[datensicherheit.de, 18.09.2023] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat in seinem Kommentar vom 7. September 2023 das neue Bundesdatenschutzgesetz als „Fortschritt“ bezeichnet, fordert aber dazu auf, die „Länderrolle“ widerzuspiegeln.

Bundesdatenschutzgesetz soll Datenschutz-Grundverordnung ergänzen und präzisieren

Anfang August 2023 hat demnach das Bundesinnenministerium den Entwurf für ein novelliertes Bundesdatenschutzgesetz veröffentlicht – die deutschen Datenschutzbehörden haben dazu Position bezogen. Der LfDI RLP, Prof. Dr. Dieter Kugelmann, hat nach eigenen Angaben daran wesentlich mitgewirkt: „Wir haben einige Punkte identifiziert, die der Nachschärfung bedürfen. An einem Punkt ist der Entwurf ein Fortschritt: Erstmalig wird darin die schon lange existierende Datenschutzkonferenz als etabliertes Format der Zusammenarbeit zwischen den deutschen Datenschutzaufsichtsbehörden gesetzlich anerkannt.“

Das Bundesdatenschutzgesetz ergänze und präzisiere die Datenschutz-Grundverordnung (DSGVO) der EU in Bereichen, welche die EU-Staaten jeweils selbst ausgestalten dürften. In Deutschland regele das Bundesdatenschutzgesetz den Datenschutz bei privaten Unternehmen sowie Einrichtungen und insbesondere auch die Zuständigkeiten der Datenschutzaufsichtsbehörden der Länder und des Bundes.

Datenschutzkonferenz soll gesetzlich festgeschrieben werden

Die im Entwurf nun faktisch vorgesehene Institutionalisierung der Datenschutzkonferenz (DSK) hätten die 18 deutschen Datenschutzaufsichtsbehörden in ihrer gemeinsamen Stellungnahme ausdrücklich begrüßt. Die DSK sei als Format für die gelingende Zusammenarbeit der Behörden seit Langem etabliert. Professor Kugelmann leitet den im Jahr 2020 gegründeten Arbeitskreis „DSK 2.0“, welcher auf die weitere Intensivierung und Professionalisierung hinarbeiten soll. Schon heute habe die DSK eine Geschäftsordnung und lasse Mehrheitsbeschlüsse zu.

„Der vorliegende Gesetzentwurf schreibt insoweit die Fortschritte fest, die wir in den vergangenen Monaten erzielt haben. Das ist gut.“ Was in diesem Gesetzentwurf jedoch fehle, sei die Einrichtung einer DSK-Geschäftsstelle. Professor Kugelmann betont: „Die Datenschutzkonferenz braucht eine Geschäftsstelle, um dauerhaft effizient arbeiten zu können. Ich bedaure, dass die Chance zur organisatorischen Festlegung des Gremiums im Gesetzentwurf noch nicht genutzt wurde. Ich werde mich weiter für die Einrichtung einer Geschäftsstelle einsetzen.“

Zuständigkeit der Länder für den Datenschutz auf föderaler Ebene und Mitwirkung auf EU-Ebene

Neben der gemeinsamen DSK-Stellungnahme haben die Landesdatenschutzaufsichtsbehörden laut LfDI RLP eine zweite, eigene Stellungnahme an das Bundesinnenministerium geschickt. Diese Stellungnahme der Länder gehe insbesondere auf diejenigen Aspekte des Gesetzentwurfs ein, welche die Verteilung der Zuständigkeiten der Aufsichtsbehörden auf föderaler Ebene und die Mitwirkung auf der Ebene der EU betreffen. Professor Kugelmann moniert: „Einige der vorgesehenen Änderungen fallen hinter die Lösungen zurück, die die Aufsichtsbehörden in der Praxis für eine schnelle und gute Abstimmung schon gefunden haben.“

Die Stellungnahme formuliere daher aus Ländersicht konstruktive Vorschläge zu denjenigen Passagen im Gesetzentwurf, welche etwa länderübergreifende Datenverarbeitungsvorhaben und die deutsche Vertretung auf EU-Ebene betreffen. Abschließend unterstreicht Professor Kugelmann: „Als rheinland-pfälzischer Landesdatenschutzbeauftragter leitet mich stets das Ziel, eine einheitliche Anwendung der DS-GVO für alle Bürgerinnen und Bürger, die Wirtschaft und die Verwaltung zu erreichen, ohne die zahlreichen Vorteile der regionalen Zuständigkeit zu verlieren.“

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 06.09.2023
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

LfDI RLP, 06.09.2023
Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder vom 6. September 2023 zum Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes mit Stand 9.8.2023

[datensicherheit.de, 03.06.2019] Das Bundesverwaltungsgericht hat sein am 27. März 2019 ergangenes Urteil zur Videoüberwachung durch private Stellen erst jetzt veröffentlicht: Demnach wird diese ausschließlich durch die europäische Datenschutzgrundverordnung (DSGVO) geregelt. Hierzu kommentiert Frank Herrmann, einer der damaligen Beschwerdeführer und Landesvorsitzender der PIRATEN NRW, dass es „unhaltbar“ sei, Videoüberwachung kraft Gesetz für wirksam zu erklären, so wie es der Gesetzgeber mit dem „Videoüberwachungsverbesserungsgesetz“ versucht hatte und nun „endlich gescheitert“ sei. Dringend müsse jetzt für für Rechtsklarheit gesorgt werden.

