Für den Ernstfall gewappnet? – Datenschutzprüfung gegen Welle von Ransomwaren-Angriffen bei bayerischen Unternehmen

Startschuss für anlasslose Prüfungen der Datenschutzaufsichtsbehörde

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 01.12.2021

Bayerische Unternehmen – von der kleinen Arztpraxis bis zum Konzern – werden zunehmend von international agierenden Cyberkriminellen angegriffen. Neben der Verschlüsselung von Dateien samt exorbitanter Lösegeldforderung kommt es dabei vielfach auch zum Diebstahl sensibler Gesundheitsdaten, Kontodaten oder Bewerbungsunterlagen verbunden mit der Drohung, bei einer Verweigerung der Zahlung diese im Internet zu veröffentlichen. Alleine innerhalb des letzten Jahres wurden dem Bayerischen Landesamt für Datenschutzaufsicht von bayerischen Unternehmen mehrere hundert Ransom-Angriffe gemeldet, bei denen Lösegeld von 10 TSD bis zu 50 Mio. Euro gefordert wurden. Präsident Michael Will: „Schon im eigenen Interesse müssen bayerischen Unternehmen ihre Daten gegen Angriffe Cyberkrimineller absichern. Die Einhaltung des Datenschutzrechts schafft einen Sicherheitswall für die Daten der betroffenen Personen, der häufig schon mit einfachen Maßnahmen errichtet werden kann. Mit unserer Prüfaktion greifen wir Basisaufgaben auf, die in jedem Unternehmen gewährleistet werden können und sollten.“

Weiterlesen Für den Ernstfall gewappnet? – Datenschutzprüfung gegen Welle von Ransomwaren-Angriffen bei bayerischen Unternehmen

TTDSG tritt in Kraft: Klare Regeln für Cookies und ähnliche Technologien

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Am heutigen 1. Dezember 2021 tritt das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft. Das Gesetz regelt unter anderem den Schutz der Vertraulichkeit und Privatsphäre bei der Nutzung von internetfähigen Endgeräten wie Webseiten, Messengern oder Smart-Home-Geräten.

„Mit dem TTDSG ändert sich auch der rechtliche Rahmen für den Einsatz von Cookies und vergleichbaren Technologien“, erklärt Volker Brozio, kommissarischer Dienststellenleiter der Berliner Beauftragten für Datenschutz und Informationsfreiheit. „Das Gesetz schafft Klarheit und bestätigt die Auffassung der Datenschutzbehörde: Für den Einsatz von Cookies und ähnlichen Technologien braucht es im Regelfall eine Einwilligung der Nutzer:innen. Infolgedessen müssen Anbieter:innen von Telemedien überprüfen, ob Anpassungsbedarf unter anderem auf ihren Webseiten oder Apps besteht.“

Auf den meisten Webseiten und Apps werden Technologien wie Cookies eingesetzt, um Informationen auf den Geräten der Nutzenden abzulegen und zu verwalten. Damit einher geht regelmäßig die Verarbeitung von personenbezogener Daten, mindestens der IP-Adresse der Nutzer:innen. Dies dient häufig nicht nur dazu, das Verhalten von Nutzer:innen zu verfolgen, sondern auch Persönlichkeitsprofile über die gesamte Internetnutzung zu erstellen und anzureichern.

Die rechtlichen Rahmenbedingungen für das Setzen und Auslesen von Informationen aus Endgeräten sind in der europäischen ePrivacy-Richtlinie geregelt. Mit dem TTDSG hat der Bundesgesetzgeber nach über einem Jahrzehnt Verzögerung nunmehr die Vorgaben der ePrivacy-Richtlinie in nationales Recht umgesetzt. Die anschließende Verarbeitung der so erhobenen personenbezogenen Daten richtet sich wiederum nach den Anforderungen der Datenschutz-Grundverordnung (DS-GVO). Wer Cookies und ähnliche Technologien verwendet, muss daher in der Regel beide Gesetze beachten.

