Kategorie: Aufsichtsbehördliche Maßnahmen

Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordern Verbesserungen beim Einsatz externer Dienstleister durch Berufsgeheimnisträger

20. März 2017

Wie der Bayerische Landesbeauftragte für den Datenschutz am 16.03.2017 mitteilte, fordert die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder den Bundesgesetzgeber auf, den Einsatz von externen Dienstleistern durch Berufsgeheimnisträger datenschutzkonform und rechtssicher zu gestalten.

Berufsgeheimnisträger unterliegen auf Grund ihrer Berufsordnungen der Schweigepflicht. Dies dient dem Schutz der Vertrauensbasis, beispielsweise zwischen Anwalt und Mandant oder Arzt und Patient. Ein Verstoß gegen die Schweigepflicht bzw. eine unbefugte Offenbarung von Privatgeheimnissen wird nach § 203 Strafgesetzbuch (StGB) mit Geld- oder Freiheitsstrafe bestraft.

Kaum eine Anwaltskanzlei oder Arztpraxis kommt jedoch heut zu Tage ohne die Nutzung der modernen Technik aus. Gleichzeitig sind Berufsgeheimnisträger auf Hilfe hinsichtlich Support und Wartung ihrer Systeme durch externe Dienstleister angewiesen. Der Einsatz externer Dienstleister kann jedoch zu einer strafbaren unbefugten Offenbarung von Privatgeheimnissen führen.

Diesem Dilemma soll der Gesetzesentwurf der Bundesregierung „zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ entgegenwirken. Der Gesetzesentwurf sieht vor, dass in Fällen der Beauftragung mit der Datenverarbeitung oder Wartung durch einen Berufsgeheimnisträger auch der externe Dienstleister nach § 203 StGB verpflichtet ist.

Auch mit Blick auf die EU-Datenschutzgrundverordnung ist für die betroffenen Berufsgruppen wünschenswert, dass diese Problematik einheitlich gestaltet wird und die datenschutzrechtlichen mit den strafrechtlichen Regelungen übereinstimmen. Das weitere Gesetzgebungsverfahren bleibt daher abzuwarten.

Deutliche Zunahme von gemeldeten Datenpannen

13. März 2017

Nach dem Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), der dieser Tage veröffentlich wurde, ist die Zahl der Meldungen zu „unrechtmäßiger Kenntniserlangung von Daten“ gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) stark angestiegen. Während es im Jahr 2015 nur 28 Unternehmen waren, die zu einer solchen Meldung verpflichtet gewesen waren, lag die Zahl im Jahr 2016 bei 85, allein in Bayern.

Diese Vervielfachung läge vor allem am gesteigerten Bewusstsein der Unternehmen, Datenpannen mit einem erhöhten Risiko melden zu müssen, so der Präsident des Landesamtes, Thomas Kranig. § 42 a BDSG sieht vor, dass immer dann die Meldung einer Panne verpflichtend ist, wenn die Daten wie etwa Bank- und Gesundheitsdaten als besonders sensibel gelten und wenn den Betroffenen schwerwiegende Beeinträchtigungen drohen.

Nach der Europäischen Datenschutzgrundverordnung (DSGVO), die ab 25. Mai 2018 anzuwenden sein wird, wird das Ausmaß der Meldungen weiter zunehmen. Die Schwelle für die Meldepflicht von Datenpannen wird dann deutlich herabgesetzt sein. So muss künftig jede Datenschutzverletzung gemeldet werden, wenn sie „voraussichtlich zu einem Risiko“ für die Betroffenen führen kann (Artt. 33, 34 DSGVO). Auch der Zeitpunkt der Meldung wird gesetzlich festgelegt: Die Anzeige der Datenpanne muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde stattfinden.

Beschwerden über den Umgang mit Beschäftigtendaten bei den Landesdatenschutzbehörden nehmen zu

10. März 2017

Die Bundesländer Bremen, Rheinland-Pfalz und Hessen verspürten in den letzten zwei Jahren einen erheblichen Anstieg der Beschwerden im Bereich des Arbeitnehmerdatenschutzes. So nimmt beispielsweise der Beschäftigtendatenschutz in Bremen den größten Beschwerdebereich bei der Landesdatenschutzaufsichtsbehörde ein.

Die schwerpunktmäßigen Beschwerdebereiche bilden dabei die Vorratsdatenspeicherung von Internetaktivitäten, die Videoüberwachung am Arbeitsplatz sowie Krankschreibungen und Personalausweiskopien.

