Wiesbadener-Kreis

Mit Datum 17. Juni 2021 wurde das neue Gesetz zur Förderung der Betriebsratswahlen und der Betriebsratsarbeit in einer digitalen Arbeitswelt (Betriebsrätemodernisierungsgesetz) im Gesetzblatt verkündet. Es gilt seit dem 18.06.2021.

https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*[@attr_id=%27bgbl121s1762.pdf%27]#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1762.pdf%27%5D__1624259636403

Hierin wurden einige gerade auch für den Datenschutz bedeutsame Änderungen beschlossen, die insbesondere das Betriebsverfassungsgesetz betreffen und damit für Unternehmen und Ihre Betriebsräte von erheblicher Bedeutung sind.

Direkt oder indirekt auch für den Datenschutz und die Informationssicherheit von Bedeutung sind Änderungen hinsichtlich der Stärkung von Rechten des Betriebsrates beim Einsatz von künstlicher Intelligenz, der Mitbestimmung bei der inhaltlichen Ausgestaltung von mobiler Arbeit, der Unterzeichnung von Betriebsvereinbarungen in elektronischer Form per elektronische Signatur und der Möglichkeit unter bestimmten Voraussetzungen zukünftig auch dauerhaft Betriebsratssitzungen per Videokonferenz durchzuführen.

Eingefügt wurde ein neuer § 79 a BetrVG, auf den wir hier im Wesentlichen eingehen wollen.

Hierin heißt es unter der Überschrift Datenschutz:

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften. Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.

Das Thema Datenschutz im Betrieb wird zwischen den Betriebsparteien dadurch weiter aufgewertet und ist nun mit einer eigenen Norm zentraler Bestandteil des BetrVG.

Welche Fragen werden hier konkret angesprochen, bzw. welche Konsequenzen ergeben sich aus den Änderungen?

1. Wer ist verantwortlich für die Umsetzung des Datenschutzes im Unternehmen und damit Adressat von Rechten und Pflichten?

Die Regelung im neuen § 79 a BetrVG ist hochaktuell und bedeutsam, entscheidet Sie doch einen Streit darüber, ob der Betriebsrat als eigene verantwortliche Stelle verpflichtet ist den Datenschutz umzusetzen. Wäre dies der Fall, müsste er sämtliche Regelungen der EU-Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) für seine Tätigkeit umsetzen und dokumentieren. Er müsste z. B. ein eigenes Verarbeitungsverzeichnis führen, Auskunftsansprüche und weitere Betroffenenrechte persönlich erfüllen, Meldungen bei Datenschutzverletzungen gegenüber der Behörde abgegeben, er wäre Adressat von gegen ihn gerichteten Ansprüchen, z. B. auf Schadenersatz seitens betroffener Personen.

Die neue Regelung besagt nunmehr eindeutig, dass verantwortlich im Sinne der datenschutzrechtlichen Vorschriften allein der Arbeitgeber, also das Unternehmen ist, was auch die Datenverarbeitungen des Betriebsrates einschließt.

Diese Klarstellung des Gesetzgebers ist auf jeden Fall begrüßenswert, weil dadurch eine Klärung der sowohl für den Betriebsrat als auch für den Arbeitgeber praktisch relevanten Frage der Datenschutzorganisation herbeigeführt wurde.

Die Entscheidung des Gesetzgebers gegen eine eigene Verantwortlichkeit des Betriebsrates ist nachvollziehbar, da der Betriebsrat, auch wenn er in seinem Bereich über eigene Rechte und eine gewisse Selbstständigkeit verfügt, Teil des Gesamtunternehmens und damit eine unternehmensinterne Stelle ist. Nach Außen hin trägt dann auch das Unternehmen bzw. die Unternehmensleitung die Gesamtverantwortung.

2. Was gilt für den Betriebsrat beim Datenschutz?

Auch der Betriebsrat muss, wenn auch nicht als Verantwortlicher, selbstverständlich den Datenschutz einhalten. Der neue § 79 a BetrVG weist auch ausdrücklich darauf hin, in dem es heißt:

Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.

Insbesondere darf der BR nur dann personenbezogene Daten verarbeiten, sofern das zur Erfüllung seiner Aufgaben, insbesondere nach dem Betriebsverfassungsgesetz, erforderlich ist. Er muss personenbezogene Daten durch technische und organisatorische Maßnahmen vor unbefugten Zugriff schützen. Er muss sich über grundsätzliche Dinge zur Umsetzung des Datenschutzes, angefangen von der rechtmäßigen Erhebung bis zur Löschung der Daten, in seinem Bereich Gedanken machen.

Auch für seine praktische Tätigkeit ist das wichtig, wie ein Beispiel aus der Rechtsprechung zeigt. So können Auskünfte über sensible Informationen, die dem BR nach dem Gesetz zustehen, durch den Arbeitgeber verweigert werden, sofern es beim Betriebsrat an angemessenen Maßnahmen zum Schutz dieser Daten fehlt (BAG, Beschluss v. 09.04.2020, 1 ABR 51/17).

Unabhängig davon erwarten natürlich auch die Kolleginnen und Kollegen vom Betriebsrat, dass dieser vertrauliche Informationen angemessen schützt und gesetzeskonform verarbeitet.

Darüber hinaus gibt es weitere Tätigkeiten auf die sich Arbeitgeber und Betriebsräte im Datenschutz einzustellen haben, dazu siehe nachfolgend.

3. Wie setzt man den Datenschutz im Betrieb und beim Betriebsrat um?

Hierzu heißt es im neuen § 79 a BetrVG:
Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Es wird ausdrücklich klargestellt, dass sich Arbeitgeber und Betriebsrat hier gegenseitig unterstützen. Doch wie kann eine gegenseitige Unterstützung in der Praxis aussehen? Hierzu sagt das Gesetz konkret leider nichts. Allerdings lassen sich aus den allgemeinen gesetzlichen Vorschriften sowie aus der Gesetzesbegründung doch einige Dinge herausstellen.

Hierzu gehört sicherlich der Abschluss von Betriebsvereinbarungen durch die Betriebsparteien, in denen die automatisierte Verarbeitung von personenbezogenen Daten von Beschäftigten durch Informations- und Kommunikationstechnik (IuK) im Unternehmen ausdrücklich unter Beachtung des Datenschutzes geregelt werden.

