:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DSGVO im Blick behalten Die größten Datenpannen im Jahr 2022
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Ein Krisenjahr wie 2022 lässt die Herausforderungen bei der Umsetzung der DSGVO (Datenschutz-Grundverordnung) klein erscheinen. Unternehmen und Behörden sollten aber die DSGVO nicht einfach hinten anstellen, sie ist und bleibt wichtig. Das zeigen auch die Datenschutzverletzungen, die die Datenschutzaufsichtsbehörden in 2022 sanktioniert haben. Wir geben einen Überblick.
„Im Vergleich zum Vorjahr stieg die Zahl der Datenpannen-Meldungen um etwa 60 Prozent“, erklärte Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, im Februar 2022 mit Blick auf das Jahr 2021. „Dennoch zeigt sich in unseren Prüfungen, dass es noch immer Fälle gibt, in denen die Verantwortlichen ihrer Meldepflicht nicht nachgekommen sind“, so Marit Hansen weiter.
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923655/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")
Das Datenschutz-Jahr 2021
Die größten Datenpannen des Jahres 2021
Die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten (Datenpannen) ist eine rechtliche Anforderung und muss von den Verantwortlichen umgesetzt werden. Hansens Dienststelle wirbt aber auch dafür, dass man diese Pflicht als Chance begreift, damit alle Beteiligten aus den Fehlern lernen können. „Hinterher ist man immer schlauer“ gelte nur dann, wenn die Verantwortlichen feststellen, was schiefgelaufen ist, und wenn sie daraus abgeleitete Maßnahmen treffen, damit sich die Datenschutzverletzungen nicht wiederholen.
Aus diesem Grund lohnt es sich auch für Unternehmen und Behörden, jetzt zum Jahresbeginn 2023 auf die größten Datenpannen aus 2022 zu blicken.
Aus Datenpannen lernen, auch für die IT-Sicherheit
Offene E-Mail-Verteiler, Fehladressierungen oder verlorene unverschlüsselte USB-Sticks gehören weiterhin zu den Dauerthemen bei den Datenpannen-Meldungen. Der große Anstieg der Meldezahlen ergab sich aber auch aus mehreren Wellen von Angriffen über das Internet auf Server von Firmen und Behörden, bei denen personenbezogene Daten betroffen waren.
Marit Hansen kommentierte dies so: „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können. Andererseits mehren sich auch die Angriffe auf IT-Systeme, die nicht mit Updates in den Griff zu bekommen sind.“
:quality(80)/p7i.vogel.de/wcms/2a/fe/2afe1bd94782535ff951f00f079f79e5/99551979.jpeg "Im Podcast plaudert Peter Schmitz auch über Zugriffszahlen und die erfolgreichsten Artikel des Jahres. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 65
KRITIS, Krieg und Kernfusion, das war 2022!
Hier ist leider nicht mit Entspannung zu rechnen. „Das Fortschreiten der Digitalisierung hat während der Pandemie nicht angehalten, ganz im Gegenteil“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) Prof. Dr. Dieter Kugelmann. „In manchen Bereichen wurde die Digitalisierung sogar deutlich beschleunigt. Denken Sie nur an Home-Office, Home-Schooling und Videokonferenzen. Und auch abseits von Corona-Maßnahmen werden immer noch mehr und mehr personenbezogene Daten verarbeitet, vom digitalen Konsum bis hin zu Verwaltungsfachsystemen“, gibt Prof. Kugelmann zu bedenken.
Beispiele für das Einschreiten der Datenschutzaufsicht
Im Jahr 2022 spielte die konforme Verarbeitung personenbezogener Daten zur Pandemiebekämpfung weiterhin eine große Rolle. Nachdem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz davon Kenntnis erlangte, dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die LUCA-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat, hat er umgehend aufsichtsrechtliche Verfahren eingeleitet, so Prof. Kugelmann im Januar 2022. Dabei sollen insbesondere die Umstände geklärt werden, die ungeachtet der eindeutigen Rechtslage zu der datenschutzrechtlich unzulässigen Abfrage und Nutzung der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben.
„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweggesetzt haben“, kommentierte der Landesbeauftragte Prof. Dr. Kugelmann den Vorfall.
