Tätigkeitsbericht

BfDI überreicht seine Berichte zu Datenschutz und Informationsfreiheit

von Sascha Kuhrau
19. Juni 20209. Dezember 2020

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden.

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wichtigen — Themen durch Erwähnungen gerecht zu werden.

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind

Alltagserleichterung und Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden und Sanktionspraxis,
Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage und Stellungnahmen der Datenethikkommission.

Einige Zahlen zur Tätigkeit des BfDI

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen.

Empfehlungen des BfDI für Einrichtungen und Bürger

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert.

Gremienarbeit und Gesetzgebung

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein.

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung — wie etwa StPO, Zollfahndungsdienst und der geplanten Darknet Gesetzgebung — gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits- und Sozialwesen eingegangen.

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e‑Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert.

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern.

Zusammenfassung

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

von Sascha Kuhrau
8. März 2017
1 Kommentar

Auf 158 Seiten gibt der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig einen Überblick über die Arbeit der Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern für die Jahre 2015 und 2016 ab.

Das BayLDA ist für ca. 700.000 verantwortliche Stellen im nicht-öffentlichen Bereich (Unternehmen, Vereine, Verbände, freiberuflich Tätige etc.) in Bayern zuständig.

Im vorderen Teil des Berichts wird anschaulich auf die Entwicklung von Bürgerbeschwerden, Datenpannen, aber auch Beratungsanfragen seitens nicht-öffentlicher Stellen eingegangen. Der Übersicht ab 2013 ist zu entnehmen, dass es sich bei der zunehmenden Steigerung nicht um einzelne Spitzen, sondern klar um einen Trend handelt. Sind 2013 “nur” 925 Beschwerden über bayerische Unternehmen und Unternehmer eingegangen, so waren es 2016 schon 1.424. Identisch verhält es sich mit der Zahl der Datenpannen (2013 32 gegenüber 85 in 2016). Wobei hier eine deutlich höhere Dunkelziffer seitens des Amts vermutet wird. Bei den Beschwerden liegt das Thema Videoüberwachung auf dem vordersten Platz. Unter anderem sind dafür die mittlerweile sehr preiswerten Überwachungskameras (wie Wildkameras, Dashcams usw.) verantwortlich, jedoch auch ein gesteigertes Sicherheitsbedürfnis. Letzteres führt schnell mal dazu, nicht nur (zulässigerweise) das eigene Grundstück zu observieren, sondern (zumeist unzulässig) angrenzende Grundstücke oder öffentliche Verkehrsflächen mit einzuschließen.

Klassische Datenpannen wie Verlust, Diebstahl oder Fehlversendungen sind im Berichtszeitraum nahezu gleich geblieben. Eine vermehrte Zunahme wurde jedoch im Bereich Cybercrime festgestellt. Hacking von Webseiten, Datenklau in Webshops sowie Verschlüsselungstrojaner standen dabei ganz oben auf der Liste. Gerade die ersten beiden Punkte oft ausgelöst durch fehlende Sicherheitsupdates der Webseiten- und Shop-Software inklusive dazugehöriger Erweiterungen durch die verantwortlichen Unternehmen und Unternehmer.

Im weiteren Verlauf des Tätigkeitberichts wird ein Blick auf die ab Mai 2018 geltende EU-Datenschutzgrundverordnung (EU-DSGVO) geworfen und welche Auswirkungen diese auf nicht-öffentliche Stellen haben wird. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten wird voraussichtlich in bekannter Weise fortgeführt. Neu ist jedoch die Meldepflicht der Bestellung an die Landesdatenschutzbehörde. Diese rechnet mit einem erheblichen Arbeitsaufwand aufgrund der zu erwartenden tausendfachen Meldungen. [Anmerkung des Autors: Diese Meldepflicht wird natürlich auch Auswirkungen auf Unternehmen haben, die bisher der Bestellpflicht unterlagen, sich aber eine Bestellung erspart haben. Eine Nichtmeldung kann im weiteren Verlauf unangenehme Nachfragen — und bei Verstößen auf Bußgelder auslösen.]

Eine kurze Zusammenfassung können Sie hier herunterladen. Der komplette Tätigkeitsbericht steht hier zum Download bereit.

Bayerische Landesdatenschutzbehörde hat viel zu tun — Zunahme der Eingaben um 80 Prozent in 2010

von Sascha Kuhrau
16. März 2011

Ja ja ja, jetzt wird wieder in die Hände gespuckt …

Thomas Kranig, Amtsleiter des Bayerischen Landesamts für Datenschutz mit Sitz in Ansbach hat am Montag den Tätigkeitsbericht für die Jahre 2009 und 2010 in München vorgestellt. Bei der Datenschutzbehörde gingen3.256 Anfragen und Beschwerden von Bürgern und Unternehmen ein. Das sind 80% mehr als noch fünf Jahre zuvor. Kranig führt dies auf eine deutlich gestiegene Sensibilität für die Sicherung der Privatsphäre bei den Betroffenen zurück. Was in Anbetracht der medial aufbereiteten Skandale bei der Deutschen Telekom, der Deutschen Bahn, dem Lebensmitteldiscounter Lidl und in verschiedenen Call-Centern auch nicht weiter verwundert.

