Der Landesbeauftragte
Organisation
Ansprechpartner
Kontakt
Datenschutz als KULTuraufgabe
Über uns
Veranstaltungen
Weiteres Info-Material
Links
Arbeiten beim LandesbeauftragtenHier haben wir für Sie Presseartikel, in denen der Landesbeauftragte erwähnt wird, aufgelistet.
Dieser Abschnitt wird regelmäßig um weitere Beiträge ergänzt. Es lohnt sich daher, hier immer wieder vorbeizuschauen.
#DSGVOwirkt: Microsoft passt sich europäischem Datenschutz an
#DSGOwirkt
Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 nur noch sehr eingeschränkt möglich, obwohl zahlreiche US- Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind.
Ein Grund dafür ist die aus Sicht des EuGHs völlig überzogene Massenüberwachung durch US-amerikanische Sicherheitsbehörden, wie die NSA, weswegen Daten von Europäern nur noch unter ergänzenden Schutzmaßnahmen in die USA übermittelt werden dürfen. Der Europäische Datenschutzausschuss hat in der vergangenen Woche erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen abgegeben und zu einer Konsultation eingeladen.
Alle Beteiligten und Entscheidungsträger im internationalen Datentransfer sind aufgerufen, rechtlich haltbare Lösungen auf der Basis geeigneter Schutzmaßnahmen zu finden, die den Belangen des europäischen Datenschutzes hinreichend Rechnung tragen.
Microsoft hat jetzt als einer der zentralen Anbieter global vernetzter IT-Produkte für Unternehmen einige Vorschläge für Garantien gemacht, die unmittelbar die Nutzerrechte stärken.
Eine Bewertung dieser Vorschläge wird nun von allen Entscheidungsträgern vorgenommen, so auch in den unmittelbar anstehenden Beratungen der Datenschutzkonferenz.
Als Beitrag zu diesen Beratungen bewerten die Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen diese Anpassung von Microsoft in ihren jeweiligen Stellungnahmen.
LfDI Stefan Brink: „Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DS-GVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Wir haben im September Unternehmen Empfehlungen zum internationalen Datentransfer gegeben, auch Microsoft. Es ist gut und notwendig, dass das Unternehmen sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln entsprechend ändert. Der Europäischen Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzliche Maßnahmen nicht mehr zulässig sind.“
Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über
- den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;
- die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
- die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.
Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.
Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.
Noch vor Jahresende wird die Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der Länder und des Bundes, DSK) ihre Gespräche mit Microsoft zum Office-Paket fortsetzen – die nun erzielten Fortschritte versprechen dafür „Rückenwind“.
Diese Pressemitteilung als PDF-Dokument aufrufen.
Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de
Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.
EU-Vorschlag: Behörden sollen Zugang zu den Verschlüsselungen bei Online-Diensten erhalten
EU-Vorschlag: Behörden sollen Zugang zu den Verschlüsselungen bei Online-Diensten erhalten.
LfDI Brink: „Die Europäische Union stellt mit dem Vorschlag Bürgerinnen und Bürger unter Generalverdacht.“
Die Regierungen der Europäischen Union wollen die Verschlüsselung von Online-Diensten kippen. Online-Dienstleister sollen mit Behörden zusammenarbeiten und ihnen Zugang zu verschlüsselter Kommunikation verschaffen. Das hat der Anti-Terror-Koordinator der EU den europäischen Regierungen vorgeschlagen. Nach extrem kurzer Beratung soll dieser Vorschlag nun den Weg in die Gesetzgebung nehmen. Darüber berichtete „heise online“ gestern und bezog sich auf einen geheimen Entwurf einer geplanten Deklaration des EU-Ministerrats, die der Österreichische Rundfunk veröffentlicht hat (https://fm4.orf.at/stories/3008930/). Der Vorschlag des EU-Anti-Terror-Koordinators fällt mitten in die deutsche Ratspräsidentschaft.
