- Anzeigen -

Sie sind hier: Home » Recht » Datenschutz und Compliance

Datenschutz in Zeiten der Corona-Pandemie?


Datenschutzbericht für das Jahr 2019: mehr Bewusstsein, mehr Fragen, mehr Datenpannen
Die zunehmende Digitalisierung sieht Hansen als Chance, wenn Datenschutz – und auch Informationsfreiheit – gleich von Anfang an eingebaut werden, also "by Design"


- Anzeigen -





Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat diese Woche ihren Tätigkeitsbericht für das Jahr 2019 vorgelegt: Auf knapp 150 Seiten werden die Themen Datenschutz und Informationsfreiheit beleuchtet, Empfehlungen gegeben und Verbesserungen eingefordert. Interessante Fälle dienen als mahnendes Beispiel, wie es die Verantwortlichen nicht machen sollen.

Datenschutz in Zeiten der Corona-Pandemie?
"Ja, besonders in Krisenzeiten ist Datenschutz wichtig", sagt Hansen. "Fast täglich melden sich Menschen bei uns, die Angst um ihre Daten haben. Sie fühlen sich nicht gut genug informiert, um verstehen zu können, wie der Staat, Firmen oder ihr Arbeitgeber mit den Daten umgehen, die dort mit der Begründung "Corona" gesammelt und ausgewertet werden. Auch befürchten sie, dass ihre Daten nicht ausreichend gegen einen unbefugten Zugriff geschützt sind und missbraucht werden könnten. Deswegen informieren wir regelmäßig über unsere Webseite."

Überlegtes Vorgehen statt halbgarer Schnellschüsse – realistisch?
An vielen Stellen werden neue Datenverarbeitungen zurzeit eingeführt, z. B. Registrierungspflichten von Kunden oder von Beschäftigten im Handwerk. Auch werden Systeme aufgebaut, damit zahlreiche Akteure im Gesundheitsbereich Zugriff auf bestimmte Daten von Kranken oder ihren Kontaktpersonen erhalten. Hansen kann die hohe Geschwindigkeit im Krisenmodus nachvollziehen, aber besteht darauf, dass stets die Verhältnismäßigkeit der geplanten Datenverarbeitungen geprüft wird und ausreichende Garantien für die Rechte und Freiheiten der Menschen gegeben sind.

Datenschutzbeauftragte tragende Säulen
"Im vergangenen Jahr haben wir festgestellt, dass einerseits das Bewusstsein für Datenschutz in der Bevölkerung gestiegen ist – das zeigt sich an der großen Zahl von Beschwerden und Fragen. Andererseits gibt es mit den betrieblichen und behördlichen Datenschutzbeauftragten Vor-Ort-Kompetenz bei den Firmen und Behörden. Das sind die tragenden Säulen für guten Datenschutz, weil sie die internen Prozesse ihrer Organisation in den Blick nehmen und bewerten. Bedingung dafür ist aber, dass sie ihren Job auch machen können, die erforderliche Fachkompetenz haben und die Verantwortlichen ihren Rat einholen – das klappt bisher nicht überall." Für die aktuelle Situation bedeutet dies: "Wer nun bei den Anpassungen oder Neugestaltungen der Datenverarbeitungen (z. B. für Homeoffice oder die Verarbeitung von Gesundheitsdaten) seine Datenschutzbeauftragte oder seinen Datenschutzbeauftragten nicht darüber informiert hat, sollte dies dringend nachholen!", so Hansen. Für die Beratung der betrieblichen und behördlichen Datenschutzbeauftragten steht Hansens Dienststelle, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), weiterhin zur Verfügung.

Digitalisierung mit Datenschutz und Sicherheit DSGVO Bessere Sicherheit
Hansen erwartet durch die Corona-Pandemie einen Schub für die Digitalisierung: "Allerdings dominieren weiterhin globale Player auf dem Markt, die es mit Datenschutz nicht so genau nehmen. Hier rächt sich, dass man zu wenig auf sichere und datenschutzfreundliche Alternativen gesetzt hat. Eigentlich bietet die Datenschutz-Grundverordnung die Instrumente, um die globalen Marktakteure auf Einhaltung des Datenschutzes zu verpflichten – das erfordert aber einen langen Atem der Aufsichtsbehörden in Europa und den Weg durch die gerichtlichen Instanzen." Dies liegt laut Hansen auch an den abstrakten Formulierungen in der Datenschutz-Grundverordnung (DSGVO), die von den Aufsichtsbehörden und Gerichten konkretisiert werden müssen.

Facebook-Fanpages
Gerichtliche Verfahren können sich über einen langen Zeitraum erstrecken: Seit 2011 läuft das Verfahren zu einem ULD-Bescheid zur Deaktivierung einer Facebook-Fanpage, für das der Europäische Gerichtshof (2018) und das Bundesverwaltungsgericht in Leipzig (2019) deutlich gemacht haben, dass sich keine Organisation, die solche Fanpages einsetzt, der datenschutzrechtlichen (Mit-)Verantwortung entziehen kann. Im Jahr 2020 wird sich erneut das Schleswig-Holsteinische Oberverwaltungsgericht damit beschäftigen.