Drah di net um, schau schau, der Kommissar geht um …

Für den nicht-öffentlichen Bereich, also für Unternehmen, listet der Tätigkeitsbericht auf über 100 Seiten Datenschutzverfehlungen auf. Dabei ging es um Verstöße im Bereich der Videoüberwachung, den wenig sensiblen Umgang mit Bewerberdaten und vielem mehr. Im Berichtszeitraum leitete die Schutzbehörde 22 Verfahren wegen Ordnungswidrigkeiten gegen Unternehmen wegen “nachhaltiger datenschutzrechtlicher Verstöße” ein und stellte sogar zwei Strafanträge. Statistisch gesehen, lag jeder zweiten Anfrage ein Verstoß gegen datenschutzrechtliche Bestimmungen zu Grunde.

Mittlerweile verfügt die Behörde für den nicht-öffentlichen Bereich über 12 Mitarbeiter, die für Kontroll- und Beratungstätigkeiten bereitstehen. Das Risiko einer zufälligen Überprüfung im Rahmen einer Stichprobe nimmt für Unternehmen in Bayern (aber auch bundesweit) stetig zu.

Wir fahr’n fahr’n fahr’n auf der Autobahn …

Eine Parallele zwischen Straßenverkehr und Datenverkehr ziehend, mahnte der bayerische Innenminister Joachim Herrmann zur Vorsicht bei der Preisgabe persönlicher Daten auf dem Datenhighway. Dies auch im Hinblick auf die von immer mehr Betroffenen genutzten sozialen Netzwerke. Nicht nur, daß hier das Risiko der überbordenden Freigabe der eigenen Daten besteht. Auch Texte, Bilder und Videos Dritter, die einen selbst betreffen, stellen eine immer größere datenschutzrechtliche Herausforderung dar.

Irgendwie, irgendwo, irgendwann …

Den Titel dieses Hits der Neuen Deutschen Welle sollten Sie sich nicht zum Vorbild nehmen, wenn es um die Einführung aktueller Konzepte für Datenschutz und Datensicherheit in Ihrem Unternehmen geht. Erst recht nicht, wenn eventuell bereits eine Bestellpflicht für einen Datenschutzbeauftragten besteht — denn die fehlende, verspätete oder nicht korrekte Bestellung eines geeigneten Datenschutzbeauftragten ist bußgeldbewehrt. Unsicher? Dann sprechen Sie mich an.

Meldung bei heise online
Download des Tätigkeitberichts des Bayerischen Landesamts 2009/2010
Zur Webseite des Bayerischen Landesamts
Was kosten Verstöße gegen das Bundesdatenschutzgesetz?

Der Bayerische Landesdatenschutzbeauftragte Thomas Petri legt Tätigkeitsbericht für 2010 vor

von Sascha Kuhrau
15. Februar 2011

Auf den Webseiten des bayerischen Landesdatenschutzbeauftragten steht der Tätigkeitsbericht für 2010 zur Verfügung. Darin moniert Thomas Petri das mittlerweile in die Jahre gekommene Landesdatenschutzgesetz. Gerade im Hinblick auf den Umgang mit personenbezogenen Daten im Internet bestünde Aktualisierungsbedarf. Weiterhin betrachtet er die Bündelung der IT-Ressourcen des Freistaats an wenigen zentralisierten Stellen kritisch unter Datenschutzgesichtspunkten. Bei dem Thema Cloud-Computing für Behörden mahnt er Zurückhaltung an.

Der vollständige Bericht kann auf www.datenschutz-bayern.de online eingesehen oder als PDF abgerufen werden.

Mecklenburg-Vorpommerns Datenschutzbeauftragter legt Tätigkeitsberichte 2008 und 2009 vor

von Sascha Kuhrau
22. Oktober 2010

Der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern, Karsten Neumann hat seinen Tätigkeitsbericht für die Jahre 2008 und 2009 gestern in Schwerin der Öffentlichkeit vorgestellt.

Neumann brachte es klar auf den Punkt: “Im Berichtszeitraum 2008 und 2009 haben sich die Meldungen zum Thema Datenschutz förmlich überschlagen. Datenskandale machten die Runde und erreichten ein Maß an Öffentlichkeit, wie es diesem Thema in den letzten Jahrzehnten selten beschert war. Den gesetzgeberischen Bemühungen ist gegenwärtig allerdings eher eine symbolische als eine wirklich überzeugende Kraft beizumessen.”