Nichtige Rechtsgrundlage für Videoüberwachung in Einkaufszentren

Herrmann: „Das frühere Videoüberwachungsverbesserungsgesetz und der davon abgeleitete § 4 Abs. 1 Satz 1 im aktuellen Bundesdatenschutzgesetz sind damit nichtig.“ Auf dieser Rechtsgrundlage würden jedoch noch heute eine Vielzahl von Videoüberwachungsanlagen im Öffentlichen Raum von privaten Stellen betrieben – etwa in Einkaufszentren.
Eine im Jahr 2017 von der Piratenpartei unterstützte Verfassungsbeschwerde gegen dieses Gesetz sei damals vom Bundesverfassungsgericht indes nicht zur Entscheidung angenommen worden.

Späte Genugtuung für Beschwerdeführer

Für Herrmann ist es „eine späte Genugtuung“, dass diese Verfassungsbeschwerde „nunmehr inhaltlich doch noch erfolgreich ist“.
Es sei und bleibe unhaltbar, Videoüberwachung kraft Gesetz für wirksam zu erklären – genau aber das habe der Gesetzgeber mit dem sogenannten Videoüberwachungsverbesserungsgesetz versucht und sei jetzt endlich gescheitert.

Auf Datenschutzaufsichtsbehörden kommt viel Arbeit zu

Die Gesetzgeber müssten nun „dringend für Rechtsklarheit sorgen und die Paragraphen zur Videoüberwachung aus den Datenschutzgesetzen in Bund und Ländern streichen“.
Anja Hirschel, Stadträtin aus Ulm und Bundesthemenbeauftragte für Digitalisierung, ergänzt: „Ich würde mir wünschen, dass der Gesetzgeber den Inhalt der Entscheidung übernimmt und nicht wieder versucht, seine eindeutig unzulässigen Pläne in einer neuen Form durchzusetzen.“

Weitere Informationen zum Thema:

datensicherheit.de, 31.05.2019
Bundesverwaltungsgericht: Videoüberwachungsverbesserungsgesetz gestoppt / Nationale Regelungen zur Privilegierung privater Videoüberwachung verstoßen gegen Europarecht und sind daher nicht anwendbar

PIRATEN, 28.06.2017
PIRATEN gehen gegen Videoüberwachungverbesserungsgesetz vor / VERFASSUNGSBESCHWERDE ZU VIDEOÜBERWACHUNGSVERBESSERUNGSGESETZ EINGEREICHT

Kanzlei Starostik Berlin, 27.06.2017
Verfassungsbeschwerde

[datensicherheit.de, 30.08.2018] Aktenschredder, Klauseln zur Mailnutzung, Verschlüsselung von sensiblen Dokumenten oder Weiterbildung von Mitarbeitern: Die vor gut 100 Tagen in Kraft getretene Europäische Datenschutz-Grundverordnung (EU-DSGVO) zwingt Unternehmen und Mitarbeiter gleichermaßen zu einem sensibleren Umgang mit Personal- und Unternehmensdaten. Der Datenschutzexperte René Rautenberg von ER Secure klärt auf: „Es gilt nach der Änderung einiges im Umgang mit Personaldaten zu beachten. Das Datengeheimnis nach Paragraph 5 des BDSG ist zwar mit dem 25. Mai entfallen, das unbefugte Erheben, Verarbeiten und Weiterleiten von Daten bleibt jedoch verboten.“

Mitarbeiter richtig informieren

„Mitarbeiter müssen mit geeigneten Maßnahmen mit der neuen Verordnung vertraut gemacht werden. Es gibt allerdings keinen Grund für regelmäßige Schulungen wie viele Unternehmen annehmen. Um das Gesetz zu erfüllen, sollten die Mitarbeiter das Datengeheimnis nach Paragraph 5 samt dazugehörigem Merkblatt ansehen“, erklärt Rautenberg. Nach europäischem Recht und dem Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten alle Informationen die natürliche Personen betreffen. Die Maßnahmen sind essentiell, werden aber noch nicht von allen Unternehmen richtig umgesetzt. „Seit dem Inkrafttreten der DSGVO hat es bis zu zehn Mal mehr Beschwerdefälle von Mitarbeitern gegeben, in denen sie auf mögliche Datenschutzverstöße von Unternehmen hinweisen“, betont Rautenberg.

Sorgfalt bei Dokumenten

„Wenn Papierdokumente personengezogene Daten enthalten und diese im Hausmüll entsorgt werden, sieht sich ein Unternehmen schnell den Behörden gegenüber. Ein Aktenvernichter ist ein Muss“, erklärt Rautenberg. Er empfiehlt einen Cross-Kart-Schredder, der auf zwei Zentimeter eingestellt ist. „Sollten Unternehmen auf einen externen Aktenvernichter zurückgreifen, ist der Abschluss eines Datenschutzvertrages anzuraten“, sagt der Experte.  Auch bei digitalen Dokumenten ist Vorsicht geboten. „Unternehmen dürfen beim Ausscheiden eines Mitarbeiters nur auf den Email-Account zugreifen, wenn die Privatnutzung zuvor entsprechend geregelt worden ist. Wird der Account auch für private Zwecke genutzt, muss der Mitarbeiter vor dem Ausscheiden sämtliche private Unterhaltungen löschen. Ist die Privatnutzung verboten, darf das Unternehmen auf das Postfach zugreifen“, betont Rautenberg.

Geheimnisse sind zu wahren

Das Konzept „Bring your own device“ ist bei Unternehmen beliebt: Rautenberg warnt jedoch vor der Nutzung privater Geräte für den dienstlichen Gebrauch: „Wenn Mitarbeiter ihre eigenen Geräte ins Büro mitbringen und darauf ihre Arbeit verrichten, birgt das Risiken für den Datenschutz. Besonders, wenn personenbezogene Daten vom Unternehmen auf diesen Geräten gespeichert werden. In dem Moment, wo Dateien vom Server auf den Desktop gezogen werden, lässt sich das kaum vermeiden.“  Auch bei der Online-Kommunikation mit externen Dienstleistern muss der Datenschutz gewährleistet sein. „Wenn Sie sensible Daten an Anwälte oder Steuerberater per Email senden, ist dies kritisch. Ob PDF, Word-Dokument oder Excel-Tabelle: Die Daten müssen mit einem Passwort verschlüsselt sein“, erklärt Rautenberg.

