[datensicherheit.de, 31.01.2018] Nach einer Meldung des Deutschland sicher im Netz e.V. (DsiN) sind die Berufsbildende Schule in Bersenbrück (BSB) sowie die Gewerbliche Berufsbildende Schule des Landkreises Grafschaft Bentheim in Niedersachsen ab dem 31. Januar 2018 offiziell DsiN-Partnerschulen. Beide nähmen aktiv am DsiN-Bildungsangebot „Bottom-Up: Berufsschüler für IT-Sicherheit“ teil, um Auszubildende auf eine sichere und souveräne Nutzung digitaler Technologien im Berufsalltag vorzubereiten. Gleichzeitig sollen Berufsschüler fit gemacht werden, ihr erworbenes Wissen auch aktiv in den Betrieb hineinzutragen. Insgesamt hätten seit 2017 bundesweit bereits mehr als 30 Partnerschulen eine vertiefende Kooperation mit DsiN zur Sensibilisierung und Befähigung der „Mitarbeiter von morgen“ geschlossen.

Fit machen für den digitalen Berufsalltag!

„Insbesondere in kleinen und mittleren Unternehmen muss die Sensibilität für IT-Sicherheit und Datenschutz erhöht werden. Es ist deshalb wichtig, bereits die Auszubildenden an diese Themen heranzuführen und sie fit zu machen für ihren digitalen Berufsalltag“, sagt Harald Schlieck, stellvertretender Hauptgeschäftsführer der Handwerkskammer Osnabrück-Emsland-Grafschaft Bentheim.
Die Schulungsmaßnahme „Bottom-Up“ sei an dieser Stelle ein „wichtiger Grundstein für mehr IT-Sicherheit in Betrieben“. Schlieck: „Wir freuen uns deshalb sehr, dass auch in unserer Region sich die ersten Berufsschulen am Angebot beteiligen.“

Neue App zur Unterstützung des Wissenstransfers im Sommer 2018

Nach DsiN-Angaben erhalten die Partnerschulen kostenfreie Lehr- und Lernmaterialien sowie Lehrerschulungen für die Unterrichtsvermittlung an Auszubildende aller Berufsrichtungen.
Ab Sommer 2018 möchten DsiN und das Bundesministerium für Wirtschaft und Energie (BMWi) ihre Aufklärungsarbeit mit zusätzlichen Maßnahmen verstärken: Zur Unterstützung des Wissenstransfers von den Auszubildenden in die Betriebe und für leitende Angestellte soll dann eine App mit IT-Sicherheitschecklisten und der Möglichkeit zur Vernetzung mit weiteren IT-Sicherheitsinitiativen zur Verfügung gestellt werden.
Das BMWi fördert laut DsiN die Schulungsmaßnahme für Auszubildende und KMU im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ unter dem Projekttitel „IT-Sicherheit im Ausbildungsbetrieb: Berufsschüler als Multiplikatoren – bundesweit!“ (ITSAB). Bereits in der ersten Projektphase hätten über 400 Lehrkräfte und Multiplikatoren von mehr als 200 Berufsschulen „Bottom-Up“ genutzt.

Weitere Informationen zum Thema:

datensicherheit.de, 05.01.2018
Sicherheitslücken in Prozessoren: DsiN rät zur methodischen Vorbeugung

datensicherheit.de, 05.05.2016
Projekt Bottom-Up gestartet: Schon Berufsschüler für IT-Sicherheit sensibilisieren

DsiN Deutschland sicher im Netz
BOTTOM-UP! Berufsschüler für IT-Sicherheit

Bundesministerium für Wirtschaft und Energie
IT-Sicherheit IN DER WIRTSCHAFT

[datensicherheit.de, 07.09.2017] Die Landesbeauftragte für den Datenschutz in Niedersachsen, Barbara Thiel, bedauert in ihrer aktuellen Stellungnahme das Ergebnis der Entscheidung des OVG Lüneburg vom 7. September 2017 zur Videoüberwachung in Bussen und Bahnen:

Videoüberwachung zur Vermeidung von Straftaten umstritten

„Das OVG hat zwar meine Auffassung, dass das Bundesdatenschutzgesetz und nicht das Landesdatenschutzgesetz auch im Personennahverkehr gilt, bestätigt. In der Sache hätte ich mir jedoch eine differenziertere Betrachtung gewünscht“, so Thiel.
Nach Auffassung des OVG dient die Videoüberwachung sowohl der Verfolgung als auch der Vermeidung von Straftaten. Die Annahme, dass die Kameras auch zur Vermeidung von Straftaten beitragen, sei „kriminologisch nicht belegt“, betont Thiel.

