20. Juni 2018
Mehrere gesetzliche und private Versicherungen wollen ab Juli mit der App des Berliner Startups „Vivy“ eine gemeinsame digitale Gesundheitsplattform anbieten. Die App soll etwa 25 Millionen Versicherten zur Verfügung stehen, welche diese kostenlos und freiwillig nutzen können. Die App beinhaltet nicht nur eine elektronische Gesundheitsakte, sondern auch Impfpass, Medikationsplan und Notfalldaten. Zudem gehören ein Gesundheitscheck und die Hilfe bei der Arztsuche zu ihren Funktionen.
Nach Art. 9 Abs. 1 DSGVO sind Gesundheitsdaten “besondere Kategorien personenbezogener Daten”, die aufgrund ihres Inhalts sensibel und daher besonders schutzbedürftig sind. Durch diverse Öffnungsklauseln der DSGVO (für den Gesundheitsbereich ist insbesondere
Art. 9 Abs. 4 DSGVO relevant) werden zusätzliche Bedingungen und Beschränkungen durch nationale Regelungen auf diesem Gebiet ermöglicht. Es ist stets genau zu prüfen, auf welcher Grundlage und zu welchem Zweck Gesundheitsdaten verarbeitet werden dürfen.
Laut Website ist Vivy „selbstverständlich“ datenschutzkonform. Die Daten sind in der App Ende-zu-Ende verschlüsselt und werden auf deutschen Servern gehostet. Jeglicher Datentransport erfolgt mindestens im https-Format. Ärzte haben nur Zugriff, wenn der Versicherte dies explizit erlaubt. Der Widerruf ist jederzeit möglich. Ebenso kann jederzeit die Löschung der Daten verlangt werden.
Die CDU/CSU-Fraktion strebt ein rasches Vorgehen gegen gewerbliche Abmahnungen bei DSGVO-Verstößen an. Mit ihrer Initiative, welche die Veranschlagung hoher Anwaltsgebühren im Rahmen missbräuchlicher Abmahnungen verhindern sollte, ist sie der fehlenden Unterstützung seitens der SPD wegen allerdings Anfang letzter Woche gescheitert. Die Initiative beinhaltete die vorübergehende Aussetzung der DSGVO-Abmahngebühren. Dafür sollte eine Klausel in den Gesetzentwurf zur Musterfeststellungsklage eingefügt werden.
Die SPD möchte das Problem grundlegender angehen und die Anwaltsgebühren wie im Urheberrecht deckeln. Weiterhin sollen sich Kläger den Klageort nicht mehr aussuchen dürfen. Parallel hierzu sieht sie das Innenministerium in der Pflicht, die Regelungen für Fotografen, für welche weiterhin das Kunsturheberrechtsgesetz gelten solle, verbindlich festzulegen und so die anhaltende Rechtsunsicherheit zu beseitigen.
Inzwischen ist man sich in der Koalition inhaltlich weitgehend einig und so soll spätestens Anfang September ein Gesetzentwurf zur generellen Bekämpfung des Abmahnmissbrauchs vorgelegt werden. Klares Ziel ist hier der Schutz kleiner und mittelständischer Unternehmen, gemeinnütziger Organisationen und Selbstständiger: Soweit diese geringfügig gegen Vorgaben der DSGVO verstoßen soll die Möglichkeit kostenpflichtiger Abmahnungen ausgeschlossen werden.
Auch wenn bereits vereinzelt Abmahnanwälte das Geschäft mit der DSGVO gewittert haben, ist ein flächendeckender Missbrauch dem Bundesverband der Verbraucherzentrale nach bislang nicht festzustellen, sodass das Scheitern der “Soforthilfe” durch die CDU/CSU-Fraktion, insbesondere im Hinblick auf den nun geplanten Gesetzentwurf aller Voraussicht nach keine schwerwiegenden Folgen nach sich ziehen wird.
18. Juni 2018
Nicht nur im Alltag, sondern auch im Berufsleben wird das Smartphone zum ständigen Begleiter. Aus diesem Grund stellen viele Unternehmen den Mitarbeitern ein Diensthandy zur Verfügung.
Grundsätzlich sollten Diensthandys zu rein dienstlichen Zwecken genutzt werden. Möchte man jedoch das Smartphone darüber hinaus auch zu privaten Zwecken nutzen, sollte man sich zunächst vergewissern, ob diese Nutzung vom Arbeitgeber tatsächlich erlaubt worden ist. Ohne die Erlaubnis ist eine private Nutzung jedenfalls verboten.
Der Grund dafür liegt darin, dass die private Nutzung Auswirkungen auf den Arbeitgeber haben kann. Dieser darf dann nicht mehr ohne weiteres auf das Diensthandy zugreifen, da dieser davon ausgehen muss, dass dort zum Beispiel private E-Mails des Arbeitnehmers gespeichert sind, die ihn nichts angehen. Wird dir private Nutzung durch den Arbeitgeber ausgeschlossen, wäre ein Zugriff hingegen erlaubt.
Darüber hinaus führt die private Nutzung zu datenschutzrechtlichen Problemen, indem regelmäßig Messenger (z.B. WhatsApp) installiert werden, die auf das interne Telefonbuch des Nutzer zugreifen können. Sind dort auch Kontaktdaten, Nummern und andere Daten von Kunden oder Geschäftskontakten gespeichert, können diese auf dem Server des Messenger-Betreibers landen und damit ein Verstoß gegen das Datenschutzrecht darstellen.
14. Juni 2018
Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments hat Anfang der Woche einen Resolutionsvorschlag mit knapper Mehrheit verabschiedet, in dem die Vereinbarkeit des Privacy Shields mit europäischen Datenschutzstandards stark kritisiert wird (wir berichteten). Damit appelliert der Ausschuss an die EU Kommission den Druck auf die US-Regierung zu erhöhen.
Der Privacy Shield ist ein Übereinkommen bezüglich datenschutzrechtlicher Anforderungen im Rahmen von Datentransfer zwischen den USA und der EU. Seit 2016 ermöglicht diese Übereinkunft offiziell die datenschutzkonforme Übermittlung von Daten aus EU-Ländern in die USA. In dem Resolutionvorschlag wird die EU-Kommission dazu aufgefordert, darauf zu achten, dass US-Behörden die bereits bestehenden Bedingungen des Privacy Shields erfüllen und dass die neuen Datenschutzbestimmungen der DSGVO eingehalten werden. Ein Kritikpunkt ist, dass immer noch keine Ombudsperson seitens der USA benannt wurde, an die sich EU-Bürger im Falle von Beschwerden wenden können. Des Weiteren wird der in den USA im März verabschiedete „Cloud Act“ kritisiert, der den Zugriff von US-Behörden auf im Ausland gespeicherte Daten über bilaterale Abkommen regeln soll.
Der Ausschuss schlägt dem EU Parlament vor, die EU Kommission dazu aufzufordern den Privacy Shield zu überarbeiten und andernfalls die Übereinkunft ab dem 1. September auszusetzen. Das EU Pralament wird voraussichtlich im Juli darüber beraten. Die finale Resolution ist für die Kommission jedoch nicht verbindlich.
12. Juni 2018
Wenn Nutzer der offiziellen App der Primera División Fußballspiele der spanischen Liga über die Smartphone-Applikation schauen, wird im Hintergrund das Mikrofon des Smartphones aktiviert. Dies räumte die Liga nun nach Inkrafttreten der DSGVO ein und begründete das Vorgehen damit, dass mit Hilfe der aufgezeichneten Audio-Dateien festgestellt werden könne, ob das Fußballspiel beispielsweise in einer Fußball-Kneipe und dort über einen Fernseher den Gästen gezeigt werde. Durch diese Information könne die spanische Liga kontrollieren, ob die entsprechende Kneipe auch die Gebühren dafür zahle oder den Gästen das Spiel in unberechtigter Weise zur Verfügung stellt. Neben den audiovisuellen Informationen teilt die App auch den Standort des Nutzers.
Hintergrund der Funktion sei, dass der Primera División pro Jahr ein Schaden von 150 Million Euro dadurch entstehe, weil viele öffentliche Gaststätten keine offizielle Lizenz für das Zeigen der Fußballspiele besitzen bzw. die Lizenzgebühr hierfür nicht bezahlen.
Mit der Vorgehensweise gerät die spanische Liga in Kritik, insbesondere da die App rund 10 Millionen Nutzer verzeichnet. Sie verteidigt sich allerdings damit, dass die Privatsphäre der Nutzer nicht in Gefahr sei, da die App nicht das reine Audio-Signal der Smartphones abgreife, sondern nur den sogenannten Binär-Code.
Die Verpflichtung für die Benennung eines Datenschutzbeauftragten folgt aus Art. 37 DSGVO. Interessant ist hier insb. Abs. 1 lit. c), wonach ein Datenschutzbeauftragter zu benennen ist, wenn „die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“
In einer Arztpraxis spielen Gesundheitsdaten eine wichtige Rolle. Um die Patienten angemessen behandeln zu können, ist es unabdingbar die Krankengeschichte und sonstige persönliche und medizinische Informationen einzuholen. Es stellt daher eine Haupttätigkeit eines Arztes und somit eine Kerntätigkeit im Sinne des Gesetzes dar.
