Microsoft Office 365 an hessischen Schulen datenschutzkonform einsetzbar - aber in der Wolke ist die Freiheit nicht grenzenlos


Wiesbaden, den 22.08.2017

Mit dieser Einschätzung gelangt der Hessische Datenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch zu einem Zwischenergebnis für die bundesweit jahrelang geführte Diskussion über die Zulässigkeit der Datenverarbeitung von Schulen in der Cloud des US-amerikanischen Unternehmens.

Durch die Schaffung einer Deutschland-Cloud, in welcher die Datenspeicherung in zwei Rechenzentren in Deutschland erfolgt, hat Microsoft den Bedenken Rechnung getragen. Die Bedenken beziehen sich unter anderem auf einen möglichen Zugriff unberechtigter Dritter, wie zum Beispiel US-amerikanische Geheimdienste.

Mit der T-Systems International GmbH wurde ein in Deutschland ansässiges Unternehmen damit beauftragt, als Datentreuhänder den Zugriff auf die Daten der Kunden durch Microsoft zu kontrollieren und gegebenenfalls zu verweigern. Hierfür wurden sogenannte Cloud-Control-Center eingerichtet. Damit hat das Unternehmen nach Ansicht des Hessischen Datenschutzbeauftragten eine Struktur geschaffen, welche es den Schulen als öffentlich-rechtliche Einrichtungen erlaubt, jedoch auf den schulischen Betrieb beschränkt, personenbezogene Daten der Schüler, Eltern und Lehrer in der Cloud zu speichern und zu verarbeiten.

Die Datenverarbeitung muss sich zunächst auf den pädagogischen Arbeitsbereich der Schulen beschränken. Das heißt, dass zum Beispiel Unterrichtsmaterial eingestellt werden kann, Aufgaben gestellt und die Lösungen durch die Schüler in die Cloud eingestellt werden können. Ebenso kann eine Kommunikation zwischen den Beteiligten über die Cloud erfolgen.

In Anbetracht der Digitalisierungsprozesse, welche auch den Bereich und das Umfeld der Schulen immer stärker einbeziehen, kommt insbesondere der Cloud-Nutzung eine immer größere Bedeutung zu. Mit seiner Positionierung hat der Hessische Datenschutzbeauftragte dem nun Rechnung getragen.

Der Hessische Datenschutzbeauftragte führt dazu aus: "Die Anwendung von Office 365 in der von Microsoft entwickelten Deutschland-Cloud lässt sich datenschutzkonform durch hessische Schulen nutzen."

Weitergehende Informationen finden Sie in der Stellungnahme des Hessischen Datenschutzbeauftragten auf seiner Website unter Stellungnahme des Hessischen Datenschutzbeauftragten zum Einsatz von Microsoft Office 365 an Hessischen Schulen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 22.08.2017

 
 

Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht


Wiesbaden, den 29. Juni 2017


Pressemitteilung


Mit der Verabschiedung der Europäischen Datenschutzgrundverordnung gehen Änderungen des Datenschutzrechts einher, die sich auch auf die Benennung, die Stellung und die Aufgaben der behördlichen und betrieblichen Datenschutzbeauftragten auswirken.

Der Hessische Datenschutzbeauftragte erhält daher vermehrt Anfragen von Unternehmen, öffentlichen Stellen und Datenschutzbeauftragten zur Anwendung und Auslegung der ab dem 25.05.2018 unmittelbar anwendbaren Bestimmungen.

Als Reaktion hierauf hat der Hessische Datenschutzbeauftragte das Arbeitspapier "Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht" erarbeitet, um Unternehmen, öffentlichen Stellen, Datenschutzbeauftragten und Interessierten eine erste Orientierung zur neuen Rechtslage zu ermöglichen.

Das Arbeitspapier gibt die Rechtsauffassung des Hessischen Datenschutzbeauftragten wieder und wird fortlaufend weiterentwickelt.

Anregungen und Ergänzungen hierzu können jederzeit gerne an die E-Mail-Adresse poststelle@datenschutz.hessen.de geschickt werden.

