12. März 2018
Das Bayerische Landesamt für Datenschutzaufsicht hat gemeinsam mit dem Bayerischen Landesbeauftragten für Datenschutz einen Leitfaden zur Umsetzung der Datenschutzgrundverordnung in bayerischen öffentlichen und privaten Krankenhäusern veröffentlicht. Ziel des Leitfadens ist es, praktische Hinweise zur Umsetzung der DSGVO zur Verfügung zu stellen und bestehende Unsicherheiten abzubauen. Da es bislang nur wenige Hilfstellungen in diesem Bereich gab, war es das erklärte Ziel beider Datenschutzaufsichtsbehörden, erste Hinweise zur Auslegung der DSGVO im Bereich des Gesundheitsdatenschutzes zu geben. Der Leitfaden eignet sich zur Orientierung ebenfalls für Krankenhäuser in anderen Bundesländern.
Schwerpunkt des Leitfadens ist das Datenschutzmanagement, um den erhöhten Anforderungen der DSGVO Rechnung zu tragen. Nach Auffassung der Verfasser sollte das Datenschutzmanagement im Wesentlichen neun Punkte erhalten. Genannt wird in diesem Zuge unter anderem die Festlegung eines Teams, das zur Umsetzung der datenschutzrechtlichen Anforderungen den Datenschutzbeauftragten unterstützen soll. Darüber hinaus enthält der Leitfaden Handlungsempfehlungen zur Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten, der Auflistung von Datenschutzkonzepten für Verfahren und Auftragsverarbeitungsverträgen, sowie der Erstellung von Datenschutzfolgenabschätzungen. Zudem werden die Punkte der Risikoabschätzung, der Behandlung von Datenschutzverletzungen sowie der Implementierung von Informationspflichten und der Umsetzung von Betroffenenrechten thematisiert.
8. März 2018
Zeitgleich mit der neuen EU-Datenschutzgrundverordnung (DSGVO) tritt am 25.5.2018 ein neues nationales Umsetzungsgesetz in Kraft, das neue Bundesdatenschutzgesetz (BDSG). Neben dem großen Anwendungsbereich der unternehmerischen Datenverarbeitung wirkt das Datenschutzrecht auch in die Vereine und somit in die ehrenamtlichen Tätigkeiten fort.
Sobald ein Verein personenbezogene Daten seiner Mitglieder erhebt, verarbeitet oder nutzt, ist auch für den eingetragenen Verein der Anwendungsbereich gem. § 1 Abs. 4 Satz 2 Nr. 1 BDSG-neu eröffnet. Es greift hierbei keine der Ausnahmeregelung im Sinne des § 1 Abs.6 BDSG-neu i.V.m. Art. 6 Abs. 2 DSGVO. Insbesondere deswegen nicht, weil der Verein diese Datenverarbeitung nicht als natürliche Person für persönliche oder familiäre Zwecke ausübt.
Innerhalb eines typischen Vereins fallen somit eine Vielzahl von organisatorischen Tätigkeiten unter den Begriff der „personenbezogenen Datenverarbeitung“; allein schon durch die Speicherung eines Aufnahmeformulars, das in der Regel alle wichtigen persönlichen Daten enthält (Name, Adresse, Geburtstag, E-Mail-Adresse, Kontodaten usw.). Sollte der Verein weiterhin sogar Daten veröffentlichen oder an Dritte weitergeben, befindet sich der Verein im grundrechtlich sensiblen Bereich.
Nach dem BDSG müsste die Datenverarbeitung durch den Verein zunächst zulässig sein, was nur dann der Fall ist, wenn die Datenverarbeitung ausdrücklich gesetzlich normiert ist oder eine Einwilligung der Personen, deren Daten verarbeitet werden, vorliegt.
Als Rechtsgrundlage kommt § 26 BDSG-neu, vor allem dann nicht in Betracht, wenn die Daten nicht mehr für den Vereinsablauf dringend nötig sind (Fotos, Kleidergrößen, Geburtsdaten).