Ein Urteil von grundsätzlicher Bedeutung

Aus Sicht der Landesdatenschutzbeauftragten hat dieses Urteil eine grundsätzliche Bedeutung. Rechtssicherheit für die betroffenen Unternehmen werde allerdings erst eintreten, nachdem das Urteil rechtskräftig geworden ist.
Thiel: „Wir werden das Urteil deshalb sorgfältig analysieren, sobald die schriftliche Begründung vorliegt. Vor allem die Frage, ob ein Black-Box-Verfahren präventive Wirkung haben kann, ist dabei für mich von besonderer Bedeutung.“

[datensicherheit.de, 01.06.2017] In einer Stellungnahme weist der Landesbeauftragte für den Datenschutz Niedersachsen darauf hin, dass der Bundestag in der Nacht vom 1. auf den 2. Juni 2017 „bedeutende Änderungen“ im Bereich des Steuer- und Sozialdatenschutzes beschließen möchte. Dabei hätten die zuständigen Landesbeauftragten zu keiner Zeit des kurzfristigen Gesetzgebungsverfahrens Gelegenheit erhalten, sich zu diesem Änderungsvorschlag qualifiziert zu äußern.

Bisheriger Zuständigkeitsgrundsatz konterkariert

In der Abgabenordnung sei eine Konzentration der Datenschutzaufsicht über die Steuerverwaltung bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vorgesehen. Damit werde den Landesdatenschutzbehörden die Zuständigkeit für die Steuerverwaltung entzogen. Der bisherige Zuständigkeitsgrundsatz, wonach die Bundesbeauftragte die Aufsicht über Bundesbehörden ausübe und die Aufsicht über Landesbehörden den 16 Datenschutzaufsichtsbehörden der Länder obliege, werde ohne stichhaltige Begründung konterkariert.
Sollte der Bundestag wie angekündigt diese Gesetzesänderung beschließen, so müsse diese „handstreichartig durchgeführte Beschneidung der Kompetenzen der unabhängigen und von den Länderparlamenten gewählten Landesbeauftragten für den Datenschutz“ im Bundesrat gestoppt werden. Die Länderkammer dürfe dieser Kompetenzverschiebung zugunsten des Bundes und zu Lasten der Länder nicht zustimmen.

Gesetzgeber hat rechtlichen Vorgaben der EU-DSGVO zu akzeptieren!

Daneben beinhalte dieser Gesetzentwurf auch die Änderung der Vorschriften zum Sozialgeheimnis und zum -datenschutz in den Sozialgesetzbüchern I und X. Damit verbunden sei eine erhebliche Verschlechterung des Sozialdatenschutzes und eine „nicht hinnehmbare Einschränkung der Betroffenenrechte“.
Besonders kritisch zu sehen seien auch die Regelungen zur Datenerhebung aufgrund der Erteilung von freiwilligen Einwilligungserklärungen und die unverhältnismäßige Ausweitung der Forschungsregelungen. Damit würden zum Teil Regelungen im SGB X vorgenommen, welche nicht mit den Vorgaben der Datenschutz-Grundverordnung in Einklang stünden. Dies führe zu einer „erheblichen Rechtsunsicherheit bei allen Beteiligten“.
Der Gesetzgeber habe die rechtlichen Vorgaben der EU-DSGVO zu akzeptieren. Eine übermäßige Einschränkung der Rechte der Betroffenen dürfe nicht erfolgen, hätten die unabhängigen Datenschutzbehörden des Bundes und der Länder bereits nach der
kürzlich verabschiedeten Änderung des Bundesdatenschutzgesetzes betont.