Download:
Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht (PDF-Datei, 506 kB)

Zurück zur Übersicht der Pressemitteilungen 2017

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 29.06.2017

 
 

Gemeinsame Pressemitteilung des LDA Bayern und des HDSB
EU-U.S. Privacy Shield: Informationen und Beschwerdeformulare für Betroffene veröffentlicht

Pressemitteilung Privacy Shield BayLDA HDSB.pdf (PDF-Datei, 125 kB)

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 23.05.2017

 
 

Pressemitteilung zur Vorstellung des 45.Tätigkeitsberichtes


Der Hessische Datenschutzbeauftragte legte
den 45. Tätigkeitsbericht vor


Der Berichtszeitraum stand ganz im Zeichen des Europäischen Datenschutzreform-pakets mit der Datenschutz-Grundverordnung und der Richtlinie für Justiz und Inneres und war geprägt von intensiven Arbeiten an deren Umsetzung.

In aufwändiger Detailarbeit wurden die beiden EU-Texte auf Änderungen und neue Aufgaben und Aufträge an die Datenschutzbehörden untersucht. Die Ergebnisse wurden analysiert und in zahlreichen Konferenzen mit anderen Aufsichtsbehörden besprochen. Weiterhin gab es zu diesem Themenkomplex einen regen Austausch mit Vertretern der Gesetzgebung auf Bund- und Länderebene und mit Vertretern aus Verbänden, Kammern und der Medien. Zudem hat der Hessische Datenschutzbeauftragte die gesetzestechnische Umsetzung sowohl auf Bundes- als auch auf Landesebene begleitet. Dabei hat Professor Ronellenfitsch besonderen Wert darauf gelegt, dass die bisherigen deutschen Standards beibehalten werden, um nicht die Europaverdrossenheit der deutschen Bürgerinnen und Bürger auch im Bereich des Datenschutzes zu verstärken. Besondere Bemühungen zielen dabei insbesondere auf einen wirksamen Beschäftigtendatenschutz und auf einen Ausgleich der Belange von Datenschutz und Datenverkehr.

Abgeschlossen ist die Umsetzungsphase noch nicht. Sie wird die Behörde des Hessischen Datenschutzbeauftragten - wie auch die übrigen Datenschutzaufsichtsbehörden - auch noch in diesem und im nächsten Jahr intensiv beschäftigen.

Neben dieser sehr zeitaufwändigen Aufgabe, die alle Mitarbeiterinnen und Mitarbeiter der Dienststelle des Hessischen Datenschutzbeauftragten betrifft, gab es wie immer zahlreiche Eingaben von Bürgern, Verwaltung und Unternehmen zu bearbeiten sowie Beratungen von Daten verarbeitenden Stellen vorzunehmen. Auch wurden erneut sowohl anlassbezogene als auch anlasslose Prüfungen bei Behörden und Unternehmen - beispielsweise bei Banken und Sparkassen - durchgeführt.


Überprüfung der polizeilichen Falldatei "Rauschgift"

Die Falldatei "Rauschgift" ist eine bundesweite Verbunddatei, in der Informationen über sichergestellte Drogen und Verstöße gegen das Betäubungsmittelgesetz gespeichert werden. Sie wird auf Grundlage des Bundeskriminalamtsgesetzes (BKAG) zentral beim Bundeskriminalamt geführt. Alle Landespolizeien und die Zollfahndung haben Zugriff auf die Datei und können Daten direkt speichern und abrufen.
Nach BKAG muss es sich bei den Straftaten, bei denen das BKA die Polizei des Bundes und der Länder unterstützt und folglich auch personenbezogene Daten in Dateien speichern darf, um Fälle mit länderübergreifender, internationaler oder erheblicher Bedeutung handeln. Die Entscheidung für die Speicherung in dieser Datei ist zu dokumentieren.

Das Vorliegen der Voraussetzungen für die Speicherung in dieser Datei war Gegenstand einer Überprüfung durch den Hessischen Datenschutzbeauftragten, die gleichzeitig auch von anderen Aufsichtsbehörden in deren Zuständigkeitsbereich durchgeführt wurde. Dabei ist länderübergreifend aufgefallen, dass entgegen den gesetzlichen Vorgaben auch Bagatelldelikte erfasst wurden und oftmals die Entscheidung über die Speicherung von Daten in dieser Datei nicht nachvollziehbar war.

