News

Einsatz von Microsoft 365 im öffentlichen Bereich (LfD)

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, 28. Tätigkeitsbericht 2022, S. 119; online verfügbar unter: https://lfd.niedersachsen.de/startseite/infothek/tatigkeitsberichte/2022/28-tatigkeitsbericht-2022-223047.html (Abrufdatum: 2023-06-21)

Wie bereits im letzten Berichtszeitraum (Tätigkeitsbericht 2021, Kapitel E.6, S. 43) macht der Einsatz von Microsoft 365 weiterhin Schlagzeilen und ist häufig Gegenstand von Beratungs-anfragen sowohl im nicht-öffentlichen als auch im öffentlichen Bereich.

Was hat sich im Berichtszeitraum getan?

Die Datenschutzkonferenz (DSK) hat ihre Gespräche mit Microsoft fortgeführt. Dabei ging es sowohl um die Mängel des Datenschutznachtrags von Microsoft („Data Protection Addendum – DPA“) als auch die Auswirkungen des Schrems II-Urteils des Europäischen Gerichtshofs auf den internationalen Datenverkehr. Auf der Grundlage der Befunde, die die DSK bereits im Jahr 2020 veröffentlichte, wurden umfangreiche, weitere Verhandlungsrunden mit Microsoft zu den aufgezeigten Defiziten durchgeführt. Der Abschlussbericht der DSK vom 02.11.2022 hat deutlich gezeigt, dass Microsoft auch die im diesem Berichtszeitraum geführten Gespräche leider nicht dazu genutzt hat, die Mängel des DPA in der am 15.9.2022 veröffentlichten Neufassung vollständig zu beheben. Wie die DSK in ihrer Festlegung vom 25.11.2022 festgestellt hat, kann der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten DPA vom 15. September 2022 nicht geführt werden. Damit können Verantwortliche durch den Abschluss der Standardvertragsunter-
lagen von Microsoft ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO nicht nachkommen.

Und jetzt?

Ich werde mich im kommenden Berichtszeitraum sowohl mit dem zum 01.01.2023 aktualisier-ten DPA als auch mit den Entwicklungen im Bereich des internationalen Datenverkehrs befas-sen und den Verantwortlichen im öffentlichen Bereich auch beratend zur Seite stehen. Die Verantwortlichen sehe ich weiterhin in der Pflicht, die Datenschutzkonformität als unabding-bares Kriterium im Rahmen der IT-Beschaffungsprozesse einzusetzen.

Quelle: NIBIS Portal Datenschutz Einsatz von Microsoft 365 im öffentlichen Bereich (LfD)

Update für das Standard-Datenschutzmodell (LfD)

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, 28. Tätigkeitsbericht 2022, S. 44f. online verfügbar unter: https://lfd.niedersachsen.de/startseite/infothek/tatigkeitsberichte/2022/28-tatigkeitsbericht-2022-223047.html

Am 24.11.2022 stimmte die Konferenz der unabhängigen Datenschutzaufsichtsbehör-
den des Bundes und der Länder (DSK) der aktuellen Version 3.0 des Standard-Daten-
schutzmodells (SDM) zu. Es wurden die Bedeutung von „Verarbeitung“ und den damit
verbunden „Risiken“ herausgearbeitet.

Mit dem SDM stellt die DSK eine Methode zur systematischen Herleitung von technischen und
organisatorischen Maßnahmen (TOM) bei der Verarbeitung personenbezogener Daten aus den
rechtlichen Vorgaben der DS-GVO zur Verfügung. Das SDM wird gemeinschaftlich von den deut-
schen Datenschutzaufsichtsbehörden weiterentwickelt und liegt jetzt in einer überarbeiteten Fassung vor. In der Vergangenheit habe ich immer wieder die aktuellen Entwicklungen in meinen Tätigkeitsberichten dargestellt.

Kurzlink: https://t1p.de/SDM3

In der aktuellen Fassung des SDM wurde der neue Abschnitt D 2.1 „Aufbereitung einer Verarbei-
tungstätigkeit in Vorgänge oder in Phasen eines Datenlebenszyklus“ aufgenommen. Ausgangs-
punkt ist dabei die Begriffsbestimmung des Artikels 4 Abs. 2 der DS-GVO zur „Verarbeitung“,
die aus bis zu 14 „elementaren Verarbeitungsschritten“ bestehen kann. Diese elementaren Ver-
arbeitungsschritte werden nun in neun Gruppen von Verarbeitungsvorgängen unterteilt, die zum besseren Verständnis wiederum in vier „Phasen der Datenverarbeitung“ gegliedert sind. Die Zuordnung der elementaren Verarbeitungsvorgänge zu Gruppen oder Phasen erfolgt auf Basis datenschutzrechtlicher Anforderungen, die erfahrungsgemäß ähnlich sind.

Mit dem Abschnitt D 2.5 wird ein „Überblick über die Modellierungstechniken des SDM (,SDM-
Würfel‘)“eingeführt. Dazu werden die rechtlichen Anforderungen der DS-GVO in sieben Ge-
währleistungsziele „übersetzt“, die es dem Verantwortlichen ermöglichen sollen, eine DS-GVO-
konforme Verarbeitung personenbezogener Daten (pb Daten) zu gewährleisten.

Die sieben Gewährleistungsziele des SDM sind:
• Datenminimierung (übergreifende Anforderung),
• Verfügbarkeit,
• Integrität,
• Vertraulichkeit,
• Nichtverkettung,
• Transparenz und
• Intervenierbarkeit.

Auf dieser Basis können die Risiken analysiert und angemessene technische und organisatorische Maßnahmen ausgewählt werden, die das Risiko der Verarbeitung so gering wie möglich halten.
Der „SDM Würfel“ unterstützt so den Anwender dabei, die Risiken auch in technisch komplexen
Verarbeitungssituationen vollständig erfassen, analysieren und bewerten zu können.

Quelle: NIBIS Portal Datenschutz Update für das Standard-Datenschutzmodell (LfD)

Online-Fortbildungsangebot “Rechtliche Grundlagen des Datenschutzes an Schulen” (H)

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 17.05.2023
Uhrzeit: 16.00 bis 18.00 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=137153

Beschreibung:

In dieser Fortbildung werden Grundkenntnisse über allgemeine Bestimmungen des Datenschutzrechts, über das Niedersächsische Datenschutzgesetz und die Europäische Datenschutzgrundverordnung (DS-GVO) sowie über die besonderen Datenschutzbestimmungen an Schulen vermittelt.

Die Online-Fortbildung wird mit dem Videokonferenztool BigBlueButton durchgeführt. Die Zugangsdaten erhalten Sie wenige Tage vor der Fortbildung.

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot “Rechtliche Grundlagen des Datenschutzes an Schulen” (H)

Online-Fortbildungsangebot “Datenschutz für Einsteiger*innen” (UE)

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 07.11.2023
Uhrzeit: 16.00 bis 18.00 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=138548

Beschreibung:

Es soll in die Datenschutzproblematik an Schulen eingeführt werden, geeignete Lösungswege werden aufgezeigt. Gerade unter Beachtung der DS-GVO, die am 25. Mai 2018 in Kraft getreten ist, kommt es vielfach zu einem Anpassungsbedarf des schulischen Datenschutzes.

Exemplarisch soll an den Themen: Wo trifft Datenschutz auf schulische Belange, Informationspflicht, Verzeichnis der Verarbeitungstätigkeit und Auftragsdatenverarbeitung ein Grundverständnis für den schulischen Datenschutz und daraus folgende notwendige Handlungen erlangt werden.

Diese Veranstaltung ist für Datenschutzeinsteiger*innen gedacht!

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot “Datenschutz für Einsteiger*innen” (UE)

LfD: Eckpunktepapier „Einsatz digitaler Lernplattformen in Schulen“

Quelle: https://lfd.niedersachsen.de/startseite/themen/schulen/einsatz_digitaler_lernplattformen_in_schulen/einsatz-digitaler-lernplattformen-in-schulen-213399.html

In den niedersächsischen Schulen werden zunehmend digitale Lernplattformen im Unterricht eingesetzt. Dieser Trend wurde durch die Corona-Pandemie noch verstärkt. Die eingesetzten Lernumgebungen variieren im Hinblick auf die integrierten Anwendungen deutlich. Neben der Bereitstellung und Organisation digitaler Lerninhalte werden oftmals vielfältige elektronische Kommunikationsmöglichkeiten zwischen den Lernenden und Lehrenden eröffnet. Dabei wird eine Vielzahl von personenbezogenen Daten der Schülerinnen und Schüler verarbeitet. Die Vorteile des digitalen Lernens sind unter Wahrung der datenschutzrechtlichen Anforderungen zu nutzen. Dies erfordert eine Auswahl solcher Anwendungen, die sämtlichen datenschutzrechtlichen Vorgaben Rechnung tragen. Die Eckpunkte sollen sowohl den niedersächsischen Schulen als auch den Anbietern digitaler Lernplattformen eine Hilfestellung bieten, welche Standards einzuhalten sind.

Das vollständige Eckpunktepapier der LfD Niedersachsen als PDF-Download.

Quelle: NIBIS Portal Datenschutz LfD: Eckpunktepapier „Einsatz digitaler Lernplattformen in Schulen“

Online-Fortbildungsangebot “Datenschutz in Schulen” (STD)

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 02.03.2023 (Termin 1 von insgesamt 6!)
Uhrzeit: 15.00 bis 16.00 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=136654

Beschreibung:

Dieses Angebot richtet sich an Datenschutzbeauftragte und Interessierte in Schulen.

Ziel dieser Reihe ist es Grundlagenwissen zu vermitteln und Hilfen bei der Arbeit im schulischen Alltag zur Verfügung zu stellen.

Die Fortbildung ist auf 6 Onlineveranstaltungen(45-minütig) aufgeteilt, die alle besucht werden sollen. Zwischen zwei Terminen liegen zusätzliche Selbstlernphasen mit Material und Fallbeispielen, die der Vertiefung dienen.

Inhalte:
•Grundlagen des Datenschutzes / Europäische Datenschutzgrundverordnung (DS-GVO)
• Aufgaben des schulischen Datenschutzbeauftragten
• Dienstliche Daten auf privaten Medien und Geräten
• Nutzung von Cloud Angeboten, Lernplattformen, Apps etc.
• Elektronisches Klassenbuch
• Tablet-PCs / Smartphones / schülereigene Endgeräte

Module:
Do 02.03.2023 15 Uhr Grundlagen DSGVO, §31 NSchG
Do 16.03.2023 15 Uhr Erste Schritte DSGVO
Do 20.04.2023 15 Uhr TOM, Auftragsverarbeitung
Do 11.05.2023 15 Uhr Apps, Cloud Angebote
Do 01.06.2023 15 Uhr DS Folgenabschätzung, LMS, Klassenbuch
Do 15.06.2023 15 Uhr Urheber/Nutzungsrecht

Ein Angebot des Netzwerk Medienberatung Mitte Nord, RKMN, RK-MN

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot “Datenschutz in Schulen” (STD)

Online-Fortbildungsangebot “Unterricht digital und kreativ gestalten mit datenschutzkonformen Tools”

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 23.02.2023
Uhrzeit: 17.00 bis 18.30 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=134960

Beschreibung:

»kits« (Kompetent in Technik und Sprache) ist ein Projekt des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung.

»kits« bündelt bekannte und neue digitale Tools auf einer Website und verknüpft diese mit konkreten Unterrichtsideen mit dem Ziel, die digitalen und sprachlichen Kompetenzen aller Lernenden in jedem Fach zu entwickeln. Die vorgestellten Tools sind so vielseitig einsetzbar, dass sie sich für unterschiedlichste Unterrichstszenarien eignen.

Die Tools selbst lassen sich mit jedem Endgerät ohne Anmeldung und kostenfrei nutzen. Personenbezogene Daten werden nicht erhoben, sodass eine Nutzung in schulischen Kontexten datenschutzkonform ist.

Das Portfolio von »kits« umfasst zum Bespiel einen QR-Code-Generator, mit dem Audio-QR-Codes erzeugt werden können, ein Brainstorming-Tool oder ein kollaborative Anwendung zum Gestalten von Mindmaps. Alle Tools finden sich auf https://kits.blog/tools.

»kits« fördert auch Projekte in Schulen und Kitas in Niedersachsen. Digitale Endgeräte können kostenfrei ausgeliehen werden. Konkrete Unterstützung erfahren die Einrichtungen durch Medienpädagigische Beraterinnen und Berater aus dem »kits«-Team.

In diesem Online-Workshop erhalten die Teilnehmenden einen ersten Überblick über die Angebote von »kits«. Sie arbeiten mit ausgewählten digitalen Tools und stellen eine methodisch-didaktische Verknüpfung zum eigenen Unterricht her. Unser Wunsch ist, dass die Teilnehmenden zu einem eigenen Projekt in ihrer Einrichtung inspiriert werden.

Weitere Infos finden sich auf der Website https://kits.blog.

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot “Unterricht digital und kreativ gestalten mit datenschutzkonformen Tools”

LFD (Pressemitteilung): DSK veröffentlicht neue Version der Orientierungshilfe Telemedien

Auf ihrer 104. Konferenz hat die Datenschutzkonferenz die geänderte Fassung der Orientierungshilfe (OH) für Anbietende von Telemedien 2021 Version 1.1 beschlossen. Diese wurde nun zusammen mit einem umfassenden Auswertungsbericht veröf-fentlicht.

Zum Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) im Dezember 2021 verabschiedete die DSK die OH Telemedien 2021. Diese setzt sich ausführlich mit den Anforderungen des neuen Gesetzes sowie der Datenschutz-Grundverordnung beim Betrieb von Webseiten auseinander und gibt Webseitenbetreibenden, Anbietenden von Telemedien sowie Nutzenden und Rechtsanwen-denden Hilfestellungen für einen datenschutzkonformen Betrieb ihrer Webseiten. Auf Webseiten und in Apps kommen regelmäßig Technologien zum Einsatz – häufig von Drittdienstleistenden – die es ermöglichen, personenbezogene Daten von Nut-zenden zu verschiedenen Zwecken zu verarbeiten. Ein sehr praxisrelevantes Beispiel solcher Technologien sind sogenannte Cookies, die in den Anwendungsbereich des neuen §25 TTDSG fallen.
Im Anschluss an die Veröffentlichung der OH Telemedien 2021 hat die DSK ein öffentliches Konsultationsverfahren eingeleitet. Nach Auswertung der eingegangenen Stellungnahmen wurden entsprechende Anpassungen und Ergänzungen in der Ur-sprungsversion der OH Telemedien 2021 vorgenommen. Zudem wurde die OH Tele-medien 2019 in die aktuelle Version 1.1 aufgenommen. Eine ausführliche Bewertung der Stellungnahmen findet sich im Auswertungsbericht des Arbeitskreis Medien „Konsultation zur Orientierungshilfe für Anbieter von Telemedien“.

Weitere Informationen zur Datenschutzkonferenz: www.datenschutzkonferenz-online.de

Herausgeber der Pressemitteilung: Die Landesbeauftragte für den Datenschutz Niedersachsen

Pressemitteilung als PDF-Download .

Diese Presseinformation im Portal des Landes Niedersachsen: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/dsk-veroffentlicht-neue-version-der-orientierungshilfe-telemedien-217869.html

Quelle: NIBIS Portal Datenschutz LFD (Pressemitteilung): DSK veröffentlicht neue Version der Orientierungshilfe Telemedien

LfD: Abmahnungen zu Datenschutzverstößen auf Webseiten vermeiden – Google Fonts lokal einbinden

Quelle: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/abmahnungen-zu-datenschutzverstossen-auf-webseiten-vermeiden-google-fonts-lokal-einbinden-217509.html

Angesichts massenhafter Abmahnschreiben wegen des Einsatzes von Google Fonts auf Webseiten ruft die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen die Betreiber der Seiten dazu auf, diese datenschutzkonform zu gestalten. Die LfD erreichen regelmäßig Beschwerden zum Einsatz von Google Fonts sowie Beratungsanfragen zu Abmahnungen.

Aktuell mehren sich die Berichte über eine Abmahnwelle gegen den Einsatz von Google Fonts auf Webseiten. Ausgelöst wurde diese durch eine Entscheidung des Landgerichts München vom 20. Januar 2022 (LG München I – 3 O 17493/20). Das Gericht sprach dem Kläger in einem Zivilverfahren gegen den Betreiber einer Webseite 100 Euro Schadenersatz wegen des datenschutzwidrigen Einsatzes von Google Fonts zu. Auf dieses Urteil stützen sich nun Privatpersonen und Rechtsanwaltskanzleien in ihren Schreiben an Betreiber von Webseiten und fordern Schadensersatz sowie die Erstattung von Anwaltskosten. Des Weiteren verlangen sie von den Adressaten unter anderem, Auskunft über gespeicherte personenbezogene Daten zu erhalten und diese Daten zu löschen.

Die LfD Niedersachsen erreichen regelmäßig Beratungsanfragen zu diesem Thema. Bei den Abmahnungen und den damit geltend gemachten Forderungen handelt es sich aber um zivilrechtliche Auseinandersetzungen, für welche die LfD nicht zuständig ist. Deshalb darf sie in diesem Zusammenhang keine Einzelfallberatung leisten.

Verschiedene Möglichkeiten der Einbindung

Über Google Fonts werden vom US-amerikanischen Unternehmen Google Inc. Schriftarten für die Gestaltung von Webseiten angeboten. Der Dienst wird auf sehr vielen Seiten genutzt, allerdings gibt es zwei unterschiedliche Wege der technischen Einbindung. Wird Google Fonts online eingebunden, werden beim Aufruf der Webseite die Schriftarten von Google-Servern geladen und automatisch personenbezogene Daten der Nutzerinnen und Nutzer an das Unternehmen Google Inc. in die USA übermittelt. Alternativ können die auf der Webseite verwendeten Google-Schriftarten heruntergeladen und lokal auf dem eigenen Server gespeichert werden. Das ist die datenschutzkonforme und deshalb auch von der LfD Niedersachsen empfohlene Variante. Es werden aber auch von vielen anderen Anbietern Fonts für die Webseitengestaltung angeboten, die bei entsprechender Einbindung datenschutzkonform sind.

Überprüfung der Abmahnschreiben

Betreiber von Webseiten, die ein Abmahnschreiben wegen Google Fonts erhalten haben, sollten Folgendes prüfen:

  • Sind Sie der Anbieter und datenschutzrechtlich Verantwortliche der Webseite, die in dem Schreiben genannt wird?
  • Ist auf der Webseite Google Fonts eingebunden?
  • Ist Google Fonts online eingebunden?
  • Wird von den Nutzerinnen und Nutzern keine wirksame Einwilligung gemäß § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DS-GVO für den Einsatz von Google Fonts eingeholt?