Betreibende von Webseiten und anderen Telemedien benötigen grundsätzlich eine Einwilligung der Nutzer:innen, wenn sie Informationen auf dem Endgerät speichern oder darauf zugreifen wollen. Einer Einwilligung bedarf es ausnahmsweise nur dann nicht, wenn die Speicherung von und der Zugriff auf Informationen in den Endgeräten unbedingt erforderlich sind, damit ein von den Nutzenden ausdrücklich gewünschter Telemediendienst zur Verfügung gestellt werden kann. Das ist zum Beispiel der Fall bei einem Cookie, der dazu dient, Artikel eines Online-Shops in einem Warenkorb zu speichern.

Um Verantwortliche bei der Umsetzung der neuen Anforderungen behilflich zu sein, erarbeiten die deutschen Datenschutz-Aufsichtsbehörden derzeit eine Orientierungshilfe. Diese soll Anfang nächsten Jahres veröffentlicht werden.

3G am Arbeitsplatz – Datensparsamkeit heißt das Gebot der Stunde!

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Seit dem 24.11.2021 gelten im Beschäftigungsverhältnis strengere Regeln zur Eindämmung der Corona-Pandemie. Durch eine Änderung des Infektionsschutzgesetzes (IfSG) ist der Zutritt zu einem Arbeitsplatz, bei dem physische Kontakte zu anderen Personen nicht ausgeschlossen werden können, nur noch dann zulässig, wenn Beschäftigte und Besucher den sog. 3G-Nachweis gegenüber dem Arbeitgeber erbringen (§ 28 b Abs. 1 IfSG). Das heißt, sie müssen entweder geimpft, genesen oder negativ getestet sein. Diese Änderung bringt für die meisten Arbeitsplätze im Land zahlreiche Änderungen mit sich: Denn der Arbeitgeber ist verpflichtet, die Nachweispflicht täglich zu überwachen und auch zu dokumentieren. Bei Verstößen drohen hohe Bußgelder.

Korrespondierend hierzu wurden die bisherigen Vorschriften zur Zulässigkeit einer Impfabfrage durch den Arbeitgeber erweitert. Es ist dem Arbeitgeber jetzt erlaubt, Informationen zum Impf-, Genesenen- bzw. Teststatus der Beschäftigten zu erfragen und diese Daten – einschließlich der Gültigkeitsdauer des Zertifikates – zu verarbeiten (§ 28b Abs. 3). Wenn der Arbeitgeber den Genesenen- oder Impfnachweis einmal kontrolliert und dokumentiert hat, können Beschäftigte mit gültigem Zertifikat aber von den täglichen Zugangskontrollen befreit werden.

Beschäftigte sind auch angesichts der neuen Regelungen nicht verpflichtet, dem Arbeitgeber Auskunft über den eigenen Impf- oder Genesungsstatus zu geben. Wer diese Frage nicht beantworten möchte, muss aber täglich einen Test vorlegen.

„Auch wenn Arbeitgeber auf der Basis des geänderten Infektionsschutzgesetzes nunmehr auch Gesundheitsdaten ihrer Beschäftigten verarbeiten dürfen, sind dabei datenschutzrechtliche Vorgaben zu beachten“, so Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in einer ersten Einschätzung: „Die neuen Regelungen sind kein Freibrief, um sich ein umfassendes Bild über den Gesundheitszustand der Mitarbeitenden zu verschaffen! Ziel ist der Gesundheitsschutz, nicht das Ausforschen von Beschäftigten“. Der Grundsatz der Datenminimierung nach Art. 5 Datenschutz-Grundverordnung gelte weiterhin uneingeschränkt.

Arbeitgeber seien daher gehalten, die datensparsamste Nachweismethode zu wählen. Als Beispiel nannte Prof. Kugelmann die Nutzung der vom RKI herausgegebenen kostenlosen „CovPassCheck-App“ durch den Arbeitgeber (https://www.digitaler-impfnachweis-app.de/covpasscheck-app/ – idealerweise auf dem Dienst- bzw. Firmenhandy. Diese Methode sei gegenüber dem Anlegen umfangreicher Namenslisten mit Informationen zum Genesenenstatus oder zu zurückliegenden Impfterminen vorzugswürdig. Soweit Nachweis-Zertifikate oder QR-Codes elektronisch übermittelt werden sollen, sei eine ausreichende Vertraulichkeit der Daten sicherzustellen, z.B. durch eine geeignete Verschlüsselung.