So konnten betroffene Arbeitnehmer in acht Fällen die installierten Videoüberwachungsanlagen des Arbeitsgebers an ihrem Arbeitsplatz verhindern. In einem Fall musste der Arbeitgeber die Videoüberwachungseinrichtung an den Arbeitsplätzen seiner Auszubildeneden wieder abbauen, nachdem der Datenschutzbeauftragte es für angemessen und auch zumutbar gehalten hatte, wenn der Arbeitgeber seine sensiblen Unterlagen am Arbeitsplatz einfach einschließt, um sie vor Diebstahl von Auszubildenden in seinem Großraumbüro zu schützen. Und auch in einem anderen Fall, indem eine Videokamera auf Toilettenzugänge in den Geschäftsräumen eines Großhandels gerichtet war, setzte der Datenschutzbeauftragte den Abbau der Videoüberwachungsanlage durch.

Auch auf einem anderen klassischen arbeitnehmerdatenschutzrechtlichen Gebiet konnten betroffene Beschäftigte Erfolge erzielen: Ein Arbeitgeber hatte versucht, sich beim behandelnden Arzt seines krangeschriebenen Arbeitnehmers über den Grund von dessen Arbeitsunfähigkeit zu erkundigen. Der betroffene Arbeitnehmer beschwerte sich daraufhin bei dem zuständigen Datenschutzbeauftragten. Letzterer klärte den Arbeitgeber des betroffenen Arbeitnehemers daraufhin darüber auf, dass er seine bestehenden Zweifel hinsichtlich der Richtigkeit der Arbeitsunfähigkeitsbescheinigung unmittelbar mit dem betroffenen Arbeitnehmer selbst klären müsse.

Imke Sommer, die Bremer Datenschutzbeauftragte, spricht sich vor dem Hintergrund dafür aus, dass es „höchste Zeit für ein wirksames Beschäftigtendatenschutzgesetz“ sei. Die Datenschutzgrundverordnung lege den Erlass dieses Gesetzes im Übrigen den nationalen Gesetzgebern nahe.

VG Köln hält Anordnung des LDI NRW aufrecht

23. Februar 2017

Am 16.02.2017 wies das VG Köln (Az. 13 K 6093/15) die Klage der Bertreiberin eines Online-Bewertungsportals für Autofahrer gegen eine Anordnung des Datenschutzbeauftragten für das Land NRW (LDI NRW) ab, das von ihr betriebene Portal datenschutzkonform zu gestalten.

Die Klägerin betreibt das Online-Bewertungsportal „fahrerbewertung.de“, auf welchem Nutzer das Fahrverhalten Dritter bewerten können. Mit der Vergabe von Schulnoten und einem Ampelsystem bewerten die Nutzer unter Nennung des jeweiligen Kfz-Kennzeichens Fahrstil und das Fahrverhalten des Fahrers bzw. Halters.

Der Landesdatenschutzbeauftragte des Landes NRW hielt dies für datenschutzwidrig und forderte die Klägerin auf, ihr Portal entsprechend den datenschutzrechtlichen Anforderungen zu gestalten. Bei Kfz-Kennzeichen handelt es sich um personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes. Bei Kfz-Kennzeichen ergibt sich zwar kein direkter Personenbezug, jedoch ist zumindest der Halter des Fahrzeugs bestimmbar. Damit liegen personenbezogene Daten vor. Durch die Prangerwirkung, die durch das Bewertungsportal entstehe, werde der betroffene Fahrer bzw. Halter des Kfz in seinem Persönlichkeitsrecht verletzt. Dieser Ansicht gab das VG Köln in seiner Entscheidung recht.