Die Ergebnisse der Überprüfung wurden mit Vertretern des Hessischen Landeskri-minalamtes und des Hessischen Ministeriums des Innern und für Sport besprochen. Dabei wurde vereinbart, dass künftig Eingaben in die Datei genauer dokumentiert werden und die Löschfristen effektiver überwacht werden.


Prüfungen von Unternehmen der Kreditwirtschaft

Das grundsätzlich hohe Niveau des Datenschutzes im Bereich der Kreditinstitute konnte durch eine etwa 40 Institute umfassende, anlasslose Prüfung erneut bestätigt werden. Manchen Instituten bereitete allerdings die datenschutzgerechte Implementierung von Datenanalysetools wie zum Beipiel Piwik oder Google Analytics auf den Webpräsenzen Schwierigkeiten. Auch bei der Aufzeichnung von Telefonaten wurden die dafür erforderlichen Anforderungen nicht von allen Instituten erfüllt. Im geprüften Kernbereich, der Dokumentation von Geschäftsprozessen und der Behandlung von Zugriffsrechten, waren keine Mängel erkennbar.


Öffentlicher Pranger im Hotel

In einem Hotel wurden die Krankheitszeiten der Mitarbeiterinnen und Mitarbeiter der Hotelküche namentlich durch Aushang an der Infotafel und am Personaleingang des Hotels für alle anderen Mitarbeiter zugänglich gemacht. Unterschrieben war der Aushang mit: "Diese Zahlen muss man sich auf der Zunge zergehen lassen." Gesundheitsdaten stehen unter einem besonderen Schutz. Der Arbeitsgeber darf Daten zu Krankmeldungen grundsätzlich speichern, soweit es etwa um die Fortzahlung des Arbeitsentgeltes geht. Aber auch wenn das Arbeitgeberinteresse an einem niedrigen Krankenstand nachvollziehbar ist, wird das öffentliche Aushängen von krankheitsbedingten Fehlzeiten einzelner Mitarbeiter den gesetzlichen Anforderungen nicht gerecht. Auch die Darstellung der Krankheitstage ist sehr sensibel und für Betroffene belastend. Der Verdacht des Arbeitgebers, dass krankheitsbedingte Ausfallzeiten vorwerfbar sind, kann das schutzwürdige Interesse der betroffenen Mitarbeiter an einer vertraulichen Behandlung ihrer sensiblen personenbezogenen Daten keinesfalls überwiegen. Zudem stehen dem Arbeitgeber diverse andere Möglichkeiten zur Verfügung, datenschutzgerecht mit dem Problem erhöhter krankheitsbedingter Ausfälle umzugehen, zum Beispiel individuelle Personalgespräche, betriebliches Gesundheits- und Wiedereingliederungsmanagement. Professor Ronellenfitsch hat die Hotelleitung daher aufgefordert, die Listen unverzüglich abzuhängen und zu vernichten. Dieser Aufforderung wurde sofort Folge geleistet.
Leider ist dies kein Einzelfall. Immer wieder werden dem Hessischen Datenschutz-beauftragten derlei öffentlich ausgehängte Listen von Betroffenen gemeldet. In sol-chen Fällen ist künftig mit der Einleitung von Bußgeldverfahren zu rechnen.


Mangelnder Datenschutz in Arztpraxen

Immer wieder führt ein leichtfertiger Umgang mit Patienten- bzw. Behandlungsdaten im Alltagsgeschäft von Arztpraxen zu Beschwerden. So schilderte ein Patient dem Hessischen Datenschutzbeauftragten, dass er halbjährlich von seiner Zahnarztpraxis per E-Mail an die Kontrolluntersuchung erinnert wird. Bei einer derartigen Erinnerungsmail enthielt der E-Mail-Verteiler noch weitere 27 Empfänger. Die E-Mail-Adressen enthielten zum überwiegenden Teil Vor- und Nachnamen der Empfänger. Der Eingebende bemängelte, dass nun alle Empfänger wissen, welchen Zahnarzt er besucht und dass er dort seit sechs Monaten nicht erschienen ist. Der Vorfall war als Verstoß gegen die ärztliche Schweigepflicht zu werten, zumal einige E-Mail-Adressen die Klarnamen von Patienten aufwiesen.