Generell begrüße er jedoch das wachsende Interesse und Bewußtsein der breiten Öfffentlichkeit am Thema Datenschutz. Zustimmen kann man seiner Aussage, die Angst vor Datenschutzskandalen sei ein schlechter Ratgeber. Unternehmen und Behörden sind hier sicher gefordert, nicht nur zur Abwehr von Skandalen und drohenden Bußgeldern, sich aktiv mit dem Thema Datenschutz auseinanderzusetzen (siehe auch “Welchen Nutzen hat ein Unternehmen von einem Datenschutzbeauftragten?” und “Datenschutz – Hemmschuh für Unternehmen?”)

Der Landtag hat das Thema aufgegriffen und die Behörde personell und institutionell verstärkt. Neumann merkt zu Recht an, daß der Ausbau mit einer zusätzlichen Stelle jedoch nur ein erster Schritt sein kann. Alleine der enorme Anstieg von Petitionen seitens der Bürgerinnen und Bürger aufgrund der gestiegenen öffentlichen Wahrnehmung hätte die Behörde zeitweise fast arbeitsunfähig gemacht. Hier besteht Handlungsbedarf.

Datenschutz in Behörden / Kommunen

Wie bereits sein Kollege für die Thüringer Kommunen grobe Schnitzer beim Datenschutz festgestellt hat , konnte Neumann für Mecklenburg-Vorpommern lediglich ein ähnlich negatives Fazit ziehen. Zwischen 30% und 45% der Behörden hatten bei der letzten Überprüfung keinen Datenschutzbeauftragten bestellt. Cirka 20% der Kommunen kannten noch nicht mal die Einführungsempfehlung des Innenministeriums — und das ein Jahr nach deren Veröffentlichung.

Die Begründungen sind haarsträubend:

Es habe bisher noch niemand danach gefragt.
Es habe sich intern keine geeignete Person dafür gefunden.
Es fehle an der internen Bereitschaft, eine solche Aufgabe zu übernehmen.
Externe Datenschutzbeauftragte seien zu teuer (das Landesdatenschutzgesetz von MV läßt die externe Bestellung für Behörden zu).
Eine externe Bestellung sei von den zuständigen politischen Gremien wie z.B. Gemeindeausschüssen abgelehnt worden.
Aufgrund der sich ständig ändernden politischen Rahmenbedingungen wolle man keine langfristige Bindung / Verpflichtungen eingehen.

Neumann dazu: “Durch die Bank weg waren vor allem das technische Personal in den Kommunen, aber auch die in den Meldeämtern Beschäftigten Datenschutzgedanken sehr aufgeschlossen. Überall bestand in den Gesprächen Aufmerksamkeit gegenüber Datenschutzfragen, und es war uneingeschränkt die Bereitschaft festzustellen, Datenschutzempfehlungen nachzukommen. Anders gelegentlich das Leitungspersonal, das in einigen Fällen sehr reserviert auftrat. Das hatte in diesen Fällen aber auch seinen guten Grund, war es doch in der Regel ein schlechtes Gewissen verbunden mit dem Versuch, die bekannten Datenschutzmängel zu verstecken” (Punkt 6.5 des Tätigkeitsberichtes).

Weitere Themen

Im weiteren beschäftigt sich der Bericht mit einem weiten Feld an Datenschutzthemen:

Google Street View
Der neue Personalausweis
Volkszählung / Zensus 2011
Mitarbeiterüberwachung
uvm.

Der Bericht kann kostenlos im Internetangebot der Landesdatenschutzbehörde unter www.datenschutz-mv.de heruntergeladen werden.

Thüringer Kommunen patzen beim Datenschutz

von Sascha Kuhrau
26. Mai 2010
1 Kommentar

In seinem aktuellen Tätigkeitsbericht prangert der Thüringer Landesdatenschutzbeauftragte Harald Stauch den Umgang der Kommunen mit dem Thema Datenschutz an. Stichprobenartig wurden 40 Kommunen überprüft — Ergebnisse erschreckend. Und das obwohl die Hürden für eine Beanstandung nach eigenen Angaben recht hoch angesetzt wurden.

Fehlende oder gravierend mangelhafte Datensicherheitskonzepte, keine oder pro forma bestellte Datenschutzbeauftragte, mangelndes Bewußtsein für das heikle Thema Datenschutz — “die Ergebnisse sind mehr als ernüchternd”, so Strauch. Noch dazu, wo die Kontrollen zuvor angekündigt wurden, also entsprechende Vorbereitungszeit vorhanden war. Hinzu kommt, daß sich kleine Gemeinden sogar einen Datenschutzbeauftragten teilen könnten — von dieser Möglichkeit jedoch keinen Gebrauch machen.

