Kategorie: Aufsichtsbehördliche Maßnahmen

Bundesnetzagentur sieht vorerst von Maßnahmen zur Durchsetzung der Vorratsdatenspeicherung ab

29. Juni 2017

Wie die Bundesnetzagentur (BNA) am 28.06.2017 mitteilte, sieht sie bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens über die Verfassungsmäßigkeit der Vorratsdatenspeicherung gegenüber den zur Speicherung verpflichteten Unternehmen von Anordnungen und sonstigen Maßnahmen zur Durchsetzung den in § 113b Telekommunikationsgesetz (TKG) vorgesehenen Speicherpflichten ab. Insbesondere würden keine Bußgeldverfahren eingeleitet werden.

Damit reagiert die BNA auf den Beschluss des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen (OVG NRW) vom 22.06.2017 (Az. 13 B 238/17). Das OVG NRW hatte jüngst beschlossen, dass der Kläger – ein Internetzugangsdiensteanbieter – nicht verpflichtet ist, Telekommunikationsdaten seiner Kunden nach § 113b TKG zu speichern, so lange das Hauptsacheverfahren nicht rechtskräftig entschieden ist. In diesem Beschluss erklärte das Gericht, das Gesetz zur Einführung von Speicherpflichten für Telekommunikationsdiensteanbieter zur Speicherung von Telekommunikationsdaten sei mit geltenden Unionsrecht nicht vereinbar. Konkret verstoße § 113b Abs. 1 TKG gegen Artikel 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG vom 12. Juli 2002.

Gemäß § 113b TKG sind Telekommunikationsanbieter verpflichtet, Standort- und Verkehrsdaten ihrer Kunden für vier bzw. zehn Wochen zu speichern. Bei Zuwiderhandlung dieser Pflichten ist die BNA gemäß § 115 TKG befugt, Anordnungen und Maßnahmen zu treffen, um die Einhaltung dieser Vorschriften sicherzustellen.

Abzuwarten bleibt nun die Entscheidung im Hauptsacheverfahren.

Die TK-Branche begrüßte die Entscheidung sehr. Auch aus datenschutzrechtlicher Sicht sind die jüngsten Entwicklungen positiv zu beurteilen. Eine anlasslose Überwachung sämtlicher Betroffenen ist mit dem Recht auf informationelle Selbstbestimmung nicht vereinbar.

Bayerisches Landesamt für Datenschutzaufsicht veröffentlicht Fragebogen zur Vorbereitung auf EU-DSGVO

29. Mai 2017

Nachdem am 25.05.2017 „Halbzeit“ der Vorbereitungszeit von Unternehmen an die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) erreichte, hat  das Bayerische Landesamt für Datenaufsicht (BayLDA) einen Prüffragebogen veröffentlicht. Der Prüffragebogen vermittelt verantwortlichen Stellen einerseits einen Eindruck darüber, wie ab Mai 2018 Prüfungen durch das BayLDA ablaufen könnten.

Gleichzeitig ist der Prüffragebogen ein gutes Instrument festzustellen, hinsichtlich welcher Aspekte Unternehmen ihre Prozesse und Systeme noch nicht EU-DSGVO-konform gestaltet haben. Zwar enthält die EU-DSGVO viele der bereits bekannten Grundsätze und Prinzipien. Insbesondere hinsichtlich der Rechte der Betroffenen sowie der Dokumentationspflichten bestehen jedoch wesentliche Unterschiede im Vergleich zur jetzigen Rechtslage.

Zwar enthält der Prüffragebogen alle wesentlichen Neuerungen. Jedoch darf sein zweiseitiger Umfang nicht darüber hinwegtäuschen, dass die Anpassung der Systeme und Prozesse eine zeitintensive Aufgabe ist.

Datenschutzmängel in Berliner Krankenhäusern

7. April 2017

Die Datenschutzbeauftragte Maja Smoltczyk moniert den Umgang der Berliner Gesundheitsbehörden mit Gesundheitsdaten, insbesondere im Zusammenhang mit Patientendaten in Berliner Krankenhäusern. In ihrem aktuellen Tätigkeitsbereich kritisiert die Berliner Datenschutzbeauftragten die fehlende Ausstattung der Gesundheitsbehörden unter anderem mit moderner Technik und den erforderlichen Ressourcen. Vor diesem Hintergrund lassen sich Datenpannen, wie das unbeabsichtigte Offenlegen von Patientendaten gegenüber unbeteiligten Dritten durch die Gesundheitsbehörden, nicht verhindern.