Wenn all diese Fragen mit „Ja“ beantwortet werden, liegt in Bezug auf Google Fonts ein datenschutzrechtlicher Verstoß vor.

Sollten Sie für die in dem Schreiben genannte Webseite datenschutzrechtlich verantwortlich sein, sind Sie zudem grundsätzlich verpflichtet, dem Auskunftsbegehren nachzukommen.

Die LfD Niedersachsen stellt bei der Prüfung von Webseiten regelmäßig Rechtsverstöße insbesondere in Bezug auf die Einbindung von Drittdiensten fest. Eine solche Überprüfung ist technisch relativ einfach und kann von nahezu jedem durchgeführt werden. Sicher vermieden werden können Abmahnschreiben nur, wenn bei der Gestaltung von Webseiten die gesetzlichen Anforderungen des Telekommunikation-Telemedien-Datenschutzgesetzes und der Datenschutz-Grundverordnung eingehalten werden. Wie das geht, können Seitenbetreiber zum Beispiel in der Orientierungshilfe der deutschen Aufsichtsbehörden für die Anbieter von Telemediennachlesen.

 

 

Weitere Informationen

Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer

Allgemeine Informationen für die Betreiber von Webseiten

Pressemitteilung als PDF-Download

Quelle: NIBIS Portal Datenschutz LfD: Abmahnungen zu Datenschutzverstößen auf Webseiten vermeiden – Google Fonts lokal einbinden

Online-Fortbildungsangebot „QR-Codes kreativ einsetzen – kits“

Es ist das nachstehend beschriebene Fortbildungsangebot in die VeDaB eingestellt worden:

Datum: 24.11.2022
Uhrzeit: 14.00 bis 16.00 Uhr

Ort: ONLINE-Veranstaltung

Anmeldelink: https://vedab.de/veranstaltungsdetails.php?vid=134029

Beschreibung:

»kits« (Kompetent in Technik und Sprache) ist ein Projekt des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung.
»kits« bündelt bekannte und neue digitale Tools auf einer Website und verknüpft diese mit konkreten Unterrichtsideen mit dem Ziel, die digitalen und sprachlichen Kompetenzen aller Lernenden in jedem Fach zu entwickeln. Die vorgestellten Tools sind so vielseitig einsetzbar, dass sie sich für unterschiedlichste Unterrichtsszenarien eignen.
Die Tools selbst lassen sich mit jedem Endgerät ohne Anmeldung und kostenfrei nutzen. Personenbezogene Daten werden nicht erhoben, sodass eine Nutzung in schulischen Kontexten datenschutzkonform ist.

Am Beispiel des QR-Code-Generators werden Möglichkeiten der Plattform vorgestellt und ausprobiert.
Die QR-Codes können sehr vielfältig verwendet werden. Während klassische Plattformen Links verschlüsseln, kann man mit KITS die QR-Codes individualisieren, Texte als Audios in verschiedenen Sprachen ausgeben und sogar Aufgaben verteilen. Auf diese Weise kann man beim Erlernen von Sprachen helfen, Plakate und Memorys medial erweitern oder z.B. mit einer QR-Code-Rallye das Schulgebäude erkunden.

Das Portfolio von »kits« umfasst zum Bespiel einen QR-Code-Generator, mit dem Audio-QR-Codes erzeugt werden können, ein Brainstorming-Tool oder ein kollaborative Anwendung zum Gestalten von Mindmaps. Alle Tools finden sich auf https://kits.blog/tools.
»kits« fördert auch Projekte in Schulen und Kitas in Niedersachsen. Digitale Endgeräte können kostenfrei ausgeliehen werden. Konkrete Unterstützung erfahren die Einrichtungen durch Medienpädagigische Beraterinnen und Berater aus dem »kits«-Team.

Quelle: NIBIS Portal Datenschutz Online-Fortbildungsangebot „QR-Codes kreativ einsetzen – kits“