Neues Gesetz schafft umfangreiche Auslandsspionage-Befugnisse für den BND

5. Januar 2017

Der Bundesnachrichtendienst (BND) darf sich seit Ende Dezember durch die Veröffentlichung im Bundesgesetzblatt und das Inkrafttreten des Gesetzes zur Ausland-Ausland-Fernmeldeaufklärung auf eine neue umfangreiche Rechtsgrundlage für seine Überwachungstätigkeit berufen. Das Gesetz berechtigt den BND ab sofort, vom Inland aus mit technischen Mitteln Informationen einschließlich personenbezogener Daten aus Telekommunikationsnetzen zu erheben und zu verarbeiten, solange über die ausgespähten Kabel Telekommunikation von Ausländern im Ausland erfolgt. Die so erlangten Milliarden von Verbindungs- und Standortdaten dürfen für sechs Monate auf Vorrat gespeichert werden. Das Gesetz berechtigt den BND in Gefahrensituationen eines bewaffneten Angriffs, bei Terrorismusverdacht und organisierter Kriminalität auch EU-Bürger gezielt auszuhorchen, wobei jedoch Bundesbürger herausgefiltert werden müssen. Neu ist somit die Möglichkeit Netzknoten wie den De-Cix in Frankfurt zu überwachen. Die Praxis erinnert an die der NSA in den Vereinigten Staaten. Ebenso fällt mit dem Gesetz die bisherige Grenze von maximal überwachten 20 Prozent der gesamten Leistungskapazität eines Providers. Bisher war die Rechtsgrundlage für den BND in diesen Fällen häufig umstritten und vage. Durch die im Eiltempo voran getriebene Verabschiedung durch die große Koalition (wir berichteten) besteht nun Rechtssicherheit.

Innenminister fordern Ausweitung der Vorratsdatenspeicherung auf Messenger-Dienste

8. Dezember 2016

Die Ständige Konferenz der Innenminister und -senatoren der Länder (IMK) tagte vom 29. bis 30. November 2016 im Saarland, das in diesem Jahr den Vorsitz der Konferenz inne hat. Laut einer Pressemitteilung hierzu fordern die Innenminister der Bundesländer eine praxisgerechte Ausweitung der Voratsdatenspeicherung auf sogenannte Messenger-Dienste wie WhatsApp und Threema. Derzeitig sind von der Vorratsdatenspeicherung und der Telekommunikationsüberwachungs-Verordnung (TKÜV) nur Telekommunikationsdienste wie Telefon- und Internetanschlüsse betroffen, für die das Telekommunikationsgesetz (TKG) gilt. Internetangebote wie Suchmaschinen, Messenger-Dienste oder Webshops sind in der Regel aber Telemediendienste und fallen demnach unter das Telemediengesetz (TMG). IMK-Vorsitzender Bouillon: „Vor allem bei der Bekämpfung des Islamismus brauchen wir neue gesetzliche Regelungen, damit die Strafverfolgungsbehörden aktiv werden können und nicht wie bislang hilflos zuschauen müssen, wenn Kriminelle über diese Messenger-Dienste Straftaten planen.“

Datenschutzbeauftragte rügen Kriminalämter des Bundes und der Länder

10. November 2016

Erstmalig haben die Datenschutzbeauftragten der  Länder und des Bundes eine gemeinsame Kontrolle durchgeführt und bundesweit die Handhabung der Falldatei Rauschgift überprüft. Wie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, mitteilte, bestehe Nachbesserungsbedarf bei der Pflege der bundesweit geführten Datenbank. In der Falldatei Rauschgift speichern das Bundeskriminalamt, das Zollkriminalamt und die Polizeibehörden der Länder Daten von circa 680.000 Personen.

Das Bundeskriminalamtgesetz (BKAG) ermächtigt das Bundeskriminalamt personenbezogene Daten von Beschuldigten und Tatverdächtigen – konkret Informationen zu deren Person sowie Tatort und Tatzeit zu speichern. Dies geschieht vor dem Hintergrund der effektiven Strafverfolgung und Gefahrenabwehr von Drogendelikten. Bei der alltäglichen Ausführung ihres staatlichen Auftrages haben die Sicherheitsbehörden gleichwohl gesetzliche Vorgaben zu beachten. Dies gilt auch für die datenschutzrechtlichen Anforderungen an die Führung einer Verbunddatei wie der Falldatei Rauschgift.

Konkret bemängeln die Datenschutzbeauftragten, dass die nach dem BKAG erforderliche Negativkontrolle in vielen Fällen nicht stattfand. Die Negativkontrolle, die Behörden in jedem Einzelfall durchzuführen haben, soll verhindern, dass Bagatellfälle in die Datenbank eingetragen werden. So kam es laut BfDI vor, dass Daten von Konsumenten eines Joints sowie die Daten eines Apothekers, dessen Kunde rezeptpflichtige Medikamente gestohlen hatte, in der Falldatei Rauschgift gespeichert sind.

