit der ECE-Gruppe um allzu übermäßig eingesetzte Videoüberwachung in einem Hamburger Einkaufszentrum hat Caspar einn Erfolg vorzuweisen. 24 Kameras, die allzu freizügig aufzeichneten, wurden auf Druck seiner Behörde mittlerweile entfernt. Ein deutliches Signal an alle Unternehmen, die es mit der Legitimation und dem Umfang dieses durchaus probaten und zulässigen Mittels nicht sehr genau nehmen.

Hat Ihr Unternehmen eigentlich einen Datenschutzbeauftragten? Liegt eine Bestellpflicht vor? Unwissenheit schützt vor Strafe nicht, Bußgelder drohen! Sprechen Sie mich an oder fordern Sie gleich ein passendes Angebot an.

Bayerische Landesdatenschutzbehörde hat viel zu tun — Zunahme der Eingaben um 80 Prozent in 2010

von Sascha Kuhrau
16. März 2011

Ja ja ja, jetzt wird wieder in die Hände gespuckt …

Thomas Kranig, Amtsleiter des Bayerischen Landesamts für Datenschutz mit Sitz in Ansbach hat am Montag den Tätigkeitsbericht für die Jahre 2009 und 2010 in München vorgestellt. Bei der Datenschutzbehörde gingen3.256 Anfragen und Beschwerden von Bürgern und Unternehmen ein. Das sind 80% mehr als noch fünf Jahre zuvor. Kranig führt dies auf eine deutlich gestiegene Sensibilität für die Sicherung der Privatsphäre bei den Betroffenen zurück. Was in Anbetracht der medial aufbereiteten Skandale bei der Deutschen Telekom, der Deutschen Bahn, dem Lebensmitteldiscounter Lidl und in verschiedenen Call-Centern auch nicht weiter verwundert.

Drah di net um, schau schau, der Kommissar geht um …

Für den nicht-öffentlichen Bereich, also für Unternehmen, listet der Tätigkeitsbericht auf über 100 Seiten Datenschutzverfehlungen auf. Dabei ging es um Verstöße im Bereich der Videoüberwachung, den wenig sensiblen Umgang mit Bewerberdaten und vielem mehr. Im Berichtszeitraum leitete die Schutzbehörde 22 Verfahren wegen Ordnungswidrigkeiten gegen Unternehmen wegen “nachhaltiger datenschutzrechtlicher Verstöße” ein und stellte sogar zwei Strafanträge. Statistisch gesehen, lag jeder zweiten Anfrage ein Verstoß gegen datenschutzrechtliche Bestimmungen zu Grunde.

Mittlerweile verfügt die Behörde für den nicht-öffentlichen Bereich über 12 Mitarbeiter, die für Kontroll- und Beratungstätigkeiten bereitstehen. Das Risiko einer zufälligen Überprüfung im Rahmen einer Stichprobe nimmt für Unternehmen in Bayern (aber auch bundesweit) stetig zu.

Wir fahr’n fahr’n fahr’n auf der Autobahn …

Eine Parallele zwischen Straßenverkehr und Datenverkehr ziehend, mahnte der bayerische Innenminister Joachim Herrmann zur Vorsicht bei der Preisgabe persönlicher Daten auf dem Datenhighway. Dies auch im Hinblick auf die von immer mehr Betroffenen genutzten sozialen Netzwerke. Nicht nur, daß hier das Risiko der überbordenden Freigabe der eigenen Daten besteht. Auch Texte, Bilder und Videos Dritter, die einen selbst betreffen, stellen eine immer größere datenschutzrechtliche Herausforderung dar.

Irgendwie, irgendwo, irgendwann …

Den Titel dieses Hits der Neuen Deutschen Welle sollten Sie sich nicht zum Vorbild nehmen, wenn es um die Einführung aktueller Konzepte für Datenschutz und Datensicherheit in Ihrem Unternehmen geht. Erst recht nicht, wenn eventuell bereits eine Bestellpflicht für einen Datenschutzbeauftragten besteht — denn die fehlende, verspätete oder nicht korrekte Bestellung eines geeigneten Datenschutzbeauftragten ist bußgeldbewehrt. Unsicher? Dann sprechen Sie mich an.

Meldung bei heise online
Download des Tätigkeitberichts des Bayerischen Landesamts 2009/2010
Zur Webseite des Bayerischen Landesamts
Was kosten Verstöße gegen das Bundesdatenschutzgesetz?

Der Bayerische Landesdatenschutzbeauftragte Thomas Petri legt Tätigkeitsbericht für 2010 vor

von Sascha Kuhrau
15. Februar 2011

Auf den Webseiten des bayerischen Landesdatenschutzbeauftragten steht der Tätigkeitsbericht für 2010 zur Verfügung. Darin moniert Thomas Petri das mittlerweile in die Jahre gekommene Landesdatenschutzgesetz. Gerade im Hinblick auf den Umgang mit personenbezogenen Daten im Internet bestünde Aktualisierungsbedarf. Weiterhin betrachtet er die Bündelung der IT-Ressourcen des Freistaats an wenigen zentralisierten Stellen kritisch unter Datenschutzgesichtspunkten. Bei dem Thema Cloud-Computing für Behörden mahnt er Zurückhaltung an.

Der vollständige Bericht kann auf www.datenschutz-bayern.de online eingesehen oder als PDF abgerufen werden.

Landesdatenschutzbeauftragter

Vor- und Nachteile

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten

Offenlegung durch parlamentarische Nachfrage

Rechtmäßigkeitsfrage bei der Verarbeitung von Gesundheitsdaten

Pauschale Übermittlung von Gesundheitsdaten in diversen Bundesländern

Corona Prävention und die Verarbeitung von Gesundheitsdaten