Begründet wird dieser Vorschlag des Anti-Terror-Koordinators damit, dass das Verhältnis vom Schutz der Kommunikation und der Zugriffsmöglichkeiten von Behörden („competent authorities“) neu ausbalanciert werden soll. De facto bedeutet das: Um die Kommunikation von Personen nachzuverfolgen, die potenziell die Sicherheit eines Staates gefährden, sollen alle Bürgerinnen und Bürger ihr Recht einbüßen, vor staatlichem Zugriff auf Online-Dienste wie Whatsapp, Threema oder Signal sicher zu sein. Die europäischen Staaten verschaffen sich mit diesem Vorgehen Zugriff auf jegliche Online-Kommunikation und beenden so die Vertraulichkeit unserer Kommunikation.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink: „Die Europäische Union stellt – unter dem Ratsvorsitz Deutschlands – 450 Millionen Bürgerinnen und Bürger unter Generalverdacht und erklärt uns alle zu „Gefährdern der Sicherheit“. Zunächst wollten Sicherheitspolitiker nur im Ausnahmefall Zugriff auf unsere Online-Kommunikation. Jetzt soll die Ausnahme zur Regel werden. Der Versuch, Bürgerinnen und Bürger durch Abschaffung von Bürgerrechten potenziell besser zu schützen, untergräbt jegliches Vertrauen in staatliches Handeln.“ Defizite bei der Strafverfolgung könnten nicht durch die Relativierung von Bürgerrechten ausgeglichen werden, so Brink weiter. Es bleibe dabei: Wer die Freiheit zugunsten der Sicherheit aufgibt, verliert am Ende beides.
Diese Pressemitteilung als PDF-Dokument aufrufen.
Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de
Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.
LfDI begleitet Pilotprojekt des Kultusministeriums zur Nutzung von Microsoft Office 365 an Schulen
LfDI begleitet Pilotprojekt des Kultusministeriums zur Nutzung von Microsoft Office 365 an Schulen
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit beteiligt sich in seiner beratenden Funktion am Pilotprojekt des Ministeriums für Kultus, Jugend und Sport Baden-Württemberg zur Nutzung einer speziell für den Schulbereich konfigurierten Version von Microsoft Office 365. Ziel ist es, die Praktikabilität und Datenschutzkonformität der Software zu erproben und Schulen künftig eine umfangreiche digitale Arbeitsplattform anzubieten. LfDI Stefan Brink begleitet das mehrwöchige Pilotprojekt, nachdem zusammen mit dem Ministerium umfangreiche Vorbereitungsmaßnahmen getroffen wurden. Er berät das Kultusministerium zu datenschutzrechtlichen Fragestellungen und führt gleichzeitig Gespräche mit Microsoft zur Verbesserung der rechtlichen und technischen Rahmenbedingungen weiter.
Mit der vom Kultusministerium gewählten Software soll den LehrerInnen sowohl ein E-Mail-Dienst als auch – als Software as a Service – eine Büro-Arbeitsplatzumgebung mit Textverarbeitung, Präsentations- und Kalkulationsprogrammen sowie einem Cloud-Speicher zur dienstlichen Verfügung gestellt werden. Auch das Videokonferenztool MS Teams sollen die ausgewählten Schulen im Rahmen des Pilotbetriebs verwenden können.
Bei der digitalen Kommunikation entstehen viele persönliche Daten, die gerade im Schulverhältnis besonders zu schützen sind: LehrerInnen kommunizieren mit SchülerInnen, Eltern, anderen LehrerInnen, mit den Schulbehörden und mit dem Kultusministerium. SchülerInnen kommunizieren ebenfalls untereinander. Ein gemeinsamer Standard in der digitalen Arbeit und der Datenverarbeitung vereinfacht den Lehrenden unmittelbar die Arbeit und sichert gleichzeitig die Schülerrechte.