Punkte, die in der Gesetzesbegründung ausführlich genannt werden, sind:

• Unterstützung des Betriebsrates bei der Erstellung eines Verarbeitungsverzeichnisses. Der Betriebsrat ist nicht verpflichtet ein Verarbeitungsverzeichnis zu führen, wohl aber der Arbeitgeber als Verantwortlicher, hierzu zählt dann aber auch die Verarbeitungstätigkeit des Betriebsrates.
• Unterstützung des Betriebsrates im Rahmen der Auskunftserteilung sowie der Umsetzung weiterer Betroffenenrechte. Auskunftspflichtig ist der Arbeitgeber, sofern sich die Auskunft auch auf Daten des Betriebsrates bezieht, ist er auf dessen Unterstützung angewiesen, damit das verantwortliche Unternehmen binnen Monatsfrist antworten kann.
• Unterstützung des Arbeitgebers bei der Anschaffung von angemessenen Betriebsmitteln zum Schutz von personenbezogenen Daten im Betriebsratsbüro

Es gibt noch viele weitere Punkte, z. B.

• Datenschutzverletzungen, die beim Betriebsrat passieren, müssen innerhalb einer sehr kurzen Frist an den Arbeitgeber gemeldet werden, damit dieser binnen 72 Stunden seiner Meldepflicht an die Behörde nachkommen kann.

Man sieht hier gibt es eine Menge Schnittstellen, die zwischen Arbeitgeber (Unternehmen) und Betriebsrat zu beachten sind und in praktischer Art und Weise gehandhabt werden müssen.

Es dürfte sich empfehlen Betriebsvereinbarungen oder zumindest Regelungen zu treffen welche die bestehenden Verpflichtungen, die sich aus der DSGVO und dem BetrVG ergeben, sowie konkrete Maßnahmen zur Umsetzung der gegenseitigen Unterstützungspflichten enthalten sollten. Bestenfalls enthalten diese auch etwas zur Kontrolle bzw. Unterstützung durch den betrieblichen Datenschutzbeauftragten. Dazu nachfolgend mehr.

4. Was kann/soll der Datenschutzbeauftragte tun?
a. Kontrollpflicht des Datenschutzbeauftragten beim Betriebsrat?

Nicht ausdrücklich im neuen § 79 a BetrVG geregelt ist, die nach wie vor kontrovers diskutierte Frage, ob der Datenschutzbeauftragte zur Kontrolle des Betriebsrates berechtigt und verpflichtet ist. Das Gesetz enthält keine konkreten Hinweise, die das Verhältnis zwischen Betriebsrat, Arbeitgeber und Datenschutzbeauftragten unter Berücksichtigung der Unabhängigkeit des BR ausdrücklich beschreiben. Wohl hat sich der Gesetzgeber hierzu aber einige Gedanken gemacht.

Angesichts der Gesamtverantwortlichkeit des Unternehmens für den Datenschutz einschließlich verschärfter Sanktions- und Haftungsregelungen der neuen DSGVO besteht natürlich ein erhebliches Interesse des Arbeitgebers daran, dass der Betriebsrat den Datenschutz bei sich bestmöglich umsetzt und das auch durch den DSB kontrolliert wird.

Außerdem ist der Betriebsrat lediglich Teil der verantwortlichen Stelle ist und der Datenschutzbeauftragte hat den Datenschutz im gesamten Unternehmen nach Art 39 Abs. 1 b) DSGVO ohne Ausnahme zu überwachen hat. Auch der Gesetzgeber scheint davon auszugehen, wenn es in der Gesetzesbegründung zu § 79 a BetrVG heißt:

„Die Stellung und die Aufgaben des Datenschutzbeauftragten richten sich nach der Datenschutz-Grundverordnung (Artikel 38 und 39) und bestehen somit auch gegenüber dem Betriebsrat als Teil der verantwortlichen Stelle“.

Andererseits ist die nach dem Betriebsverfassungsgesetz und die darauf basierende Rechtsprechung des Bundesarbeitsgerichts (BAG, Beschl. v. 11.11.1997 – 1 ABR 21/9) zu bedenken. Diese lehnte eine Kontrollpflicht des Datenschutzbeauftragten beim Betriebsrat aufgrund der nach dem Betriebsverfassungsgesetz garantierten Unabhängigkeit des Betriebsrats und der nach Auffassung des BAG nicht neutralen Position des Datenschutzbeauftragten seinerzeit ab und mahnte eine gesetzliche Regelung zu der Thematik an.

• 79 a BetrVG beinhaltet nunmehr ausdrücklich auch Verschwiegenheitspflichten des Datenschutzbeauftragten gegenüber dem Arbeitgeber, deren fehlen ein Kritikpunkt in der seinerzeitigen BAG Entscheidung war.

So heißt es:

Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.

Der Datenschutzbeauftragte kann, auch wenn er organisatorisch dem Unternehmen und der Leitung gegenüber verantwortlich ist („Stabsstelle“), auch im Bereich des Betriebsrates vertraulich tätig sein.

Vertraulich zu behandeln sind neben konkreten Anfragen von Betriebsratsmitgliedern zu datenschutzrechtlichen Angelegenheiten nunmehr auch Informationen in Bezug auf die Meinungsbildung im Gremium zu datenschutzrechtlichen Fragen. Hier könnte es sich z. B. um Beschlüsse handeln aber auch um sonstige Meinungsäußerungen, die erkennbar für den Datenschutzbeauftragten vertraulichen Charakter haben.

Was letztlich genau unter dem Punkt „Meinungsbildungsprozess des Betriebsrates“ fällt führt das Gesetz nicht im Einzelnen auf. Gleichwohl dürfte dies aber eine Grundlage für die vertrauensvolle Zusammenarbeit mit dem Datenschutzbeauftragten darstellen.

