BfDI kritisiert 1000 Tage ohne Anpassung von TKG und TMG

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, fordert die Anpassung des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DSGVO): „Auch nach 1000 Tagen der vollen Anwendbarkeit der DSGVO fehlen bei TKG und TMG dringende Klarstellungen. In der Praxis führt das täglich zu erheblicher Rechtsunsicherheit bei den Unternehmen und Verbrauchern bei der Beachtung des Datenschutzes.“Beide Gesetze sind für die elektronische Kommunikation elementar. Viele Vorschriften des TKG gelten entweder gar nicht mehr oder nur zum Teil, stehen aber weiterhin im Gesetzestext. Bei Bestandsdaten muss deshalb in vielen Fällen vorher mit großem juristischem Aufwand die Anwendbarkeit der Paragraphen geprüft werden. Ähnlich verwirrend ist die Rechtslage bei Cookies im Internet: Das deutsche TMG und die geltende europäische e-Privacy-Richtlinie machen unterschiedliche Vorgaben. Das Ergebnis dieser Unsicherheit ist eine Flut von Cookie-Bannern, die die Nutzer verärgern. Der BfDI weist seit Jahren auf diesen Missstand hin, beispielsweise in seinen jährlichen Tätigkeitsberichten.

Der Gesetzgeber plant aktuell, die datenschutzrechtlichen Regelungen aus dem TKG und dem TMG zu lösen und in ein sogenanntes Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) zu überführen. Zeitgleich soll im Rahmen eines Telekommunikationsmodernisierungsgesetzes (TKModG) der Kodex elektronische Kommunikation in nationales Recht umgesetzt werden. Dies hätte eigentlich schon zum 21.12.2020 abgeschlossen sein müssen. Es ist unklar, ob TKModG und TTDSG vor den Bundestagswahlen verabschiedet werden. Das könnte zu erheblichen Problemen führen, denn beide Gesetze müssen zwingend gleichzeitig wirksam werden. Andernfalls wäre die Privatheit der elektronischen Kommunikation gefährdet.

Artikel auf www.bfdi.bund.de: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2021/04_fehlende-Anpassung-TKG-TMG.html



Mehr „Grün“: Berliner Datenschutzbeauftragte veröffentlicht aktualisierte Hinweise zu datenschutzgerechten Videokonferenzdiensten

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ihre „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten“ in einer aktualisierten und erweiterten Fassung veröffentlicht. Insgesamt elf Anbieter werden nun auf der rechtlichen Ebene durch das bewährte Ampel-System mit „Grün“ bewertet und anschließend einer technischen Prüfung unterzogen. Auf der technischen Ebene sind die Hinweise jetzt deutlich ausdifferenziert und umfassen verschiedene Anwendungsfälle. Für drei unterschiedliche Szenarien können Berliner Unternehmen, Behörden und Vereine auf den ersten Blick erkennen, welche der getesteten Videokonferenzdienste für sie in Betracht kommen: Für jeden Anwendungsfall gibt es eine eigene Ampel. Zu jedem der 23 geprüften Dienste bzw. Dienstegruppen enthält das Papier zudem teils sehr detaillierte Erläuterungen der Mängel und Hinweise zur Konfiguration.

Eine erste Version ihrer Hinweise hatte die Berliner Datenschutzbeauftragte am 3. Juli 2020 veröffentlicht. Die Aufsichtsbehörde reagiert mit der Aktualisierung auf das angesichts der Corona-Pandemie weiterhin hohe Interesse von Unternehmen, Behörden, Vereinen und freiberuflich Tätigen in Berlin, Informationen zum datenschutzkonformen Einsatz von Videokonferenzdiensten zu erhalten. Zudem hat sich eine Vielzahl von Anbietern von Videokonferenzdiensten an die Berliner Datenschutzbeauftragte gewandt und um Prüfung ihrer Angebote gebeten.

Um die Hürden für Berliner Verantwortliche für den rechtmäßigen Einsatz von Videokonferenzdiensten zu verringern, hat die Behörde insbesondere die Standard-Auftragsverarbeitungsverträge der Anbieter geprüft. Soweit bei der Prüfung der Vertragsdokumente keine Mängel festzustellen waren, erfolgte eine kursorische Prüfung einiger technischer Aspekte der Dienste.

Im engen Austausch mit den Anbietern ist es gelungen, die ursprünglich teilweise sehr zahlreichen und gravierenden datenschutzrechtlichen Mängel vieler Angebote zu beseitigen. So konnte die Behörde auch bei verschiedenen marktstarken Anbietern gegenüber der ersten Version der Hinweise deutliche, wenn auch leider in vielen Fällen nicht ausreichende Verbesserungen erreichen. Mehrere Anbieter haben der Berliner Datenschutzbeauftragten allerdings weitere Verbesserungen angekündigt, die in künftigen Versionen der Hinweise Berücksichtigung finden werden. Zudem kam eine größere Zahl Anbieter neu hinzu.

Die in der Kurzprüfung als zulässig bewerteten Angebote dienen ganz unterschiedlichen Bedürfnissen. Einige Angebote sind eher für kleinere Videokonferenzen gedacht, andere sind auch für große Zahlen an Teilnehmenden geeignet. Die meisten Angebote eignen sich nur für normalen Schutzbedarf, es gibt aber auch Angebote mit Ende-zu-Ende-Verschlüsselung, bei denen auch der Anbieter die Kommunikation nicht abhören kann. Einzelne Angebote sind sogar kostenlos nutzbar.

