Kategorie: EU-Datenschutzgrundverordnung

Zugriff auf Patientendaten zukünftig über das Smartphone

16. Juli 2018

Die Mitglieder der gesetzlichen Krankenversicherungen sollen zukünftig über ihr Smartphone oder Tablet auf ihre Patientendaten zugreifen können.

Der Gesundheitsminister Jens Spahn beabsichtigt bereits ab 2021 diese neue Zugriffsmöglichkeit einzuführen.

Laut FAZ will der Gesundheitsminister noch im Juli die erforderlichen Vorgaben gegenüber den betroffenen gesetzlichen Krankenversicherungen tätigen.

Das Ziel der neuen Zugriffsmöglichkeit soll darin bestehen für die Versicherten die Nutzungsfreundlichkeit zu erhöhen und eine weitere Zugriffsoption zu schaffen.

Mit Einführung der neuen Option soll speziell die Digitalisierung vorangetrieben werden.

Die Zugriffsmöglichkeit auf Patientendaten über das Smartphone oder Tablet bedeutet jedoch laut dem Gesundheitsminister nicht die letzte Erweiterung in diesem Bereich. Daneben sollen im Rahmen der elektronischen Patientenakte auch die bisherigen Zugänge und Authentifizierungsverfahren erweitert werden. Im Gespräch ist ein vergleichbarer Zugang wie beim Online-Banking über die Verwendung von TAN und PIN.

 

Tracking durch internetfähige Geräte im Haushalt

Immer mehr Hersteller bieten Haushaltsgeräte wie die elektrische Zahnbürste, Kühlschränke oder Staubsaugerroboter mit der Funktion, dass sich die Geräte mit dem WLAN verbinden, an. Vielen Nutzern ist nicht bewusst, dass diese Geräte ihr Verhalten „tracken“, dh. erheben, auswerten und an ihren Hersteller weiterleiten. So meldet die elektrische Zahnbürste wie lange und wie häufig sie in Gebrauch ist. In Kühlschränken werden Kameras installiert, die dokumentieren, welche Lebensmittel wie häufig gekauft werden und der Staubsaugerroboter kann Auskunft über die Dauer und Häufigkeit seiner Nutzung und teilweise über die Größe oder sogar Zuschnitt der Wohnung geben. Diese Daten benutzen die Hersteller vor allem für Marketingzwecke, um ihr Angebot an das Verhalten ihrer Kunden anzupassen.

Dieses Tracking ist datenschutzrechtlich mehr als bedenklich. Nach der DSGVO spricht einiges dafür, dass diese Datenverarbeitung nicht datenschutzkonform ist.

Zunächst könnte das heimliche und uferlose Tracking könnte gegen das Transparenzgebot aus Art. 5 Abs. 1 lit. a DSGVO verstoßen. Beim Kauf eines internetfähigen Haushaltsgeräts ist es für den Kunden nicht ersichtlich, ob und welche seiner Verhaltensdaten übermittelt werden. Als Teil der Informationspflichten, muss der Betroffene über die Datenverarbeitung in Kenntnis gesetzt werde.

Gegen die Rechtmäßigkeit dieser Datenverarbeitung und Übermittlung spricht außerdem, dass sie auf keine Rechtsgrundlage gestützt werden kann. Art. 6 Abs. 1 lit. a) DSGVO scheidet aus, weil keine vorherige Einwilligung beim Nutzer eingeholt wird.
Art. 6 Abs. 1 lit. b) DSGVO erlaubt eine Verarbeitung, wenn dies für die Erfüllung des Vertrages notwendig ist. Der Kaufvertrag braucht aber gerade keine solches Tracking um erfüllt zu werden. Insbesondere können alle Geräte für ihren bestimmungemäßen Gebrauch ohne diese Datenverarbeitung genutzt werde.
Nach Art. 6 Abs. 1 lit. f) DSGVO ist eine Verarbeitung erlaubt, wenn der Hersteller ein berechtigtes Interesse an der Erhebung und Auswertung der Kundendaten hat. Dieses Interesse ist als berechtig einzustufen, wenn die schutzwürdigen Interessen des Kunden an seiner Privatsphäre nicht überwiegen. Beim Gebrauch von Haushaltsgeräten zum Staubsaugen, Aufbewahren und Kühlen von Lebensmitteln und Zähneputzen ist die Privatsphäre des Nutzers aber gerade höher zu bewerten, als die wirtschaftlichen Interessen der Hersteller und damit schutzwürdig.

