Einsatz digitaler Dienste zur Kontaktnachverfolgung
03.05.2021
Die 101. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) tagte am 28. und 29. April 2021. Ein Schwerpunktthema: Digitale Kontaktnachverfolgungssysteme, beispielsweise für die Veranstaltungsbranche oder Gastronomie. Dazu hat die DSK eine Orientierungshilfe zum Einsatz von digitalen Diensten zur Kontaktnachverfolgung (PDF-Datei) herausgegeben. In dem Dokument, das sich an Entwickler und Verantwortliche richtet, sind die datenschutzrechtlichen Anforderungen beschrieben.
Da sich mittlerweile die Mehrzahl der Bundesländer dafür entschieden hat, vertragliche Vereinbarungen mit dem Anbieter des Dienstes „Luca“ einzugehen, hat sich die DSK zudem erneut mit diesem System befasst. Die Ergebnisse sind in einer Stellungnahme zu Luca (PDF-Datei) veröffentlicht.
Angesichts der jüngst erfolgten funktionalen Erweiterung der Corona-Warn-App (CWA) hebt die DSK in der Entschließung Chancen der Corona-Warn-App 2.0 nutzen (PDF-Datei) die mit der Nutzung der CWA verbundenen datensparsameren Möglichkeiten der Clustererkennung und Kontaktbenachrichtigung hervor. Die Datenschutzkonferenz appelliert an die Länder, die CWA in ihre Konzepte zur Pandemiebekämpfung einzubinden sowie deren Nutzung zu fördern.
Vor dem Hintergrund des zunehmenden Einsatzes von Messenger-Diensten auch im Gesundheitsbereich verabschiedete die DSK weiterhin die Stellungnahme Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich (PDF-Datei). Darüber hinaus veröffentlichte die DSK Anforderungen an datenschutzrechtliche Zertifizierungsprogramme (PDF-Datei).
Pressemitteilung zur 101. Tagung der Datenschutzkonferenz (PDF-Datei)
Befreiung von der Pflicht eine Mund-Nasenbedeckung bzw. einen Mund-Nasen-Schutz zu tragen – Informationen zum Datenschutz
13.04.2021
Die Sächsische Corona-Schutz-Verordnung vom 29. März 2021 enthält Regelungen zum Tragen einer Mund-Nasenbedeckung. Unter gewissen Voraussetzungen können Personengruppen von der Pflicht zum Tragen eines Mund-Nasen-Schutzes befreit sein. Was in diesem Zusammenhang datenschutzrechtlich im Umgang mit Attesten zu beachten ist, finden Sie in nachfolgender Information.
Gesundheitsdatenverarbeitung durch die Privatwirtschaft in der Corona-Pandemie
31.03.2021
Dürfen Restaurant- oder Veranstaltungsbesuche davon abhängig gemacht werden, dass Besucher eine Anti-Corona-Impfung oder eine überstandene Infektion nachweisen bzw. ein negatives Testergebnis vorlegen können?
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich mit dieser Frage befasst und eine Entschließung veröffentlicht.
Stellungnahme zur digitalen Kontaktnachverfolgung
29.03.2021
Verschiedene Unternehmen bieten in der Corona-Pandemie Apps zur Infektionsnachverfolgung an. Mit den digitalen Lösungen werden die Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmern verarbeitet. Diese Verfahren müssen datenschutzkonform erfolgen. Darauf weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hin. In ihrer Stellungnahme bennennt die DSK technische Aspekte, die App-Entwickler berücksichtigen sollten. Außerdem fordert sie den Gesetzgeber auf Landes- und Bundesebene dazu auf, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen.
Stellungnahme zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie (PDF-Datei)
Datenpannen-Meldungen wegen Sicherheitslücken auf Microsoft Exchange-Servern
12.03.2021
Aufgrund von Schwachstellen in Microsoft Exchange-Servern erreichen die Dienststelle derzeit vermehrt Meldungen von Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 Datenschutz-Grundverordnung (DSGVO). Vergangene Woche hatte Microsoft kurzfristig neue Sicherheitsupdates für Exchange-Server veröffentlicht, die von Betroffenen unverzüglich installiert werden sollten, um die Sicherheitslücken zu schließen. In einer Pressemitteilung informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 5. März über die neue, außerordentlich kritische Gefährdungslage, die sofortiges Handeln der betroffenen Unternehmen erfordert.
Zu diesem sofortigen Handeln gehört nicht nur die unverzügliche Installation der bereitstehenden Sicherheitsupdates, sondern auch die unbedingte Überprüfung, ob eine Kompromittierung des Exchange-Servers des Verantwortlichen tatsächlich stattgefunden hat. Zur dazu erforderlichen Vorgehensweise hat das BSI hier die erforderlichen Informationen zusammengestellt und auf YouTube ein etwa einstündiges Video zum Hintergrund und den notwendigen Aktivitäten veröffentlicht. Das Ergebnis dieser Prüfung ist für die weitere Bewertung des Vorfalls durch den Verantwortlichen wie auch der Datenschutzaufsichtsbehörde von wesentlicher Bedeutung.
Wann ist ein Vorfall im Zusammenhang mit diesen Exchange-Server-Schwachstellen meldepflichtig? Wann sind Betroffene zu informieren?
Sofern eine Kompromittierung des Exchange-Servers nach sachkundiger Prüfung mittels der vom BSI empfohlenen Vorgehensweise nicht ausgeschlossen werden kann, stellt dies einen meldepflichtigen Vorfall im Sinne des Art. 33 DSGVO dar. Darüber hinaus ist eine Risikoabwägung zu treffen. Wenn Ihre Prüfung ergibt, dass durch die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, ist der betroffene Personenkreis durch den Verantwortlichen nach Artikel 34 DSGVO unverzüglich zu unterrichten. Von einem hohen Risiko ist dann auszugehen, wenn die Eintrittswahrscheinlichkeit und die Schadensauswirkungen entsprechend hoch eingeschätzt werden. Dies ist insbesondere bei einer Betroffenheit von besonders sensiblen personenbezogenen Daten im Sinne des Artikels 9 DSGVO möglich. Weitere Informationen zur Beurteilung finden Sie im Kurzpapier der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (PDF-Datei).