Sie sind hier: Home » Recht » Datenschutz und Compliance

Datenschutz in Zeiten der Corona-Pandemie?


Datenschutzbericht für das Jahr 2019: mehr Bewusstsein, mehr Fragen, mehr Datenpannen
Die zunehmende Digitalisierung sieht Hansen als Chance, wenn Datenschutz – und auch Informationsfreiheit – gleich von Anfang an eingebaut werden, also "by Design"




Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat diese Woche ihren Tätigkeitsbericht für das Jahr 2019 vorgelegt: Auf knapp 150 Seiten werden die Themen Datenschutz und Informationsfreiheit beleuchtet, Empfehlungen gegeben und Verbesserungen eingefordert. Interessante Fälle dienen als mahnendes Beispiel, wie es die Verantwortlichen nicht machen sollen.

Datenschutz in Zeiten der Corona-Pandemie?
"Ja, besonders in Krisenzeiten ist Datenschutz wichtig", sagt Hansen. "Fast täglich melden sich Menschen bei uns, die Angst um ihre Daten haben. Sie fühlen sich nicht gut genug informiert, um verstehen zu können, wie der Staat, Firmen oder ihr Arbeitgeber mit den Daten umgehen, die dort mit der Begründung "Corona" gesammelt und ausgewertet werden. Auch befürchten sie, dass ihre Daten nicht ausreichend gegen einen unbefugten Zugriff geschützt sind und missbraucht werden könnten. Deswegen informieren wir regelmäßig über unsere Webseite."

Überlegtes Vorgehen statt halbgarer Schnellschüsse – realistisch?
An vielen Stellen werden neue Datenverarbeitungen zurzeit eingeführt, z. B. Registrierungspflichten von Kunden oder von Beschäftigten im Handwerk. Auch werden Systeme aufgebaut, damit zahlreiche Akteure im Gesundheitsbereich Zugriff auf bestimmte Daten von Kranken oder ihren Kontaktpersonen erhalten. Hansen kann die hohe Geschwindigkeit im Krisenmodus nachvollziehen, aber besteht darauf, dass stets die Verhältnismäßigkeit der geplanten Datenverarbeitungen geprüft wird und ausreichende Garantien für die Rechte und Freiheiten der Menschen gegeben sind.

Datenschutzbeauftragte tragende Säulen
"Im vergangenen Jahr haben wir festgestellt, dass einerseits das Bewusstsein für Datenschutz in der Bevölkerung gestiegen ist – das zeigt sich an der großen Zahl von Beschwerden und Fragen. Andererseits gibt es mit den betrieblichen und behördlichen Datenschutzbeauftragten Vor-Ort-Kompetenz bei den Firmen und Behörden. Das sind die tragenden Säulen für guten Datenschutz, weil sie die internen Prozesse ihrer Organisation in den Blick nehmen und bewerten. Bedingung dafür ist aber, dass sie ihren Job auch machen können, die erforderliche Fachkompetenz haben und die Verantwortlichen ihren Rat einholen – das klappt bisher nicht überall." Für die aktuelle Situation bedeutet dies: "Wer nun bei den Anpassungen oder Neugestaltungen der Datenverarbeitungen (z. B. für Homeoffice oder die Verarbeitung von Gesundheitsdaten) seine Datenschutzbeauftragte oder seinen Datenschutzbeauftragten nicht darüber informiert hat, sollte dies dringend nachholen!", so Hansen. Für die Beratung der betrieblichen und behördlichen Datenschutzbeauftragten steht Hansens Dienststelle, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), weiterhin zur Verfügung.

Digitalisierung mit Datenschutz und Sicherheit DSGVO Bessere Sicherheit
Hansen erwartet durch die Corona-Pandemie einen Schub für die Digitalisierung: "Allerdings dominieren weiterhin globale Player auf dem Markt, die es mit Datenschutz nicht so genau nehmen. Hier rächt sich, dass man zu wenig auf sichere und datenschutzfreundliche Alternativen gesetzt hat. Eigentlich bietet die Datenschutz-Grundverordnung die Instrumente, um die globalen Marktakteure auf Einhaltung des Datenschutzes zu verpflichten – das erfordert aber einen langen Atem der Aufsichtsbehörden in Europa und den Weg durch die gerichtlichen Instanzen." Dies liegt laut Hansen auch an den abstrakten Formulierungen in der Datenschutz-Grundverordnung (DSGVO), die von den Aufsichtsbehörden und Gerichten konkretisiert werden müssen.