Vereine, die sensible Daten ihrer Mitglieder verwalten, kommen somit nicht an einer ausdrücklichen Einwilligung zur Datenverarbeitung gem. § 26 Abs. 2 BDSG-neu vorbei.
Eine gängige Praxis in den Vereinen scheint zu sein, sich bereits mit der Unterschrift zum Vereinseintritt eine Einwilligung zur Datenverarbeitung erteilen lassen. Dieser verständliche Wunsch nach Vereinfachung des Verfahrens widerspricht jedoch dem schon länger bestehenden Kopplungsverbot, das auch in der neuen DSGVO wieder verankert wurde (Art. 7 Abs. 4 DSGVO).
Eine ausdrückliche Einwilligung kann somit auch bei Vereinen die einzige Absicherung sein, personenbezogene Daten von seinen Mitgliedern zu sammeln.
Vereine können sich in der Broschüre des baden-württembergischen Datenschutzbeauftragten informieren.
Das OVG Hamburg hat entschieden, dass Facebook auf Grundlage einer bisher angeforderten Einwilligungserklärung keine personenbezogenen Daten erheben und speichern darf.
Facebook hatte zuvor erfolglos beim VG Hamburg (Az. 13 E 5912/16) gegen eine Untersagungsverfügung des Hamburger Datenschutzbeauftragten, Johannes Caspar, im Wege des einstweiligen Rechtsschutzes geklagt (wir berichteten).
Das OVG Hamburg schloss sich in seiner Entscheidung nun der Vorinstanz an. Dafür erklärte es zunächst, dass die Rechtmäßigkeit der beanstandeten Untersagungsverfügung offen sei. Im Rahmen der Prüfung ist konkret offen, ob deutsches Recht anwendbar ist und ob der Hamburger Datenschutzbeauftragte gegen das Unternehmen Facebook vorgehen darf, obwohl dieses seinen Sitz in Irland hat. Trotz dieser offenen Rechtsfragen kam das OVG zu der Entscheidung, dass die Untersagungsverfügung nicht die für eine Aufhebung erforderliche offensichtliche Rechtswidrigkeit aufweist. So entspricht die angeforderte Einwilligung der Nutzer von WhatsApp nicht dem deutschen Datenschutzrecht. Diese fehlende Übereinstimmung mit deutschem Datenschutzrecht führt dazu, dass die Interessenabwägung zu Gunsten der Rechte der Nutzer ausfällt.
Nach der ablehnenden Entscheidung des OVG im einstweiligen Rechtsschutz ist weiterhin offen, ob sich ein Klageverfahren in der Hauptsache anschließt. Diese Entscheidung liegt nun bei Facebook.
7. März 2018
Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft, allerdings besteht noch viel Nachholbedarf diesbezüglich.
Allein auf Bundesebene sind 154 Rechtsnormen an die neue Verordnung anzupassen. Die meisten Bundesländer hinken dabei jedoch noch hinterher. Dies sorgt für viel Rechtsunsicherheit im Hinblick auf die Einführung der DGSVO. Auch ein Bußgeldkatalog wurde bisher von der Bundesregierung nicht vorgelegt.
Auf Seiten der Behörden verläuft die Vorbereitung auf die neue Verordnung ebenfalls nur schleppend. Ein großer Personalmangel herrscht bei den Datenschutzbehörden, welcher sich aufgrund des wachsenden Zuständigkeits- und Verantwortungsbereiches durch die DSGVO weiter verschlimmern wird.
Es ist abzuwarten, wie die Länder und die Bundesregierung sich noch bis zum 25. Mai auf die DSGVO vorbereiten.
5. März 2018
Nachdem der Angriff auf das Datennetzwerk des Bundes in der vergangenen Woche an die Öffentlichkeit gelangt ist, werden immer weitere Einzelheiten bekannt.
Die russische Hackergruppe “Snake” soll nach dpa-Informationen, entgegen erster Vermutungen, hinter dem Angriff stecken. Diese sind keine Unbekannten, bereits im Verfassungsschutzbericht 2016 des Bundes wurde die Hackergruppe aufgeführt und soll schon seit 2005 aktiv sein. Ziele der Hackergruppe sind Regierungsstellen und Ziele in der Wirtschaft und Forschung weltweit.
