Sächsischer Verband für Datenschutz und Datensicherheit e.V.

Wiener Straße 80a
01219 Dresden

Telefon: 0351 424 739-66
Telefax: 0351 424 739-60
http://svdd.de

Sächsische Datenschutzbeauftragte: Tätigkeitsbericht 2021 veröffentlicht - Hoher Beratungsbedarf und Anstieg bei gemeldeten Datenpannen

24. Mai 2022

Sächsische Datenschutzbeauftragte: Tätigkeitsbericht 2021 veröffentlicht - Hoher Beratungsbedarf und Anstieg bei gemeldeten Datenpannen

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat am
Dienstag in Dresden ihren Tätigkeitsbericht für das zurückliegende Jahr
vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken der Datenschutzbehörde unter ihrem Amtsvorgänger Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete.

Auf über 200 Seiten sind Schwerpunkte der Aufsichtstätigkeit, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung,
zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst. Außerdem enthält der Bericht eine Übersicht zu den veröffentlichten Dokumenten der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.

Datenschutz in der Corona-Pandemie

Der Berichtszeitraum umfasst das zweite Pandemiejahr. Zahlreiche
Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen,
wie beispielsweise die Testpicht für Urlaubsrückkehrer (Beitrag 1.1), 3G-Regelung am Arbeitsplatz (1.1), Impfwerbung des Sozialministeriums (2.2.10), Testungen in Schulklassen (2.4.1) sowie die Quarantäne-Kontrolle durch Polizeibedienstete (2.4.5). Die Fragestellungen bewegten sich regelmäßig im Spannungsfeld zwischen einem wirksamen Infektionsschutz und dem nach Datenschutzrecht zulässigen Eingriffen in die Persönlichkeitsrechte der Bürgerinnen und Bürger.

Löschung von Corona-Datenbeständen

In Bezug auf die aktuelle Situation betont Dr. Juliane Hundert:
»Unternehmen und Behörden haben noch vorhandene Corona-Datenbestände umgehend zu überprüfen und nicht mehr erforderliche
Daten zu löschen. Für die Kontaktnachverfolgung, wie sie beispielsweise in Restaurants oder Behörden üblich war, gibt es inzwischen keine gesetzliche Grundlage mehr. Des Weiteren entfallen die Zutrittskontrollen zum Arbeitsplatz, denn Arbeitgeberinnen und Arbeitgeber dürfen den Impf-, Genesenen- und Teststatus von Beschäftigten grundsätzlich nicht mehr abfragen. Ausgenommen davon sind Einrichtungen und Unternehmen des Gesundheitswesens. Aufgrund der speziellen Regelungen im Gesundheitsbereich sind dort nach wie vor bestimmte Datenverarbeitungen erforderlich und damit rechtskonform. Das betrifft die einrichtungsbezogene Impfpicht in § 20a Infektionsschutzgesetz (neu). Bei den zu löschenden Informationen und Unterlagen handelt es sich oftmals um besonders schützenswerte Gesundheitsdaten. Vor allem solche Dokumente dürfen nicht einfach in den Papierkorb geworfen werden, sondern sind fachgerecht zu vernichten.« Die datenschutzkonforme Vernichtung von Datenträgern sollte sich nach der DIN 66399 richten. Die Norm enthält auch Vorgaben zum Löschen von Papierdokumenten. Demnach sind Aktenvernichter der Sicherheitsstufe 4 oder höher geeignet.

Anzahl der Beratungen steigt erneut (6.2.3)

Die Beratung in Datenschutzfragen zählte 2021 weiterhin zu den
Hauptaufgaben. Über 1.100 Vorgänge entelen auf diesen Bereich – ein Plus von über 9 Prozent gegenüber dem Vorjahr. Das waren fast so viele Fälle wie im Jahr 2018, als die Datenschutz-Grundverordnung wirksam wurde. »Im Zuge der Digitalisierung haben wir es häug mit sehr komplexen Datenverarbeitungen zu tun. Daher empfehle ich datenverarbeitenden Stellen stets, frühzeitig ihre Datenschutzbeauftragten einzubeziehen. Dieses Vorgehen hat sich bewährt. Schließlich lassen sich somit viele Verstöße von vornherein verhindern. Natürlich können sich Verantwortliche mit ihren Fragen auch an mich und meine Dienststelle wenden.«, erläutert Dr. Juliane Hundert.
Zu den Beratungsvorgängen zählte beispielsweise auch ein wissenschaftliches Projekt, bei dem eine Forschungseinrichtung mithilfe
von Videobeobachtung das Fahrverhalten von E-Scootern untersuchte
(2.2.4). Das Beispiel zeigt: »Es ist möglich, dass Forschungsdaten so
verarbeitet werden, dass die Persönlichkeitsrechte der Bürgerinnen
und Bürger bestmöglich geschützt werden«, so die Sächsische
Datenschutzbeauftragte und fügt hinzu: »Ich unterstütze die Forderung der Datenschutzkonferenz, Methoden zu entwickeln, die eine Verarbeitung von Forschungsdaten nach europäischen Werten ermöglichen.«