Weiterhin rügen die Datenschutzbeauftragten die fehlende Löschung der gespeicherten Daten. Rechtsstaatliche Grundsätze wie die Unschuldsvermutung müssen sich auch in der Führung und Pflege von sicherheitsbehördlichen Datenbanken wiederspiegeln. In Fällen in denen Ermittlungsverfahren eingestellt werden oder das Strafverfahren mit einem Freispruch endet, sind die erhobenen Daten nach dem Ablauf festgelegter Fristen zu löschen. Auf diese Weise entsprechen die Sicherheitsbehörden nicht nur den rechtsstaatlichen Anforderungen, sondern auch den datenschutzrechtlichen.

Überprüfung durch die Datenschutz-Aufsichtsbehörden

7. November 2016

Seit November 2016 kontrollieren die Datenschutz-Aufsichtsbehörden von 10 Bundesländern einige deutschlandweit ausgewählte Unternehmen, dahingehend, ob der internationale Datentransfer datenschutzkonform ausgestaltet ist.

Einer Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zufolge werden die Unternehmen nach dem Zufallsprinzip ausgewählt. Die Behörden achten darauf, dass die Unternehmen verschiedener Größe und aus unterschiedlichen Branchen sind. Die ausgewählten Unternehmen müssen einen detaillierten Fragebogen ausfüllen. Sofern die datenschutzrechtlichen Anforderungen nicht erfüllt sind ist mit Folgemaßnahmen zu rechnen.

Zweck dieser Kontrolle ist zum einen die Überprüfung der Unternehmen hinsichtlich der Übermittlung personenbezogener Daten in das Nicht-EU-Ausland. Zum anderen soll auch eine Sensibilisierung der Unternehmen bezüglich des Problembewusstseins beim Umgang mit der Übermittlung personenbezogenen Daten erreicht werden.

 

 

Mangelhafter Datenschutz beim Internet der Dinge

5. Oktober 2016

Wie das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) mitteilt, bestehen erhebliche Mängel hinsichtlich des Datenschutzes beim Internet der Dinge (engl: Internet of Things, IoT).

Das BayLDA untersuchte im Rahmen einer internationalen Prüfaktion des Global Privacy Network (GPEN) gemeinsam mit weiteren 25 Aufsichtsbehörden aus verschiedenen Ländern sogenannte smarte Alltagsgeräte, vom Fitnesstracker über das Smart-TV bis hin zur vernetzten Zahnbürste. Im Fokus standen vor allem die Datenschutzbestimmungen für die Nutzung der Geräte.

Die internationale Prüfgemeinschaft kommt dabei zu dem Schluss, dass erhebliche Mängel bestehen. Überwiegend seien die Nutzer weder über die Art und den Umfang der Erhebung und Nutzung ihrer Daten noch über die Speicherung oder Löschung der Daten informiert. Etwa ein Drittel der untersuchten Unternehmen stelle keine Kontaktinformationen für Rückfragen bereit. Insgesamt sei die Datenverarbeitung intransparent und, gerade im Bereich von Gesundheitsdaten, nicht ausreichend geschützt.

Thomas Kranig, der Präsident des BayLDA, begrüßt die gemeinsame Prüfaktion und kündigte an, nun mit den jeweiligen Unternehmen in Kontakt zu treten um für die Erfüllung der datenschutzrechtlichen Anforderungen zu sorgen.

 

Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit erlässt Anordnung gegen Facebook

28. September 2016

Mit einer Verwaltungsanordnung hat am 27.09.2016 ordnet der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, Facebook an, es ab sofort zu unterlassen, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Bereits durch WhatsApp übermittelte Daten hat Facebook zu löschen.

Wie bereits berichtet, hatte WhatsApp im August 2016 Änderungen seiner Nutzungsbedingungen bekannt gegeben, die vorsehen, dass WhatsApp die Telefonnummern seiner Nutzer und Informationen wann der Nutzer aktiv war an Facebook übermittelt.

Nach den Regelungen des Bundesdatenschutzgesetzes ist die Übermittlung von personenbezogenen Daten nur dann zulässig, wenn entweder eine gesetzliche Grundlage dies erlaubt oder die Betroffenen hierein eingewilligt haben. Beides liegt bei der Datenübermittlung an Facebook jedoch nicht vor.

Die Anordnung gegen Facebook erfolgt im Sinne des Rechts auf informationelle Selbstbestimmung. Es müsse die Entscheidung der WhatsApp-Nutzer sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen, so Caspar.

1 2 3 11