Nach einem Bericht von Spiegel online, waren deutsche Regierungs-Interna das Ziel des Angriffs. Die Hacker gelangten wohl über die Bundesakademie für öffentliche Verwaltung der Fachhochschule des Bundes in das Außenministerium, mit Hilfe einer komplexen und qualitativ hochwertigen Schadsoftware, ein und brachten dort 17 Rechner unter ihre Kontrolle.
Laut Ermittlungen des Bundes in der Sache begann der Angriff wohl schon Ende 2016 mit dem Einschleusen einer Phishing-Mail. Mit einem Steuerbefehl für die hinterlegte Malware, begann im Januar 2017 die Netzwerkanalyse. Die durch die Analyse erlangten Informationen wurden sodann an den Verursacher gesendet. Ab März 2017 waren die Hacker im Besitz von Admin-Rechten. Wie die Hacker an Admin-Rechte gelangten, konnte noch nicht geklärt werden. Ebenso wenig wie genau die Systeme des Auswärtigen Amts kompromittiert werden konnten. Demnach müssen noch einige Untersuchungen durchgeführt werden.
Den Hinweis, dass ein Hackerangriff läuft erhielt der deutsche Geheimdienst von einem ausländischen Partner. Nach diesem Hinweis am 19.Dezember letzten Jahres machte sich das Bundesamt für Sicherheit in der Informationstechnik auf die Suche und wurde Anfang Januar bei der Bundesakademie fündig. Der Angriff lief unter Aufsicht weiter. Ob er inzwischen beendet ist, ist unklar.
Es liegt die Vermutung nahe, dass es sich um einen weltweiten Angriff handelt und noch andere Regierungen betroffen sind.
Inzwischen hat sich auch die Bundesanwaltschaft eingeschaltet und Vorermittlungen wegen geheimdienstlicher Agententätigkeit gegen Unbekannt eingeleitet.
28. Februar 2018
Die EU- Kommission brachte vor Kurzem ein Online-Tool namens MESCA auf den Markt. MESCA steht für ‘My Email Communications Security Assessment‘ und dient dazu, die Sicherheit in der E-Mailkommunikation zwischen Providern zu bewerten. Ziel des Tools ist es, dass der Nutzer die technischen Möglichkeiten, insbesondere Sicherheit und Datenschutz, seines E-Mail Providers besser einschätzen kann und, falls nötig, weitere Maßnahmen ergreifen kann.
Das Online-Tool bewertet die Sicherheit anhand von drei Messpunkten:
- Vertraulichkeit der Nachrichtenübertragung,
- Phishing und Identitätsbetrug
- Vertrauenswürdigkeit der Nachricht.
Versprochen wird, dass der Nutzer nach der Benutzung einen besseren Überblick über das Sicherheitsniveau seines E-Mail Providers hat.
Gleichzeitig wurden jedoch auch personenbezogenen Daten, wie E-Mailadresse, die Antwort auf die Verifizierungsnachricht und die IP- Adresse erhoben. Während die E-Mailadresse und die Antwortnachricht, welche der Nutzer beide freiwillig zur Verfügung stellt, max. 24 Stunden gespeichert werden, wird die IP-Adresse, welche automatisch erhoben wird, zwei Jahre gespeichert. Dies ist Datenschutzrechtlich sehr bedenklich. Die IP-Adresse wird nach der Rechtsprechung des Europäischen Gerichtshofs als personenbezogenes Datum angesehen. Es besteht kein allgemeiner Bedarf diese überhaupt zu erheben, daher werden die IP-Adressen üblicherweise anonymisiert und nur bei wiederholten Internetattacken gespeichert.
Es ist daher dem Nutzer eines solchen Online-Tools überlassen, wie viel personenbezogene Daten er dafür Preis gibt.
Das Oberverwaltungsgericht NRW (OVG NRW)in Münster setzt ein Verfahren zwischen der Bundesnetzagentur und Google um deren E-Mail-Dienst GMail aus und verweist den Streit an den Europäischen Gerichtshof (EuGH) in Luxemburg.