Für die Bestimmung, ob ein Datenschutzbeauftragter bestellt werden muss, kommt es somit vorallem darauf an, ob eine „umfangreiche“ Verarbeitung vorliegt. Der Begriff „umfangreich“ ist in der DSGVO selbst nicht weiter definiert, findet allerdings in Art. 35 DSGVO, im Rahmen der Datenschutz-Folgenabschätzung, weitere Verwendung. In Erwägungsgrund 91 heißt es hierzu u.a.: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Daraus lässt sich schließen, dass bei vielen Gemeinschaftspraxen eine Bestellung notwendig sein wird. Gemäß § 38 BDSG (neue Fassung) ist dieses Erfordernis bei einer Beschäftigungszahl von 10 Personen in einer Praxis erfüllt.
Ausgesuchte Partnerunternehmen von Facebook besaßen nach Informationen des Wall Street Journals auch über das Jahr 2015 hinaus den Zugriff auf Nutzerdaten, obwohl die Nutzer davon nicht in Kenntnis gesetzt worden waren.
Laut dem Wallstreet Journal soll Facebook eine sog. Whitelist geführt haben. Dabei handelt es sich um Vereinbarungen von Facebook mit Unternehmen über die Weitergabe von Nutzerdaten. Gegenstand der Weitergabe sollen danach die Nutzerdaten in Bezug auf die Facebook-Freunde eines Nutzers sein.
Die Existenz der Whitelist widerspricht der Sperrung des unbeschränkten Zugriffs auf Nutzerdaten. Die Weitergabe von Nutzerdaten hatte Facebook bereits im Jahr 2014 gesperrt, wobei eine Übergangsfrist bis Mai 2015 vereinbart wurde. Mit Ablauf der Übergangsfrist sollte eine Weitergabe von Nutzerdaten nur noch mit Einwilligung des Nutzers zulässig sein. Eine Weitergabe ohne Kenntnis des Nutzers sollte im Anschluss nicht mehr möglich sein.
Facebook selbst begründet den fortwährenden freien Zugang bestimmter Unternehmen damit, dass es sich dabei nur um eine geringe Anzahl handeln soll. Zusätzlich argumentiert Facebook, dass die Übergangsfrist zu kurz bemessen gewesen sei für eine Umstellung betroffener Projekte.
Ungeklärt ist bis zum jetzigen Zeitpunkt, ob weiterhin ein freier Zugang für ausgewählte Unternehmen besteht. Ebenso unbekannt ist die Anzahl der Unternehmen auf der sog. Whitelist.
Aufgrund der Zeitverschiebung nach Russland können Sie vielleicht nicht immer alle Spiele vor dem Fernseher schauen. Eine gute WM-App mit Live-Infos und einem Live-Ticker muss her. Oder vielleicht auch eine App, mit der Sie die WM-Spiele sogar von unterwegs oder im Ausland streamen können.
„Allerdings gerade in Bezug auf den Datenschutz sollten Fußballfans beim Einsatz smarter Gadgets und Apps einiges beachten“, sagt Günter Martin, Internet-Experte bei TÜV Rheinland.
Zahlreiche Apps bieten sich während der WM zum Download an. Von Info-Apps über Tippspiele bis hin zu Stadion-Soundboards und Partyspielen:
Für die Registrierung und Nutzung von Apps und Gadgets sind in erster Linie personenbezogene Daten erforderlich. Hier heißt es: „weniger ist mehr“. Bei Apps sollten keine unnötigen Daten preisgeben werden. Denn sobald die Daten erst einmal auf den Servern der Anbieter landen, bleiben sie dort in der Regel auch. So werden sie für Marketingzwecke benutzt, um beispielsweise mithilfe von individualisierten Nutzerprofilen maßgeschneiderte Werbung anbieten zu können. Auch eine Weitergabe der Daten kann nicht ausgeschlossen werden.
Wer im eigenen Haushalt Sprachassistenzgeräte nutzt, sollte diese während einer Fußball-Party am besten abschalten. Andernfalls kann es vorkommen, dass das Gerät versehentlich durch das Codewort oder eine ähnlich klingende Äußerung aktiviert wird. Dann zeichnet es eventuell auf und veranlasst ungewollte Aktionen. Aufgezeichnete Gespräche lassen sich in der Bedienungs-App in der Regel zwar löschen, ob die Aufnahmen trotzdem bereits ausgewertet wurden und zu Einträgen in das Benutzerprofil geführt haben, ist allerdings nicht nachprüfbar.
Wie die Welt berichtet prüft die hessische Landesdatenschutzbehörde die Praktiken der Schufa hinsichtlich der in der Datenschutzgrundverordnung (DSGVO) verankerten Verbraucherrechte.
