Seitenbereiche
info@k11-consulting.de

Datenschutz News

© k11-consulting.com

UK: ICO rügt Bildungsministerium unter EU-DSGVO für Trustopia-Zugang zur LRS-Datenbank

Das Information Commissioner's Office ("ICO") gab am 6. November 2022 bekannt, dass es am 2. November 2022 einen Verweis in Form einer Verwarnung an das Bildungsministerium wegen Verstößen gegen Artikel 5 Absatz 1 Buchstabe a und Artikel 5 Absatz 1 Buchstabe f der Allgemeinen Datenschutzverordnung der Europäischen Union (Verordnung (EU) 2016/679) ("GDPR") ausgesprochen hat, nachdem es eine Meldung über einen Verstoß erhalten hatte.

 

Hintergrund des Falles

 

Die ICO leitete ihre Untersuchung ein, nachdem sie eine Meldung des Bildungsministeriums über einen unbefugten Zugriff auf die Datenbank des Learning Records Service (LRS) erhalten hatte, in der die Qualifikationen von Schülern erfasst werden, auf die Bildungsanbieter zugreifen können, und in der personenbezogene Daten von bis zu 28 Millionen Kindern und Jugendlichen ab 14 Jahren gespeichert sind. Darüber hinaus erklärte das ICO, dass der Fall aufgrund der Art der Verarbeitung gemäß der EU-DSGVO geprüft wurde.

 

Feststellungen des ICO

 

Dementsprechend stellte das ICO fest, dass Trust Systems Software UK Ltd. ("Trustopia"), ein Unternehmen für Beschäftigungsscreening, von September 2018 bis Januar 2020 Zugang zur LRS-Datenbank hatte und Abfragen bei 22.000 Lernenden zum Zweck der Altersüberprüfung durchgeführt hat, ohne dass eine staatlich finanzierte Ausbildung vorlag. Das ICO stellte insbesondere fest, dass Trustopia die LRS-Datenbank nutzte, um zu überprüfen, ob Personen, die Online-Glücksspielkonten eröffnen, im Rahmen eines für Unternehmen angebotenen Dienstes 18 Jahre alt sind. Das ICO stellte insbesondere fest, dass das Bildungsministerium die Gesamtverantwortung für die LRS-Datenbank trägt. Darüber hinaus kam das ICO zu dem Schluss, dass diese Weitergabe von Daten durch Trustopia an seine Kunden bedeutete, dass die Informationen nicht für ihren ursprünglichen Zweck verwendet wurden, was im Widerspruch zu Artikel 5 Absatz 1 Buchstabe a und Artikel 5 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung steht.

 

Ergebnisse

 

Letztlich erteilte das ICO den Verweis in Form einer Verwarnung und wies darauf hin, dass die Maßnahme Teil des neuen Versuchsansatzes des ICO zur Durchsetzung der Vorschriften für den öffentlichen Sektor ist, der darauf abzielt, die Auswirkungen von Geldbußen auf die Öffentlichkeit zu verringern. Wäre der neue Ansatz nicht angewandt worden, hätte das Bildungsministerium eine Geldstrafe von über 10 Millionen Pfund zahlen müssen. Das ICO stellte fest, dass das Bildungsministerium die Einhaltung der britischen Datenschutz-Grundverordnung (GDPR) verbessern muss, und forderte es auf, die folgenden Maßnahmen zu ergreifen, um die Einhaltung zu verbessern

 

Schritte zur Verbesserung der Transparenz bei der Verarbeitung der LRS-Datenbank zu unternehmen;

weiterhin alle internen Sicherheitsverfahren regelmäßig zu überprüfen;

Sicherstellung, dass alle betroffenen Mitarbeiter über alle Änderungen an den Verfahren infolge des Vorfalls informiert werden;

eine gründliche und detaillierte Datenschutz-Folgenabschätzung (Data Protection Impact Assessment - DPIA) durchzuführen und

weiterhin dafür zu sorgen, dass alle Mitarbeiter ausreichende Datenschutzschulungen erhalten.

Dennoch fügte das ICO hinzu, dass das Bildungsministerium inzwischen 2.600 Organisationen den Zugang zur LRS-Datenbank entzogen hat, sein Registrierungsverfahren verschärft hat, die Datenbank regelmäßig auf übermäßige Abfragen überprüft und Organisationen, die sie nicht mehr nutzen, abgemeldet hat.