Ob zukünftig eine gesetzliche Kontrollpflicht- bzw. Berechtigung des Datenschutzbeauftragten gegenüber dem Betriebsrat anzunehmen ist und sich die Rechtsprechung des BAG demnächst ändert bleibt abzuwarten. Zumindest der Gesetzgeber scheint hiervon aber auszugehen, leider beschreibt er das Verhältnis des Datenschutzbeauftragten zum Betriebsrat aber im Gesetz selber nicht eindeutig.

b. Unterstützung des Betriebsrates durch den Datenschutzbeauftragten

Unabhängig von juristischen Spitzfindigkeiten sollte man die Angelegenheit im Interesse beider Betriebsparteien allerdings pragmatisch angehen, denn die Unterstützung des Betriebsrates durch den betrieblichen Datenschutzbeauftragten ist auf jeden Fall sinnvoll und geboten.

Zur Umsetzung des Datenschutzes wird der Betriebsrat aufgrund eigener Expertise auch unter Berücksichtigung von Schulungen nur bedingt in der Lage sein. Der Datenschutzbeauftragte hat außerdem den Überblick über die Umsetzung des Datenschutzes für das gesamte Unternehmen und kann dafür sorgen, dass man hier entsprechend abgestimmt und einheitlich agiert.

Der Gesetzgeber weist in seiner Gesetzesbegründung zum neuen § 79 a BetrVG ausdrücklich darauf hin, dass der BR sich der Unterstützung des betrieblichen Datenschutzbeauftragten bedienen kann und falls erforderlich sogar soll. Arbeitgeber, Betriebsräte und Datenschutzbeauftragte sollten daher die Unterstützung und Beratung des Betriebsrates bei der Umsetzung der DSGVO als festen Bestandteil des betrieblichen Datenschutzmanagements betrachten und regelmäßig zusammen kommen bzw. Termine vereinbaren.

Die Prüfung und Etablierung von angemessenen technischen und organisatorischen Maßnahmen, das Erstellen eines Verarbeitungsverzeichnisses, die weiteren Unterstützungspflichten des Betriebsrates bei den Betroffenenrechte werden ohne Mithilfe des betrieblichen Datenschutzbeauftragten nur schwer umsetzen sein. Soweit der Betriebsrat ggf. Ängste hat, dass Internas bei der Meinungsbildung zu datenschutzrechtlichen Themen an den Arbeitgeber herangetragen werden könnten, bestehen Vertraulichkeitspflichten.

5. Ausblick

Das Thema Datenschutz wird auch weiterhin im Fokus stehen und gerade das Verhältnis Arbeitgeber zum Betriebsrat wird verstärkt in den Blickpunkt genommen werden. Dazu wird auch der neue § 79 a BetrVG beitragen. Dabei liegt die Beachtung des Datenschutzes sowohl im Interesse des Arbeitgebers als Verantwortlicher als auch im Interesse des Betriebsrates als Teil des Verantwortlichen. Die Betriebsparteien werden daher auch auf diesem Gebiet, wie es im Betriebsverfassungsgesetz an anderer Stelle heißt vertrauensvoll zusammen arbeiten müssen und sich gegenseitig unterstützen.

Dabei spielt auch der Datenschutzbeauftragte eine zentrale Rolle. Andernfalls werden Arbeitgeber und Betriebsrat die jeweils bestehenden Verpflichtungen, die sich aus der DSGVO und dem BDSG sowie aus dem BetrVG ergeben nicht zufriedenstellend umsetzen können.

Hier gibt es noch viel zu tun. Ihr Datenschutzbeauftragter unterstützt Sie auf diesem komplexen Aufgabenfeld.

Jörg Conrad
Datenschutzbeauftragter/Fachanwalt für Arbeitsrecht
GINDAT GmbH

Die EU plant mit dem Digital Markets Act (DMA) neue Regelungen für digitale Märkte. Apple-Konzern-Chef Tim Cook kritisiert in einem Interview, dass dadurch Sicherheitslücken und Datenschutzrisiken entstehen, denn durch die neuen Vorgaben wären sie gezwungen, andere App Stores auf dem iPhone zu erlauben.

Laut eigener Aussage prüft Apple alle Apps und Updates im eigenen Store auf Datenschutzkonformität und betrügerische Absichten. Apps, die aus anderen Quellen bezogen werden (auch bekannt als Sideloading), sind von diesen Sicherheitsmaßnahmen natürlich ausgeschlossen.

Allerdings wird Apple auch vorgeworfen, dass es Spam-Apps, den Sicherheitsvorkehrungen zum Trotz, immer wieder in den Store schaffen.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/app-store-apple-warnt-vor-folgen-von-eu-digital-regeln-2106-157573.html

Etwas erstaunt mussten wir feststellen, dass die Datenschutzbehörde Niedersachsen scheinbar ein neues Geschäftsmodell zur Refinanzierung Ihrer Behörde gefunden hat.

Im Zusammenhang mit der kritischen Sicherheitslücke von selbst gehosteten Exchange-Servern im März diesen Jahres 2021, bei der mehrere tausend Server allein in Deutschland betroffen waren, wurde einer Verantwortlichen Stelle nun nach Abschluss des Ermittlungsverfahrens ein Kostenfestsetzungsbescheid zugestellt.

Sachverhalt: Was steckte dahinter

Wie bei den vielen tausend anderen Servern in Deutschland auch war auf den Servern des Unternehmens durch die Sicherheitslücke der Microsoft-Software eine Webshell eingeschleust worden. Hierdurch war es Hackern potentiell möglich auf sämtliche auf dem Server gespeicherten Daten zuzugreifen, ohne dass dies zwingend entdeckt hätte werden können. Auf dem Exchange-Server läuft die E-Mail-Kommunikation des gesamten Unternehmens zusammen, so dass darunter fast zwangsläufig eine Vielzahl sensibler Informationen zu finden sind. Nach der Datenschutzgrundverordnung (DSGVO) sind Unternehmen dazu verpflichtet, eine Meldung bei der Datenschutzbehörde einzureichen, wenn eine Sicherheitsverletzung zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt.