Facebook-Fanpages
Gerichtliche Verfahren können sich über einen langen Zeitraum erstrecken: Seit 2011 läuft das Verfahren zu einem ULD-Bescheid zur Deaktivierung einer Facebook-Fanpage, für das der Europäische Gerichtshof (2018) und das Bundesverwaltungsgericht in Leipzig (2019) deutlich gemacht haben, dass sich keine Organisation, die solche Fanpages einsetzt, der datenschutzrechtlichen (Mit-)Verantwortung entziehen kann. Im Jahr 2020 wird sich erneut das Schleswig-Holsteinische Oberverwaltungsgericht damit beschäftigen.

Zertifizierung
Ein weiteres Instrument der Datenschutz-Grundverordnung – die Zertifizierung der Einhaltung der Datenschutz-Grundverordnung – läuft noch leer, obwohl sich Hansens Dienststelle dafür in besonderem Maße einsetzt. "Viele Leute möchten sich schnell mit einem Datenschutz-Zertifikat einen Überblick verschaffen können, ob eine Datenverarbeitung datenschutzkonform ist – das ist aber zurzeit schwierig. Immerhin geht es nun in Europa voran. Wir erwarten, dass die ersten Zertifizierungsverfahren in Deutschland dieses Jahr begonnen werden können", sagt Hansen.

Pseudonymisierung - Transparenz
Die zunehmende Digitalisierung sieht Hansen als Chance, wenn Datenschutz – und auch Informationsfreiheit – gleich von Anfang an eingebaut werden, also "by Design". Aus ihrer Sicht besonders relevant sind die passenden Pseudonymisierungs- und Anonymisierungsverfahren, wie sie nun auch für die Forschung mit Gesundheits- und Pandemiedaten diskutiert werden. Nachholbedarf besteht zudem in Bezug auf bessere Transparenz.

Datenpannen – ein Grund zur Sorge
Im Vergleich zum Vorjahr sind 2019 sehr viel mehr Datenpannen an das ULD gemeldet worden als früher. Hansen geht dabei von einer enormen Dunkelziffer aus: "Die Datenpannen, die uns gemeldet werden, zeigen, dass in den Organisationen ein Bewusstsein dafür vorhanden ist und ein Meldeprozess etabliert wurde, so wie es rechtlich geboten ist. Die Datenpannen sind ganz verschieden: fehladressierte Schreiben, offene E-Mail-Verteiler, verlorene USB-Sticks, Rechner-Infektionen mit Schadsoftware oder Programmierfehler – all dies wird uns fast täglich gemeldet." Sorgen bereiten Hansen aber nicht nur die Zunahmen bei Infektionen mit Schadsoftware, die immer wieder wellenartig auch in Schleswig-Holstein auftreten, sondern vor allem solche Bereiche, in denen gar nicht oder sehr sparsam gemeldet wird: "Es wäre zumindest ungewöhnlich, wenn bei Tausenden von Beschäftigten, die mit personenbezogenen Daten umgehen, nie Datenschutzfehler aufträten."

Im Jahr 2019 ist im ULD aus dem Bereich der Justiz nur eine einzige Datenpannenmeldung eingegangen. Der Polizeibereich hat für das ganze Jahr sogar überhaupt keine Datenpanne gemeldet. Hier fragt sich Hansen in ihrem Bericht, ob die Bediensteten ausreichend für das Thema sensibilisiert und Meldewege definiert und bekannt gemacht wurden. Auch in der aktuellen Situation der Corona-Pandemie ist es Hansen wichtig, dass nicht fahrlässig mit den sensiblen Gesundheitsdaten umgegangen wird – von der Erhebung bis zur Löschung, unabhängig davon, ob sie digital oder auf Papier vorliegen. Sie betont: "Dass letztes Jahr kubikmeterweise Patientendaten in der Innenstadt frei zugänglich waren, darf sich nicht wiederholen." Auch ist Sorgfalt vonnöten, wenn personenbezogene Daten nicht im Büro, sondern im Homeoffice verarbeitet werden. "Zurzeit werden uns weniger Datenpannen gemeldet als früher. Für die nahe Zukunft erwarte ich jedoch eine größere Verbreitung von Schadsoftware, weil viele Rechner außerhalb einer professionellen Unternehmensinfrastruktur ins Internet gehen. Das Risiko für Fehler oder Datenmissbrauch steigt gerade."