„Die aktuellen Lockerungen im Rahmen des Infektionsschutzgesetzes des Bundes nehme ich zum Anlass, um auf Fristen für die Löschung der gesammelten Daten hinzuweisen“, mahnte Bettina Gayk, Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen im April 2022. „Die von den Arbeitgeberinnen und Arbeitgebern erhobenen Daten müssen spätestens sechs Monate nach Erhebung vernichtet oder gelöscht werden. Da die Rechtsgrundlage entfallen ist, gehen wir davon aus, dass die Speicherung regelmäßig nicht mehr erforderlich ist und die Daten schon jetzt gelöscht werden sollten“, erklärte Bettina Gayk.
:quality(80)/p7i.vogel.de/wcms/3a/74/3a744b6113e3ba55a2c656ea61877ff2/0108887677.jpeg "Unternehmen müssen organisatorische Maßnahmen treffen, damit Personen eine Datenschutzauskunft zeitnah und in verständlicher Form erhalten. Da ist es sinnvoll, bereits vorhandene Maßnahmen der IT-Sicherheit zu berücksichtigen. (Bild: vegefox.com - stock.adobe.com)")
Synergien Datenschutz und IT-Sicherheit
So hilft die Security bei der Auskunftspflicht nach DSGVO
Vorsicht bei Profilbildung für Werbezwecke
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat in 2022 eine genossenschaftliche Bank überprüft, die als Pilotbank sogenannte Smart-Data-Verfahren testete. Die bislang dabei erlangten Erkenntnisse haben die LfD dazu veranlasst, Warnungen vor der Durchführung solcher Verfahren an die anderen 89 genossenschaftlichen Banken in Niedersachsen zu versenden.
Die Smart-Data-Verfahren dienen dazu, aus dem Kundenbestand gezielt Personen für bestimmte Werbemaßnahmen herauszufiltern. Hierfür werden Scorewerte gebildet, die eine Aussage darüber treffen sollen, ob eine Kundin oder ein Kunde mit hoher Wahrscheinlichkeit Interesse an einem bestimmten Produkt hat. Das kann zum Beispiel ein Immobilienkredit, eine Kreditkarte oder ein Wertpapiersparplan sein. Anschließend erhält die Kundin oder der Kunde Werbung für das entsprechende Produkt. Zur Bildung der Scorewerte werden unter anderem Zahlungsverkehrsdaten analysiert und bei einigen Verfahren auch Daten über das Wohnumfeld der Kundinnen und Kunden von externen Dienstleistern hinzugezogen.
Das Problem: Die Durchführung von Verhaltensprognosen auf Grundlage von Zahlungsverkehrsdaten entspricht nicht den vernünftigen Erwartungen der Kundinnen und Kunden. Das müsste aber unter anderem der Fall sein, damit eine Interessenabwägung als Rechtsgrundlage herangezogen werden könnte. Bereits in einem anderen Fall hatte die LfD Niedersachsen im Juli 2022 ein Bußgeld von 900.000 Euro verhängt, weil eine Bank die Grenzen der Interessenabwägung bei der Verarbeitung personenbezogener Daten für Werbezwecke überschritten hatte.
Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Hierzu bediente es sich eines Dienstleisters. Ergänzend wurden die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert.
„Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein“, sagte die Landesdatenschutzbeauftragte Barbara Thiel. „Stattdessen berufen sie sich auf eine Interessenabwägung nach DSGVO. Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet.“
„Zahlungsverkehrsdaten sind sehr sensibel, weil sie Informationen über das Konsumverhalten, Beziehungen zu anderen Menschen, die wirtschaftliche Lage und persönliche Vorlieben enthalten. Sie ermöglichen so eine Vielzahl von Rückschlüssen auf das berufliche und private Leben der Betroffenen“, erläuterte die Landesdatenschutzbeauftragte Barbara Thiel. „Es muss deshalb sichergestellt sein, dass die betroffenen Personen die Kontrolle über die Verarbeitung dieser Daten ausüben können. Ich habe mich dazu entschieden, Warnungen auszusprechen, um die Banken davon abzuhalten, schwerwiegende Verstöße gegen das Datenschutzrecht zu begehen. Ich werde auch Vor-Ort-Kontrollen durchführen, um zu überprüfen, ob die Banken die Verfahren trotz der Warnung einführen.“
:quality(80)/p7i.vogel.de/wcms/37/3b/373b8cf8bd3af6ecff34ad95e1693992/0109013503.jpeg "91 Prozent der Deutschen wissen nicht, was Unternehmen mit ihren Daten anfangen, der schlechteste Wert weltweit und deutlich mehr als im globalen Durchschnitt (79 Prozent). (Bild: oz - stock.adobe.com)")
Cisco Consumer Privacy Survey 2022
Deutsche möchten mehr Transparenz beim Datenschutz
Achtung bei „Forschungsfahrten“
Ein weiteres, spannendes Beispiel für eine Datenpanne aus Niedersachsen: Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hatte in 2022 gegen die Volkswagen Aktiengesellschaft eine Geldbuße nach Art. 83 DSGVO in Höhe von 1,1 Millionen Euro festgesetzt. Grund waren Datenschutzverstöße in Zusammenhang mit dem Einsatz eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen.
