Archiv der Kategorie: Aufsichtsbehörden

Avicenna-Studienwerk von Software-Lücke betroffen – kein Datenverlust

Schreiben Sie eine Antwort

Vor zwei Wochen hatte die Berliner Landesdatenschutzbeauftragte in ihrem Tätigkeitsbericht den Fall einer Lücke in Software für Stipendienbewerbungen geschildert. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen war. Nun ist klar, um welche es sich handelt: Auf Anfrage teilte das Avicenna-Studienwerk mit, dass dort die fragliche Software eingesetzt wurde. Ausgenutzt wurde die Sicherheitslücke aber nicht.

Logo des Avicenna-Studienwerks auf einem Standbild des Imagefilms des Werks
Das Avicenna-Studienwerk ist das jüngste der 13 vom Bundesministerium für Bildung und Forschung anerkannten Begabtenförderungswerke in Deutschland. Es fördert begabte und gesellschaftlich engagierte muslimische Studierende und Doktoranden aller Fachrichtungen durch die Vergabe von Stipendien. (Bildquelle: Screenshot Avicenna-Studienwerk)

»Die Herstellerfirma informierte uns unmittelbar über die Sicherheitslücke und deaktivierte die Webseite. Erst nach der Beseitigung der Sicherheitslücke wurde das Bewerbungsportal wieder freigeschaltet«, teilte das muslimische Begabtenförderungswerk auf Anfrage mit. Die zuständige niedersächsische Landesdatenschutzbeauftragte sei durch das in Osnabrück ansässige Werk unmittelbar über den Vorfall informiert worden. »Ein externer Zugriff konnte nach intensiver Prüfung von allen Seiten ausgeschlossen werden. Eine weitere Veranlassung wurde seitens der Landesdatenschutzbehörde für nicht notwendig erachtet«, so das Werk weiter.

Die Berliner Datenschutzbeauftragte hatte mitgeteilt, dass sie Ende August 2021 einen Hinweis erhalten habe, dass durch eine Sicherheitslücke in einer Software für Stipendienportale der Zugriff auf eine große Menge personenbezogener Daten verschiedener Studienstiftungen möglich sei. »Die unsichere Software wurde hauptsächlich zum Bereitstellen von Stipendienbewerbungsportalen genutzt, wo eine große Menge von zum Teil höchstpersönlichen Daten gespeichert werden. Aufgrund der jeweiligen Ausrichtung der betroffenen Studienstiftungen waren zudem besondere Kategorien personenbezogener Daten, wie Religionszugehörigkeit oder Daten zur politischen Überzeugung und Weltanschauung betroffen«, hieß es im Bericht. Die Sicherheitslücke, die auf die falsche Nutzung eines Frameworks zurückging, sei mittlerweile behoben.

Die anderen drei konfessionellen und religiösen Begabtenförderungswerke, die aus Mitteln des Bundesbildungsministeriums gefördert wurden, waren nicht betroffen. Schon vor zwei Wochen teilten sowohl das katholische Cusanuswerk wie das Evangelische Studienwerk Villigst mit, die Software nicht eingesetzt zu haben. Mittlerweile hat sich auch das Ernst-Ludwig-Ehrlich-Studienwerk zu der Sicherheitslücke geäußert: Wie die christlichen Studienwerke setzt auch das jüdische Begabtenförderungswerk die bemängelte Software nicht ein und ist daher nicht betroffen.

DSK zu Facebook-Fanpages: Derzeit nicht rechtskonform möglich

Schreiben Sie eine Antwort

Die FAQ-Liste der Datenschutzkonferenz zu Facebook-Fanpages wurde nun von der Aufsicht Sachsen-Anhalts veröffentlicht. Bei den zehn Fragen und Antworten auf sechs Seiten muss man nicht sonderlich zwischen den Zeilen lesen, um zu bestätigen, was ohnehin keine Überraschung ist: Facebook-Fanseiten sind zur Zeit nicht rechtskonform zu betreiben.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Da wirkt es fast schon komisch, wenn die Antwort auf die vierte Frage, »Müssen Facebook-Fanpages jetzt sofort deaktiviert werden?«, kein klares Ja ist, sondern nur ein Verklausuliertes: »Kann die Verarbeitung personenbezogener Daten nicht rechtskonform durchgeführt werden, ist der Betrieb einer Facebook-Fanpage rechtswidrig. Die Aufsichtsbehörden haben seit Jahren auf die Probleme hingewiesen. Übergangsfristen kennt die DSGVO nicht.« Es scheint in dieser Versammlung einige empfindliche Ohren zu geben, die das Wort »Blut« nicht wohl vertragen können.