Patientendaten in der Innenstadt - Datenschutzbericht für 2019: Zahlen und Fakten
m Jahr 2019 hat das ULD auf Basis von Beschwerden betroffener Personen in eigener Zuständigkeit 915 Verfahren eingeleitet. Der Anteil der Beschwerden im öffentlichen Bereich lag bei etwa einem Viertel, der überwiegende Teil betraf den nichtöffentlichen Bereich (primär die Datenverarbeitung durch Unternehmen). Ein Teil der Beschwerden wurde mangels Zuständigkeit des ULD an andere Aufsichtsbehörden abgegeben. Zusätzlich wurden 349 Datenpannen nach Art. 33 Datenschutz-Grundverordnung an das ULD gemeldet. Im Vergleich zum Vorjahr, in dem diese Meldepflicht ab dem 25. Mai 2018 galt, hat sich die durchschnittliche Zahl der gemeldeten Datenpannen pro Monat von knapp 18 auf mehr als 29 Fälle erhöht. (ULD: ra)

eingetragen: 14.04.20
Newsletterlauf: 08.06.20

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • BfDI legt Konsultationsbericht zu KI vor

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlicht die Ergebnisse des Konsultationsverfahrens zum Einsatz von Künstlicher Intelligenz (KI) im Bereich der Strafverfolgung und der Gefahrenabwehr. Der BfDI, Professor Ulrich Kelber, sagte dazu: "KI wird eingesetzt, ohne dass grundlegende rechtliche Fragen beantwortet wären. Der Gesetzgeber sollte jetzt zeitnah die notwendigen Entscheidungen treffen."

  • "Dark Patterns" in sozialen Medien

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ( BfDI) Prof. Ulrich Kelber, zeigt sich zufrieden mit den Leitlinien, die der Europäische Datenschutzausschuss (EDSA) beschlossen hat: "Ich freue mich besonders darüber, dass der EDSA die konsolidierten Leitlinien zur Zusammenarbeit der Datenschutzaufsichtsbehörden im Kooperationsverfahren beschlossen hat. Im EDSA finden wir gemeinsam konstruktive Lösungen für Probleme, die der Gesetzgeber offen gelassen hat."

  • Liegt ein Datenschutzverstoß vor?

    Dem BfDI wurde von Hinweisgebern gemeldet, dass es im Zusammenspiel von elektronischen Gesundheitskarten (eGK) und den Konnektoren der Telematik-Infrastruktur zu Datenschutzverstößen gekommen sein soll. Dazu haben uns viele Fragen erreicht, von denen wir die häufigsten hier beantworten. Im Rahmen der Zertifikatsprüfung bei der eGK-Gültigkeitsprüfung wird die Seriennummer der eGK-Zertifikate (konkret das AUT-Zertifikat) von gesperrten elektronischen Gesundheitskarten im Sicherheitsprotokoll der Konnektoren eines Herstellers lokal gespeichert. Die Spezifikation des Konnektors sieht vor, dass keine personenbezogenen Daten protokolliert werden dürfen. Das fehlerhafte Verhalten der Konnektoren des Herstellers konnte die gematik nachstellen und hat nach eigener Aussage den Hersteller direkt über das Fehlverhalten der Konnektoren informiert.

  • EDSA beschließt Leitlinien zum Auskunftsrecht

    Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zu den Betroffenenrechten der Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Im Fokus steht dabei das Auskunftsrecht, mit dem Betroffene unter anderem in Erfahrung bringen können, welche Daten Unternehmen und Behörden über sie gespeichert haben. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt die gemeinsamen Leitlinien: "Das Recht auf Auskunft ist das grundlegende Betroffenenrecht und wird von den Bürgerinnen und Bürgern häufig in Anspruch genommen. Allerdings lässt der entsprechende Artikel der DSGVO allein einen großen Interpretationsspielraum. Der EDSA sorgt hier nun für mehr Klarheit und Einheitlichkeit."

  • Behörde hätte gerne frühzeitig beraten

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, kritisiert einige Bestandteile der neuen gesetzlichen Regeln zur Kontrolle des Impf-, Genesenen- oder Teststatus (3G) durch Arbeitgeberinnen und Arbeitgeber. "Die Vorarbeiten der Bundesregierung für den Deutschen Bundestag sind an einigen Stellen fehlerhaft und verzichten auf datenschutzfreundliche Regelungen. Meine Behörde hätte gerne frühzeitig und begleitend beraten. Darauf hat das federführende Ministerium aber verzichtet. Folge ist ein unnötiges Risiko datenschutzrechtlicher Fehler, die bei Klagen vor Gerichten zu Verzögerungen führen könnten. Der Pandemiebekämpfung würde das massiv schaden", sagte der BfDI.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen