Die Landesdatenschutzbeauftragte Bettina Gayk hat ihren jährlichen Datenschutzbericht für das Jahr 2023 vorgelegt. Im Bericht werden zahlreiche Probleme angesprochen, wo es beim Datenschutz hakt. So bereitet die Verwendung von Microsoft 365 weiterhin datenschutzrechtliche Probleme. Aber auch zu den Bereichen KI, Patientendaten, Kreditvergabe etc. äußert sich der NRW-Datenschutzbericht 2023.
Anzeige
Microsoft 365 ein Problem
Der Einsatz von Microsoft 365 ist im Hinblick auf datenschutzrechtliche Aspekte ein Probleme. Ich hatte 2022 im Blog-Beitrag Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform" auf die Einstufung der Datenschutzkonferenz (DSK) zu Microsoft 365 hingewiesen. Die DSK stufte Microsoft 365 nicht als Datenschutzkonform ein. An dieser Betrachtung hat sich bis heute nichts geändert, die Landesdatenschutzbeauftragte Bettina Gayk schreibt dazu.
Die DSK hat bereits im November 2022 festgestellt, dass die Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Data Protection Addendum – DPA), die für den Einsatz von MS 365 vorgesehen ist, nicht den Anforderungen der DS-GVO (Art. 28 Abs. 3) entspricht.
Aus diesem Grunde hat die Landesdatenschutzbeauftragte NRW hat zusammen mit weiteren Datenschutzbehörden eine Handreichung für Verantwortliche für den Einsatz von MS 365 erstellt. Diese Handreichung soll vor allem Verantwortlichen für die digitale Ausstattung von Schulen zuständig sind, helfen, die notwendigen Anpassungen gegenüber Microsoft einzufordern. Ziel ist es, dass eine "Nutzung der Daten von Schülern und Schülerinnen sowie Lehrer für eigene Zwecke" von Microsoft unterbleibt. Das Schulrecht schließt eine solche Übermittlung der Daten der genannten Personengruppen für Unternehmenszwecke aus, stellt Bettina Gayk fest.
Zentraler Punkt sei, dass insbesondere öffentliche Stellen ausschließen müssen, dass Microsoft die Daten, die im Auftrag für diese Stellen verarbeitet werden, auch zu eigenen Zwecken nutzt, heißt es im Bericht. Die LDI NRW hat die Landesregierung und die Kommunalen Spitzenverbände in NRW über die Handreichung informiert.
Die Empfehlung für Schulen lautet, einstweilen datenschutzfreundlichere Alternativen zu nutzen. Die Vermittlung des Umgangs mit einzelnen Microsoft-Diensten bzw. Programmen und ihren Funktionen (wie PowerPoint oder Excel) sei dadurch nicht ausgeschlossen. Voraussetzung sei jedoch, dass es sich hierbei um lokale Installationen auf schulischen Geräten oder schulische, nicht personalisierte Accounts handelt, die für Microsoft und Dritte keinen Rückschluss auf einzelne Schüler und Schülerinnen erlauben, heißt es in der Empfehlung.
Anzeige
Weitere Kritikpunkte
Die Landesdatenschutzbeauftragte Bettina Gayk hat den jährlichen Datenschutzbericht Jahr 2023 als 164-Seiten PDF-Dokument veröffentlicht und geht auf viele weitere kritische Punkte, von Cookie-Bannern über den Einsatz von Plagiatssoftware in Hochschulen bis hin zu Kontaktdaten von Beschäftigten des öffentlichen Diensts ein.
Ich bin über obigen Tweet auf den Sachverhalt gestoßen. Der WDR hat im Beitrag Hier klemmt es in NRW beim Datenschutz einen Abriss dessen veröffentlicht, was von der Landesdatenschutzbeauftragten im Bericht kritisiert wird. So wird von Gayk auch, im Hinblick auf die elektronische Patientenakte (ePA), der Schutz von Gesundheitsdaten gefordert. Sie fordert eine effektive Kontrolle der Daten in der ePA durch die Patientinnen und Patienten.
Interessant ist, auch der Passus zu Bußgeldern. Laut eines EuGH-Gerichtsurteils muss konkretes Handeln von Personen aus der Unternehmensleitung bei Bußgeldern nicht mehr nachgewiesen werden.
Anzeige
Beste Demokratie-Simulation die man sich für Geld kaufen kann; seit wann interessiert sich Vater Staat für irgendeinen Datenschutz – ROFL.
wenn esvihm um die eigenen Daten geht.
Frag den Stast
Hauptsache Bußgelder – lächerlich.
Nein, unbedingt nötig.
Datenschutzkonformes Arbeiten muss endlich auch einen wirtschaftlichen Vorteil bringen: Nämlich dass man keine Strafen zahlen muss.
Im Moment gibt es kaum Strafen, also kümmert sich keiner um Datenschutz, weil das kostet ja nur Geld.
Es muss umgekehrt werden: Sich nicht zu kümmern kostet mehr Geld, nämlich saftige Strafen! Dann gibt es auch mal Bewegung und Geschäftsmodelle, die gut und konform sind. Im Moment werden die von der Marktmacht der großen US-Unternehmen einfach erdrückt. Und wenn man nur tief genug nachgräbt, ist keines dieser Unternehmen konform. Cloud-Act lässt grüßen…
Gruß,
Werner
Hallo Werner, dann wandern Firmen ggf. ab. Wenn kein Unternehmen konform wäre – dann sollten alle bestraft werden? Möglicherweise können Unternehmen diesen ganzen Bürokratie-Overkill nicht mitmachen oder wollen das auch nicht? Was hat uns das Ganze bisher gebracht (außer mehr Bürokratie)? Ein anständig geführtes Unternehmen benötigt den Kram nicht, weil es clever genug ist, Datenschutz zu leben, auch ohne 10.000-Seiten-Vorschriften!
Nicht falsch verstehen – ich denke nur laut nach.
Grüße
Der Schluss wäre, dass es offenbar keine "anständig geführten Unternehmen" gibt. Ohne Pflöcke für einen Zaun einzuschlagen, wird die Herde in alle Richtungen sprengen. Die DSGVO hat schon seinen Sinn. Diskutiert werden könnte, wie das Ganze umgesetzt wird. Ohne DSGVO könnte ich auch einiges machen, was ich aktuell schlicht sein lasse.
Aber mal im Ernst: 2018 ist schon eine Weile her – und Kopfschmerzen bekommen Unternehmen meinem Gefühl nach aktuell mehr in Richtung Cybersicherheit und NIS-2. Mag mich aber täuschen.
Ja Cybersicherheit is bei uns NR1. Das schließt Datenschutz logischerweise ein. Ich find wie der Datenschutz umgesetzt wurde leider besch…