Datenschutz-Tools können Unternehmen helfen

Laut Rautenberg nutzen viele Firmen Datenschutz-Management-Tools. Mit Hilfe von Fragebögen, Aufgaben, Checklisten und Videoanleitungen können sie so auf ihr Unternehmen zugeschnitten schrittweise alle Anforderungen prüfen, anpassen und dokumentieren. Nach seinen Erfahrungen haben besonders kleine Unternehmen Ressourcenprobleme, das Thema anzugehen. Ihnen rät er, jetzt ihre Hausaufgaben zu machen. „Viele Prozesse sind Fleißarbeit. Gleichzeitig sollten gerade kleine Unternehmen nicht den Fehler begehen und das Thema auf jemand abwälzen, der gerade verfügbar ist. Die EU-DSGVO betrifft alle Unternehmensbereiche und sollte von jemanden angegangen werden, der komplex und vernetzt denken kann.“

Weitere Informationen zum Thema:

ER Secure GmbH
Externer Datenschutzbeauftragter Bundesweit

datensicherheit.de,  25.07.2018
DSGVO-Audits: Hohe Durchfallquote erwartet

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

datensicherheit.de, 31.03.2016
Imperva Hacker Intelligence Initiative Report: Insiderbedrohungen in 100 Prozent der untersuchten Umgebungen

[datensicherheit.de, 02.05.2017] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) kritisiert in einer aktuellen Stellungnahme einen „sicherheits- und datenschutzrechtlichen Rundumschlag mit Folgen“. Am 27. April 2017 habe der Bundestag eine Reihe von Gesetzesvorhaben beschlossen und verabschiedet, die weitreichende Folgen für den Datenschutz in Deutschland haben würden. Neben der Novellierung des BKA-G und des Bundesdatenschutzgesetzes sei auch die Speicherung von Fluggastdaten durch den Bundestag (neu) normiert worden. Dieser „Gesetzgebungsakkord“ dürfe nicht über die Tragweite der Neuerungen hinwegtäuschen – im Gegenteil handele es sich um überaus „grundrechtssensible Änderungen“.

Erheblicher Mangel an Transparenz kritisiert

Unter der Geschwindigkeit und Fülle der Verfahren leide nicht nur die Beteiligung der Stakeholder, auch der demokratische und damit öffentliche Meinungsbildungsprozess könne nicht angemessen realisiert werden – ein „nicht unerheblicher Mangel an Transparenz“ gehe damit einher.
Durch die Novellierung des BKA-G werde das nationale polizeiliche Informationswesen beim BKA als Zentral- und Kontaktstelle für die internationale Zusammenarbeit zentralisiert. Dazu sei unter anderem die Umstrukturierung des bisherigen Informationsverbundes der Polizeien des Bundes und der Länder zu einem beim BKA zentralisierten „Informationspool“ ohne ausdifferenzierte Dateienstruktur vorgesehen. Korrespondierend sollten die Errichtungsanordnungen abgeschafft werden und damit ein maßgebliches Instrument der Datenschutzkontrolle – sowohl der Selbstkontrolle der Polizeien der Länder als auch der Fremdkontrolle durch die Datenschutzaufsichtsbehörden. Einige Änderungen würden durch die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder nachdrücklich kritisiert. Auf die ursprünglich geplante Neuregelung der Löschfristen, die zu dauerhaften und ausufernden Speicherungen geführt hätten, sei letztlich erfreulicherweise verzichtet worden.

Einschränkung der Betroffenenrechte über das erforderliche Maß

Die Anpassung des Bundesdatenschutzgesetzes an die neuen europäischen Vorgaben durch die Datenschutz-Grundverordnung und die JI-Richtlinie sei seit den ersten Erkenntnissen zum Entwurf durch die Datenschutzaufsichtsbehörden kritisiert worden. Trotzdem sei mit dem gestrigen Tage ein Gesetz verabschiedet worden, welches die Betroffenenrechte über das nach europäischen Standards erforderliche Maß einschränke und die Vorgaben zur Verarbeitung von besonders sensiblen personenbezogenen Daten – insbesondere Gesundheitsdaten und genetischen Daten – nicht hinreichend beachte.
Wie bereits bei dem BKA-G und den Novellierungen der Polizeigesetze der Länder stehe bei dem Gesetz über die Verarbeitung von Fluggastdaten (Fluggastdatengesetz) die Terrorismusabwehr im Vordergrund. Dazu sollten die Fluggastdaten zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität verarbeitet werden. Der Datenumfang sei indes nicht unerheblich: Neben den personenbezogenen Stammdaten der Passagiere sollten auch Daten wie Kreditkartennummer, Reiseverlauf, Gepäckangaben und sogar die Essensbestellung Gegenstand des gespeicherten Datensatzes sein. Kritikwürdig an dieser Speicherung sei die Streubreite, die in erster Linie unbescholtene Reisende betreffe und sie – ohne Anlass – zum Gegenstand von polizeilichen Datenabgleichen und Profiling der Polizeibehörden werden lasse.