[datensicherheit.de, 04.11.2016] Gemeinsam mit neun anderen deutschen Datenschutzaufsichtsbehörden nimmt die Landesbeauftragte für den Datenschutz Niedersachsen nach eigenen Angaben den Einsatz von „Cloud Computing“ und andere Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland in den Fokus. Die Anfang November 2016 beginnende Schwerpunktprüfung soll insbesondere die Unternehmen dafür sensibilisieren, dass durch den Einsatz vieler gängiger IT-Anwendungen eine Datenübermittlung in Drittländer stattfindet, was einer gesonderten Rechtsgrundlage bedarf.

Grenzüberschreitende Übermittlungen personenbezogener Daten als Regelfall

In den letzten Jahren seien grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft eher die Regel als die Ausnahme gewesen. Zu den Ursachen dieser Entwicklung zählten die wirtschaftliche Globalisierung wie auch die stetige Ausbreitung von Dienstleistungen und Produkten des „Cloud Computing“.
Selbst viele kleinere und mittlere Unternehmen (KMU) in Deutschland verarbeiteten inzwischen zahlreiche personenbezogene Daten (z.B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union (EU). Dies sei vor allem bei Angeboten wie „Software as a Service“ der Fall. Ein klassisches Beispiel hierfür seien Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden könnten.

Dienste stammen oft von US-Unternehmen

Viele dieser Dienste stammten von US-Unternehmen und setzten deshalb meist die Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten voraus.
Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst seien, dass dadurch eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfinde und entsprechende datenschutzrechtliche Konsequenzen daraus resultierten.

Daten auch nach Übermittlung angemessen schützen!

Möchte ein Unternehmen personenbezogene Daten in Länder außerhalb der EU übermitteln, so müsse es zuerst prüfen, ob überhaupt sichergestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls müsse die Übermittlung unterbleiben. Entscheidend sei daher, im Unternehmen frühzeitig eine Sensibilisierung dafür zu erzeugen, ob und ggf. im Rahmen welcher Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt.
Finden solche Übermittlungen statt, so müsse sich das Unternehmen zwingend Gedanken machen, inwieweit diese auf eine datenschutzrechtliche Grundlage gestützt werden können oder nicht.

10 deutsche Datenschutzaufsichtsbehörden starten Prüfaktion

Vor diesem Hintergrund werden nun zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen
eine koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d.h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen.
Im Rahmen der Prüfung werden demnach rund 500 nach dem Zufallsprinzip ausgewählte Unternehmen angeschrieben. Die Aufsichtsbehörden haben dabei nach eigenen Angaben Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen. Ein wichtiges Ziel der Prüfung liege in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der EU. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, werde auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden seien.
Gefragt werde zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch „Customer Relationship Management“ oder Bewerbermanagement. Die Unternehmen würden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.
Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, seien die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden müsse beispielsweise, ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zähle auch „EU-U.S. Privacy Shield“), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden o.a.
Jedes Unternehmen müsse ein vollständiges Bild über seine internationalen Datentransfers haben, so Barbara Thiel, LfD Niedersachsen. „Die Sicherstellung der datenschutzrechtlichen Anforderungen sollte deshalb integraler Bestandteil der Compliance sein“, fordert Thiel.

[datensicherheit.de, 01.11.2016] Die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, hat nach eigenen Angaben dem „sehr speziellen Hobby eines Autofahrers aus dem Harz“ ein Ende gesetzt – der in der Öffentlichkeit als „Knöllchen-Horst“ bekanntgewordene Mann hatte es sich zur Aufgabe gemacht, vermeintliche oder tatsächliche Verkehrsverstöße anderer Verkehrsteilnehmer auch bei fehlender eigener Betroffenheit zur Anzeige zu bringen.