Folgerichtig hat die Datenschutzbehörde Niedersachsen, wie die meisten anderen Länderbehörden auch, in einer Pressemitteilung ausdrücklich auf die Meldepflicht hingewiesen.

https://lfd.niedersachsen.de/startseite/themen/wirtschaft/kompromittierte-exchange-server-meldepflichtig-198287.html

Die Landesbeauftragte für den Datenschutz Niedersachsen_Meldung Datenschutzverletzung Kostenbescheid geschwärzt

Analogie Einbruchdiebstahl:

Vergleichen lässt sich der Vorfall mit einem Einbruchdiebstahl. Stellen Sie sich vor, in Ihr Unternehmen würde eingebrochen werden. Um potentielle Täter zu ermitteln, erstatten Sie Anzeige bei der Polizei. Ohne dass bei dem Ermittlungsverfahren irgendein eigenes Verschulden Ihrerseits nachgewiesen werden kann, erlässt die Polizeibehörde nach Abschluss des Verfahrens einen Kostenbescheid gegen Sie, da Sie ja die Anzeige erstattet haben.

Einziger Unterschied zu dem virtuellen Einbruch ist, dass Sie anders als bei dem digitalen Einbruch nicht verpflichtet gewesen wären, den Einbruch bei der Polizei zur Anzeige zu bringen. „Doppeltes Pech“ scheint sich die Behörde da wohl zu denken.

Rechtliche Einschätzung:

Gestützt wird der Kosten-Bescheid auf

§ 1, 3 und 5 Niedersächsisches Verwaltungskostengesetz. Hiernach können demjenigen Kosten auferlegt werden, der dafür Anlass gegeben hat. Eine Begründung dafür, inwiefern das Unternehmen hierzu Anlass gegeben hat, fehlt dem Bescheid leider gänzlich.

Die zugrunde liegenden „Sensibilisierungsmaßnahmen“ (Art. 57 Abs. 1 lit. d DSGVO), als die sich der Bescheid kleidet, bestehen aus allgemeinen Platzhaltern, die sich in keiner Weise mit den konkreten Begebenheiten des Sachverhalts auseinandersetzt und so auch auf jeder Webseite als allgemeine Hinweise gefunden werden könnten.

Fazit:

Die Meldepflicht von Datenschutzverletzungen steht ohnehin immer mal wieder in der verfassungsrechtlichen Kritik, da hierdurch in gewissem Maße verpflichtend gefordert wird, eine Selbstbezichtigung vorzunehmen. Ein solches Vorgehen der Behörde hilft sicherlich nicht dabei, diese Bedenken auszuräumen.

Sollte ein eigenes Verschuldenselement der verantwortlichen Stelle gefunden werden, ist der Sachverhalt ggf. noch einmal anders zu bewerten. Um noch einmal die Analogie zu bemühen: so zum Beispiel, wenn ein Hausbesitzer seine Tür offen stehen lässt, und damit erst den Anreiz für Einbrecher schafft. Dies wurde im zugrunde liegenden Bescheid allerdings nicht dargelegt. Vergleichbar wäre das Verhalten eher damit, dass sich ein Hausbesitzer ein Sicherheits-geprüftes Schloss einbaut, für das der Hersteller allerdings für alle Schlossbesitzer einheitliche Schlüssel herausgegeben hätte.

Bislang ist dies der erste Sachverhalt, der uns in dieser Art begegnet ist, und wir hoffen, dass dies ein Einzelfall bleiben wird. Sollten Sie selbst einen solchen Bescheid erhalten, empfehlen wir, rechtliche Schritte dagegen zu unternehmen. Unseren Kunden empfehlen wir, sich mit uns zu beraten. Wir werden berichten, wenn sich in dieser Frage neue Entwicklungen ergeben.

Nicole Krause

Juristische Mitarbeiterin der GINDAT GmbH

Das Datenschutzrecht ist so konzipiert, dass Verantwortliche, bevor Sie personenbezogene Daten verarbeiten dürfen, erstmal die Rechtmäßigkeit der Verarbeitung und den Schutz der Daten sicherstellen müssen. Als Folge von diesem Grundsatz sind Verantwortliche gezwungen, auch das Datenschutzniveau bei Dritten, denen sie Daten übermitteln wollen, zu prüfen. Innereuropäisch gelingt das noch recht einfach, da für alle Beteiligten mit der Datenschutz-Grundverordnung (DSGVO) ein einheitliches gesetzliches Rahmenwerk besteht, das den Betroffenen, deren Daten verarbeitet werden, umfassende Schutzmechanismen bietet. Die Durchsetzungskraft dieses Regelwerks endet allerdings weitestgehend an den Grenzen der Europäischen Union, da ausländische Unternehmen erstmal nicht der Hoheit der hiesigen Staatsmacht unterliegen. Die DSGVO hat verschiedene Instrumente geschaffen, um die Überleitung adäquater Schutzmechanismen auch ins internationale Ausland zu bewerkstelligen.

Eine Möglichkeit, den Datenschutz auch im Drittland, also einem Land, das nicht der Europäischen DSGVO unterliegt, sicherzustellen, ist es, das Datenschutzniveau des Empfängerlandes erstmal grundlegend zu prüfen und begutachten. Da dies ein zentrales Thema ist, das viele Unternehmen gleichermaßen betrifft, sieht die DSGVO die Möglichkeit vor, dass die Europäische Kommission stellvertretend für alle den Datenschutz im Empfängerland überprüft und die Angemessenheit des Datenschutzniveaus des Drittlandes durch einen Beschluss feststellen kann. Auf diesen sogenannten Angemessenheitsbeschluss dürfen sich Unternehmen dann grundsätzlich verlassen, so dass diese Prüfung nicht mehr durch jedes Unternehmen einzeln durchzuführen ist.

Angemessenheitsbeschluss:

Ausgangslage Amerika – Sturz des Privacy Shields:

Den Angemessenheitsbeschluss für unseren größten Handelspartner, den USA, hatte der Europäische Gerichtshof (EuGH) im vergangenen Jahr für unwirksam erklärt. Die geläufige Bezeichnung „EU-US-Privacy-Shield“ resultiert aus der in diesem Angemessenheitsbeschluss vorgesehenen Voraussetzung, dass sich das amerikanische Unternehmen, dem die Daten übermittelt werden sollen, dem im amerikanischen Rechtsraum bestehenden Regelwerk des Privacy-Shields freiwillig unterwerfen.