Datenschutzbeauftragte sollten auf datenschutzkonforme Ausgestaltung hinzuwirken

Ein ausstehendes Gutachten des EuGH zu der zugrundeliegenden Richtlinie könnte noch zur Stärkung der Grundrechte in diesem Bereich führen. Die Konsequenzen der Neuerungen für die Praxis und damit auch für die Betroffenen seien sicherlich vielfältig, aber im Einzelnen schwer absehbar. Die Maßnahmen harrten der Umsetzung in die Praxis. Es gelte abzuwarten, wie deren konkrete Umsetzung gestaltet werden wird.
Die Bundesbeauftragte und die Landesbeauftragten für den Datenschutz seien nun dazu angehalten, gemeinsam mit der Praxis auf eine datenschutzkonforme Ausgestaltung der Umsetzung der Befugnisse hinzuwirken und Kontrollmechanismen zu etablieren, durch welche das Grundrecht auf informationelle Selbstbestimmung der Betroffenen gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährleistet werden kann.

Erhöhtes Maß wechselseitiger Kooperation der Datenschutzaufsicht mit verantwortlichen Stellen

„Defizite, die aufgrund der Geschwindigkeit und Kumulationen der Gesetzgebungsverfahren nicht aus der Welt geschafft werden konnten, sind nun soweit möglich bei der Auslegung und Anwendung der Regelungen zu mildern“, fordert der LfDI RLP, Prof. Dr. Dieter Kugelmann. Dies erfordere ein erhöhtes Maß an wechselseitiger Kooperation der Datenschutzaufsicht mit den jeweiligen verantwortlichen Stellen.
„Gerade bei Gesetzen, die tief in Grundrechte eingreifen, sollte ein demokratisches Gesetzgebungsverfahren der Öffentlichkeit und den Abgeordneten die Möglichkeit geben, nachhaltig und effektiv zu partizipieren“, betont Kugelmann. Dem Druck zur Schaffung angeblicher Sicherheit dürfe nicht voreilig nachgegeben werden, die Wahrung der Freiheit müsse im Vordergrund stehen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2017
Europäische Informationsfreiheitsbeauftragte treffen sich in Berlin

[datensicherheit.de, 09.03.2017] Mit dem Datenschutzanpassungs- und Umsetzungsgesetz, über welches der Bundesrat am 10. März 2017 abstimmt, soll das Bundesdatenschutzgesetz an die europäische Datenschutz-Grundverordnung angepasst werden. Nachbesserungen sind nach Ansicht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) jedoch dringend nötig.

Marit Hansen, ULD-Leiterin, kommentiert aus gegebenem Anlass die Problematik: „Nach den Errungenschaften, die – auch dank des Einsatzes der Bundesrepublik in den Verhandlungen – in der Datenschutz-Grundverordnung für den Datenschutz erzielt werden konnten, sollte man nun eigentlich Verbesserungen auch im deutschen Datenschutzrecht erwarten. Das Gegenteil ist der Fall: Wird der Gesetzentwurf in der von der Bundesregierung vorgelegten Form beschlossen, drohen empfindliche Einbußen für die Datenschutzrechte der Bürgerinnen und Bürger.“ Besonders gravierend seien die folgenden geplanten Einschnitte:

1. Fehlende Kontrolle von Berufsgeheimnisträgern
   Die Kontrolle des Datenschutzes bei den sogenannten Berufsgeheimnisträgern solle ersatzlos wegfallen.
   Wir alle müssten uns irgendwann Ärzten, Therapeuten und Apothekern anvertrauen und dabei darauf vertrauen können, dass unsere (Patienten-)Geheimnisse sicher geschützt werden. Hansen: „Dabei ist Vertrauen gut, aber manchmal ist Kontrolle nötig.“ Diese Kontrolle werde bisher durch die Datenschutz-Aufsichtsbehörden wahrgenommen, d.h. in Schleswig-Holstein durch das ULD. Patienten und andere Betroffene könnten sich gegenwärtig an das ULD wenden und Missstände und mutmaßliche Datenschutzverstöße melden. Das ULD sei Datenschutz-Aufsichtsbehörde für Ärzte und viele weitere Gesundheitsberufe wie z.B. Logopäden, Hebammen, Psychotherapeuten und Krankengymnasten. Ebenso unterlägen die in Sucht-, Familien-, Ehe- oder Schuldnerberatungsstellen, bei freien Trägern der Jugendhilfe oder SGB-II-Maßnahmeträgern tätigen Sozialarbeiter und Sozialpädagogen einer Datenschutz-Aufsicht. Das ULD müsse den Beschwerden nachgehen und könne die Datenverarbeitung der Berufsgeheimnisträger kontrollieren, „auch soweit es um Daten geht, die unter die Schweigepflicht der genannten Berufsgruppen fallen“, erläutert Hansen.
   Dieses funktionierende Kontrollsystem solle nun ohne Not beseitigt werden. Der Entwurf für ein neues Bundesdatenschutzgesetz (BDSG) sehe vor, „dass die Kontrollbefugnis der Datenschutz-Aufsichtsbehörden wegfällt, wenn die fraglichen Daten der Schweigepflicht unterliegen“.
   „Künftig könnte das ULD nicht mehr die Fälle aufklären, wenn Patienten Fragen zur fehlenden Diskretion in einer Arztpraxis haben, zu falschen Angaben in der Pflegeakte, zu Patientendaten, die auf dunklen Wegen zu Krankenkassen, Pharmaunternehmen oder privaten Versicherungen wandern, zu Computern, die gehackt wurden, oder zu Dienstleistern, die per Handschlag mit der Verarbeitung von Patientendaten beauftragt werden“, führt Hansen aus.
   Hinzukomme, dass die Bundesregierung gerade mit einem anderen Gesetzentwurf es den Berufsgeheimnisträgern erleichtern wolle, externe Auftragsverarbeiter einzusetzen. Auch deren Tätigkeit solle nach dem BDSG-Entwurf der Datenschutz-Kontrolle entzogen sein.
   „Es ist völlig unverständlich, dass nun gerade die am stärksten schutzbedürftigen Informationen faktisch vom Datenschutz ausgenommen werden sollen“, so Hansen. Die möglichen Gefährdungen der Gesundheitsdaten nähmen zu, doch der BDSG-Entwurf lasse die Kontrolle wegfallen.
   Die vorgesehene Änderung des BDSG könne auch nicht im Interesse der Ärzte und der anderen Medizinberufe sein. Nicht nur drohten rein praktisch die Standards für die Vertraulichkeit zu sinken – mit allen negativen Auswirkungen für die Patienten. Es drohten auch Nachteile für die Ärzte: Jeder etwaige Verstoß könne künftig nur noch mit dem „scharfen Schwert des Strafrechts“ verfolgt werden. „Sollte das Gesetz so in Kraft treten, wird das ULD letztlich allen, die Verstöße melden, empfehlen müssen, diese der Staatsanwaltschaft anzuzeigen.“
2. Beschränkung der Betroffenenrechte
   Transparenz über die Datenverarbeitung sei „Grundvoraussetzung für das Recht auf informationelle Selbstbestimmung“. Jede Bürger habe daher einen Anspruch zu erfahren, welche öffentlichen und nicht-öffentlichen Stellen welche Daten über die eigene Person in welcher Weise und zu welchen Zwecken verarbeiten. Entsprechende Informationen müssten die verantwortlichen Stellen von sich aus bereitstellen.
   Außerdem hätten die betroffenen Personen einen „Auskunftsanspruch gegenüber verantwortlichen Stellen“. Diese Transparenz werde mit dem vorgelegten Entwurf erheblich eingeschränkt. „Verantwortliche Stellen sollen von ihrer Informationspflicht befreit werden, wenn diese einen unverhältnismäßigen Aufwand verursachen würden. Hier wird die Transparenz für die Betroffenen zugunsten einer Einsparung von Verwaltungsaufwand für die verantwortlichen Stellen eingeschränkt“, warnt Hansen. Diese Einschränkung sei in der Datenschutz-Grundverordnung nicht vorgesehen und somit „verfassungs- wie europarechtlich äußerst bedenklich“.
   Auch der Auskunftsanspruch der Betroffenen soll demnach erheblich eingeschränkt werden. „Würden Daten nur noch aufgrund von gesetzlichen oder vertraglichen Aufbewahrungsfristen gespeichert, bräuchte die verantwortliche Stelle über diese Daten keine Auskunft zu erteilen. Damit würde eine große Menge von Daten vom Auskunftsanspruch ausgenommen, zum Beispiel Daten, die für steuerliche Zwecke aufbewahrt werden müssen, aber auch diejenigen Verkehrsdaten, die Telekommunikationsanbieter nach der sogenannten Vorratsdatenspeicherung aufbewahren müssen.“ Ob diese Daten tatsächlich, wie vom Gesetzentwurf gefordert, gegen eine Verwendung zu anderen Zwecken wirksam geschützt sind, könnten die Betroffenen mangels Information darüber nicht prüfen oder durch die Aufsichtsbehörden prüfen lassen.
3. Ausufernde Verarbeitungsmöglichkeiten von Gesundheitsdaten
   Der Gesetzentwurf sehe zur Verarbeitung von Gesundheitsdaten „sehr weitgehende Regelungen ohne Interessenabwägung“ vor. Er schaffe damit zu allgemeine gesetzliche Verarbeitungsbefugnisse sowohl für nicht-öffentliche als auch öffentliche Stellen. Es würden zudem keine verbindlichen technisch-organisatorischen Schutzmaßnahmen geregelt. Dies könne zu „Lücken im gebotenen Grundrechtsschutz“ führen.
4. Unkonkrete Vorgaben beim technischen Datenschutz
   Der Entwurf zum Bundesdatenschutzgesetz liefere „Steine statt Brot“, was die technisch-organisatorische Gestaltung von Datenverarbeitungssystemen angeht: „Zwar könnte man diesen Vorwurf schon an die sehr abstrakt gehaltene Datenschutz-Grundverordnung und die parallel beschlossene Datenschutz-Richtlinie für Justiz und Inneres richten. Jedoch hätte der nationale Gesetzgeber die Hinweise aus dem europäischen Recht aufgreifen können, nach denen Hersteller ermutigt werden sollen, Produkte, Dienste und Anwendungen datenschutzgerecht zu entwickeln und zu gestalten.“
   Ebenso fehle die Klarstellung, so Hansen, dass die Grundsätze des technischen Datenschutzes auch bei öffentlichen Ausschreibungen aufgenommen werden sollten.
   Außerdem verändere der BDSG-Entwurf die Terminologie der europäischen Gesetzeswerke und schränke damit den adressierten Personenkreis bei der Risikobetrachtung ein: Statt „Risiken für Rechte und Freiheiten natürlicher Personen“ einzudämmen, gehe es in dem deutschen Entwurf um die „Gefahr für Rechtsgüter betroffener Personen“. Risiken für (noch) nicht betroffene Personen und Effekte wie Einschüchterung und Diskriminierung gerieten damit aus dem Blick.

Marit Hansens Fazit:

„Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein appelliert an den Bundesrat, keine Verschlechterungen im Datenschutz zuzulassen.“ Bundes- und Landesgesetzgeber sollten die Chancen aus der europäischen Datenschutzreform aufgreifen, um das Datenschutzniveau – und damit den Schutz der Grundrechte – zu verbessern.