„Die eigentlichen Forschungsfahrten waren datenschutzrechtlich nicht zu beanstanden“, sagte die Landesdatenschutzbeauftragte Barbara Thiel. „Gegen die dabei anfallende Erhebung und Weiterverarbeitung personenbezogener Daten bestehen von unserer Seite keine Bedenken.“
Aber: Am Fahrzeug fehlten aufgrund eines Versehens Magnetschilder mit einem Kamerasymbol und den weiteren vorgeschriebenen Informationen für die datenschutzrechtlich Betroffenen, in diesem Fall die anderen Verkehrsteilnehmenden. Diese müssen laut DSGVO bei einer Datenverarbeitung unter anderem darüber aufgeklärt werden, wer die Verarbeitung zu welchem Zweck durchführt und wie lange die Daten gespeichert werden.
Bei der weiteren Prüfung wurde zudem festgestellt, dass Volkswagen keinen Auftragsverarbeitungsvertrag mit dem Unternehmen abgeschlossen hatte, das die Fahrten durchführte. Dieser wäre nach Artikel 28 DSGVO erforderlich gewesen. Weiterhin war keine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO durchgeführt worden, mit der vor Beginn einer solchen Verarbeitung mögliche Risiken und deren Eindämmung bewertet werden müssen. Schließlich fehlte eine Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten, was einen Verstoß gegen die Dokumentationspflichten nach Artikel 30 DSGVO darstellte.
Grundbuchdaten sind kein „Freiwild“
Auch bei der Verarbeitung von Daten im öffentlichen Bereich kommt es zur Datenschutzverletzung. Wegen rechtswidriger Datenerhebung und –weitergabe und Verstößen gegen die Informationspflichten hatte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Geldbußen gegen ein Bauträgerunternehmen und einen Vermessungsingenieur in Höhe von 50.000 Euro und 5.000 Euro verhängt.
Ein Grundstückseigentümer in einem Neubaugebiet hatte ein Schreiben eines Bauträgers erhalten, in dem ihm ein Kaufpreisangebot für sein Grundstück unterbreitet wurde. Eine Information über die Herkunft seiner Daten enthielt das Schreiben nicht, auch auf Nachfrage wurde dem Adressaten nicht mitgeteilt, woher der Bauträger dessen Daten hatte, insbesondere die Kenntnis von dessen Eigentümerstellung.
Der Landesbeauftragte Dr. Stefan Brink sagte dazu: „Verantwortliche sollten sich bewusstmachen, dass auch öffentliche Daten Schutz genießen und nicht zur freien Verfügung stehen. Die im vorliegenden Fall verhängten Geldbußen machen deutlich, dass sich heimliche Datenverarbeitungen unter Ausnutzung spezieller Zugriffsrechte nicht auszahlen. Die Datenschutz-Grundverordnung gilt auch im hart umkämpften Markt um Bauland.“
:quality(80)/p7i.vogel.de/wcms/37/c9/37c98eeb8306c08f22a057004ef15d8d/0108981543.jpeg "Mit der DSGVO und anderen Maßnahmen zur Regulierung der Digitalwirtschaft schafft die EU eine gute Grundlage, um Geschäftsmodelle zu fördern, die den Datenschutz und die mit ihm verbundenen europäischen Werte in ihrer DNA verankern. (Bild: denizbayram - stock.adobe.com)")
Digitalisierung „made in Europe“
Die DSGVO als Chance für die digitale Souveränität Europas
Analyse von Haarfrisuren und Körpergeruch sowie von Fotos im Internet
Zwei Beispiele aus Baden-Württemberg und Bremen unterstreichen, wie weit Datenanalysen heute schon gehen. Nachdem bereits 2021 Medienberichte darlegten, dass das Unternehmen PimEyes „massenhaft Gesichter im Internet nach individuellen Merkmalen“ scannt und biometrische Daten (also persönliche Merkmale wie Gesichtsform, Augenfarbe oder den Abstand von Mund zu Nase) speichert, mit denen sich jeder Mensch treffsicher identifizieren lässt, hatte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink ein Verfahren gegen das Unternehmen eröffnet und es zu einer Stellungnahme zu den durch das Unternehmen verarbeiteten Daten aufgefordert.
