Aktuelle Meldungen
Bonn/Berlin, 8. Dezember 2011
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar hat den Datenbankhauptschlüssel des Verfahrens zum Elektronischen Entgeltnachweis (ELENA) gelöscht. Nur mit diesem digitalen Schlüssel war der Zugriff auf die verschlüsselt gespeicherten Entgeltdaten von mehr als 35 Millionen Arbeitnehmern möglich.
Unter Beteiligung des Bundesamts für Sicherheit in der Informationstechnik wurde der Datenbankhauptschlüssel gelöscht. Die als Träger des digitalen Schlüssels verwendeten Chipkarten wurden überschrieben und werden geschreddert. Damit ist nach dem Stand der Technik sichergestellt, dass niemand mehr auf die ELENA-Datenbank zugreifen kann.
Schaar hierzu: „Der erste Schritt auf dem Weg zur endgültigen Löschung aller ELENA-Datensätze ist nun getan. Ich werde darauf achten, dass im Rahmen des nun folgenden komplexen Löschprozesses sämtliche in der Datenbank sowie in anderen Verfahrenskomponenten gespeicherten personenbezogenen Daten aus dem ELENA-Verfahren vollständig gelöscht werden.“
Seit Januar 2010 waren alle Arbeitgeber verpflichtet, im Rahmen von ELENA Entgeltdaten ihrer Mitarbeiter an die bei der Deutschen Rentenversicherung Bund eingerichtete Zentrale Speicherstelle (ZSS) zu übermitteln.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist mit der Löschung des von ihm verwalteten Datenbankhauptschlüssels seiner Pflicht aus dem am 3. Dezember 2011 in Kraft getretenen Gesetz zur Aufhebung von Vorschriften zum Verfahren des elektronischen Entgeltnachweises nachgekommen. Das Gesetz verpflichtet die beteiligten Institutionen zur unverzüglichen Löschung aller im Zusammenhang mit dem ELENA-Verfahren entstandenen Daten und hebt die Meldepflicht der Arbeitgeber auf. Seit dem 5. Dezember 2011 nimmt die ZSS keine Meldungen der Arbeitgeber für das ELENA-Verfahren mehr an.
In den kommenden Wochen soll die endgültige Löschung aller weiteren im Rahmen des ELENA-Verfahrens angefallenen personenbezogenen Daten folgen.
Bonn/Berlin, 8. Dezember 2011
Der Düsseldorfer Kreis, ein Gremium der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat heute einen Beschluss zum Datenschutz in sozialen Netzwerken veröffentlicht.
Auch außereuropäische Anbieter sozialer Netzwerke, so die Datenschutzaufsichtsbehörden, müssen das nationale Datenschutzrecht beachten, wenn sie ihr Angebot an deutsche Nutzerinnen und Nutzer richten. Zu den wesentlichen Eckpunkten zählen verständliche Informationen, welche Daten für welche Zwecke vom Anbieter verarbeitet werden, Auskunfts-, Berichtigungs- und Löschungsansprüche genauso wie das Verbot, biometrische Daten für Gesichtserkennungsverfahren ohne Einwilligung der Betroffenen zu verarbeiten.
In Deutschland ansässige Unternehmen, die Social Plug-ins einbinden oder Fanpages einrichten, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots.
Der Düsseldorfer Kreis betont, dass eine Anerkennung von Selbstverpflichtungen der Internetwirtschaft durch die Datenschutzaufsichtsbehörden gemäß § 38a des Bundesdatenschutzgesetzes Gewähr dafür bietet, dass die Anforderungen des geltenden Datenschutzrechts erfüllt werden.
Die Bundesregierung setzt beim Thema Datenschutz nicht auf gesetzliche Lösungen. Vielmehr sollen die Anbieter von sozialen Netzwerken den Datenschutz im Wege der Selbstregulierung kodifizieren. Dies verkündete der Ministerialdirektor vom Bundesinnenministerium (BMI) von Knobloch anlässlich des Eröffnungsplenums der 35. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) am 17.11.2011 in Köln.
Des Weiteren setzt das BMI auf eine gerichtliche Klärung der Verwendung des „Gefällt mir“-Buttons. Eine gesetzliche Regelung ist hierzu nicht geplant.
Hier zeichnet sich ein grundsätzlicher Weg zur Rechtsfindung vor Gericht anstelle einer eindeutigen Gestzgebung ab.
Das Datenschutzrecht soll in Europa vereinheitlicht werden, dazu plant die EU-Kommission das Rechtsinstrument der Verordnung, die unmittelbare Geltung für sämtliche Mitgliedstaaten entfaltet, dies verkündete Paul Nemitz, Direktor der Direktion Grundrecht und dafür zuständig für das Datenschutzrecht, anlässlich des Eröffnungsplenums der 35. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit (GDD) am 17.11.2011 in Köln.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der IT-Security-Messe "it-sa" eine Studie zur IT-Sicherheit in kleinen und mittelgroßen Unternehmen (KMU) veröffentlicht. Das Bewusstsein für Themen der IT-Sicherheit ist demnach bei den Verantwortlichen in deutschen KMU vorhanden. Auch in technischer Hinsicht sind viele Unternehmen gegen die Gefahren und Angriffe auf ihre IT gerüstet. Die Ergebnisse der Studie zeigen jedoch einen Nachholbedarf insbesondere im geordneten Management des IT-Sicherheitsprozesses und hinsichtlich präventiver IT-Sicherheitsmaßnahmen.
Nicht überraschend, aber enttäuschend ist für das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) die Mitteilung des Chefs der Staatskanzlei des Landes, dass diese ihre Fanpage bei Facebook nicht abschalten will. In einem Gespräch am 6. Oktober 2011 war das Beharren auf Facebook angekündigt worden. Man wolle ein Rechtsgutachten der Innenministerkonferenz abwarten. Dass sämtliche Datenschutzbeauftragten des Bundes und der Länder alle öffentlichen Stellen aufgefordert haben, ihre Fanpages abzuschalten, genügte an Überzeugungskraft anscheinend nicht.
Zusammenfassend ergeben sich für einen datenschutzkonformen Einsatz von Google Analytics unter Beachtung der Vorgaben der Aufsichtsbehörden sowie von Google insgesamt fünf Punkte, die einzuhalten sind:
1.Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag)
2.Anonymisierung der IP-Adressen
3.Widerspruchsrecht der Betroffenen
4.angepasster Datenschutzhinweis
5.Löschung von Altdaten (bestehende Google Analytics Profile)
Weitere Informationen hierzu erhalten Sie bei der gds Mittelhessen mbH