Weitere Informationen zum Thema:

datensicherheit.de, 09.12.2016
Neues Bundesdatenschutzgesetz: digitalcourage und Verbraucherzentrale kritisieren Gesetzentwurf

[datensicherheit.de, 01.02.2017] Die Zeit drängt: Ab Mai 2018 gelten europaweit die EU-Datenschutzgrundverordnung und die europäische Richtlinie für den Datenschutz bei Polizei und Justiz. Der am 1. Februar 2017 beschlossene Gesetzesentwurf der Bundesregierung für ein Anpassungs- und Umsetzungsgesetz greift Verordnung und Richtlinie auf und soll das bisherige Bundesdatenschutzgesetz ablösen. Andrea Voßhoff, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), begrüßt nach eigenen Angaben das Vorhaben, das Gesetzgebungsverfahren noch in dieser Legislaturperiode abzuschließen.

Grundgerüst für das künftige deutsche Datenschutzrecht

Das neue Bundesdatenschutzgesetz ergänze die ab Mai 2018 unmittelbar geltende EU-Datenschutz-Grundverordnung und schaffe das „Grundgerüst für das künftige deutsche Datenschutzrecht“. Anpassungs- und Umsetzungsbedarf bestehe aber noch in zahlreichen bereichsspezifischen Gesetzen, beispielsweise für den Sozialdatenschutz im Sozialgesetzbuch.
Der nun vorliegende Entwurf sei auch auf Initiative der BfDI gegenüber Vorentwürfen bereits verbessert worden. Zwar werde der für den Datenschutz zentrale Grundsatz der Zweckbindung noch zu sehr beschränkt, allerdings dürften nichtöffentliche Stellen bereits erhobene Daten nun nicht mehr für andere Zwecke verarbeiten, wenn die Interessen der betroffenen Person überwiegen.
Auch bei der Verarbeitung besonders sensibler Daten zu Forschungszwecken werde nun stärker auf das Grundrecht der Betroffenen auf informationelle Selbstbestimmung geachtet.

Verfassungs- und europarechtswidrig: eingeschränkte Kontrollbefugnisse

Die vom Bundesverfassungsgericht eingeforderten Kontrollbefugnisse der BfDI im Bereich Polizei und Justiz und außerhalb des Geltungsbereichs des EU-Rechts seien deutlich beschränkt worden. Gerade für heimliche Datenerhebungen sei eine „unabhängige Kontrolle jedoch zwingend notwendig“.
Anstatt jedoch das Vertrauen der Bürger in die staatliche Datenerhebung in diesem Bereich zu verbessern, erhalte die BfDI hierzu keinerlei Durchsetzungsbefugnisse; möglich seien nur nicht-bindende Beanstandungen. Dies sei „europarechtswidrig und auch in der Sache falsch“. Laut der EU-Richtlinie sollten Datenschutzaufsichtsbehörden zumindest die Möglichkeit haben, die Rechtmäßigkeit bestimmter Verarbeitungsvorgänge gerichtlich überprüfen zu lassen.
Auch dürfte die BfDI den Deutschen Bundestag in Zukunft nicht mehr proaktiv über Kontrollen beim Bundesnachrichtendienst informieren – dies sei verfassungswidrig.
Diese Vorschläge gefährdeten das bisherige Datenschutzniveau in Deutschland, betont Voßhoff. Im parlamentarischen Verfahren werde die BfDI daher weiter mit Nachdruck für wirksame Sanktionsmöglichkeiten der Datenschutzaufsichtsbehörden eintreten.

Betroffenenrechte: problematische Einschnitte

Kritisch betrachtet werden müssten auch Einschränkungen der Rechte betroffener Bürgerinnen und Bürger, etwa beim Auskunftsrecht oder beim Widerspruchsrecht. Die Datenschutzgrundverordnung lasse solche Beschränkungen nur unter strengen Voraussetzungen zu. Einige der von der Bundesregierung vorgesehenen Beschränkungen gingen aber zu weit und seien „problematisch“, so Voßhoff.

Einheitliche Vertretung deutscher Aufsichtsbehörden in europäischen Aufsichtsgremien

Positiv bewertet die BfDI das geplante Verfahren für die effiziente und einheitliche Vertretung der deutschen Aufsichtsbehörden in europäischen Aufsichtsgremien. Dafür werde bei der BfDI eine Zentrale Anlaufstelle für die Datenschutzbehörden des Bundes und der Länder eingerichtet.
Auch werde die BfDI als Gemeinsamer Vertreter im Europäischen Datenschutzausschuss benannt. Als Stellvertreter stehe ihr dabei eine vom Bundesrat gewählte Leiterin oder ein Leiter einer Landesdatenschutzbehörde mit Befugnissen in bestimmten Angelegenheiten der Länder zur Seite.

Weitere Informationen zum Thema:

datensicherheit.de, 01.02.2017
Datenschutz-Anpassungs- und Umsetzungsgesetz im parlamentarischen Verfahren

[datensicherheit.de, 31.10.2016] Windows 10 übermittele viele detaillierte Informationen über die Systemnutzung an die US-Server von Microsoft. Ein juristisches Nachspiel hierzu sei nicht ausgeschlossen, schreibt das Magazin iX in seiner aktuellen Ausgabe 11/16. Denn das „Ausplaudern“ könne nicht nur mit dem Bundesdatenschutzgesetz kollidieren, sondern auch mit Betriebsverfassungsgesetz.

Schon die aggressiven Umstiegsaufforderungen, in deren Rah­men ohne Zustimmung des Benutzers Software auf dem Rech­ner installiert wurde, hätte die Verbraucherschützer auf den Plan gerufen, ebenso wie der „Wust an Daten­übermittlung“, den die Zwangsregistrierung mit sich brachte.