Eigenmächtig Fotos und Videosequenzen als Beweismittel genutzt

Als Beweismittel habe „Knöllchen-Horst“ auf Fotos und Videosequenzen der an Front- und Heckscheibe seines Fahrzeugs befestigten sogenannten Dashcams zurückgegriffen.
Deren Einsatz im öffentlichen Verkehr stelle aber „einen schweren Eingriff in das Recht auf informationelle Selbstbestimmung der davon betroffenen Verkehrsteilnehmer“ dar. Die Landesdatenschutzbeauftrage hatte deshalb die Verwendung dieser Kameras zur Dokumentation des Verkehrsgeschehens untersagt und die Löschung der datenschutzwidrig angefertigten Videoaufnahmen angeordnet.

Unzulässigkeit des Einsatzes von Dashcams bestätigt

Diese Entscheidung der niedersächsischen Datenschutzbeauftragten sei kürzlich vom Verwaltungsgericht Göttingen im Rahmen eines Eilrechtsschutzverfahrens bestätigt worden (Az.: 1 B 171/16).
In dem Beschluss habe das Gericht auch darauf hingewiesen, „dass die Verfolgung von Verkehrsverstößen eine öffentliche Aufgabe darstellt“, deren Erfüllung Polizei und Ordnungsbehörden vorbehalten sei.
Sie sei sehr froh, dass das Verwaltungsgericht die Maßnahmen ihrer Behörde gegen diesen selbst ernannten Sachwalter öffentlicher Interessen gebilligt habe, kommentierte Thiel in einer ersten Reaktion den Gerichtsbeschluss. Damit sei zugleich die von den deutschen Datenschutz-Aufsichtsbehörden seit mehreren Jahren vertretene Auffassung zur Unzulässigkeit des Einsatzes von Dashcams bestätigt und deutlich gemacht worden, dass bereits die Anfertigung solcher Kamerabilder datenschutzwidrig sei.

Gewährleistung der Öffentlichen Sicherheit als staatliche Aufgabe

„Der Gerichtsbeschluss hat nach meiner Auffassung auch für die aktuelle politische Diskussion über die Ausweitung der Überwachung öffentlicher Räume unter Nutzung von Kameras privater Betreiber Bedeutung“, betont Thiel.
Das Gericht habe völlig zu Recht darauf hingewiesen, dass die Gewährleistung der Öffentlichen Sicherheit eine staatliche Aufgabe sei, die nicht privaten Stellen überantwortet werden dürfe.

[datensicherheit.de, 02.08.2016] In einer aktuellen Stellungnahme des Landesbeauftragten für den Datenschutz (LFD) Niedersachsen werden datenschutzrechtliche Mängel im neuen Polizeigesetz moniert. Demnach hat die niedersächsische Landesregierung am 2. August 2016 einen Gesetzentwurf vorgelegt, der darauf abzielt, das Polizeigesetz grundlegend zu reformieren. Datenschutzrechtlich sei diese Novelle allein schon wegen des Urteils des Bundesverfassungsgerichts vom 20. April 2016 zum BKA-Gesetz zwingend erforderlich.

Verzicht auf Online-Durchsuchung und Quellen-Telekommunikationsüberwachung

Dieser Gesetzentwurf setze die Vorgaben des Verfassungsgerichts zu verdeckt durchgeführten Überwachungsmaßnahmen um. So werde der Schutz des Kernbereichs privater Lebensgestaltung verbessert. Auch die Regelungen zur Datenübermittlung würden enger gefasst.
Obwohl das Verfassungsgericht angesichts der aktuellen terroristischen Bedrohungslage die Online-Durchsuchung und die Quellen-Telekommunikationsüberwachung als grundsätzlich verfassungsgemäß angesehen habe, enthalte der Gesetzentwurf diese Überwachungsinstrumente nicht. Auch das sei aus Sicht des Datenschutzes sehr erfreulich.

Kritik an anlasslosen Personenkontrollen und Bodycams

Allerdings weise der Gesetzentwurf einige Mängel auf, so der LFD Niedersachsen. So seien nach dem Gesetzeswortlaut und entgegen der Gesetzesbegründung anlasslose Personenkontrollen und damit auch sogenannte „Moscheekontrollen“ nach wie vor möglich. Mit dem Grundrecht auf informationelle Selbstbestimmung seien verdachtsunabhängige Identitätsprüfungen aber nur schwerlich vereinbar.
Auch die Regelungen zur Einführung von sogenannten „Bodycams“ für die Polizei seien „datenschutzrechtlich problematisch“, da nicht nur Bildaufnahmen, sondern auch Tonaufnahmen zulässig sein sollten. Besonders schwer wiege, dass zudem Fristen für die Dauer der Speicherung fehlten.