Anlass für die Aufhebung dieses Angemessenheitsbeschlusses waren hauptsächlich die überbordenden, schrankenlosen Überwachungsmöglichkeiten amerikanischer Ermittlungsbehörden ohne Rechtsschutzmöglichkeiten für nicht-amerikanische Bürger. Über den Umweg über amerikanische Unternehmen und Dienstleister hat sich der Staat einen Weg geschaffen – jenseits von irgendwelchen internationalen Rechtshilfe- oder Auslieferungsabkommen – massenhaft und anlasslos Daten von Menschen weltweit einzusehen und zu nutzen. Diese Handhabung entspricht nicht dem Europäischen Verständnis von Datenschutz, insbesondere nicht in der Funktion als Beschränkung hoheitlicher Eingriffsbefugnisse zur Wahrung von Bürgerrechten, und war damit auch nicht vereinbar mit den Grundsätzen der DSGVO.

Seither besteht für Europäische Unternehmen ein erhebliches Rechtsrisiko, amerikanische Dienste zu nutzen. Denn Fakt ist auch, ein Vertrag zwischen zwei Parteien ist nicht in der Lage, Ermittlungstätigkeiten amerikanischer Behörden zu unterbinden. Dadurch haben es Europäische Verantwortliche zu vertreten, wenn sie in Kenntnis der Rechtslage dennoch Daten übermitteln und somit die Betroffenen dem Risiko einer willkürlichen Staatsmacht aussetzen. In der praktischen Folge bedeutet dies, dass ein nicht unerhebliches Haftungsrisiko besteht. Betroffene könnten ggf. Schadensersatzansprüche geltend machen, die Aufsichtsbehörden könnten Unterlassungen und Bußgelder aussprechen.

Letztendlich wird es erst dann wieder einen klaren Rechtsrahmen geben, wenn auf politischer Ebene eine Einigung gefunden wird, so dass ein neuer Angemessenheitsbeschluss erlassen werden kann. Gespräche wurden bereits aufgenommen, der Ausgang der Verhandlungen ist ungewiss.

Technische Schutzmaßnahmen:

Bis dahin sind Europäische Verantwortliche gezwungen, zusätzliche Maßnahmen neben dem Abschluss datenschutzrechtlicher Verträge zu ergreifen.

Ausschließen lässt sich der Zugriff für amerikanische Behörden nur dadurch, wenn dem amerikanischen Unternehmen selbst der Zugriff gar nicht erst möglich ist. Dies könnte in der Gestalt gelöst werden, dass nur verschlüsselte Daten auf amerikanischem Boden landen, wobei der Schlüssel zum Entschlüsseln der Daten nur dem Verantwortlichen selber zur Verfügung steht.

Möglich ist dies natürlich nur bei Empfängern, die die betroffenen Personen zur Erfüllung der Zusammenarbeit nicht kennen müssen. Um ein plakatives (wenn auch etwas abwegiges) Beispiel zu nennen: ein externer Kuvertierdienst ist sinnlos, wenn der Dienstleister nicht den konkreten Empfänger auf den Umschlag drucken kann.

Anders sieht es aus bei reinem Speicherplatz in einem Cloud-Dienst. Die enthaltenen Informationen sind für den Cloud-Anbieter irrelevant. Die Dienstleistung besteht in der reinen Bereitstellung von Speicherplatz. Hierfür ist die Kenntnis der Inhalte nicht notwendig. Bei solcherlei Übermittlungen könnten kurzfristig umzusetzende Verschlüsselungs-Lösungen gefunden werden.

In Software-as-a-Service-Umgebungen, also Software, die innerhalb einer Cloud betrieben wird, dürfte die Verschlüsselung einen erheblichen Programmieraufwand nach sich ziehen, da oftmals die komplette Software-Architektur dafür angepasst werden muss. Soll der Schlüssel ausschließlich beim Auftraggeber liegen, muss der Schlüssel irgendwo in der Hardware des Auftraggebers platziert werden und ein Teil der Rechenleistung auf Client-Seite erfolgen. Die meisten Dienste dürften diesbezüglich noch in den Kinderschuhen stecken, wenn solche Lösungen überhaupt praktikabel umsetzbar gefunden werden können.

Auf lange Sicht ist die Trennung von Inhalten beim Host und Schlüsselverwaltung zur Entschlüsselung der Inhalte in der eigenen IT allerdings der sicherste Ansatz, weswegen es sich lohnt, diesen Ansatz weiterzuverfolgen, sei es bei bestehenden Dienstleistungen, sei es bei künftigen.

Vertragliche Schutzmaßnahmen:

• Gibt es keine europäischen gleichwertigen alternativen Lösungen,
• kann technisch die Übermittlung personenbezogener Daten nicht unterbunden werden und
• besteht kein Angemessenheitsbeschluss der Europäischen Kommission,

können Verantwortliche auf vertraglicher Basis ein Datenschutzniveau vereinbaren, das die Daten der Betroffenen bestmöglich schützt. Es liegt in der Natur der Sache, dass ein zwischen zwei Parteien getroffener Vertrag kein staatliches Handeln regulieren kann, so dass der Schutz nie so effektiv sein kann, als wenn sich die Staaten untereinander auf ein verpflichtend einzuhaltendes Datenschutzniveau geeinigt hätten (festgestellt durch einen Angemessenheitsbeschluss), oder technische Maßnahmen den Zugriff von vorneherein unmöglich machen. Vertragliche Maßnahmen entbinden nicht davon, alle anderen Möglichkeiten (Europäische Anbieter oder technische Maßnahmen) nachweislich zu prüfen und gegeneinander abzuwägen.

Als vertragliche Schutzmaßnahme können vertragliche Regelungen aufgesetzt werden, die im Einzelfall von den Aufsichtsbehörden geprüft und genehmigt werden können: verbindliche interne Datenschutzrichtlinien (Art. 47 DSGVO – binding corporate rules).

