Montag, 15. Juni 2020

Hinweise zur Dokumentation einer ordnungsgemäßen Verarbeitung personenbezogener Daten

Text als PDF-DokumentMit Datum des 31.12.2018 ist die „Landesverordnung über die Sicherheit und Ordnungs­mäßigkeit automatisierter Verarbeitung personenbezogener Daten“ (Daten­schutz­ver­ordnung, DSVO) vom 05.12.2013, GVOBl. 2013 S. 554, außer Kraft getreten. Von der Ermäch­tigung in § 7 Abs. 2 LDSG zum Erlass einer Nachfolgeverordnung hat die Landes­regierung bisher keinen Gebrauch gemacht.

Zur Erleichterung der Erstellung der erforderlichen Dokumentationsunterlagen zur Um­set­zung der Datenschutzgrundverordnung (DSGVO) und des Landesdatenschutzgesetzes gibt das Unabhängig Landeszentrum für Datenschutz die nachfolgenden Hinweise. Sie sind in ihrer Struktur an die bisherigen Regelungen der DSVO angepasst.

"Hinweise zur Dokumentation einer ordnungsgemäßen Verarbeitung personenbezogener Daten" vollständig lesen
Mittwoch, 3. Juni 2020

6: Konferenzpapiere

Protokoll 38. Konferenz der Informationsfreiheitsbeauftragten am 3. Juni 2020 (Videokonferenz)

Beginn: 3. Juni 2020, 10.00 Uhr
Ende: 3. Juni 2020, 15.45 Uhr

Teilnehmende:

  • Herr Prof. Kelber, BfDI
  • Herr Gronenberg, BfDI
  • Herr Dr. Brink, Baden-Württemberg
  • Frau Groß, Baden-Württemberg
  • Frau Dr. Sommer, Bremen
  • Herr Prof. Dr. Caspar, Hamburg
  • Frau Grethel, Saarland
  • Herr Müller, Mecklenburg-Vorpommern
  • Frau Schäfer, Mecklenburg-Vorpommern
  • Frau Katernberg, Nordrhein-Westfalen
  • Herr Prof. Dr. Kugelmann, Rheinland-Pfalz
  • Herr Müller, Rheinland-Pfalz
  • Herr Mack, Rheinland-Pfalz
  • Herr Dr. von Bose, Sachsen-Anhalt
  • Frau Hansen, Schleswig-Holstein
  • Herr Krasemann, Schleswig-Holstein
  • Frau Göhring, Thüringen
  • Herr Fellmann, Thüringen
  • Herr Prof. Dr. Ronellenfitsch, Hessen
  • Herr Dr. Piendl, Hessen
  • Frau Dalle (Protokoll), Hessen
  • Frau Sagel (Protokoll), Hessen

Referent:

  • Herr Barton, Regierungspräsidium Darmstadt
"Protokoll 38. Konferenz der Informationsfreiheitsbeauftragten am 3. Juni 2020 (Videokonferenz)" vollständig lesen
Montag, 1. Juni 2020

Infektionsschutz-Regelung: Datenschutz bei der Erhebung von Kontaktdaten – Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert

Die Corona-Bekämpfungsverordnung wird fortlaufend aktualisiert. Die zurzeit gültige Fassung  ist am  20.09.2021 in Kraft getreten. Ihr Gültigkeit wurde am 13.10.2021 verlängert; sie gilt zunächst bis zum 14.11.2021. Aus Gründen des Gesundheitsschutzes zur Bekämpfung der Pandemie des Coronavirus-SARS-CoV-2 müssen mittlerweile nur an ganz wenigen Stellen sogenannte Kontaktdaten erhoben werden. Betroffen sind derzeit Einrichtungen der Pflege. Eine Regelung seit dem 29.06.2020 ist, dass die Angabe von vorsätzlich falschen Kontaktdaten nun eine Ordnungswidrigkeit darstellt.

Aktualisiert am 18. Oktober 2021

"Infektionsschutz-Regelung: Datenschutz bei der Erhebung von Kontaktdaten – Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert" vollständig lesen
Montag, 4. Mai 2020

Warnung vor Corona-SPAM

Die Corona-Pandemie wird mittlerweile auch als Vorwand für Phishingkampagnen und Betrugsversuche verwendet.

So sind derzeit E-Mails im Umlauf, die vermeintlich von Behörden und Banken, u.a. von der Investitionsbank Schleswig-Holstein, versendet werden. Sie fordern die Empfänger auf, Daten  (u.a. mittels eines  pdf-Formulars) zu Kontrollzwecken per E-Mail an die Behörden bzw. Banken zu übersenden.
 