Abgesehen von der mangelnden Rechtsgrundlage, könnte das Tracking gegen das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO verstoßen. Danach ist es verboten einen Vertragsabschluss von der Einwilligung in eine nicht für die Erfüllung notwendige Datenverarbeitung abhängig zu machen. In diesen Fällen ist die Einwilligung nicht mehr freiwillig erteilt worden und damit ungültig. Darüber hinaus trifft die Hersteller nach Art. 25 DSGVO die Pflicht datenschutzfreundliche Voreinstellungen bei Geräten zu treffen. Der Verstoß ist auch bußgeldbewehrt nach Art. 83 Abs. 4 lit. a) DSGVO.

Es lässt sich festhalten, dass das Tracking bei der Nutzung von internetfähigen Haushaltsgeräten nach der DSGVO problematisch ist. Es kann unter Umständen auf keine Rechtsgrundlage gestützt werden, verstößt gegen Datenschutzgrundsätze und ist bußgeldbewehrt.

Private Nutzung von Diensthandys

12. Juli 2018

In vielen Unternehmen werden unterschiedliche Formen im Umgang mit Smartphones praktiziert. Teilweise werden private Handys zu dienstlichen Zwecken verwendet oder dienstliche Handys auch privat genutzt. Aus datenschutzrechtlicher Sicht besteht insbesondere aufgrund verschiedener Messenger-Dienste, wie beispielsweise WhatsApp, ein Datenschutz-Problem.

Dennoch ist die Mischnutzung der Smartphones zu dienstlichen und privaten Zwecken bei vielen Unternehmen heute nicht mehr wegzudenken. Auch auf die Nutzung von Messenger-Diensten, insbesondere im privaten Bereich will keiner mehr verzichten.

Mit dem Herunterladen der App wird dem Messenger-Dienst ein Zugriff auf die im Handy gespeicherten Kontakte eingeräumt. Datenschutzrechtlich stellt das eine Übermittlung von personenbezogenen Daten dar, die einer Ermächtigungsgrundlage bedarf. In der Regel wird eine solche nicht vorliegen, da davon auszugehen ist, dass für die Übermittlung keine Einwilligung eingeholt wurde, kein Vertragsverhältnis und auch kein berechtigtes Interesse besteht. Damit ist die Übermittlung der personenbezogenen Daten rechtswidrig.

Für eine datenschutzkonforme Lösung dieses Problems sind folgende Lösungen denkbar:
• Die Trennung von Diensthandy und Privathandy. Das bedeutet, die Diensthandys dürfen ausschließlich dienstlich genutzt werden. Messenger-Dienste, die einen Zugriff auf die Kontaktdaten erhalten, dürfen auf diesen Diensthandys nicht installiert werden.
• Die Einholung von Einwilligungen der gespeicherten dienstlichen Kontaktpartner.
• Ein zentraler Verzeichnisdienst, durch den keine dienstlichen Kontakte auf den Smartphones mehr gespeichert werden, sondern der Mitarbeiter die Möglichkeit erhält, mithilfe einer App auf ein zentrales Verzeichnis zuzugreifen, in dem die dienstlichen Kontakte zentral verwaltet werden.
• Eine Containerlösung, durch die auf dem Smartphone ein abgegrenzter Bereich geschaffen wird, der nicht mit dem privat genutzten Bereich kommuniziert und keinerlei Daten mit diesem austauscht.

Um einen Messenger-Dienst dienstlich zu nutzen, verbleibt bisher als datenschutzkonforme Lösung aber einzig die Einholung von Einwilligungen. Die beiden letztgenannten Alternativen bieten ausschließlich eine Lösung dafür, Messenger-Dienste, auf einem auch zu dienstlichen Zwecken genutzten Handy, privat nutzen zu können.