Eine interessante Frage stelle sich aber darüber hinaus: Der Einsatz der „Datenschleuder Windows 10“ könne jetzt nicht nur Microsoft in die Bredouille bringen, sondern auch die Unternehmen, die Windows 10 einsetzten. „Während bei Verstößen gegen das Datenschutzgesetz der Hersteller, also Microsoft, die Konsequenzen tragen muss, hätten bei Verstößen gegen das Betriebsverfassungs­gesetz die Unternehmen den schwarzen Peter“, sagt Lukas Grunwald, langjähriger iX-Autor und CEO sowie Sicherheitsexperte der Firmen Greenbone und DN-Systems. Es stelle sich hier die Frage, ob eine so weitgehende Erfassung und Übermittlung von Arbeitnehmerdaten deutschen Gesetzen entspriche oder nicht mindestens der Zustimmung des Betriebsrates bedürfe.

Grunwald hat die Datenübermittlung sehr genau untersucht und festgestellt, dass die Datenübertragung keinesfalls den üblichen Sicherheitsstandards Genüge trage. So werde das Passwort ohne Zertifikat-Pinning übertragen, sodass jeder mit einer Man-in-the-Middle-Attacke das nicht gehashte Passwort mitlesen konne.

„Unschön auch, dass diese Geschwätzigkeit voreingestellt ist und man sie in den Endbenutzerversionen nicht abstellen kann“, so Grunwald. Ob die gebotenen Konfigurationsmöglichkeiten einen datenschutzkonformen Firmeneinsatz von Windows 10 überhaupt gestatte, prüfe derzeit das für Microsoft Deutschland zuständige Bayerische Landesamt für Datenschutzaufsicht. Es wäre nicht erstaunlich, wenn es für eine endgültige rechtliche Einschätzung auch wieder einmal eines Gerichtsverfahrens bedürfe, so Grunwald.

Weitere Informationen zum Thema:

heise.de
iX – Magazin für professionelle Informationstechnik

datensicherheit.de, 25.06.2016
Windows 10: Neue Blue Screens mit QR-Code

[datensicherheit.de, 01.08.2016] Hinsichtlich der Abfassung des Nachfolgegesetzes zum Bundesdatenschutzgesetz (BDSG) fordern die Grundrechteorganisationen Digitalcourage und Deutsche Vereinigung für Datenschutz (DVD) „dringend notwendige Verbesserungen des Schutzes von persönlichen Daten“.

Progressive Datenschutzgesetze notwendig

Ihre Forderungen betreffen nach eigenen Angaben unter anderem Scoring und Profilbildung, Berufsgeheimnisträger, Verbraucherschutz, Beschäftigtendatenschutz, Gesundheitsdaten, Bestellpflicht für Datenschutzbeauftragte und Folgenabschätzungen von Datenverarbeitung.
So fordern Digitalcourage und DVD vom deutschen Gesetzgeber ein klares „Stopp“ für mehr Profilbildung, Scoring und automatisierte Einzelfallentscheidungen, als es das EU-Recht vorsieht. Dies bedeute für das neue BDSG-Nachfolgegesetz: Keine weiteren nationalen Ausnahmen von dem Verbot von automatisierten Einzelfallentscheidungen sowie Erhalt des bestehenden deutschen Datenschutzniveaus bei Auskunfteien und Scoring.
Personalisierte Werbung, Preise, Kommunikation und Versicherungen machten dringend „progressive Datenschutzgesetze notwendig“, betont Friedemann Ebelt von Digitalcourage. „Wenn jetzt nicht für verlässlichen Datenschutz gesorgt wird, wird in Zukunft das Grundrecht auf Privatsphäre verloren gehen“, so seine Warnung.

Verlässlicher Beschäftigtendatenschutz angemahnt

Die Europäische Datenschutzgrundverordnung enthalte keine Regelungen zum Beschäftigtendatenschutz, sondern überlasse dies den nationalen Gesetzgebern. Diese Lücke müsse mit einem neuem eigenständigen Gesetz, „welches seinen Namen verdient“, geschlossen werden.
Digitalcourage und DVD fordern „dringend einen starken und umfangreichen Beschäftigtendatenschutz“, was angesichts der technischen Entwicklung im Arbeitsleben nur mit einem eigenständigen Beschäftigtendatenschutzgesetz möglich sei.
Der Nachfolger des Bundesdatenschutzgesetzes werde über Jahrzehnte das Niveau des Schutzes von persönlichen Daten in Deutschland bestimmen, erläutert Werner Hülsmann von der DVD. Deutschland müsse beim Schutz von Grundrechten Vorbild in der EU sein. Jede Möglichkeit für besseren Datenschutz müsse wahrgenommen werden.

Nationale Datenschutzgesetze stehen zur Erneuerung an

Nachdem die Europäische Datenschutzgrundverordnung verabschiedet wurde, müssen die EU-Mitgliedsländer nun ihre nationalen Datenschutzgesetze erneuern. In Deutschland ist das Innenministerium für ein BDSG-Nachfolgegesetz verantwortlich.
Dessen Entwurf werde ab August 2016 erwartet. Aufgrund der bevorstehenden Bundestagswahl im Herbst 2017 sei die Zeit für die Umsetzung sehr knapp. Noch 2016 könnte der Bundestag über das Gesetz abstimmen.

Weitere Informationen zum Thema:

digitalcourage, 01.08.2016
Neues Bundesdatenschutzgesetz: 13 Forderungen für mehr Datenschutz

Datenschutz Nachrichten, Ausgabe 2/2016
„Position zur Ausgestaltung der Europäischen Datenschutzgrundverordnung“ (S. 86)

[datensicherheit.de, 17.06.2012] Der Bundesdatenschutzbeauftragte Peter Schaar nimmt Stellung zu einer aktuellen Diskussion der Justizminister der Länder über die Einführung eines neuen Straftatbestands der Datenhehlerei, mit dessen Hilfe der „digitale Schwarzmarkt“ mit widerrechtlich erlangten Daten aller Art bekämpft werden soll:
Schaar wirft hierzu die Frage auf, ob die behauptete „Strafbarkeitslücke“ überhaupt besteht. Zumindest für personenbezogene Daten könne er eine solche nicht erkennen, denn schon heute sei es nach dem Bundesdatenschutzgesetz (§§ 43, 44 BDSG) strafbar, wenn jemand in Bereicherungsabsicht, Schädigungsabsicht oder gegen Entgelt personenbezogene Daten, die nicht allgemein zugänglich sind, rechtswidrig erhebt, verarbeitet, zum automatisierten Abruf bereitstellt oder sich verschafft… Indes begrüßt er es aus datenschutzpolitischer Sicht, den strafrechtlichen Schutz der personenbezogenen Daten vor dem Hintergrund der zunehmenden Kommerzialisierung und Verkettung allgegenwärtig verfügbarer Daten zu verbessern – dies gelte insbesondere im Hinblick auf die vorgeschlagene Ausgestaltung als Offizialdelikt, d.h. dass kein Strafantrag mehr erforderlich wäre, und die Erhöhung des Strafrahmens von zwei auf fünf Jahre.
Pikant findet es Schaar, dass staatliches Handeln, wie beim Ankauf von Datensätzen aus der Schweiz durch deutsche Finanzbehörden, offenbar von diesem Tatbestand der Datenhehlerei ausgenommen werden soll. In diesem Zusammenhang müsse zudem die die mögliche Strafbarkeit der Beschaffung und Verbreitung illegal erlangter Informationen zu journalistischen und investigativen Zwecken („Whistleblowing“-Fälle) diskutiert werden – für die grundrechtlich abgesicherte Informationsfreiheit nach Art. 5 des Grundgesetzes und das Informationsinteresse der Allgemeinheit wäre es fatal, wenn sich Journalisten bei der Informationsbeschaffung und -weitergabe der Gefahr der Datenhehlerei aussetzen würden, so Schaar.

Weitere Informationen zum Thema:

Datenschutz FORUM, 14.06.2012
Brauchen wir einen neuen Straftatbestand „Daten-Hehlerei“?

[datensicherheit.de, 02.09.2011] Zum zweijährigen Bestehen der Informationspflicht bei Datenschutzpannen zeigt sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar zufrieden mit der neuen Regelung, fordert aber deren Erstreckung auf staatliche Stellen:
Die Schaffung einer Informationspflicht bei Datenschutzpannen sei richtiger Schritt. Die Publizitätspflicht motiviere die verantwortlichen Stellen, mehr für die Datensicherheit und den Datenschutz zu tun, und versetze die Betroffenen in die Lage, negative Konsequenzen rechtzeitig abzuwenden sowie Sicherheitsmaßnahmen zu ergreifen. Leider sei der Gesetzgeber auf halber Strecke stehen geblieben, indem er staatliche Stellen von der allgemeinen Informationspflicht bei Datenschutzpannen ausgenommen habe, so Schaar.
Es sei nicht nachvollziehbar, warum das Gesetz bei Datenschutzverstößen öffentlicher und privater Stellen unterschiedliche Maßstäbe anlege. Dabei bestehe weiterer Nachbesserungsbedarf. Nach einer bundesweiten Erhebung seien den Datenschutzaufsichtsbehörden des Bundes und der Länder in den ersten 18 Monaten nach Inkrafttreten der Informationspflichten fast 90 Fälle gemeldet worden. In der überwiegenden Zahl habe es sich um den Diebstahl oder Verlust von mobilen Datenträgern, wie Notebooks und USB-Sticks, oder um Fehlversendungen von E-Mails und Briefen gehandelt. Daneben habe es Fälle des Ausspähens von Bankdaten (Skimming) und Datenverluste durch Hacking gegeben. Betroffen gewesen seien in aller Regel Bankverbindungs- und Kreditkartendaten, zum Teil aber auch besonders sensible Daten, wie Gesundheitsdaten.
Die Anzahl der bundesweit gemeldeten Fälle belege laut Schaar, dass die Informationspflicht bei Datenschutzpannen von den verantwortlichen Stellen ernst genommen werde. Dennoch gehe er von einer hohen Dunkelziffer nicht gemeldeter Vorfälle aus. Häufig sei auch die Kommunikation der verantwortlichen Stellen gegenüber der Öffentlichkeit und den Datenschutzbehörden noch stark verbesserungsbedürftig.
Seit dem 1. September 2009 müssen nicht-öffentliche Stellen und ihnen gleich gestellte öffentlich-rechtliche Wettbewerbsunternehmen gravierende Datenschutzpannen der zuständigen Aufsichtsbehörde anzeigen sowie die Betroffenen informieren und ihnen Handlungsempfehlungen unterbreiten. § 42a des Bundesdatenschutzgesetzes sieht eine solche Informationspflicht vor, wenn sensible personenbezogene Daten unrechtmäßig in die Hände Dritter gelangt sind und schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Bei einem Verstoß gegen § 42a des Bundesdatenschutzgesetzes droht ein Bußgeld von bis zu dreihunderttausend Euro oder sogar mehr.

Weitere Informationen zum Thema:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Datenschutz / Informationsfreiheit / Datenschutzforum