Stellungnahme zur digitalen Kontaktnachverfolgung
29.03.2021
Verschiedene Unternehmen bieten in der Corona-Pandemie Apps zur Infektionsnachverfolgung an. Mit den digitalen Lösungen werden die Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmern verarbeitet. Diese Verfahren müssen datenschutzkonform erfolgen. Darauf weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hin. In ihrer Stellungnahme bennennt die DSK technische Aspekte, die App-Entwickler berücksichtigen sollten. Außerdem fordert sie den Gesetzgeber auf Landes- und Bundesebene dazu auf, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen.
Stellungnahme zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie (PDF-Datei)
Datenpannen-Meldungen wegen Sicherheitslücken auf Microsoft Exchange-Servern
12.03.2021
Aufgrund von Schwachstellen in Microsoft Exchange-Servern erreichen die Dienststelle derzeit vermehrt Meldungen von Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 Datenschutz-Grundverordnung (DSGVO). Vergangene Woche hatte Microsoft kurzfristig neue Sicherheitsupdates für Exchange-Server veröffentlicht, die von Betroffenen unverzüglich installiert werden sollten, um die Sicherheitslücken zu schließen. In einer Pressemitteilung informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 5. März über die neue, außerordentlich kritische Gefährdungslage, die sofortiges Handeln der betroffenen Unternehmen erfordert.
Zu diesem sofortigen Handeln gehört nicht nur die unverzügliche Installation der bereitstehenden Sicherheitsupdates, sondern auch die unbedingte Überprüfung, ob eine Kompromittierung des Exchange-Servers des Verantwortlichen tatsächlich stattgefunden hat. Zur dazu erforderlichen Vorgehensweise hat das BSI hier die erforderlichen Informationen zusammengestellt und auf YouTube ein etwa einstündiges Video zum Hintergrund und den notwendigen Aktivitäten veröffentlicht. Das Ergebnis dieser Prüfung ist für die weitere Bewertung des Vorfalls durch den Verantwortlichen wie auch der Datenschutzaufsichtsbehörde von wesentlicher Bedeutung.
Wann ist ein Vorfall im Zusammenhang mit diesen Exchange-Server-Schwachstellen meldepflichtig? Wann sind Betroffene zu informieren?
Sofern eine Kompromittierung des Exchange-Servers nach sachkundiger Prüfung mittels der vom BSI empfohlenen Vorgehensweise nicht ausgeschlossen werden kann, stellt dies einen meldepflichtigen Vorfall im Sinne des Art. 33 DSGVO dar. Darüber hinaus ist eine Risikoabwägung zu treffen. Wenn Ihre Prüfung ergibt, dass durch die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, ist der betroffene Personenkreis durch den Verantwortlichen nach Artikel 34 DSGVO unverzüglich zu unterrichten. Von einem hohen Risiko ist dann auszugehen, wenn die Eintrittswahrscheinlichkeit und die Schadensauswirkungen entsprechend hoch eingeschätzt werden. Dies ist insbesondere bei einer Betroffenheit von besonders sensiblen personenbezogenen Daten im Sinne des Artikels 9 DSGVO möglich. Weitere Informationen zur Beurteilung finden Sie im Kurzpapier der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (PDF-Datei).
Geplantes Registermodernisierungsgesetz: Großer Schritt zum gläsernen Bürger
02.03.2021
Am Freitag, den 5. März 2021, stimmt der Bundesrat über die Einführung des Registermodernisierungsgesetzes ab. Es sieht vor, dass die Steuer-ID nunmehr zu einer allgemeinen Identifikationsnummer in der öffentlichen Verwaltung wird.
Dazu erklärt der Sächsische Datenschutzbeauftragte Andreas Schurig: „Durch die Schaffung eines einheitlichen und verwaltungsübergreifenden Personenkennzeichens besteht die Gefahr, dass umfangreiche Persönlichkeitsprofile erstellt werden – ein großer Schritt zum gläsernen Bürger. Zudem hat Sachsen historische Gründe, ein solches Personenkennzeichen abzulehnen. In der DDR war Anfang der 70er Jahre eine umfassende Personenkennzahl eingeführt worden, die zur Kontrolle der Bevölkerung genutzt wurde. Daher appelliere ich an die Sächsische Staatsregierung, dem Gesetzentwurf im Bundesrat nicht zuzustimmen.“
Zulässigkeit von Ausweiskopien bei der Ausgabe von FFP2-Masken durch Apotheken
16.02.2021
Gemäß der Coronavirus-Schutzmasken-Verordnung erhalten anspruchsberechtigte Personen bei Apotheken vergüngstigte oder kostenfreie FFP2-Masken. Personenbezogene Daten dürfen dabei nur im erforderlichen Umfang verarbeitet werden. Weitere Details, insbesondere zur Zulässigkeit von Ausweiskopien, sind in folgendem Dokument zusammengefasst:
Safer Internet Day 2021
08.02.2021
In diesem Jahr findet der Safer Internet Day am 9. Februar statt. Bei dem Aktionstag handelt es sich um eine EU-Initiative, die das Thema Onlinesicherheit in den Fokus rückt. Das internationale Motto lautet „Together for a better internet“.
Anlässlich des Safer Internet Day erklärt der Sächsische Datenschutzbeauftragte Andreas Schurig: „Für die meisten Menschen in Europa gehört die Nutzung von Apps und Onlinediensten ganz selbstverständlich zu ihrem Leben dazu. Etliche dieser Anwendungen erfassen und verarbeiten eine Vielzahl persönlicher Daten, ohne dass sich Nutzerinnen und Nutzer über das Ausmaß immer bewusst sind. Erfreulicherweise gibt es für viele Bereiche auch transparente und datensparsame Lösungen. Solche datenschutzfreundlichen Anwendungen sollten wir bevorzugt nutzen und damit unser Grundrecht auf informationelle Selbstbestimmung wahrnehmen.“