Fahndung mittels Sozialer Netzwerke zulässig

Zudem solle nach dem Gesetzentwurf zukünftig eine Fahndung mittels Sozialer Netzwerke zulässig sein. Angesichts der damit verbundenen tiefen Eingriffe in das Persönlichkeitsrecht der Betroffenen („das Internet vergisst nicht!“) sei „bedauerlicherweise versäumt“ worden, diese sogenannte „facebook-Fahndung“ auf Fälle schwerster Kriminalität zu begrenzen.
Grundsätzlich sei schließlich zu bedauern, dass gerade die datenschutzrechtlichen Regelungen in dem Gesetzentwurf noch unübersichtlicher und damit unverständlicher geworden seien. Es bleibe zu hoffen, dass die aufgezeigten Mängel in den nun folgenden parlamentarischen Beratungen behoben würden, betont der LFD Niedersachsen.

[datensicherheit.de, 13.09.2010] Daten-Spuren hinterlässt jeder, der etwa an einem Gewinnspiel teilnimmt, im Internet einkauft bzw. dort kostenlose Dienstleistungen in Anspruch nimmt, sich in Sozialen Netzwerken tummelt oder Smartphones benutzt – darüber erfasste Daten sind eine begehrte Ware für Adresshändler und andere Firmen, die einen lukrativen Handel, immer öfter aber eben auch unseriöse Geschäfte damit betreiben:
Unsere persönlichen Daten sind zu einem überaus wertvollen Gut geworden, das umfassend geschützt werden muss – jeder sollte deshalb seine Daten soweit wie möglich unter Kontrolle halten und nur äußerst sparsam herausgeben.
Die umfänglich aktualisierte Broschüre „Meine Daten – Praktische Tipps zum Datenschutz“ der verbraucherzentrale Niedersachsen bietet hierzu auf 28 Seiten Hintergrundinformationen zum persönlichen Datenschutz. Ab sofort ist dieser aktualisierte Ratgeber auch digital verfügbar und kann für 99 Cent als „eBook“ auf ein spezielles Lesegerät herunterladen werden.

Weitere Informationen zum Thema:

verbraucherzentrale Niedersachsen, 02.09.2010
Datendieben ein Schnippchen schlagen / Datenschutzbroschüre „Meine Daten“ auch als eBook erhältlich

[datensicherheit.de, 12.08.2009] Die seit Ende 2004 in Deutschland geltende „Energieverbrauchskennzeichnungsverordnung“ (EnVKV) soll Verbrauchern den direkten Vergleich von Kraftstoffverbrauch und CO2-Emissionen von Neuwagen ermöglichen. So müssen die Händler die entsprechenden Werte einerseits an jedem einzelnen Fahrzeug ausweisen, andererseits sind sie verpflichtet, einen Aushang und einen Leitfaden vorzuhalten, damit die Kunden die verschiedenen Modelle der eigenen Marke sowie anderer Fabrikate miteinander vergleichen können. Die Realität sehe jedoch häufig anders aus. „Unser stichprobenartiger Marktcheck hat ergeben, dass nur rund 50 Prozent der Autohäuser eine vollständige Kennzeichnung vorweisen konnte“, kritisiert Andreas Byzio, Projektleiter Klima der Verbraucherzentrale Niedersachsen.
Autohäuser, die ihrer Pflicht nicht nachgekommen sind, seien inzwischen schriftlich von der Verbraucherzentrale Niedersachsen zur Nachbesserung aufgefordert worden.

Weitere Informationen zum Thema:

verbraucherzentrale Niedersachsen, 11.08.2009
Pkw-Verbrauchskennzeichnung oft mangelhaft / Aktueller Marktcheck der Verbraucherzentrale zeigt Lücken