Die Sanktionsmöglichkeiten gegenüber den Kommunen sind durch die Datenschutzgesetze bedauerlicherweise (noch) beschränkt. Jedoch macht Strauch von der Möglichkeit Gebrauch, die Datenschutzsünder in seinem Bericht namentlich zu benennen. So kann sich jeder selbst ein Bild davon machen, wie seine Kommune mit den personenbezogenen Daten ihrer Einwohner umgeht (siehe Tätigkeitsbericht).

Strauch mahnt eine Modernisierung des Datenschutzrechts, gerade im Freistaat Thüringen an. Dieses basiere noch auf den Erkenntnissen der 90er Jahre und sei damit in Teilen überholt. Aufgrund der aktuellen Urteile des Bundesverfassungsgerichts sowie der Datenschutzskandale in der jüngeren Vergangenheit verspürt er jedoch Rückenwind. Auch die Bürger werden bei diesem Thema immer sensibler: “Die Bürger spüren, dass sie durch Staat und Wirtschaft zunehmend digital aufbereitet werden”, so sein Kommentar.

Krönung der Verstöße gegen das Datenschutzrecht: einem Mitarbeiter der Stadt Leinefelde-Worbis wurde mit der Begründung gekündigt, er habe sich beim Datenschutzbeauftragten über die Stadt und deren Umgang mit dem Thema Datenschutz beschwert.

Es gibt noch viel zu tun!

Zum Tätigkeitsbericht des Thüringer Landesdatenschutzbeauftragten
Pressemitteilungen 2010 des Thüringer Landesdatenschutzbeauftragten

“Datenschutz ist Teil der Menschenwürde”

von Sascha Kuhrau
10. März 2010

So prägnant bringt es der Landesdatenschutzbeauftragte von Rheinland-Pfalz, Edgar Wagner in seinem heute (10.03.2010) veröffentlichten Tätigkeitsbericht 2008/2009 auf den Punkt (Zitat):

“Die Trends zur Nutzung des Internet für nahezu alle Lebensbereiche und zur Kommerzialisierung personenbezogener Daten haben sich mit atemberaubender Geschwindigkeit verstärkt. Spürbar wurde dies im Berichtszeitraum durch eine Häufung von Datenschutzproblemen im Bereich der Internet-Nutzung, hier vor allem im privatwirtschaftlichen Bereich. Außerdem bereitet die Verbreitung von Überwachungstechniken der unterschiedlichsten Art Sorge, von der Videoüberwachung über die RFID-Nutzung bis zur Vorratsdatenspeicherung. Das Datenschutzbewusstsein der Nutzer, aber auch der Anbieter ist nicht besonders ausgeprägt. Die Defizite sind groß und werden im Zuge der technologischen Entwicklung immer größer. Das kann nicht einfach achselzuckend hingenommen werden. Denn der Datenschutz ist Teil der Menschenwürde und gehört zu den Grundlagen unserer freiheitlichen Ordnung”

Weiterhin bemängelt er das Fehlen eines Arbeitnehmerdatenschutzgesetz. Zur Zeit erfahren die Daten von Arbeitnehmern und deren Schutz in § 32 Bundesdatenschutzgesetz (BDSG) nicht die erforderliche Aufmerksamkeit.

Doch auch die Privatwirtschaft bekommt für ihren oft laxen Umgang mit personenbezogenen Daten — gerade im Bereich der Auftragsdatenverarbeitung — einen Rüffel. Dies soll durch weitere Aufklärung und Kontrolle geändert werden.

Ein weiteres Ziel sei die Vernetzung der mit dem Datenschutz befassten Personen — den behördlichen und betrieblichen Datenschutzbeauftragten. Denn diesen kommt in der Umsetzung des Datenschutz eine immer bedeutendere Schlüsselposition zu.

Lesen Sie mehr auf den Seiten des Landesdatenschutzbeauftragen von Rheinland-Pfalz.

Tätigkeitsbericht

BfDI über­reicht sei­ne Berich­te zu Daten­schutz und Informationsfreiheit

Eini­ge Zah­len zur Tätig­keit des BfDI

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger

Gre­mi­en­ar­beit und Gesetz­ge­bung

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich

Zusam­men­fas­sung

Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) stellt Tätig­keits­be­richt 2015/​2016 vor

Baye­ri­sche Lan­des­da­ten­schutz­be­hör­de hat viel zu tun — Zunah­me der Ein­ga­ben um 80 Pro­zent in 2010

Der Baye­ri­sche Lan­des­da­ten­schutz­be­auf­trag­te Tho­mas Petri legt Tätig­keits­be­richt für 2010 vor

Meck­len­burg-Vor­pom­merns Daten­schutz­be­auf­trag­ter legt Tätig­keits­be­rich­te 2008 und 2009 vor

Thü­rin­ger Kom­mu­nen pat­zen beim Datenschutz

“Daten­schutz ist Teil der Menschenwürde”