LfDI Stefan Brink: „SchülerInnen, Eltern und Lehrende erwarten zu Recht sichere und praktikable digitale Softwarelösungen. Wir begleiten das aktuelle Pilotprojekt an den Schulen gerade auch in Zeiten der Pandemie weiter und wollen sehen, wie die vom Ministerium eingesetzte spezielle Version von MS Office 365 in der Praxis tatsächlich funktioniert.“
Letztlich werden die Schulen als datenschutzrechtlich Verantwortliche entscheiden, welche digitalen Lösungen sie für die Kommunikation zwischen Lehrenden und Lernenden einsetzen wollen. Dass das Kultusministerium hierzu Angebote entwickelt und zur Verfügung stellt, ist auch aus Sicht des Datenschutzes sinnvoll, denn so können übergreifend Lösungen angeboten werden, welche sicher funktionieren und die Rechte der Beteiligten achten. Aber natürlich bleibt es den Schulen unbenommen, auch eigene Kommunikationsmöglichkeiten zu finden und datenschutzkonforme Alternativen zu nutzen. Das Kultusministerium sollte hier alternative datenschutzkonforme Kommunikationsmöglichkeiten bereitstellen, damit Schulen eine echte Wahl haben. Bereits jetzt steht allen Schulen kostenlos die vom Land selbst betriebene und auf die Bedürfnisse der LehrerInnen zugeschnittene Webkonferenz-Software BigBlueButton, das Lernmanagement-System Moodle und der Messenger Threema zur Verfügung. Das Landeshochschulnetz BelWü bietet zudem allen Schulen schon länger E-Mail-Adressen unter eigener Adresse der jeweiligen Schule. Weitere datenschutzkonforme Alternativen können zum Beispiel die Videokonferenz-Software Jitsi, der Cloud-Dienst Nextcloud und die Büro-Software Onlyoffice mit Textverarbeitung, Tabellenkalkulation und Präsentationssoftware sein.
Praxistest konkretisiert verbesserte
Datenschutz-Folgenabschätzung
Das Kultusministerium will mit dem cloudbasierten Produkt Microsoft Office 365 allen Schulen ein Angebot bereitstellen, so wie es das mit dem Messenger-Dienst Threema und der Webkonferenz-Software BigBlueButton für LehrerInnen an Schulen bereits getan hat – mit Empfehlung der Datenschützer.
Zur Vorbereitung des Pilotprojekts hat Datenschützer Brink für MS Office 365 vom Kultusministerium eine Datenschutz-Folgenabschätzung eingefordert, um nachzuvollziehen, ob Microsoft Office 365 an Schulen datenschutzkonform nutzbar ist, keine rechtswidrigen Datenflüsse vorkommen und um zu untersuchen, wie datenschutzrechtliche Risiken minimiert werden können.
Die erste Datenschutz-Folgenabschätzung des Kultusministeriums musste der Landesdatenschutzbeauftragte noch zurückweisen, da sie erhebliche datenschutzrechtliche Defizite aufwies, die bei einem so gewichtigen und sensiblen Projekt nicht akzeptabel erschienen. Das Kultusministerium hat nun Mitte Oktober eine zweite, ergänzte und erheblich überarbeitete Risiko-Abschätzung vorgelegt, die zwar noch nicht alle datenschutzrechtliche Fragen beantwortet, aber eine hinreichende Grundlage für den jetzt anstehenden Piloten darstellt.
Dabei bleiben allerdings – gerade beim Einsatz von US-Dienstleistern – erhebliche Unwägbarkeiten: Mit Blick auf das Schrems II-Urteil des Europäischen Gerichtshofes vom Juli 2020 ist derzeit offen, wie zukünftig Datentransfers aus der EU in die USA überhaupt legal möglich sind. Und diese Frage wird nicht in Baden-Württemberg, sondern letztlich auf europäischer Eben entschieden. Auch dies ist ein wichtiger Grund, warum Schulen bei den genutzten Softwarelösungen immer auf verfügbare und verlässlich einsatzbare Alternativen schauen sollten.