Weiterlesen

Welche Speicherfrist haben Vergissmeinnicht?

Schreiben Sie eine Antwort

Diese Frage bleibt offen im Datenschutzgarten des Bundesdatenschutzbeauftragten. Pünktlich zum Sommerbeginn wurde der nun auch offiziell eröffnet, nachdem im Fediverse darüber schon seit Wochen gesprochen wird. Und auch wenn man zum Recht auf Vergessen bei Raublattgewächsen nichts erfährt, gibt es doch ziemlich viele Informationen auf den Tafeln im Wildblumengarten vor dem Dienstsitz des BfDI im Bonner Stadtteil Castell.

Eine Tafel im Datenschutzgarten heißt die Besucher*innen herzlich willkommen
Gleich die erste Tafel stellt klar: »Wir schützen Menschen, nicht Daten«
Weiterlesen

Spezifische Aufsichten auch in der DSK 2.0 außen vor

Schreiben Sie eine Antwort

Die Datenschutzkonferenz des Bundes und der Länder befasst sich damit, wie das Gremium für eine wirksamere Kooperation ausgestattet werden kann. Über eine IFG-Anfrage wurde das im Protokoll der letzten DSK-Sitzung erwähnte Gutachten »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« von Eike Richter und Indra Spiecker gen. Döhmann öffentlich gemacht.

Titelseite des DSK-Gutachtens

Die staatlichen Aufsichten haben kein gesteigertes Interesse daran, dass die spezifischen Aufsichten mehr Beteiligungsrechte erhalten. Das spiegelt sich auch im Auftragsgutachten wieder – eine zu enge Einbeziehung soll sogar verfassungs- und europarechtswidrig sein. Das überzeugt nur bedingt.

Weiterlesen

Geldbußen nach KDG und DSG-EKD

Schreiben Sie eine Antwort

Geldbußen waren das Aufregerthema, als das neue Datenschutzrecht wirksam wurde. Mittlerweile ist es um die Bußgelder stiller geworden – vor allem, was die befürchtete Breitenwirkung angeht. Kaum ein kleines Unternehmen, kaum ein kleiner Verein wird gebußt.

Ein Mann hält einen Geldschein hin und verdeckt damit sein Gesicht
(Photo by lucas Favre on Unsplash)

Mit den neuen Richtlinien des Europäischen Datenschutzausschusses zur Ermittlung der Bußgeldhöhe kommt das Thema nun wieder etwas stärker auf die Agenda. Im kirchlichen Datenschutz gibt es solche Leitplanken bislang nicht – aber auch hier ist die Angst vor dem Bußgeld groß. Der Blick in die Gesetze und in die Praxis der Aufsichten kann aber beruhigen.

Weiterlesen

Was bedeuten die Aufsichts-Beschlüsse zu Facebook-Fanpages?

Schreiben Sie eine Antwort

Was Facebook-Fanpages angeht, herrscht große Einmütigkeit zwischen den staatlichen und den kirchlichen Aufsichten: die Datenschutzkonferenz des Bundes und der Länder, die evangelische Datenschutzkonferenz und die KDSA Ost haben seit März grundsätzlich identische Beschlüsse auf Grundlage eines DSK-Kurzgutachtens »zur datenschutzrechtlichen Konformität  des Betriebs von Facebook‐Fanpages« gefasst – doch der Inhalt ist kryptisch.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Unbedarft gelesen könnte es aussehen, als stellten die Aufsichten Kriterien auf, unter denen Facebook-Fanpages zulässig wären. Eine genauere Betrachtung zeigt aber: die Rechtsposition der Aufsichten ist, dass die notwendigen Kriterien derzeit gar nicht erfüllt werden können. Das stellt Verantwortliche, die nicht auf Facebook-Fanseiten verzichten wollen, vor große Hindernisse. Gibt es Auswege?

Weiterlesen

Rezension: »Kirchlicher Datenschutz – gewachsener Baustein kirchlicher Selbstverwaltung«

Schreiben Sie eine Antwort

Das KDSZ Dortmund blickt mit einer Veröffentlichung auf die ersten fünf Jahre seines Bestehens zurück: »Kirchlicher Datenschutz – gewachsener Baustein kirchlicher Selbstverwaltung« heißt der im Selbstverlag online veröffentlichte Band anlässlich des Geburtstages, der schon am 1. September 2021 gefeiert wurde.

Cover von »»Kirchlicher Datenschutz – gewachsener Baustein kirchlicher Selbstverwaltung«

Auf 120 Seiten gibt es Betrachtungen aus Kanonistik und Staatskirchenrecht, eine kompakte Rechtsgeschichte des kirchlichen Datenschutzes sowie einen Blick in die Praxis von Aufsicht, Gerichten und betrieblichem Datenschutz.

Weiterlesen

Formal vorbildlich – Tätigkeitsbericht DSA Jehovas Zeugen 2020

Schreiben Sie eine Antwort

Was Datenschutz-Ärger angeht, stehen die Zeugen Jehovas in der öffentlichen Aufmerksamkeit ganz oben in der Wahrnehmung, was Religionsgemeinschaften angeht – und das europaweit: der EuGH-Fall um den Predigtdienst in Finnland, der Streit um die Aufbewahrung von Mitgliederdaten nach Austritt in Österreich und in Spanien, der Verdacht unzulässiger Speicherung von Daten zum Sexualleben in Norwegen und weniger öffentlichkeitswirksam Konflikte mit Landesdatenschutzaufsichten um das gemeinschaftseigene Datenschutzrecht in Hessen und Berlin.

Cover des Tätigkeitsberichts der Datenschutzaufsicht Jehovas Zeugen für das Jahr 2020
(Bildquelle: Elph (Wikimedia Commons), CC BY-SA 4.0, zugeschnitten und bearbeitet; Datenschutzaufsicht Jehovas Zeugen; Montage)

In Deutschland hat die Gemeinschaft eine eigene Datenschutzaufsicht eingerichtet – die hat nun ihren jüngsten Tätigkeitsbericht veröffentlicht, nämlich den für 2020. (Traditionell hängt die Aufsicht ein Jahr hinterher: Ausweislich des Impressums wird er jeweils im Herbst des Folgejahrs vorgestellt und im Frühjahr des übernächsten Jahres dann veröffentlicht.) Ein Blick in den kompakten Bericht könnte unspektakulärer nicht sein – Fragen gibt es eher in den Leerstellen.

Weiterlesen

Mitarbeiterexzesse galore – Tätigkeitsbericht der KDSA Ost 2021

Schreiben Sie eine Antwort

Nach Juli Zeh im letzten Jahr greift der Diözesandatenschutzbeauftragte  für die Ostbistümer und den Militärbischof Matthias Ullrich in die Glückskeks-Kiste: »Nicht der Wind, sondern das Segel bestimmt die Richtung« stellt er seinem Tätigkeitsbericht für 2021 voran und setzt damit einen etwas optimistischeren Akzent als im vergangenen Jahr – verbunden mit dem Appell, mit den eigenen Daten und denen anderer gut umzugehen.

Noch einmal ist Bericht über ein Corona-Jahr zu erstatten, das schlägt sich natürlich auch in besonderen Problemkreisen wie Impfstatusabfrage im Beschäftigungsverhältnis nieder. Dazu kommen wie jedes Jahr im Osten klare politische Ansagen zu staatlicher Überwachung und praxisnahe Tipps. Was leider auch hier wieder fehlt: Klare Zahlen zur Aufsichtstätigkeit.

Weiterlesen

Einer weniger – Bericht der Ordensdatenschutzaufsicht 2021

Schreiben Sie eine Antwort

Auch bei den Orden ist immer noch Corona. Der am Dienstag veröffentlichte Tätigkeitsbericht 2021 der Gemeinsamen Ordensdatenschutzbeauftragten der Deutschen Ordensobernkonferenz (GDSB) für den Berichtszeitraum 1. Februar 2021 bis 31. Januar 2022 schreibt daher im wesentlichen das vergangene Jahr fort.

Titelseite des Tätigkeitsberichts der Ordensdatenschutzaufsicht für 2021

Einiges scheint sich konsolidiert zu haben – auch die Zahl der Gemeinschaften, die sich der GDSB unterworfen haben: 238 Orden sind es jetzt, und damit eine Gemeinschaft weniger als im Vorjahr. Woran das liegt, geht aus dem Bericht nicht hervor: Liegt es an der traurigen Realität sterbender Orden – oder hat ein Orden sich entschieden, künftig staatliches Recht anzuwenden?

Weiterlesen