US-Medien sperren EU-Bürger von Online-Nachrichten aus

11. Juli 2018

Die Regelungen der EU-Datenschutzgrundverordnung (DSGVO) gelten auch für Unternehmen außerhalb der Europäischen Union, wenn sie Daten von EU-Bürgern verarbeiten. Statt die 99 Artikel der DSGVO umzusetzen, haben einige US-Medien schlicht ihre Online-Präsenz für europäische Bürger gesperrt. So sind für Besucher mit europäischen IP-Adressen die Nachrichtenseiten der Baltimore Sun, Chicago Tribune, Los Angeles Times, New York Daily News und San Diego Union-Tribune geblockt. Alle genannten Seiten gehören zum Verleger Tronc, welcher bei einem Zugriff aus Europa verlautbaren lässt, man suche nach Möglichkeiten, die digitalen Angebote auf dem europäischen Raum anzubieten. Die Washington Post hat anlässlich der DSGVO ihr Geschäftsmodell erweitert und bietet eine „Premium EU Ad-Free Subscription“ ohne Werbung und Third-Party-Cookies für Europäer an.

Die wirtschaftlichen Folgen mögen für genannten US-Journalismus gering sein, da sich wohl nur wenige Europäer für Lokalnachrichten aus den USA interessieren. Kleinere Firmen, Start-Ups oder Vereine aus dem EU-Ausland ringen aber mit der DSGVO. Bevor Bußgelder oder Abmahnungen zu befürchten sind, blocken einige Verantwortliche während der Arbeit an den DSGVO-Vorgaben ihre Internetseiten für Europäer.

Die DSGVO gilt unmittelbar, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden. Ob Großkonzern oder Start-Up, die datenschutzrechtlichen Pflichten unterscheiden sich grundsätzlich nicht. Lediglich in Erwägungsgrund 13 der Verordnung werden kleine und mittlere Unternehmen (KMU) ausdrücklich erwähnt. So kann es Entlastungen hinsichtlich Verzeichnissen von Verarbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitern geben. Doch selbst diese Entlastung birgt gewisse Rechtsrisiken, sodass in der Regel dieser Dokumentationspflicht zu genügen ist. Zusätzlich ruft Artikel 40 DSGVO Verbände und Behörden dazu auf, Verhaltensregeln mit Berücksichtung der Bedürfnisse von KMU anzufertigen. Das Bayerische Landesamt für Datenschutzaufsicht hat für KMU einen Fragebogen und Handreichungen veröffentlicht.

Es bleibt abzuwarten, welche Reaktionen die DSGVO noch auf im EU-Ausland ansässige Anbieter mit Datenverarbeitung von EU-Bürgern haben wird. Journalismus mit globaler Berichterstattung und europäischer Leserschaft wird jedenfalls kaum den Weg einiger US-Medien wählen können und wollen, die Internetpräsenz für Europäer zu sperren.

Datenschutz-Hotline für Vereine und Ehrenamtliche in Bayern

9. Juli 2018

Ab dem 09.07.18 bietet das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach eine Telefonhotline für Fragen zur neuen Datenschutzgrundverordnung an. Die Hotline soll Vereine und Ehrenamtliche bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) unterstützen und somit Sanktionen vermeiden. Können einzelne Fragen über das Telefon nicht beantwortet werden, gibt es zusätzlich auch einen E-Mail-Kontakt. Außerdem will die Datenschutzbehörde die meist gestellten Fragen inklusive Antworten auf ihrer Homepage veröffentlichen.

In der Zeit von Montag bis Freitag, von 08.00 bis 19.00 Uhr, sind fachkundige Mitarbeiter des Landesamts unter der Telefonnummer 0981/531810 erreichbar.

Hintergrund für die Einrichtung der Hotline ist, dass viele Vereine und ehrenamtlich Tätige wegen des neuen europäischen Datenschutzrechts stark verunsichert sind. Zuletzt wurden in Bayern sogar pauschale Fotografier-Verbote für Veranstaltungen von Schulen und Kinderkrippen ausgesprochen. Dabei sind Fotografien für den Privatgebrauch von der DSGVO überhaupt nicht betroffen. Insbesondere wegen der hohen angedrohten Strafen, wollen sich jedoch viele unbedingt absichern.

Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, erklärt: „Unser Ziel ist nach wie vor, diejenigen, die sich um die Einhaltung datenschutzrechtlicher Vorschriften bemühen, dabei zu unterstützen und nicht zu sanktionieren. Nur wer sich um den Datenschutz überhaupt nicht kümmert, muss auch mit Sanktionen rechnen.“

Künstliche Intelligenz hilft EU bei Umsetzung der DSGVO

6. Juli 2018

Forscher haben eine künstliche Intelligenz (KI) entwickelt, die die Umsetzung der DSGVO für die EU erleichtern soll.  Die KI mit dem Namen Claudette entdeckt Verstöße gegen die DSGVO.