Nicht nur die Risiko-Abschätzung des Kultusministeriums hat sich weiterentwickelt, auch in seinen Gesprächen mit Microsoft konnte der LfDI Fortschritte erzielen: Das Angebot des Kultusministeriums wird auf spezielle Softwareversionen bauen, welche hinsichtlich des Abflusses von Daten an den Anbieter (sogenannte Telemetriedaten) und der Beobachtung der Nutzer den bisher an unseren Schulen eingesetzten Versionen wesentlich überlegen, also datensparsamer sind. Microsoft kommt zudem der Forderung des Datenschützers Brink nach, die Verschlüsselung der Daten zu verbessern, die eigenen Verarbeitungszwecke zu reduzieren und auch eine Anleitung der LehrerInnen zu datensparsamer Nutzung (Nutzerführung) zu implementieren. Zudem hat Microsoft eine erhebliche Stärkung der Nutzerrechte gegenüber den Zugriffen von US-Sicherheitsbehörden, etwa durch Rechtsschutzgarantien und Schadensersatzverpflichtungen in Aussicht gestellt und zugesichert, dass alle Verarbeitungen ausschließlich in Deutschland stattfinden.
Im Pilotprojekt wird Stefan Brink nun prüfen, ob die in der Datenschutz-Folgenabschätzung beschriebenen Datenflüsse auch den tatsächlich messbaren entsprechen und ob ein hinreichendes Datenschutzniveau auch in der Praxis besteht.
Datenschützer Brink: „Wir werden überprüfen, ob die zugesagte Deaktivierung problematischer Verarbeitungen tatsächlich stattgefunden hat und ob personenbezogene Daten ausschließlich in Deutschland verarbeitet werden. Nur unter diesen Bedingungen kann das Software-Paket datenschutzkonform eingesetzt werden. Wir wollen, dass die eingesetzte Software der Schule dient, und nicht die Schule dem Anbieter bei der Erstellung von Profilen oder Produktangeboten. Eltern, SchülerInnen und LehrerInnen müssen wissen, welche Daten entstehen, wo sie gesammelt und wie sie genutzt werden.“ Gerade im Schulverhältnis trifft die Verantwortlichen hier eine besondere Fürsorgepflicht.
Schulen brauchen
praktikable Alternativen
Um datenschutzkonform nutzbare Alternativen wie BigBlueButton, Jitsi und andere tatsächlich auch nutzen zu können, müssen Schulen die Möglichkeiten und Kapazitäten erhalten, sich mit den Softwarelösungen genauer zu befassen, die Produkte technisch zu betreuen und Schulungen und die Fortbildungsangebote zu nutzen. Das Kultusministerium wird hierfür die schon bislang völlig unzureichende personelle Ausstattung der Schulen mit Datenschutzbeauftragten – nicht selten ist noch immer nur eine Person für die Betreuung von gut 100-150 Schulen zuständig – erheblich aufstocken müssen. Die Schulen müssen als datenschutzrechtlich Verantwortliche auch faktisch in die Lage versetzt werden, im Einvernehmen mit der Schüler- und Elternschaft über den konkreten Einsatz einer Software entscheiden zu können.
Der LfDI wird Schulen auf Wunsch bei der Erstellung von Datenschutz-Folgenabschätzungen für alternative Produkte beraten. Auch können Fachleute des Bildungszentrums für Datenschutz und Informationsfreiheit des LfDI (BIDIB) die Schulen – SchülerInnen, LehrerInnen und auch auf Wunsch Eltern z.B. bei Elternbeiratssitzungen – beraten. Mit dem Programm „Datenschutz geht zur Schule“ bietet der Landesbeauftragte konkrete Sensibilisierungs- und Fortbildungsangebote vor Ort. Zugleich können die Datenschutzbeauftragten der Schulen fachspezifische Fortbildungen im Bildungszentrum BIDIB nutzen. Der Zugang der Schulen zu datenschutzrechtlicher Beratung muss stärker als bisher ermöglicht werden – auch hier zählt der Landesdatenschutzbeauftragte auf die Unterstützung des Kultusministeriums.