Für die meisten Sachverhalte ist es allerdings praktikabler auf vorgefertigte, von der Europäischen Kommission vorab genehmigte Standarddatenschutzklauseln zurückzugreifen. Bereits unter der Geltung der Europäischen Datenschutz-Richtlinie (DS-RL), der Vorläufer zur DSGVO, wurden die sogenannten Standardvertragsklauseln für verschiedene Sachverhaltskonstellationen herausgegeben. Diese wurden zwar durch den EuGH grundsätzlich für zulässig erklärt. Gleichwohl stellte das Gericht fest, dass der Abschluss dieser Vertragsklauseln die Verantwortlichen nicht davon entbindet, eine Prüfung des Datenschutzniveaus im Einzelfall vorzunehmen und bei Feststellungen von Mankos zusätzliche Maßnahmen zu ergreifen.

Als Mankos galten bei der Übermittlung nach Amerika die gleichen Vorwürfe hinsichtlich der staatlichen Eingriffsbefugnisse ohne adäquate Rechtsschutzmöglichkeiten für Betroffene wie auch beim Sturz des Angemessenheitsbeschlusses. Letztlich waren Verantwortliche wieder dazu gezwungen, weitere Maßnahmen, technische wie vertragliche, zu prüfen und umzusetzen.

Umsetzung der neuen Standarddatenschutzklauseln:

In dieser misslichen Lage hat die Europäische Kommission neue Standarddatenschutzklauseln erarbeitet und verabschiedet. Diese treten am 27.06.20201 in Kraft.

Durchführungsbeschluss mit Standardvertragsklauseln im Anhang:

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv%3AOJ.L_.2021.199.01.0031.01.DEU&toc=OJ%3AL%3A2021%3A199%3ATOC

(Die deutsche und englische Version sind für unsere Kunden auch im myGindat-Portal hinterlegt.)

Die bisherigen Standardvertragsklauseln werden mit Wirkung zum 27.09.2021 aufgehoben und dürfen ab diesem Zeitpunkt nicht mehr für Neuverträge oder neue Tätigkeiten verwendet werden. Bereits abgeschlossene Standardvertragsklauseln können bis zum 27.12.2022 weiter genutzt werden, sofern dadurch gewährleistet ist, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt. In aller Regel wird dies bedeuten, dass Sie nach wie vor verpflichtet sein werden, zusätzliche technische oder vertragliche Maßnahmen zu ergreifen. Falls Sie nach dem Urteil bereits Maßnahmen ergriffen haben, die den Datenschutz sicherstellen, können Sie diese Verträge bis dahin weiter nutzen. Sollten Sie nach dem EuGH-Urteil zum Sturz des Privacy Shields noch nicht weiter tätig geworden sein, sollten Sie die neuen Standardvertragsklauseln unverzüglich abschließen, da die Maßgaben des EuGH-Urteils in den neuen Vertragsklauseln bereits berücksichtigt wurden.

Neuerungen in den Standardvertragsklauseln:

Neu ist an den verabschiedeten Standardvertragsklauseln am augenscheinlichsten, dass es nunmehr nur noch ein Vertragswerk gibt, das modular auf alle denkbaren Sachverhaltskonstellationen angewendet werden kann. Folgende Konstellationen können dargestellt werden:

Datenübermittlungen

• von einem Verantwortlichen an einen anderen eigenständig Verantwortlichen,
• von einem Verantwortlichen an einen Auftragsverarbeiter (Dienstleister),
• von einem Auftragsverarbeiter an einen anderen Auftragsverarbeiter, oder
• von einem Auftragsverarbeiter an einen Verantwortlichen im Drittland.

Möglich ist auch der Eintritt in einen bestehenden Vertrag durch eine dritte Partei, z.B. bei Konzernstrukturen.

Inhaltlich sind einige Vorgaben des EuGH Urteils zusätzlich aufgenommen worden.

Verbindlich zu dokumentieren von beiden Parteien ist die Vorab-Prüfung der Rechtmäßigkeit der Rahmenbedingungen der Datenübermittlungen unter Berücksichtigung der folgenden Aspekte:

„

• die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
• die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,
• alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

„

Darüber hinaus wurde eine vertragliche Verpflichtung für den Datenimporteur (also das empfangende Unternehmen im Drittland) aufgenommen, sich quasi stellvertretend für Betroffene gegen hoheitliche Eingriffsmaßnahmen gerichtlich zur Wehr zu setzen, soweit die Maßnahmen nach sorgfältiger Beurteilung durch den Datenimporteur nicht mit völkerrechtlichen Verpflichtungen vereinbar sind. Die bisher bereits üblichen Benachrichtigungspflichten durch den Datenimporteur sind beibehalten worden.

Ausgeweitet hat sich auch die Zuständigkeit europäischer Stellen für die juristische Aufarbeitung. Der Datenimporteur verpflichtet sich stärker als bisher, sich der Europäischen Datenschutzaufsicht und der Europäischen Judikatur zu unterwerfen.

Insbesondere die letzten Punkte dürften schwer zu schlucken sein für amerikanische Dienstleister, bringen diese doch erhebliche praktische Auswirkungen mit sich. Es bleibt abzuwarten, wie sich der Markt weiter entwickeln wird.

Überprüfung durch die Aufsichtsbehörden:

Um diesen Vorgaben zu einer effektiven Durchsetzung zu verhelfen, haben sich mehrere Landesdatenschutz-Behörden zusammengetan und zum 01.06.2021 eine länderübergreifende koordinierte Prüfung internationaler Datentransfers gestartet. Die dafür genutzten Fragebögen können beispielsweise hier nachgelesen werden:

https://datenschutz-hamburg.de/pages/fragebogenaktion/

Die Datenschutzbehörden haben umfassende Ermittlungs- und Abhilfebefugnisse, insbesondere in Art. 58 DSGVO. Stellt die Behörde Verstöße gegen die Datenschutzgrundverordnung fest, kann sie verschiedene Verfügungen aussprechen:

• Unterlassung der Datenübermittlung
• Nachbesserung innerhalb einer Frist
• Bußgelder

Inwiefern die Aufsichtsbehörden von diesen Befugnissen Gebrauch machen werden, ist derzeit nicht bekannt und bleibt abzuwarten. Klar ist allerdings, dass es nicht angeraten ist, die Hände in den Schoß zu legen.