Die DSGVO bestimmt in den Art. 15 folgende, dass dem Betroffenen bestimmte Rechte wie zum Beispiel das Auskunftsrecht (Art. 15). Darüber hinaus gibt es Rechte hinsichtlich der automatisierten Entscheidung (Art. 22). Wenn ein Betroffener sein Auskunftsrecht wahrnimmt muss die verarbeitende Stelle “eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen” und das sowohl kostenlos als auch, bei einer elektronischen Anfrage “in einem gängigen elektronischen Format”. Hier liegt der erste Kritikpunkt der Datenschützer, bei der Schufa it lediglich die einmalige Herausgabe einer Datenkopie in Papierform unentgeltlich. Darüber hinaus kann die Erstellung und der Versand einer solchen bereits einige Tage oder Wochen vergehen. Die Schufa vertritt die Auffassung, dass nur bei einem Postversand gewährleistet sei, dass die Information bei dem richtigen Empfänger ankommt. Lediglich wer bereit ist ein einjähriges Abo für 3,95€ zuzüglich einer einmaligen Bereitstellungsgebühr von 9,95€ zu zahlen erhält alle Auskünfte elektronisch. Dabei wird der Betroffene anhand der Prüfziffer auf der Rückseite des Personalausweises verifiziert.
Weiterer Kritikpunkt ist, dass die Schufa ihren Scoring-Algotihmus zur Bonitätsprüfung nicht veröffentlicht und dies ebenfalls in Widerspruch zu den Anforderungen der DSGVO hinsichtlich automatisierter Entscheidungsfindung (Art. 22) steht. Den Betroffenen steht zu, “aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung” zu erhalten. Die Schufa ist nach der DSGVO also eigentlich verpflichtet, weitergehende Informationen hinsichtlich ihres Scoring-Algorithmusses zu veröffentlichen und diesen dadurch transparenter zu machen.
Zumindest in der Theorie wird den Betroffenen in der, an die DSGVO angepassten, Datenschutzerklärung eigene Rechte geltend zu machen.Wie dies umgesetzt wird bleibt allerdings abzuwarten und die Schufa ist davon auch nicht allein betroffen. Alle Auskunfteien müssen sich mit der Problematik der Betroffenenrechte auseinandersetzen.
8. Juni 2018
Auch wenn der Vorgesetzte es verlangt: Beschäftigte müssen ihre private Handynummer bei der Arbeit nicht mitteilen. Das hat das Thüringer Landesarbeitsgericht mit seinem Urteil vom 16.05.2018 entschieden.
Verhandelt wurde eine Klage von Mitarbeitern des kommunalen Gesundheitsamtes gegen den Landkreis Greiz. Der Kreis hatte die Bereitschaftszeiten neu organisiert und von seinen Beschäftigten verlangt, auch außerhalb der Dienstzeiten für die Rettungsleitstelle erreichbar zu sein. Zwei Mitarbeiter hatten sich dagegen zur Wehr gesetzt und nur ihre privaten Festnetznummern, nicht aber ihre Handynummern angegeben, was eine Abmahnung des Arbeitnehmers zur Folge hatte. Das Landesarbeitsgericht gab dem Kläger Recht und bestätigte damit ein Urteil des Arbeitsgerichts Gera von 2017. Nur unter besonderen Bedingungen und in engen Grenzen habe ein Arbeitgeber das Recht auf Kenntnis der privaten Handynummer eines Angestellten. Dies sei beispielsweise der Fall, wenn es keine andere Möglichkeit gebe, die Arbeitspflichten des Arbeitnehmers sinnvoll zu organisieren.
Eine Pflicht des Arbeitnehmers, stets die private Handynummer mitzuteilen, sei in der Regel ein nicht gerechtfertigter Eingriff in dessen Recht auf informationelle Selbstbestimmung.
Weiterhin heißt es im Urteil, eine Pflicht zur Bekanntgabe der privaten Mobilfunknummer greife besonders tief in die persönliche Sphäre des Arbeitnehmers ein. Der Arbeitnehmer könne sich aufgrund der ständigen Erreichbarkeit dem Arbeitgeber ohne Rechtfertigungsdruck nicht mehr entziehen und so nicht zur Ruhe kommen. Das gelte auch dann, wenn die Telefonnummer nur im Notfall verwendet werden soll. Entscheidend sei allein die potenzielle Erreichbarkeit.
Aus datenschutzrechtlicher Sicht ist hier entscheidend, ob die Datenverarbeitung tatsächlich zur Vertragserfüllung erforderlich ist. Der Arbeitgeber darf die Daten des Arbeitnehmers gemäß Art. 6 Absatz 1b DSGVO nur verarbeiten, soweit dies zur Vertragserfüllung notwendig ist. Dass zur Vertragserfüllung die private Handynummer des Mitarbeiters notwendig sein soll, dürfte auf wohl eher seltene Einzelfälle beschränkt bleiben. Arbeitgebern, die die private Handynummer ihrer Mitarbeiter nutzen wollen, müssten hierfür wohl eine eindeutige Einwilligung einholen.
Pages: 1 2 ... 112 113 114 115 116 ... 275 276 