Die Kurzprüfung berücksichtigt die Anforderungen an Datenexporte in Drittländer außerhalb von EU und EWR, die sich aus dem EuGH-Urteil „Schrems II“ vom 16. Juli 2020 (C-311/18) ergeben. Noch nicht geklärt und daher nicht berücksichtigt sind Fragen, die sich aus einer möglichen Anwendbarkeit fremden – insbesondere US-amerikanischen – Rechts auf Datenverarbeitungen in Europa ergeben. Die gestellten Anforderungen entsprechen dabei denjenigen, auf die sich die Datenschutz-Aufsichtsbehörden des Bundes und der Länder mit der „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz (DSK) vom 23. Oktober 2020 geeinigt hatten, soweit diese aus der Anwenderperspektive prüfbar waren.

Die Aufsichtsbehörde weist darauf hin, dass sie keine umfassende Prüfung der Dienste durchgeführt, sondern sich auf zentrale Aspekte beschränkt hat. Insbesondere ist keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärungen der Anbieter erfolgt, da diese lediglich die eigenverantwortlichen Datenverarbeitungen der Videokonferenzdienste-Anbieter betreffen und nicht die der verantwortlichen Stellen in Berlin bei Inanspruchnahme der Dienste.

Soweit rechtliche Mängel in den geprüften Dokumenten vorhanden sind, dürfen die Dienste nur genutzt werden, wenn abweichende Vereinbarungen mit den Anbietern getroffen wurden.

Die Liste wird von der Berliner Beauftragten für Datenschutz und Informationsfreiheit laufend ergänzt, wenn sie im Rahmen ihrer Aufsichts- und Beratungstätigkeit weitere Angebote geprüft hat. Insbesondere Anbieter von Videokonferenzlösungen, die ihren Dienst Berliner Verantwortlichen zur Verfügung stellen und besondere Funktionen wie eine Ende-zu-Ende-Verschlüsselung, eine Einbindung professioneller User-Management-Systeme oder eine hohe Zahl an Teilnehmenden ermöglichen, sind eingeladen, Vertragsdokumente und technische Informationen für eine Kurzprüfung bei der Berliner Datenschutzbeauftragen einzureichen.

Maja Smoltczyk:

„Ich freue mich, dass unsere Hinweise so viele Anbieter dazu bewegt haben, ihre Angebote in Sachen Datenschutz teilweise sehr deutlich zu verbessern. Es gibt mittlerweile ausreichend viele rechtskonform nutzbare Dienste für verschiedenste Einsatzzwecke, sodass es keinen Grund gibt, für Videokonferenzen das Datenschutzrecht zu brechen. Wenn sich ein Anbieter mit rechtlich mangelhaftem Videokonferenzdienst nicht bewegt, ist es dringend an der Zeit zu wechseln. Bequemlichkeit kann nicht die Verletzung von Grundrechten rechtfertigen.

Besonders Behörden und große Unternehmen sollten zudem überlegen, ob sie ihre Videokonferenzlösung nicht selbst betreiben können. So lassen sich unzulässige Datenabflüsse viel eher kontrollieren und unterbinden.“

Die Ergebnisse der Kurzprüfung können auf der Homepage der Berliner Beauftragten für Datenschutz und Informationsfreiheit unter https://www.datenschutz-berlin.de/infothek-und-service/themen-a-bis-z/corona-Pandemie.html <https://www.datenschutz-berlin.de/infothek-und-service/themen-a-bis-z/corona-Pandemie.html>abgerufen werden. Die Orientierungshilfe Videokonferenzsysteme der Datenschutzkonferenz (DSK) vom 23. Oktober 2020 ist unter https://www.datenschutzkonferenz-online.de/orientierungshilfen.html <https://www.datenschutzkonferenz-online.de/orientierungshilfen.html>abrufbar.



Die allermeisten Vereine in Rheinland-Pfalz beachten Datenschutz – Kugelmann: Nur wenige Verfahren aufgrund Verstößen gegen die Datenschutz-Grundverordnung

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 11.02.2021

Mit Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) im Jahr 2018 trieb viele Vereine um, wie sie Datenschutzregeln einhalten könnten. Der Landesdatenschutzbeauftragte Dieter Kugelmann zieht nun eine positive Bilanz.

Weiterlesen Die allermeisten Vereine in Rheinland-Pfalz beachten Datenschutz – Kugelmann: Nur wenige Verfahren aufgrund Verstößen gegen die Datenschutz-Grundverordnung



Genehmigung interner Datenschutzvorschriften der Novelis-Gruppe

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 11.02.2021

Die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, hat die internen Datenschutzvorschriften (Binding Corporate Rules, BCR) der Novelis-Gruppe genehmigt. Es sind die ersten BCR, die seit Geltung der Datenschutz-Grundverordnung (DS-GVO) unter niedersächsischer Federführung angenommen wurden. Nach umfassender Prüfung stellen die BCR der Novelis-Gruppe geeignete Garantien für die Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraumes dar. Das heißt, sie stellen sicher, dass ein Datenschutzniveau besteht, welches für solche Transfers erforderlich ist.

Weiterlesen Genehmigung interner Datenschutzvorschriften der Novelis-Gruppe



BfDI kritisiert Position des Rats zur ePrivacy-Verordnung

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 10.02.2021

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, sieht in der heute vom Rat der EU verabschiedeten Fassung der ePrivacy-Verordnung deutliche Fehler: „Wenn die ePrivacy-Verordnung so bleibt, wie der Rat der EU sie heute beschlossen hat, wäre das ein schwerer Schlag für den Datenschutz. Ich appelliere dringend an das Europäische Parlament und die EU-Kommission während der Trilog-Verhandlungen für eine Anhebung des Datenschutzniveaus einzutreten.“

Weiterlesen BfDI kritisiert Position des Rats zur ePrivacy-Verordnung