Erhebliche Kritik äußerte die Datenschutzbeauftragte auch hinsichtlich einer mangelnden Erfassung dezentraler Prozesse innerhalb von Tochtergesellschaften der Krankenhäuser oder einer lückenhaften Umsetzung der IT Sicherheitsvorgaben bei Wartungen von Krankenhaus-ITs.

In diesem Zusammenhang wird der aktuelle Entwurf des neuen Bundesdatenschutzgesetzes, nach dem die Datenschutzaufsichtbehörden keine Kontrollen mehr vor Ort im Arbeitsbereich von Berufsgeheimnisträgern ausüben dürfen, keinesfalls zu einem besseren Schutzniveau der Berliner Gesundheitsdaten führen. Denn ob die Krankenhäuser die ihnen datenschutzrechtlich vorgegebenen Maßnahmenergreifungen auch tatsächlich umsetzen, könnten die Aufsichtsbehörden demnach überhaupt nicht mehr nachkontrollieren.

Datenschutzbehörden ohne ausreichend Personal für die DS-GVO

6. April 2017

Vor der Geltung der Datenschutz-Grundverordnung (DS-GVO) im Mai kommenden Jahres steigt bei den datenschutzrechtlichen Aufsichtsbehörden des Bundes und der Länder der Bedarf an qualifiziertem Personal, denn Zuständigkeits- und Verantwortungsbereiche werden stark anwachsen.

Nach einer aktuellen Umfrage des Handelsblatts zeigt sich, dass insbesondere bei den Ländern nicht rechtzeitig genügend Personal zur Verfügung stehen wird, um die z. T. komplexen Neuerungen umzusetzen. Die Hälfte der betroffenen Behörden führt derzeit noch Verhandlungen über Haushaltserhöhungen, in einigen Bundesländern steht bereits fest, dass es dieses Jahr nicht mehr zu Neueinstellungen kommen kann (so in Berlin, Bremen, Hamburg, Saarland, Sachsen und Thüringen).

Nach dem Hamburger Datenschutzbeauftragten Johannes Caspars sei mithin zu befürchten, dass „die Kluft zwischen den rechtlichen Erwartungen, die der Gesetzgeber mit der neuen Regelung verfolgt, und der defizitären Ausstattungssituation noch viel größer wird, als sie bereits unter der gegenwärtigen Rechtslage ist“.

Etwas besser sieht die Personalsituation beim Bund aus. Nach Informationen der Bundesdatenschutzbeauftragten Andrea Voßhoff sind für ihre Behörde bereits 32 neue Stellen für die DS-GVO vorgesehen.

LDI Berlin hält biometrische Gesichtserkennung für zukunftslos

30. März 2017

Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Berlin Maja Smoltczyk hat sich in einer Presseerklärung klar gegen die Technik der biometrischen Gesichtserkennung positioniert und diese als Technik ohne Zukunft beschrieben. Dies kann nach Ansicht der LDI die Freiheit sich in der Öffentlichkeit frei zu bewegen vollständig zerstören, da den Betroffenen keine Möglichkeit geboten würde sich einer Überwachung zu entziehen. Im Gegensatz zur konventionellen Videoüberwachung würde dies die Rechte erheblich schwerer einschränken. Auch das Potential der erhobenen Daten würde schwerwiegend zu Lasten der Betroffenen gehen. So könne man Bewegungsprofile erstellen und die Daten durch ihre eindeutige Personenbeziehbarkeit problemlos mit anderen Daten, zum Beispiel aus sozialen Netzwerken, kombinieren.

Der europäische Gesetzgeber hat die enormen Risiken dieser Technik für die Privatsphäre erkannt und die Erhebung biometrischer Daten zur Identifizierung in der ab Mai 2018 geltenden Datenschutzgrundverordnung grundsätzlich verboten. Ausnahmen sind nur in engen Grenzen zulässig, z. B. wenn der Betroffene ausdrücklich eingewilligt hat oder wenn die Identifizierung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Auf letzteres können sich in erster Linie Sicherheitsbehörden z. B. bei der Verfolgung schwerer Straftaten stützen. Auch in diesen Fällen müssen aber der Wesensgehalt des Rechts auf Datenschutz gewahrt bleiben und angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und -freiheiten der Betroffenen vorgesehen werden.

Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordern Verbesserungen beim Einsatz externer Dienstleister durch Berufsgeheimnisträger

20. März 2017

Wie der Bayerische Landesbeauftragte für den Datenschutz am 16.03.2017 mitteilte, fordert die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder den Bundesgesetzgeber auf, den Einsatz von externen Dienstleistern durch Berufsgeheimnisträger datenschutzkonform und rechtssicher zu gestalten.

Berufsgeheimnisträger unterliegen auf Grund ihrer Berufsordnungen der Schweigepflicht. Dies dient dem Schutz der Vertrauensbasis, beispielsweise zwischen Anwalt und Mandant oder Arzt und Patient. Ein Verstoß gegen die Schweigepflicht bzw. eine unbefugte Offenbarung von Privatgeheimnissen wird nach § 203 Strafgesetzbuch (StGB) mit Geld- oder Freiheitsstrafe bestraft.

Kaum eine Anwaltskanzlei oder Arztpraxis kommt jedoch heut zu Tage ohne die Nutzung der modernen Technik aus. Gleichzeitig sind Berufsgeheimnisträger auf Hilfe hinsichtlich Support und Wartung ihrer Systeme durch externe Dienstleister angewiesen. Der Einsatz externer Dienstleister kann jedoch zu einer strafbaren unbefugten Offenbarung von Privatgeheimnissen führen.

Diesem Dilemma soll der Gesetzesentwurf der Bundesregierung „zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ entgegenwirken. Der Gesetzesentwurf sieht vor, dass in Fällen der Beauftragung mit der Datenverarbeitung oder Wartung durch einen Berufsgeheimnisträger auch der externe Dienstleister nach § 203 StGB verpflichtet ist.

Auch mit Blick auf die EU-Datenschutzgrundverordnung ist für die betroffenen Berufsgruppen wünschenswert, dass diese Problematik einheitlich gestaltet wird und die datenschutzrechtlichen mit den strafrechtlichen Regelungen übereinstimmen. Das weitere Gesetzgebungsverfahren bleibt daher abzuwarten.

Deutliche Zunahme von gemeldeten Datenpannen

13. März 2017

Nach dem Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), der dieser Tage veröffentlich wurde, ist die Zahl der Meldungen zu „unrechtmäßiger Kenntniserlangung von Daten“ gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) stark angestiegen. Während es im Jahr 2015 nur 28 Unternehmen waren, die zu einer solchen Meldung verpflichtet gewesen waren, lag die Zahl im Jahr 2016 bei 85, allein in Bayern.

Diese Vervielfachung läge vor allem am gesteigerten Bewusstsein der Unternehmen, Datenpannen mit einem erhöhten Risiko melden zu müssen, so der Präsident des Landesamtes, Thomas Kranig. § 42 a BDSG sieht vor, dass immer dann die Meldung einer Panne verpflichtend ist, wenn die Daten wie etwa Bank- und Gesundheitsdaten als besonders sensibel gelten und wenn den Betroffenen schwerwiegende Beeinträchtigungen drohen.

Nach der Europäischen Datenschutzgrundverordnung (DSGVO), die ab 25. Mai 2018 anzuwenden sein wird, wird das Ausmaß der Meldungen weiter zunehmen. Die Schwelle für die Meldepflicht von Datenpannen wird dann deutlich herabgesetzt sein. So muss künftig jede Datenschutzverletzung gemeldet werden, wenn sie „voraussichtlich zu einem Risiko“ für die Betroffenen führen kann (Artt. 33, 34 DSGVO). Auch der Zeitpunkt der Meldung wird gesetzlich festgelegt: Die Anzeige der Datenpanne muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde stattfinden.