Für die Aufsichtsbehörden ist die Prüfung der Unternehmen hinsichtlich des eingehaltenen Datenschutzes mit einem enormen personellen und zeitintensiven Aufwand verbunden. Aus diesem Grund ist die KI Claudette eine enorme Unterstützung für die überforderten Aufsichtsbehörden.

Bei einem Testlauf durch die KI kamen bei 14 Technologiekonzernen eklatante Mängel im Datenschutz zum Vorschein.

In einer laut Bloomberg Technology durchgeführten Studie, die die KI auch bei Großkonzernen wie Facebook und Google eingesetzt haben, hat sich herausgestellt, dass rund ein Drittel der Policen potentiell problematisch seien oder unzureichende Informationen enthielten.

Auffällig war, dass die Information über die Übermittlung der Daten an Dritte in den meisten Fällen fehlte.

Um Datenschutzverstöße zu identifizieren, nutzt die KI Claudette eine Form von „Machine Learning“, das sogenannte „Natural Language Processing“. Dabei vergleicht sie die untersuchten Datenschutzbedingungen mit den Modelklauseln der DSGVO.

Ob Claudette in Zukunft großflächig zum Einsatz kommt, ist bisher nicht bekannt.

Aufsichtsbehörde überprüft DSGVO Umsetzung

Seit Ende Juni werden branchenübergreifend 20 große sowie 30 mittelgroße Unternehmen durch die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hinsichtlich der Umsetzung der DSGVO überprüft.
Hierzu wurden den insgesamt 50 Unternehmen Fragebögen übermittelt, um den aktuellen Umsetzungsstand zu ermitteln. Hierdurch möchte sich die Aufsichtsbehörde einen Überblick darüber verschaffen, wie die Gesellschaften die zweijährige Übergangszeit bis zur Geltung der DSGVO am 25. Mai genutzt haben. Das primäre Ziel der Überprüfung liegt nach Aussage der LfD in der Stärkung des Bewusstseins sowie der Sensibilisierung für den Datenschutz. Die Verhängung etwaiger Bußgelder ist darüber hinaus möglich, sofern im Rahmen der Prüfung erhebliche Verstöße gegen die DSGVO festegstellt werden sollten.
Die versendeten Fragebögen gehen speziell auf die Punkte ein, die ein Datenschutzmanagementsystem nach der DSGVO enthalten muss. Hierzu werden die Vorbereitung auf die DSGVO, das Verzeichnis von Verarbeitungstätigkeiten, die Rechtsgrundlagen der Verarbeitung personenbezogener Daten, die Sicherstellung der Betroffenenrechte, die Gewährleistung der technisch und organisatorischen Maßnahmen, die Durchführung von Datenschutz-Folgeabschätzungen, der Abschluss notwendiger Auftragsverarbeitungsverträge, die Einbindung des Datenschutzbeauftragten in die Unternehmensorganisation, die Prozesse zur Meldung von Datenschutzvorfällen sowie die Dokumentation über die Einhaltung der notwendigen Umsetzungen genauer geprüft.
Durch die Prüfung erhofft sich die Aufsichtsbehörde weitergehende Erkenntnisse darüber, in welchen Bereichen erweiterter Beratungs- und Aufklärungsbedarf besteht. Mit Hilfe dieser Erkenntnisse können sodann etwaige neue Orientierungshilfen erarbeitet werden.

Schwere Datenschutzpanne beim Online-Dienst von Panini

2. Juli 2018

Einem Bericht des Nachrichtenmagazins „Der Spiegel“ nach hat der italienische Sammelalbenhersteller Panini mit erheblichen Sicherheitsproblemen zu kämpfen: Für Unbefugte bestand die Möglichkeit der Kenntnisnahme von personenbezogenen Daten anderer Kunden.

„Mypanini“ ist ein Serviceangebot des Unternehmens, welches die Herstellung und Zusendung personalisierter Klebebildchen beinhaltet. Die Fotos, welche Kunden für ihre Sammelbilder vorsehen, werden über den eigenen Konterfei hochgeladen. Bis vor kurzem war es eingeloggten Nutzern möglich, hochgeladene Bilder und personenbezogene Daten anderer Kunden einzusehen. Zu den personenbezogenen Daten der Betroffenen zählten neben dem (oftmals eigenen) Foto regelmäßig der volle Name, das Geburtsdatum sowie der Wohnort des Nutzers.