Zertifizierung
Ein weiteres Instrument der Datenschutz-Grundverordnung – die Zertifizierung der Einhaltung der Datenschutz-Grundverordnung – läuft noch leer, obwohl sich Hansens Dienststelle dafür in besonderem Maße einsetzt. "Viele Leute möchten sich schnell mit einem Datenschutz-Zertifikat einen Überblick verschaffen können, ob eine Datenverarbeitung datenschutzkonform ist – das ist aber zurzeit schwierig. Immerhin geht es nun in Europa voran. Wir erwarten, dass die ersten Zertifizierungsverfahren in Deutschland dieses Jahr begonnen werden können", sagt Hansen.

Pseudonymisierung - Transparenz
Die zunehmende Digitalisierung sieht Hansen als Chance, wenn Datenschutz – und auch Informationsfreiheit – gleich von Anfang an eingebaut werden, also "by Design". Aus ihrer Sicht besonders relevant sind die passenden Pseudonymisierungs- und Anonymisierungsverfahren, wie sie nun auch für die Forschung mit Gesundheits- und Pandemiedaten diskutiert werden. Nachholbedarf besteht zudem in Bezug auf bessere Transparenz.

Datenpannen – ein Grund zur Sorge
Im Vergleich zum Vorjahr sind 2019 sehr viel mehr Datenpannen an das ULD gemeldet worden als früher. Hansen geht dabei von einer enormen Dunkelziffer aus: "Die Datenpannen, die uns gemeldet werden, zeigen, dass in den Organisationen ein Bewusstsein dafür vorhanden ist und ein Meldeprozess etabliert wurde, so wie es rechtlich geboten ist. Die Datenpannen sind ganz verschieden: fehladressierte Schreiben, offene E-Mail-Verteiler, verlorene USB-Sticks, Rechner-Infektionen mit Schadsoftware oder Programmierfehler – all dies wird uns fast täglich gemeldet." Sorgen bereiten Hansen aber nicht nur die Zunahmen bei Infektionen mit Schadsoftware, die immer wieder wellenartig auch in Schleswig-Holstein auftreten, sondern vor allem solche Bereiche, in denen gar nicht oder sehr sparsam gemeldet wird: "Es wäre zumindest ungewöhnlich, wenn bei Tausenden von Beschäftigten, die mit personenbezogenen Daten umgehen, nie Datenschutzfehler aufträten."

Im Jahr 2019 ist im ULD aus dem Bereich der Justiz nur eine einzige Datenpannenmeldung eingegangen. Der Polizeibereich hat für das ganze Jahr sogar überhaupt keine Datenpanne gemeldet. Hier fragt sich Hansen in ihrem Bericht, ob die Bediensteten ausreichend für das Thema sensibilisiert und Meldewege definiert und bekannt gemacht wurden. Auch in der aktuellen Situation der Corona-Pandemie ist es Hansen wichtig, dass nicht fahrlässig mit den sensiblen Gesundheitsdaten umgegangen wird – von der Erhebung bis zur Löschung, unabhängig davon, ob sie digital oder auf Papier vorliegen. Sie betont: "Dass letztes Jahr kubikmeterweise Patientendaten in der Innenstadt frei zugänglich waren, darf sich nicht wiederholen." Auch ist Sorgfalt vonnöten, wenn personenbezogene Daten nicht im Büro, sondern im Homeoffice verarbeitet werden. "Zurzeit werden uns weniger Datenpannen gemeldet als früher. Für die nahe Zukunft erwarte ich jedoch eine größere Verbreitung von Schadsoftware, weil viele Rechner außerhalb einer professionellen Unternehmensinfrastruktur ins Internet gehen. Das Risiko für Fehler oder Datenmissbrauch steigt gerade."

Patientendaten in der Innenstadt - Datenschutzbericht für 2019: Zahlen und Fakten
m Jahr 2019 hat das ULD auf Basis von Beschwerden betroffener Personen in eigener Zuständigkeit 915 Verfahren eingeleitet. Der Anteil der Beschwerden im öffentlichen Bereich lag bei etwa einem Viertel, der überwiegende Teil betraf den nichtöffentlichen Bereich (primär die Datenverarbeitung durch Unternehmen). Ein Teil der Beschwerden wurde mangels Zuständigkeit des ULD an andere Aufsichtsbehörden abgegeben. Zusätzlich wurden 349 Datenpannen nach Art. 33 Datenschutz-Grundverordnung an das ULD gemeldet. Im Vergleich zum Vorjahr, in dem diese Meldepflicht ab dem 25. Mai 2018 galt, hat sich die durchschnittliche Zahl der gemeldeten Datenpannen pro Monat von knapp 18 auf mehr als 29 Fälle erhöht. (ULD: ra)

eingetragen: 14.04.20
Newsletterlauf: 08.06.20

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Datenschutz in Zeiten der Corona-Pandemie?

    Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat diese Woche ihren Tätigkeitsbericht für das Jahr 2019 vorgelegt: Auf knapp 150 Seiten werden die Themen Datenschutz und Informationsfreiheit beleuchtet, Empfehlungen gegeben und Verbesserungen eingefordert. Interessante Fälle dienen als mahnendes Beispiel, wie es die Verantwortlichen nicht machen sollen. Datenschutz in Zeiten der Corona-Pandemie? "Ja, besonders in Krisenzeiten ist Datenschutz wichtig", sagt Hansen. "Fast täglich melden sich Menschen bei uns, die Angst um ihre Daten haben. Sie fühlen sich nicht gut genug informiert, um verstehen zu können, wie der Staat, Firmen oder ihr Arbeitgeber mit den Daten umgehen, die dort mit der Begründung "Corona" gesammelt und ausgewertet werden. Auch befürchten sie, dass ihre Daten nicht ausreichend gegen einen unbefugten Zugriff geschützt sind und missbraucht werden könnten. Deswegen informieren wir regelmäßig über unsere Webseite."

  • Datenschutz und Infektionsschutz

    Angesichts der Corona-Krise soll das Infektionsschutzgesetz zügig der neuen Lage angepasst werden. In der nun vom Bundeskabinett beschlossenen Fassung sind Einschränkungen des Grundrechts auf Datenschutz geplant. Beispielsweise sieht der Gesetzentwurf keine festen Regeln für die Löschung von Daten vor, die bei Reisenden nach dem Infektionsschutzgesetz erhoben werden. Daneben soll das Bundesministerium für Gesundheit (BMG) laut dem Entwurf dazu verpflichtet werden, dem Deutschen Bundestag spätestens zum 31. März 2021 einen Bericht mit den Erkenntnissen aus der derzeitigen Pandemie vorzulegen. Dieser sollte notwendige Verbesserungen darlegen. Angesichts der Einschränkungen der informationellen Selbstbestimmung die der Gesetzentwurf vorsieht, sollte über die Auswirkungen dieser Regelungen ebenfalls berichtet werden.

  • Einschränkungen einer Datenweitergabe

    Der Europäische Datenschutzausschuss (EDSA) hat am 19. Februar Leitlinien für den internationalen Datentransfer zwischen Behörden und von Behörden zu internationalen Organisationen beschlossen. Der Ausschuss stellt damit klar, dass auch staatliche Stellen ihre internationalen Datentransfers absichern müssen. Die Richtlinien legen spezifische Schutzmaßnahmen fest, wenn Behörden personenbezogene Daten an Partnerbehörden in Drittländern oder an internationale Organisationen übermitteln. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber begrüßte die Einigung: In der Datenschutzrichtlinie waren keine spezifischen Schutzmaßnahmen vorgesehen. Der EDSA macht heute eindeutig, dass der Datenschutz bei internationalen Datentransfers zwischen Behörden rechtlich bindend und durchsetzbar geregelt sein muss.

  • Stärkung des Grundrechts auf Datenschutz

    Am 18. Februar hat der Europäische Datenschutzausschuss (EDSA) einen gemeinsamen Antwortbeitrag zur Evaluierung der Datenschutz-Grundverordnung (DSGVO) beschlossen. Die Europäische Kommission hatte den EDSA um einen Beitrag zum Evaluierungsverfahren gebeten. Der Ausschuss betont in seiner Antwort die Bedeutung der DSGVO für den Schutz und die Stärkung des Grundrechts auf Datenschutz innerhalb der EU. Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber: "Meine Kollegen und ich halten groß angelegte gesetzliche Änderungen an der DSGVO für verfrüht. Wir sehen aber Bedarf für Verbesserungen bei der praktischen Umsetzung. Das gilt insbesondere im Bereich der Zusammenarbeit der Datenschutzaufsichtsbehörden in grenzüberschreitenden Verfahren. Unterschiede in den nationalen Verwaltungsverfahren dürfen nicht dazu führen, dass die Effektivität der Durchsetzung der DSGVO gegenüber Unternehmen, die Datenschutzverstöße begangen haben, beeinträchtigt wird."

  • Zum Vollstreckungshilfsmittel geworden

    Im vergangenen Jahr wurden mehr als 900.000 Kontenabrufe durch Behörden genehmigt, wie das Bundesministerium der Finanzen mitteilte. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber sieht die jährlich steigende Zahl kritisch: "Jeder Kontenabruf stellt einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung dar. Ich halte eine Evaluierung des Kontenabrufverfahrens für dringend notwendig." Der automatisierte Abruf von Kontoinformationen - kurz Kontenabruf - wurde als Folge der Terroranschläge vom 9. November 2001 eingeführt, um Geldwäsche und Terrorismusfinanzierung besser bekämpfen zu können. Für diesen Zweck müssen Kreditinstitute seitdem bestimmte Kontoinformationen vorhalten.