"Warnung vor Corona-SPAM" vollständig lesen
Mittwoch, 29. April 2020

2: Pressemitteilungen

Plötzlich Videokonferenz - und der Datenschutz? Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert

Die Kontakteinschränkungen aufgrund der Corona-Pandemie halten an. Das bedeutet für viele Unternehmen und Behörden, dass berufliche Besprechungen in Form von Video- oder Telefonkonferenzen abgehalten werden. Auch in Bildungseinrichtungen, in persönlichen Beratungen oder Betreuungen und in Ehrenämtern werden Videokonferenzen eingesetzt. Auf was muss man achten, um dabei die Datenschutzanforderungen zu erfüllen?

"Plötzlich Videokonferenz - und der Datenschutz? Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert" vollständig lesen
Donnerstag, 23. April 2020

2: Pressemitteilungen

Contact Tracing *with* Privacy by Design - Take the chance now!

English Translation of press-release
Contact Tracing *mit* Datenschutz by Design - jetzt die Chance nutzen

The Independent Centre for Data Protection Schleswig-Holstein (ULD) has been advocating “data protection by design” for decades. Until now, concepts for innovative data protection technology were mainly found in academic papers. Even though the General Data Protection Regulation calls for “data protection by design”, relevant concepts have rarely found their way into practice. When it comes to a so-called “Contact Tracing App”, “data protection by design” is possible - and essential.

"Contact Tracing *with* Privacy by Design - Take the chance now!" vollständig lesen
Donnerstag, 23. April 2020

2: Pressemitteilungen

Contact Tracing *mit* Datenschutz by Design - jetzt die Chance nutzen

English Translation

„Datenschutz by Design“ – dafür setzt sich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) seit Jahrzehnten ein. Bisher waren Konzepte für innovative Datenschutztechnik hauptsächlich in akademischen Papieren zu finden. Obwohl die Datenschutz-Grundverordnung „Datenschutz durch Technikgestaltung“ fordert, finden die Ideen bisher nur selten den Weg in die Praxis. Für die Contact-Tracing-App ist „Datenschutz by Design“ möglich – und auch nötig.

"Contact Tracing *mit* Datenschutz by Design - jetzt die Chance nutzen" vollständig lesen
Donnerstag, 9. April 2020

IT-Sicherheit auch in Krisenzeiten wichtig!

Bei den sich derzeit überschlagenden Ereignissen in der Corona-Pandemie treten Viren für die IT-Infrastruktur (Trojaner, Schadcode, Malware) schnell in den Hintergrund.

Dennoch ist es wichtig, auf die praktischen Aspekte der IT-Sicherheit zu achten – nichts könnten beispielsweise Krankenhäuser und Arztpraxis weniger gebrauchten als eine Infektion der Computer mit Schadsoftware, die den IT-Betrieb für Tage lahmlegt.

Ein praktisches Problem besteht darin, dass viele Dokumente schnell per E-Mail ausgetauscht werden. Dabei gibt es unkritische Dateiformate, aber auch solche, die Schadcode beinhalten können. Daher wurden im Rahmen der Emotet-Welle verstärkt gefährlichen Dateiformate herausgefiltert (etwa Dateien mit Makros), von Hand nachbearbeitet (kontrolliert, ggf. weitergegeben) oder sogar vollständig blockiert. Dies erfolgt meist pauschal am zentralen E-Mail-Eingang – unabhängig von Absenderadressen.

Weil Dokumente häufig zeitkritisch sind, werden sie jetzt teilweise wieder ungeprüft zugestellt oder wichtige Dokumente kommen wegen der notwendigen Prüfung verspätet an. Beides ist zu vermeiden.

Ein Beitrag zur Lösung des Problems ist, Dateien im richtigen Datenformat zu versenden. Dabei ist es zunächst wichtig zu verstehen, welche Unterschiede die Formate mit sich bringen. Sogenannte offene Formate wie .docx, .xlsx oder .odt enthalten bearbeitbare Dokumente. Wer eine solche Datei empfängt, kann sie zumeist problemlos bearbeiten. Häufig ist dies erwünscht oder sogar notwendig. Offene Dateien können jedoch oftmals auch problematische Inhalte wie Makros oder Scripte enthalten, also kleine Programme, die mitunter schadhafter Natur sein können. Daher werden sie teilweise automatisiert herausgefiltert.

Geschlossene Dateiformate wie .pdf bieten stark eingeschränkte Bearbeitungsmöglichkeiten und sind als Papier-Ersatz gedacht. Hier können sich auch weniger Schadfunktionen verbergen.