Es brauche daher langfristige Perspektiven für die Schulen, sagt LfDI Brink: „Wer Schulen stärken will, muss ihnen neben der technischen Ausrüstung auch die Möglichkeit geben, sich intensiver und ganz konkret mit den eingesetzten Softwarelösungen zu befassen und selbst verantwortliche Entscheidungen zu treffen. Wir unterstützen die Schulen dabei, wo wir können.“
Diese Pressemitteilung als PDF-Dokument aufrufen.
Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de
Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.
Kunst mit Tracking-Daten
Konzeptkünstlers Florian Mehnert fragt in seinem neuen Fotoprojekt, was es bedeutet, wenn sich in Zeiten der Corona-Pandemie die Kommunikation und Rezeption immer mehr ins Digitale verlagern. Eine Spurensuche beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit.
Zum kompletten SWR-Beitrag: Kunst mit Tracking-Daten
Corona-App läuft unter Android 11 auch ohne Standortdaten
Wer Android 11 auf dem eigenen Smartphone installiert, kann die Corona-App nutzen, ohne ihr Zugriff auf die Standortdaten des Geräts erteilen zu müssen. Die Entwickler entsprechen damit einer Forderung von Datenschützern.
Zur kompletten Pressemitteilung auf pcgameshardware.de
Tübingen muss Datensammlung über Geflüchtete beenden
Die Stadt Tübingen sammelte auf einer Liste Asylsuchende, die vermeintlich auffällig geworden sein sollen. Der baden-württembergische Datenschutzbeauftragte hat das nun verboten.
Zum kompletten Artikel auf netzpolitik.org
Weitere Artikel zum Thema
„Tübingen darf keine Liste auffälliger Asylbewerber führen“ auf Zeit.de
„Datenschutz: Aus für Palmers Liste“ auf tagblatt.de
„Entscheidungskompetenz und Beschlussfähigkeit der Aufsicht und nicht Zentralisierung muss das Ziel sein“
Zur Diskussion um eine Zentralisierung der Datenschutzaufsichtsbehörden im Bereich der Unternehmen im Zuge der anstehenden BDSG-Evaluierung gibt der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. folgende Erklärung: „Für uns stehen die Lösung der alltäglichen Probleme in den Unternehmen sowie der Schutz der Betroffenen im Mittelpunkt. Ob das zentral oder föderal passiert, ist dabei nicht vorrangig entscheidend, sondern die nachvollziehbare und einheitliche Anwendung der bestehenden Datenschutzgesetze“, sagt BvD-Vorstandsvorsitzender Thomas Spaeing.
Zur kompletten Pressemitteilung auf bvdnet.de
Passdatenklau in Argentinien – ziemlich nützlich für Diebe
Die argentinische Einwanderungsbehörde wurde Opfer eines Hackerangriffs. Hierbei sind auch die Passdaten von 12.000 deutschen Bürgerinnen und Bürgern ins Netz gestellt worden – für jedermann abrufbar und nutzbar. Im schlimmsten Fall droht Identitätsdiebstahl. Stefan Brink äußert sich bei Deutschlandfunk Nova zu den Gefahren und nötigen Folgemaßnahmen dieses Hacks.
Hören Sie den Beitrag auf srv.deutschlandradio.de
Tesla erhebt sensible Daten durch Videoüberwachung am Auto
Tesla plant, zukünftig auch Autos in Brandenburg bauen zu lassen. Nach Kontraste-Recherchen erheben zahlreiche Kameras sensible Daten des Fahrers und der Fahrumgebung, wie Gesichter von Passanten oder Kennzeichen anderer Fahrzeuge, und übertragen diese in die USA. Dr. Stefan Brink gibt eine erste datenschutzrechtliche Einschätzung dieser Situation.
Sehen Sie die Sendung Kontraste in der ardmediathek.de
Verstößt Tesla gegen Datenschutzregeln?
Tesla will in Berlin bald 500.000 Autos im Jahr bauen. Nach Kontraste-Recherchen überträgt der E-Mobil-Hersteller Videodaten aus Autos in Deutschland auf Server in den USA.
Lesen Sie den Beitrag auf tagesschau.de