Beschwerden über den Umgang mit Beschäftigtendaten bei den Landesdatenschutzbehörden nehmen zu

10. März 2017

Die Bundesländer Bremen, Rheinland-Pfalz und Hessen verspürten in den letzten zwei Jahren einen erheblichen Anstieg der Beschwerden im Bereich des Arbeitnehmerdatenschutzes. So nimmt beispielsweise der Beschäftigtendatenschutz in Bremen den größten Beschwerdebereich bei der Landesdatenschutzaufsichtsbehörde ein.

Die schwerpunktmäßigen Beschwerdebereiche bilden dabei die Vorratsdatenspeicherung von Internetaktivitäten, die Videoüberwachung am Arbeitsplatz sowie Krankschreibungen und Personalausweiskopien.

So konnten betroffene Arbeitnehmer in acht Fällen die installierten Videoüberwachungsanlagen des Arbeitsgebers an ihrem Arbeitsplatz verhindern. In einem Fall musste der Arbeitgeber die Videoüberwachungseinrichtung an den Arbeitsplätzen seiner Auszubildeneden wieder abbauen, nachdem der Datenschutzbeauftragte es für angemessen und auch zumutbar gehalten hatte, wenn der Arbeitgeber seine sensiblen Unterlagen am Arbeitsplatz einfach einschließt, um sie vor Diebstahl von Auszubildenden in seinem Großraumbüro zu schützen. Und auch in einem anderen Fall, indem eine Videokamera auf Toilettenzugänge in den Geschäftsräumen eines Großhandels gerichtet war, setzte der Datenschutzbeauftragte den Abbau der Videoüberwachungsanlage durch.

Auch auf einem anderen klassischen arbeitnehmerdatenschutzrechtlichen Gebiet konnten betroffene Beschäftigte Erfolge erzielen: Ein Arbeitgeber hatte versucht, sich beim behandelnden Arzt seines krangeschriebenen Arbeitnehmers über den Grund von dessen Arbeitsunfähigkeit zu erkundigen. Der betroffene Arbeitnehmer beschwerte sich daraufhin bei dem zuständigen Datenschutzbeauftragten. Letzterer klärte den Arbeitgeber des betroffenen Arbeitnehemers daraufhin darüber auf, dass er seine bestehenden Zweifel hinsichtlich der Richtigkeit der Arbeitsunfähigkeitsbescheinigung unmittelbar mit dem betroffenen Arbeitnehmer selbst klären müsse.

Imke Sommer, die Bremer Datenschutzbeauftragte, spricht sich vor dem Hintergrund dafür aus, dass es „höchste Zeit für ein wirksames Beschäftigtendatenschutzgesetz“ sei. Die Datenschutzgrundverordnung lege den Erlass dieses Gesetzes im Übrigen den nationalen Gesetzgebern nahe.

VG Köln hält Anordnung des LDI NRW aufrecht

23. Februar 2017

Am 16.02.2017 wies das VG Köln (Az. 13 K 6093/15) die Klage der Bertreiberin eines Online-Bewertungsportals für Autofahrer gegen eine Anordnung des Datenschutzbeauftragten für das Land NRW (LDI NRW) ab, das von ihr betriebene Portal datenschutzkonform zu gestalten.

Die Klägerin betreibt das Online-Bewertungsportal „fahrerbewertung.de“, auf welchem Nutzer das Fahrverhalten Dritter bewerten können. Mit der Vergabe von Schulnoten und einem Ampelsystem bewerten die Nutzer unter Nennung des jeweiligen Kfz-Kennzeichens Fahrstil und das Fahrverhalten des Fahrers bzw. Halters.

Der Landesdatenschutzbeauftragte des Landes NRW hielt dies für datenschutzwidrig und forderte die Klägerin auf, ihr Portal entsprechend den datenschutzrechtlichen Anforderungen zu gestalten. Bei Kfz-Kennzeichen handelt es sich um personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes. Bei Kfz-Kennzeichen ergibt sich zwar kein direkter Personenbezug, jedoch ist zumindest der Halter des Fahrzeugs bestimmbar. Damit liegen personenbezogene Daten vor. Durch die Prangerwirkung, die durch das Bewertungsportal entstehe, werde der betroffene Fahrer bzw. Halter des Kfz in seinem Persönlichkeitsrecht verletzt. Dieser Ansicht gab das VG Köln in seiner Entscheidung recht.

1 2 3 12