Hohes Beschwerdeaufkommen (6.2.2)

Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen lag mit 1.254 auf dem hohen Niveau des Vorjahres. Ein Teil davon betraf die sogenannten Telemedien. Dr. Juliane Hundert empehlt: »Betreiber von Websites und Apps sollten die Verwendung von Cookies und anderen Technologien dringend überprüfen. Der häug unrechtmäßige Einsatz von Tracking- und Zusatzdiensten offenbart Informationsdezite bei den Verantwortlichen. Hier liegt noch viel Aufklärungsarbeit vor uns.« Im Tätigkeitsbericht nden Verantwortliche ein vereinfachtes Prüfschema, mit dem sich häuge Datenschutzschwachstellen bei Websites und Apps ermitteln lassen (4.1.1).

Gemeldete Datenpannen auf neuem Höchststand (4.4)

Nach Artikel 33 der Datenschutz-Grundverordnung sind Verantwortliche
verpichtet, im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde zu melden. »Im Berichtszeitraum sind 923 Meldungen von Datenschutzverletzungen in meiner Behörde eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um rund 45 Prozent. Wie in der Vergangenheit bereits prognostiziert steigt angesichts der fortschreitenden Digitalisierung auch das Risiko für Datenpannen«, erläutert die Sächsische Datenschutzbeauftragte. Rund ein Drittel der Meldungen von Datenschutzverletzungen sind auf Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen zählten Anfang 2021 die Sicherheitslücken in Microsoft Exchange-Servern (4.4). Weitere Fallgruppen, die im Berichtszeitraum besonders häug auftraten:
Fehlversand, offene E-Mail-Verteiler, Verlust auf dem Postweg, Verlust von Datenträgern und Datenschutzverletzungen durch Auftragsverarbeiter.

Breites Themenspektrum

Neben den Vorgängen, die im Zusammenhang mit der Pandemie standen, bearbeitete die Behörde eine große Vielfalt an weiteren Datenschutzthemen: Hingewiesen werden soll hier auf die Videoüberwachung durch Privatleute (2.2.6), den Einsatz einer
Lernplattform mit künstlicher Intelligenz in der Schule (2.1.2), Internetveröffentlichungen von Wettkampfergebnissen im Jugendgolfsport (2.3.2), die biometrische Zutrittskontrolle in einer Freizeiteinrichtung (2.4.2), Stellungnahmen zu Gesetzesentwürfen und Rechtsverordnungen (6.2.7), Gesichtserkennung für die Strafverfolgung durch die Polizei (8.2) u. v. m.

Bezug des Tätigkeitsberichts 2021

Der Bericht der Sächsischen Datenschutzbeauftragten kann über den
zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de

(Quelle: https://www.saechsdsb.de/images/stories/sdb_inhalt/Pressearbeit/20220524_PM_Taetigkeitsbericht_2021.pdf)

Quelle: https://svdd.de/mitteilung/S%C3%A4chsische_Datenschutzbeauftragte%3A_T%C3%A4tigkeitsbericht_2021_ver%C3%B6ffentlicht_-_Hoher_Beratungsbedarf_und_Anstieg_bei_gemeldeten_Datenpannen

Sächsischer Verband für Datenschutz und Datensicherheit e.V.

Wiener Straße 80a
01219 Dresden

Telefon: 0351 424 739-66
Telefax: 0351 424 739-60


E-Mail:

Diese Website nutzt unter anderem Cookies, um die Website nutzerfreundlich zu gestalten.
Tracking-Dienste, wie z.B. Google Analytics werden bei uns nicht eingesetzt. Detaillierte Informationen zu den verwendeten Cookies und Technologien finden Sie im Datenschutzhinweis.