Zudem beschweren sich in regelmäßigen Abständen Patienten beim Hessischen Datenschutzbeauftragten, dass ihre Behandlungsdaten ohne das Einholen einer entsprechenden Einwilligung an eine externe Abrechnungsstelle weitergeleitet wurden. Auch dies ist unzulässig.

Schwachstelle Aktenlagerung

  • Anlässlich einer Beratung fand die Begehung eines Kellers in einem Bürogebäude statt, das von mehreren Mietparteien genutzt wird. Dabei stießen die Mitarbeiter des Hessischen Datenschutzbeauftragten auf einen unverschlossenen und zugänglichen Kellerraum einer Steuerberaterkanzlei, die dort Akten lagerte. Zwar ist das Bürogebäude grundsätzlich verschlossen und nur nach Anmeldung betretbar. Aber die Mitarbeiter anderer Firmen im Haus, Reinigungspersonal oder im Haus beschäftigte Handwerker hätten ohne weiteres Zugang zu den Akten gehabt. Zwar bestand Anweisung, die Tür zu dem Kellerraum nach Nutzung immer zu verschließen. Diese Anweisung wurde aber offensichtlich nicht immer befolgt. Schnelle Abhilfe kann in einem solchen Fall die Anbringung eines Türknaufs und ggf. Türschließers schaffen, der verhindert, dass Unbefugte den Raum betreten können, auch wenn die Tür nicht abgeschlossen wurde. Diese Maßnahme wurde zugesichert.
  • Wie bereits in der Presse berichtet, fand im Kinderherzzentrum des Universitätsklinikums Gießen-Marburg ein Besucher in einem für Besucher zugänglichen Treppenhaus dutzende Umzugskartons voller Patientenakten. Die Kartons standen dort über einen längeren Zeitraum. Der Besucher entnahm zwei Akten aus den Kartons und informierte die Presse. So wurde auch der Hessische Datenschutzbeauftragte auf den Fall aufmerksam und nahm unmittelbar eine Prüfung vor Ort vor. Die aufgefundenen Akten stammten von einem Umzug und waren im Treppenhaus vergessen worden. Der Vorfall wurde zum Anlass genommen, die Arbeitsanweisung zum Umgang mit Patientenakten zu überarbeiten. Auf die Intervention von Professor Ronellenfitsch hin hat die Bericht erstattende Zeitung aus Gießen die Rückgabe der entnommen Akten an das Klinikum veranlasst.

Reiseprofil von Zeitungsabonnenten

Die Abonnentin einer großen Tageszeitung zog Erkundigungen zu einem erteilten Nachsendeauftrag ein und musste dabei feststellen, dass das Zeitungsunternehmen sämtliche Adressen gespeichert hatte, an denen die Kundin in den vergangenen Jahren Urlaub gemacht hatte und an die sie sich die Zeitung hatte nachsenden lassen. Es waren Anschriftendaten aus Nachsendeanträgen gespeichert, die bereits viele Jahre zurücklagen. Damit konnte der Verlag die Reisegewohnheiten der Kundin über viele Jahre zurückverfolgen. Die Kundin beschwerte sich daraufhin beim Hessischen Datenschutzbeauftragten.
Aufgrund der Nachfrage durch den Hessischen Datenschutzbeauftragten erkannte der Verlag schnell, dass die Speicherung der Nachsendeanschriften über einen derart langen Zeitraum nicht erforderlich ist. Die Beschwerde wurde vom Verlag zum Anlass genommen, die Speicherdauer grundlegend zu überarbeiten. Adressangaben zu kostenfreien Inlandsnachsendeaufträgen werden künftig einen Monat nach Ende der Nachsendung gelöscht. Anschriftendaten zu kostenpflichtigen Auslandsaufträgen werden für ein Jahr gespeichert und dann gelöscht. Auf diese Weise kann zwar der Auftrag zur Nachsendung noch belegt werden, soweit dies aus rechtlichen Gründen notwendig ist, es kann jedoch nicht mehr nachverfolgt werden, wohin genau die Zeitung nachgesendet wurde.


Zurück zum Inhaltsverzeichnis des 45. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.05.2017