ICO, 8.11.2022

 

EU: LfD Niedersachsen erinnert daran, dass die Frist für die Umwandlung alter SCCs näher rückt

 

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) hat am 3. November 2022 eine Pressemitteilung herausgegeben, in der er Unternehmen daran erinnert, dass die von der Europäischen Kommission eingeräumte Frist für die Umstellung von Verträgen, die vor dem 27. September 2021 geschlossen wurden, von den alten Standardvertragsklauseln (SCC) auf die neuen SCC am 27. Dezember 2022 endet. Daher wies der LfD Niedersachsen darauf hin, dass die alten SCC nach dem genannten Datum nicht mehr als angemessene Schutzmaßnahme im Sinne von Artikel 46 Absatz 2 Buchstabe b der Allgemeinen Datenschutzverordnung (Verordnung (EU) 2016/679) ("DSGVO") für die Übermittlung personenbezogener Daten in Drittländer gelten werden.

 

Ferner erinnerte der LfD Niedersachsen daran, dass eine Datenschutzaufsichtsbehörde, die feststellt, dass personenbezogene Daten ohne angemessene Garantien an Drittländer oder internationale Organisationen übermittelt wurden, anordnen kann, dass diese Übermittlungen ausgesetzt werden, und dass auch eine Geldstrafe verhängt werden kann.

EU, 8.11.2022

 

China: TC260 veröffentlicht Liste nationaler Normen zur Unterstützung der Umsetzung von PIPL

 

Das National Information Security Standardisation Technical Committee (TC260") hat am 2. November 2022 nationale Normen veröffentlicht, die die Umsetzung des Gesetzes zum Schutz personenbezogener Daten der Volksrepublik China (PIPL") an dessen erstem Jahrestag unterstützen. Der TC260 hob insbesondere hervor, dass die verschiedenen 37 nationalen Normen die Umsetzung von 42 spezifischen Bestimmungen des PIPL unterstützen.

 

Der TC260 wies insbesondere darauf hin, dass in Bezug auf die Artikel 5, 6, 7, 8 und 9 des PIPL der Standard "Personal Information Security Specification" und der Standard "Basic Requirements for Personal Information Collection by Mobile Internet Applications" spezifische Anforderungen an die Verarbeitung personenbezogener Daten stellen, die unter anderem den Grundsätzen der Legalität, Legitimität, Notwendigkeit und Integrität, des klaren Zwecks und der minimalen Verarbeitung entsprechen. Ebenso stellte der TC260 fest, dass der Standardentwurf "Sicherheitsanforderungen für die Verarbeitung sensibler personenbezogener Daten" die Anforderungen an die Datensicherheit und den Schutz personenbezogener Daten für Datenverarbeiter im Prozess der automatisierten Entscheidungsfindung und damit verbundenen Anwendungen gemäß Artikel 24 des PIPL klarstellt. Ferner führte der TC260 aus, dass der Standardentwurf "Zertifizierungsanforderungen für die grenzüberschreitende Übermittlung personenbezogener Daten" zur Klärung der Sicherheitsgrundsätze und -anforderungen für grenzüberschreitende Datenübermittlungen gemäß Artikel 38 und 39 des Datenschutzgesetzes beiträgt.

 

Was den eher technischen Aspekt betrifft, so hat der TC260 "Guidelines for De-identification of Personal Information" und "Guidelines for Personal Information Security Engineering" erstellt, die die technischen und anwendungstechnischen Anforderungen sowie die Methoden zur Erfüllung der Verpflichtungen der Verarbeiter personenbezogener Daten gemäß Artikel 51 des PIPL klären. Ebenso sieht der TC260 vor, dass die "Guidelines for Impact Assessment of Personal Information Security" die grundlegenden Umsetzungsverfahren für die in Artikel 55 und 56 des PIPL geforderten Folgenabschätzungen für die Sicherheit personenbezogener Daten festlegen.

TC260, 8.11.2022

Erstellt:

Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.

Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite
Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite

Scannen Sie ganz einfach mit einem QR-Code-Reader auf Ihrem Smartphone die Code-Grafik links und schon gelangen Sie zum gewünschten Bereich auf unserer Homepage.