„Insgesamt hätte ich mir eine Regelung gewünscht, bei der Arbeitgeber bei der Nachweisprüfung nur einen QR-Code einscannen und somit nicht erkennen können, welches der drei „G“ bei Beschäftigten vorliegt. Italien hat dies mit dem Green-Pass vorgemacht. Dadurch, dass die neuen Vorschriften auch die Nutzung der Impfdaten für das Hygienekonzept des Arbeitgebers erlauben, wird das Problem noch verschärft. Ich appelliere an die Arbeitgeberinnen und Arbeitgeber, umsichtig und sorgsam mit den Daten umzugehen“.

Weitere Hinweise unter :

https://www.digitaler-impfnachweis-app.de/faq#wann-brauche-ich-die-covpasscheck-app

https://www.bmas.de/DE/Corona/Fragen-und-Antworten/Fragen-und-Antworten-ASVO/faq-corona-asvo.html#doc89168596-e024-487b-980f-e8d076006499bodyText3

3G am Arbeitsplatz muss datenschutzkonform gestaltet werden

BfD EKD äußert sich zur Umsetzung in Kirche und Diakonie

Pressemitteilung des Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland (BfD EKD) vom 24.11.2021

Heute treten die in der letzten Woche beschlossenen Änderungen zum Infektionsschutzgesetz in Kraft. Dabei stehen die Regelungen zu 3G am Arbeitsplatz besonders in der öffentlichen Diskussion und Wahrnehmung.

„Zur aktuell dringend erforderlichen Eindämmung der Pandemie ist die 3G-Regelung am Arbeitsplatz ein wichtiger Baustein und grundsätzlich sehr zu begrüßen“, sagt der Beauftragte für den Datenschutz der EKD, Michael Jacob. „Wichtig ist jetzt aber, dass diese 3G-Daten auch in Kirche und Diakonie datenschutzkonform verarbeitet werden.“ Nach Auffassung des BfD EKD sei es am datensparsamsten, 3G-Daten der Beschäftigten für eine Zutrittskontrolle zum Arbeitsplatz zu prüfen und diese Daten nach Zutritt oder am Ende des jeweiligen Tages zu löschen. Eine langfristige Speicherung der Daten sei eher nicht erforderlich. „Für eine dauerhafte Zutrittsmöglichkeit genügt auch die Dokumentation im Rahmen eines einmaligen ‚Abhakens‘ auf einer Liste bei erstmaliger Vorlage des Impf- oder Genesenennachweises.“, so Michael Jacob in einer ersten Stellungnahme. Es wird empfohlen, dass nachprüfbare Prozesse etabliert werden, auf welche Weise der 3G-Status der Beschäftigten geprüft und dokumentiert wird.

Es bleibt abzuwarten, ob es weitere Regelungen zur Vorlage- und Dokumentationspflicht der Beschäftigtendaten geben wird.

Die Webseite des Beauftragten für den Datenschutz der EKD kann hier abgerufen werden.

Neues Infopaket: Homeoffice – aber sicher!

Pressemitteilung des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 23.11.2021

Die Wiedereinführung der Homeoffice-Pflicht im Rahmen der Pandemiebekämpfung stellt Betriebe und Behörden vor Herausforderungen. Dürfen Familienmitglieder Zugang zu den personenbezogenen Daten haben? Können die Daten auf der privaten Festplatte gespeichert werden? Darf ich meine Arbeit zu Hause ausdrucken? Dürfen Ausdrucke in den Hausmüll? Was ist bei einem Datenschutzvorfall zu tun? Arbeitgeber und Arbeitnehmer müssen wissen, was datenschutzrechtlich im Homeoffice erlaubt ist und was nicht.

Weiterlesen Neues Infopaket: Homeoffice – aber sicher!