ToDos:

Wir empfehlen zumindest folgende aktuellen ToDos:

• Prüfen Sie Ihre Verarbeitungsprozesse im Hinblick auf Datenübermittlungen in Drittländer (auch Unterauftragsverarbeiter), insbesondere USA
• Prüfen Sie mögliche Alternativen und dokumentieren Sie dies, wenn und warum die Alternativen nicht in Betracht kommen.
• Prüfen Sie mögliche technische Maßnahmen zum Datenschutz und dokumentieren Sie dies. Holen Sie hierzu ggf. die Stellungnahme des Dienstleisters ein.
• Treten Sie mit Ihrem Geschäftspartner in Kontakt, um die neuen Standardvertragsklauseln abzuschließen
• Sprechen Sie den Dienstleister konkret auf die aufgeworfenen Fragen des EuGH Urteils an (Cloud Act und FISA) und bitten um Stellungnahme. Ein Musteranschreiben finden unsere Kunden im myGindat-Portal unter dem Punkt „Auftragsverarbeitung“.

Zur Unterstützung steht Ihnen Ihr Datenschutzbeauftragter zur Seite.

Fazit:

Wir hoffen, dass eine politische Annäherung die derzeit angespannte Lage wieder beruhigen wird. Bis dahin bleiben Rechtsunsicherheiten bestehen. Eines jedenfalls hat die Situation bewirkt: Stärker denn je zeigt die derzeitige Lage, wie stark die europäische Wirtschaft und Politik von amerikanischen Diensten abhängig ist. Wenn diese Situation zu ein wenig mehr Europäischer Datensouveränität führt, hätte das EuGH-Urteil auf jeden Fall etwas bewirkt.

Nicole Krause

als juristische Mitarbeiterin für die GINDAT GmbH

Ab Juli 2021 ist es soweit – unser Upload-Tool findet seinen Platz in Ihrem myGINDAT-Portal.
Damit möchten wir Ihnen den Datenschutz-Alltag noch einfacher machen.

Alle datenschutzrechtlich notwendigen Dokumente, wie bspw. Auftragsverarbeitungsverträge, können Sie jederzeit hochladen und entscheiden selbst, ob nur Sie oder alle angemeldeten Benutzer Ihrer Organisation auf die jeweilige Datei zugreifen können.
Des Weiteren können Sie den Dateinamen, das Thema und die Beschreibung 24 Stunden lang editieren. Danach gelangen die Uploads in unseren Verarbeitungs-Workflow oder bleiben einfach nur dauerhaft in Ihrem Profil gespeichert.

Probieren Sie es gerne aus – wir freuen uns auf Ihr Feedback!

Mittlerweile ist ein neues Gesetzespaket in Kraft getreten, mit dem beleidigende und/oder bedrohende Kommentare jeder Art unter härtere Strafen gestellt werden.

Laut Bundesjustizministerin Christine Lambrecht können Polizei und Justiz nun „sehr viel entschiedener gegen menschenverachtende Hetze vorgehen“. Die neuen Gesetzesänderungen sollen den einzelnen Menschen wie auch die demokratische Gesellschaft als Ganzes schützen. Es soll verhindert werden, dass Menschen für Erscheinung oder Herkunft angegriffen oder aus dem öffentlichen Dialog verdrängt werden.

Folgende Paragrafen des Strafgesetzbuches wurden erweitert/verschärft:

• 241 StGB: Bis zu einem Jahr Freiheitsstrafe oder Geldstrafe für Drohungen mit Verbrechen gegen die sexuelle Selbstbestimmung, körperliche Unversehrtheit, persönliche Freiheit oder Sachen von bedeutendem Wert (z. B. Auto). Bis zu zwei Jahre, wenn die Tat öffentlich begangen wird. Bis zu drei Jahre bei einer öffentlichen Drohung.
• 185 StGB: Bis zu zwei Jahre für öffentliche Beleidigung.
• 188 StGB: Personen des politischen Lebens (auf allen Ebenen) stehen unter besonderem Schutz vor Beleidigungen, übler Nachrede und Verleumdung.
• 140 StGB: Belohnung und Billigung (einschließlich öffentlicher Befürwortung) von schweren Straftaten ist strafbar, unabhängig davon, ob die Tat tatsächlich begangen wurde.
• 126 StGB: Störung des öffentlichen Friedens durch Androhung gefährlicher Körperverletzung oder Vergewaltigung ist jetzt strafbar.
• 46 Abs. 2 StGB: Antisemitisch motivierte Taten sind nun strafschärfend.
• 115 StGB: Personen im ärztlichen Notdienst und in Notaufnahmen werden nun genau wie Rettungskräften im Einsatz besser geschützt.

Ferner werden soziale Netzwerke ab Februar 2022 in die Pflicht gestellt, besonders auffällige Posts an das Bundeskriminalamt, zusammen mit IP-Adresse und Port-Nummer des dazugehörenden Nutzerprofils, zwecks Strafverfolgung weiterzuleiten.

Soziale Netzwerke müssen einen Post melden, wenn er folgendes enthält:

• Propaganda und Kennzeichen verfassungswidriger Organisationen
• Vorbereitung von staatsgefährdenden Gewalttaten sowie Bildung oder Unterstützung von kriminellen/terroristischen Vereinigungen
• Volksverhetzung, Gewaltdarstellungen und Androhung von Straftaten
• Belohnung und Billigung von Straftaten
• Androhungen von Verbrechen gegen Leben, sexuelle Selbstbestimmung, körperliche Unversehrtheit oder persönliche Freiheit
• Kinderpornografie

Weitere Informationen finden Sie hier:

https://www.secupedia.info/aktuelles/gesetzespaket-gegen-hass-und-hetze-ist-in-kraft-getreten-17956

Die Arbeitsgruppe DIG (Datenschutz und IT-Sicherheit im Gesundheitswesen) der GMDS (Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.) hat zusammen mit der GDD (Gesellschaft für Datenschutz und Datensicherheit e. V.) die Praxishilfe „Die datenschutzrechtliche Einwilligung: Freund (nicht nur) des Forschers“ erstellt: https://gesundheitsdatenschutz.org/download/einwilligung_2021.pdf

Die Praxishilfe liefert – primär für den Forschungsbereich – eine aktuelle Hilfestellung wie und warum die Einwilligung zur Verarbeitung personenbezogener Daten vorgenommen wird. Es wird darauf eingegangen was besonders häufig gefragt wird (in einem 30-seitigen FAQ), worauf besonders zu achten ist und was die aktuelle Rechtsprechung sagt.