Am 1. November 2022 erhielt der Landesbeauftragte eine Stellungnahme von PimEyes, in der das Unternehmen auf die Rechtsgrundlage der Verarbeitung biometrischer Daten zur Identifizierung von Personen, technisch-organisatorische Maßnahmen (TOMs) und Maßnahmen gegen den Missbrauch der Daten eingeht.
PimEyes stellt in seiner Stellungnahme fest, lediglich öffentlich verfügbare Bilder zu verarbeiten und dass es diese selbst nicht Personen zuordnen könne. Für von PimEyes gespeicherte Daten bestehe daher gar kein Personenbezug, es fehle damit an einer Verarbeitung personenbezogener Daten. Würde man – entgegen der Ansicht von PimEyes – dennoch einen Personenbezug annehmen, so sei dies jedenfalls als eine zulässige Verarbeitung im öffentlichen Interesse, im Rahmen einer öffentlichen Aufgabe bzw. zum Schutze lebenswichtiger Interessen der betroffenen Personen anzusehen.
Diesen Aussagen tritt der Landesbeauftragte wegen der massiven Gefährdung der Rechte und Freiheiten der Bürgerinnen und Bürger, auch in Baden-Württemberg, energisch entgegen und hat ein Bußgeldverfahren eröffnet.
In dem zweiten Fall ist es bereits zu der Verhängung eines Bußgeldes gekommen. Die BREBAU GmbH hatte mehr als 9.500 Daten über Mietinteressentinnen und Mietinteressenten verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich.
Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert. Die nach DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro.
:quality(80)/p7i.vogel.de/wcms/a6/e7/a6e79685df1c2e2dab4a6c038835c69e/0108698525.jpeg "Die Datenschutzkonferenz (DSK) hat eine Bewertung zru Frage veröffentlicht, ob man nach EU-Recht Microsoft 365 datenschutzrechtskonform betreiben kann. (Bild: Benjamin Haas - stock.adobe.com)")
Datenschutz bei Office 365
Sollten Unternehmen Microsoft 365 nutzen oder nicht?
Datenschutz schützt uns Menschen
Wie die Beispiele für Datenpannen zeigen, sollten man auch und gerade in Krisenzeiten an den Datenschutz denken, nicht etwa als Selbstzweck. „Datenschutz ist in unserer Gesellschaft keine lästige Pflicht, es ist eine wesentliche Aufgabe, um sicherzustellen, dass die Rechte und Interessen der Bürgerinnen und Bürger in Nordrhein-Westfalen gewahrt werden“, erklärte Bettina Gayk, Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen. „Denn tatsächlich schützen wir nicht nur Daten, wir schützen Menschen und ihre Persönlichkeitsrechte und Freiheiten. Und das heißt: Wir achten auf die Einhaltung von Grundrechten“, so der Appell von Bettina Gayk.
(ID:48974303)
:quality(80)/p7i.vogel.de/wcms/ad/7b/ad7b5861d2c5330840721a4d6a917d38/0112820620.jpeg "Der beste Weg, um hohe Bußgelder nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen. (Bild: vladischern - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/91/2691777debb58ac490c877f6e72b1c27/0111319943.jpeg "Seit 25. Mai 2018 gilt die DSGVO auch in Deutschland und muss sich immer wieder der öffentlichen Diskussion stellen: Während die einen das EU-Gesetz loben, sehen andere in ihm den Totengräber – auch digitaler – Innovation. (Bild: noah9000 - stock.adobe.com)")