Auch wenn Giorgio Aravecchia, Paninis Direktor für Neue Medien, bereits erklärte, dass die Datenpanne umgehend durch ein Sicherheitsupdate behoben wurde, ist der Vorfall als gravierend einzustufen: Auf den für Unbefugte einsehbaren Bildern waren oftmals Kinder abgebildet, teilweise mit nacktem Oberkörper und/oder im privaten Umfeld.

Es liegt nun an Panini einen dsgvo-konformen Umgang mit den personenbezogenen Nutzerdaten sicherzustellen und in diesem Zusammenhang die geeigneten technischen und organisatorischen Maßnahmen zu treffen, um solche Datenschutzpannen präventiv auszuschließen.

 

DSGVO als Vorbild: Kalifornien verabschiedet neues Datenschutzgesetz

29. Juni 2018

Nachdem hier schon berichtet wurde, dass die Kalifornier über ein neues Datenschutz abstimmen wollen, wurde der „California Consumer Privacy Act“ gestern vom Senat und Repräsentantenhaus des US-Bundesstaates gebilligt und von Gouverneur Jerry Brown unterzeichnet. US-Medien zufolge ist die schnelle Verabschiedung des Gesetzes auf den Druck von Verbraucherschützern zurückzuführen.

Das Gesetz, welche durch die am 25. Mai 2018 wirksam gewordene EU-Datenschutzgrundverordnung inspiriert wurde, wird am 1. Januar 2020 in Kraft treten.

Durch das Gesetz erhalten die Unternehmen die Pflicht offenzulegen, welche Verbraucherdaten sie speichern. Außerdem können Kunden und Nutzer die Verwendung ihrer persönlichen Daten zu kommerziellen Zwecken untersagen. Datenschutzverstöße sollen auch finanziell bestraft werden.

Damit reagiert Kalifornien auch auf den Facebook-Skandal, der wegen seines Umgangs mit persönlichen Daten unter massivem Druck steht.

Die IT-Industrie, die vehement gegen dieses Bürgerbegehren steuerte, ist über das schnelle Gesetz erfreut, da ein Gesetz künftig leichter wieder abgeändert werden kann als ein erfolgreicher Volksentscheid.

Ob die US-Regierung auf Bundesebene neue Datenschutzvorgaben macht, ist derzeit unklar.

 

Personalaufstockung bei der Bundesdatenschutzbeauftragten

28. Juni 2018

Das Personal der Bundesdatenschutzbeauftragten, Andrea Voßhoff, soll aufgestockt werden.

Laut dem Handelsblatt erhält die Bundesdatenschutzbeauftragte nach dem Entwurf zur Bereinigung des Bundeshaushalts fünfzig zusätzliche Stellen. Die Kosten für die Stellen werden laut diesem Entwurf auf etwa fünf Millionen Euro geschätzt.

Der Grund für die Aufstockung soll vor allem auch mit der DSGVO in Zusammenhang stehen. Mit der DSGVO entstehen nämlich neue Aufgaben für die Bundesdatenschutzbeauftragte.

Beispielsweise werden 10 Stellen für die zentrale Anlaufstelle veranschlagt, die für die Koordinierung zwischen den deutschen Datenschutzbehörden im Rahmen der Zusammenarbeit mit anderen europäischen Datenschutzbehörden und dem europäischen Datenschutzausschuss zuständig ist. Zudem sind 15 Stellen für die datenschutzrechtliche Kontrolle von Sicherheitsbehörden und den Informationsaustausch vorgesehen. Daneben erfolgt die Aufstockung unter Anderem für Stellen im steuerlichen Datenschutz und den Bereich der Akkreditierung von Zertifizierungsstellen.

Andrea Voßhoff selbst hatte insgesamt 67 zusätzliche Stellen gefordert. Dieser Forderung wird mit einer Aufstockung um 50 Stellen zwar nicht vollkommen entsprochen, jedoch soll die Begrenzung auf 50 Stellen laut dem Handelsausschuss auch mit der Schwierigkeit der Besetzung neuer Stellen zusammenhängen.

 

1 2 3 12