Patrick Upmann

Schlagwort: LfDI Baden-Württemberg

  • Datenschutz – Ab dem kommenden Schuljahr ist die Nutzung von MS 365 an Schulen zu beenden 

    Datenschutz – Ab dem kommenden Schuljahr ist die Nutzung von MS 365 an Schulen zu beenden 

    Datenschutz – LfDI erwartet von Schulen, dass sie Schüler_innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten 

    Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink wird in Kürze auf ihm bekannte Schulen zugehen, die den Cloud-Dienst Microsoft 365 (MS 365) oder MS Teams vom Anbieter Microsoft verwenden, sie über seine rechtliche Bewertung zur Nutzung dieses Online-Dienstes informieren und um einen verbindlichen Zeitplan für den Umstieg auf Alternativen bitten. Als Überbrückung bis zu den Sommerferien 2022 erwartet der Landesbeauftragte, dass Lehrer_innen und Schüler_innen Alternativen angeboten werden.

    Datenschutz

    Der Landesbeauftragte wird auf rund 40 Schulen zugehen und individuell den jeweiligen konkreten Einzelfall betrachten. Bei der Suche nach Alternativen berät der Landesbeauftragte die Schulen nicht nur, sondern wirkt gemeinsam mit dem Kultusministerium darauf hin, dass sie ihren Bedürfnissen entsprechend Alternativen nutzen können.

    Der LfDI begleitete und beriet zuvor das Kultusministerium Baden-Württemberg über einen langen Zeitraum in einem intensiven und – 2 – 

    umfangreichen Verfahren zum eventuellen Einsatz von MS 365 an Schulen. Für einen Pilotbetrieb zwischen Herbst 2020 und Frühling 2021 wurde vom Kultusministerium in Zusammenarbeit mit den beteiligten Dienstleistern und hochrangigen Vertretern von Microsoft eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von MS 365 gewählt.

    Datenschutzrechtlich besonders bedenkliche Funktionen von MS 365 waren abgeschaltet beziehungsweise wurden soweit möglich deaktiviert, wie beispielsweise die Erfassung von Telemetrie- und Diagnosedaten. Weiterhin wurden zusätzliche Sicherheitsfunktionen implementiert und Accounts nur für Lehrkräfte vergeben, nicht jedoch für Schüler_innen.

    Im April 2021 informierte der LfDI das Kultusministerium über die datenschutzrechtliche Bewertung dieses Pilotprojekts und empfahl, aufgrund hoher datenschutzrechtlicher Risiken von der Nutzung der geprüften Version von MS 365 an Schulen abzusehen und alternative Lösungen zu fördern. Es gelang beim Pilotprojekt trotz intensiver Prüfung und Zusammenarbeit mit den Beteiligten nicht, eine datenschutzkonforme Lösung zu finden. Das Kultusministerium kündigte anschließend an, künftig auf eine datenschutzkonforme digitale Bildungsplattform zu setzen.

    Die Stellungnahme des LfDI und die Ergebnisse der Prüfung stehen seit längerem öffentlich zur Verfügung. Diese und weitere Informationen zum Pilotprojekt und die Einführung einer datenschutzkonformen digitalen Bildungsplattform sind öffentlich zugänglich (z.B. über https://www.baden-wuerttemberg.datenschutz.de/empfehlung-lfdi-online/, weitere Informationen und eine Zusammenfassung unter https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen).

    Der Landesbeauftragte weist darauf hin, dass inzwischen auch alternative digitale Tools angeboten werden, die über einen längeren Zeitraum bereits vielfach genutzt wurden und auch weiterhin erfolgreich genutzt werden: Als Lernmanagementsystem können etwa Moodle oder itslearning, welche den Schulen vom Ministerium ohne weitere Kosten angeboten werden, verwendet werden. Die Einbindung des Web– 3 – 

    Konferenzsystems BigBlueButton ist jeweils integriert, so dass auch Videokonferenzen durchgeführt werden können.

    Schulen, die der Ansicht sind, dass ihr Einsatz und ihre Konfiguration von MS 365 den rechtlichen Anforderungen genügt und die den Cloud-Dienst weiter nutzen möchten, müssen nun begründen, wie sie den datenschutzkonformen Betrieb sicherstellen und dies entsprechend ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 Datenschutz- Grundverordnung eindeutig nachweisen wollen.

    Weitere Informationen

    Auf dem Internetangebot des LfDI stehen umfangreiche Hinweise zur Nutzung von Microsoft 365 durch Schulen zur Verfügung: https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen

    Microsoft 365 (MS 365, früher: Office 365) ist ein Online- bzw. Cloud- Dienst des Anbieters Microsoft. Damit werden Dokumente, Bilder und andere Dateien grundsätzlich Online auf Computern des Anbieters gespeichert sowie E-Mails von diesem verwaltet, empfangen und gesendet. In der vom Landesbeauftragten im Rahmen eines Pilotprojektes geprüften speziell konfigurierten Version von MS 365 für den Schulbetrieb in Baden-Württemberg konnte kein datenschutzkonformer Betrieb sichergestellt werden.

    Quelle: LFDI

  • Datenschutz – LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg

    Datenschutz – LfDI Baden-Württemberg verhängt Bußgeld gegen AOK Baden-Württemberg

    Datenschutz erfordert regelmäßige Kontrolle und Anpassung

    Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro  verhängt   und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

    Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit.

    Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

    Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

    Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

    Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

    „Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.

    Quelle: LfDI Baden-Württemberg

    https://now.digital/interim-manager-digitale-transformation/ecommerce-news/dsgvo-datenschutzexperten-fehlen-in-unternehmen/