Vor diesem Hintergrund gibt es – je nach Anwendungszweck – mehr oder weniger geeignete Dateiformate.

  • Wenn Dateien nur Informationen (wie etwa Pressemitteilungen) transportieren, aber nicht weiterverarbeitet werden sollen, sind Dateiformate wie .pdf geeignet. Sie können mit typischer Bürokommunikationssoftware (z. B. MS Office, LibreOffice) direkt erzeugt werden (beim Speichern das Datenformat "pdf" wählen, oder als "pdf exportieren") – dies sind nur wenige Mausklicks.
    [Hinweis: Ebenso wie in Word-Dokumenten können in solchen PDF-Dateien weiterhin Metadaten enthalten sein, etwa Autorennamen, Überarbeitungen, Uhrzeiten, Versionsverläufe etc. Sie sind daher unter Umständen nicht für eine unmittelbare Veröffentlichung, etwa auf Webseiten, geeignet, sondern müssen entsprechend nachbearbeitet werden.]
  • Auch aus pdf-Dateien lässt sich Text wieder extrahieren – wer wenige Zeilen Text aus empfangenen Dokumenten kopieren muss, benötigt dafür keine Word/Writer-Datei.
  • Sollen die Empfangenden Dateien weiterverarbeiten und zurücksenden (etwa Ergänzungen vornehmen, Einträge hinzufügen, etc.), kann ebenfalls das PDF-Format geeignet sein. Anmerkungen lassen sich mit entsprechenden PDF-Betrachtern bereits in normalen PDF-Dokumenten hinterlassen. Sollen größere Datenmengen abgefragt werden, sind PDF-Formulare sinnvoll.
  • E-Mails als solche sind auch "bearbeitbar", etwa wenn es sich um Ergänzungen im Text handelt, die in eine Antwort eingefügt werden können. Angänge sind dann nicht erforderlich.
  • Vermieden werden sollten Dateien mit Makros, da solche Dateien aus gutem Grund herausgefiltert werden oder die Nutzung von Makros schlicht technisch unterbunden wird. Auch Tabellen lassen sich, wenn es nicht um automatische Auswertungen geht, in unkritischen Dateiformaten wie .csv abspeichern.
  • Sollte der Einsatz von Makros oder Scripten aus funktionalen Gründen notwendig sein, sollten der Einsatz und die zu treffenden Schutzmaßnahmen zwischen Absender und Empfänger abgesprochen werden (etwa Speicherung und Ausführung empfangener Dateien in bestimmten Unterordnern, Software-Signaturen, Passwortschutz von Dateien).
  • Alternativ zur E-Mail können auch gesicherte Datenaustauschportale (der Absendenden, der Empfangenden oder von ihnen beauftragter vertrauenswürdiger Dienstleister) genutzt werden, bei denen Dateien nach Nutzerüberprüfung per Upload/Download übertragen werden, etwa über Webportale: In diesem Fällen ist es unwahrscheinlich, dass es einem Angreifer gelingt, Dateien mit Schadcode dort abzulegen.
Freitag, 3. April 2020

6: Konferenzpapiere

Datenschutz-Grundsätze bei der Bewältigung der Corona-Pandemie

Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Die Corona-Pandemie stellt eine der größten Bewährungsproben für die europäischen Gesellschaften seit Jahrzehnten dar. Alle Mitgliedstaaten der Europäischen Union haben gegenwärtig extreme Herausforderungen zu bewältigen, um die Gesundheit ihrer Bevölkerung zu gewährleisten. Angesichts der bereits getroffenen Maßnahmen wird gleichzeitig der Wert der Freiheitsrechte erlebbar, zu denen auch das Grundrecht auf informationelle Selbstbestimmung gehört.

Entschließung im PDF-Format

"Datenschutz-Grundsätze bei der Bewältigung der Corona-Pandemie" vollständig lesen
Freitag, 27. März 2020

2: Pressemitteilungen

Datenschutzbericht für das Jahr 2019: mehr Bewusstsein, mehr Fragen, mehr Datenpannen

38. Tätigkeitsbericht des ULD
Zum Volltext des Berichts

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat diese Woche ihren Tätigkeitsbericht für das Jahr 2019 vorgelegt: Auf knapp 150 Seiten werden die Themen Datenschutz und Informationsfreiheit beleuchtet, Empfehlungen gegeben und Verbesserungen eingefordert. Interessante Fälle dienen als mahnendes Beispiel, wie es die Verantwortlichen nicht machen sollen.

"Datenschutzbericht für das Jahr 2019: mehr Bewusstsein, mehr Fragen, mehr Datenpannen" vollständig lesen