Weitere Informationen finden Sie hier:

https://www.secupedia.info/aktuelles/datenschutz-neue-praxishilfe-zur-einwilligung-17958

Das Bundesgesundheitsministerium und der Datenschutzbeauftragte Hamburgs, Johannes Caspar, warnen davor, den eignen Impfpass nach einer Coronaschutzimpfung im Internet zu posten.

Grundsätzlich sollten natürlich so wenig wie möglich persönliche Daten (wie etwa Impfungen) online veröffentlicht werden.
Die Daten auf dem Impfpass im speziellem (Termin, Name des Impfstoffes und Chargennummer) ermöglichen es theoretisch jedem, dem Paul-Ehrlich-Institut auf der Website nebenwirkungen.bund.de und der SafeVac-App (falsche) Angaben über die Nebenwirkungen zu senden. Dort werden nämlich nur der Impftermin und die Chargennummer, nicht etwa Namen und Kontaktdaten, abgefragt.

Außerdem lassen die Daten des Impfpasses Rückschlüsse auf eventuelle Vorerkrankungen zu.

Weitere Informationen finden Sie hier:

https://www.golem.de/news/impfkampagne-datenschuetzer-warnen-vor-impfpass-fotos-im-netz-2104-155998.html

Distributed-Denial-of-Service (DDoS) Angriffe sind gezielte Angriffe, die von Cyberkriminellen genutzt werden, um die Server und Webdienste von Unternehmen zum Ausfall zu bringen. Dabei entstehen hohe Ausfallzeiten & damit einhergehende Einnahmeverluste, potenziell in Millionenhöhe.

Ein DDoS-Angriff beginnt, indem Hacker per Internet zugängliche, ungeschützte Geräte infizieren. Diese Geräte, bzw. deren Rechenleistung, werden in einem Botnetz zusammengeführt, welches anfängt, an einen Server (das eigentliche Ziel des Angriffs) mit Anfragen zu überschütten. Der Server wird somit überlastet. Die Anfragen werden stark verteilt, was eine Unterscheidung zwischen falschen und legitimen Anfragen erschwert.

DDoS-Angriffe können Teil von Erpressungsversuchen, Sabotageakte der Konkurrenz oder politisch motivierten Protesten sein. Wirklich verhindern lassen sich solche Angriffe kaum. Entsprechende Maßnahmen können aber zur Schadensbegrenzung beitragen.

Maßnahmen zur Abwehr:

• Schützen Sie Ihre Domänennamen mit Register-Sperren und bestätigen Sie korrekte Domänenregistrierungsdetails wie Kontaktdetails.
• Stellen Sie sicher, dass Ihre Kontaktdetails für Service Provider rund um die Uhr gepflegt werden und dass die Provider wiederum die Kontakte ihrer Kunden pflegen.
• Implementieren Sie eine Verfügbarkeitsüberwachung, die im Falle eines DDoS-Angriffs in Echtzeit Alarm schlägt.
• Trennen Sie Dienste wie Web-Hosting, die häufig ins Visier genommen werden, von anderen Diensten (wie etwa E-Mails).
• Halten Sie eine statische Version Ihrer Website bereit, die mit wenig Bandbreite im Falle eines DDoS-Angriffs eingestellt werden kann.
• Greifen Sie auf Cloud-basiertes Hosting von einem oder mehreren großen Providern zurück, die hohe Bandbreite bereitstellen und deren Netzwerke nicht-dynamische Websites zwischenspeichern.
• Ziehen Sie auch in Erwägung, einen Abschnitt in den Disaster-Recovery-Plan zu integrieren, damit Mitarbeiter im Unternehmen auch während eines Angriffs effizient kommunizieren können.
• Es gibt auch DoS-Services, die Datenverkehr filtern und somit Anomalien aufspüren.

Erste Schritte bei Verdacht eines Angriffs:

• Kontaktieren Sie Ihren Netzwerkadministrator. Klären Sie zuerst, ob Wartungsarbeiten oder Netzwerkprobleme die Ursache sein könnten. Überwachen Sie den Netzwerkverkehr um tatsächliche Angriffe zu bestätigen, die Quelle zu identifizieren und Firewall-Regeln anzuwenden.
• Kontaktieren Sie Ihren Internet-Service-Provider, ob es einen Ausfall gab oder ob der Provider seinerseits das Opfer eines Angriffs wurde.

Weitere Informationen finden Sie hier:

https://www.secupedia.info/aktuelles/wenn-hacker-webseiten-in-die-knie-zwingen-17927

Mit dem kommenden Registermodernisierungsgesetz soll die öffentliche Verwaltung digitalisiert werden. Für den Zweck der Zuordnung wird dann jeder Bürger eine digitale Identifizierungsnummer erhalten – dafür soll die Steuer ID dienen. Auch ein sogenanntes Datenschutzcockpit soll eingerichtet werden, über welches der Bürger mithilfe seiner ID den ihn/sie betreffenden Datenaustausch zwischen öffentlichen Stellen jederzeit verfolgen kann.

Das Gesetz wurde im Januar 2021 beschlossen und im März 2021 vom Bundesrat trotz Warnungen und Kritik abgesegnet.

So gab z. B. die Friedrich-Naumann-Stiftung ein Rechtsgutachten heraus, laut dem die geplanten Schutzmechanismen umgehbar seien – folglich könnten auch die gespeicherten Daten missbraucht werden.

Dass auf diesem Wege Daten aus verschiedenen Lebens- und Verwaltungsbereichen zusammengeführt werden, ist auch verfassungsrechtlich als bedenklich einzustufen. Denn theoretisch ermöglicht das dem Staat die Profilerstellung und damit einhergehende Überwachung der Bürger.

Weitere Informationen finden Sie hier:

https://www.golem.de/news/digitalisierte-verwaltung-gesetz-fuer-buergeridentifikationsnummer-verkuendet-2104-155538.html