Dem Verfahren liegt ein seit 2012 geführter Rechtsstreit zwischen den Parteien zu der Frage zugrunde, ob GMail ein Telekommunikationsdienst im Sinne des deutschen Telekommunikationsgesetzes (TKG) ist und Google daher den dort normierten Pflichten nachkommen muss. Hierzu gehören mitunter spezielle Anforderungen an den Datenschutz, sowie die Anmeldung bei der Budesnetzagentur. Speziell streiten die Parteien über die gesetzliche Definition, wonach ein Telekommuniukationsdienst in der Regel gegen Entgelt Dienste erbringt, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Google weigerte sich dieser Anmeldepflicht als Telekommunikationsdienst nachzukommen und vertritt die Auffassung, dasss die Regelungen des TKG für GMail nicht einschlägig sind, da sie sich lediglich das Internet als bestehendes Telekommunikationsnetz zu Eigen machen und darüber hinaus ihre Dienste unentgeltlich zur Verfügung stellen.
Der entscheidenede 13. Senat des OVG führt zur Begründung der Verweisung die “unionsrechtliche Dimension” des Sachverhaltes an, da das TKG im Wesentlichen auf die EU-Richtlinie 1001/21/EG zurückgeht. Der EuGH soll nun im Rahmen einer Vorabentscheidung klären, ob offen im Inernet bereitgestellte E-Mail-Dienste von der Richtlinie erfasst werden.
27. Februar 2018
In einem Unternehmen gibt es zahlreiche sensible Daten, die jeden Tag verarbeitet werden. Sei es in Form von Speichern von sensiblen Daten oder im Versenden dieser an Vertragspartner.
Dennoch ergab eine Umfrage des Bundeswirtschaftsministeriums, dass ein Viertel der mittelständischen Unternehmen keine Verschlüsselungstechniken bei ihren Verarbeitungstätigkeiten anwenden. Bei Großunternehmen sind es lediglich 10 %, die es mit der Verschlüsselung nicht ganz so genau nehmen.
Es zeichnen sich auch erhebliche Branchenunterschiede ab. IT- und Telekommunikationsunternehmen speichern und tauschen mit Dritten nur verschlüsselt Daten aus. In der Autobranche sind es beispielsweise jedoch nur zwei Drittel, die verschlüsselt arbeiten.
Als Grund werden technischer und finanzieller Aufwand genannt sowie Komforteinbußen täglicher Arbeit.
„Informationen in einer unverschlüsselten E-Mail sind etwa genauso geschützt wie die auf einer Postkarte“, sagte Brigitte Zypries (SPD), die geschäftsführende Bundeswirtschaftsministerin.
Aus diesem Grund entwickelte das Bundeswirtschaftsministerium auch einen Kompass für Unternehmen, wie man am besten Daten verschlüsseln kann.
Eine ausdrücklich abgegebene Einwilligung (z.B. durch das Anklicken eines Kästchens auf einer Webseite, also ein sog. Opt- In) darf sich nach der neusten Rechtsprechung des Bundesgerichtshofs (BGH) auch auf mehrere Kommunikationskanäle (Telefon, SMS, MMS, E-Mail, etc.) gleichzeitig beziehen.
Das hat der BGH in seinem Urteil vom 1. Februar 2018 – III ZR 196/17 mit folgender Begründung entschieden:
Eine Einwilligungsklausel für weiteren Werbekontakt zwischen Anbietern und Kunden stellt zwar keine Allgemeine Geschäftsbedingung (AGB) im engeren Sinne dar, muss sich aber an den §§ 305 ff. des Bürgerlichen Gesetzbuches (BGB) messen lassen. Einer Inhaltskontrolle gem. § 307 Abs. 1 und 2 BGB hält eine auf mehrere Kanäle bezogene Einwilligung stand, weil sie keine unangemessene Benachteiligung der Kunden darstelle. Maßstab hierfür ist § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG), der eine unzumutbare Belästigung nur bei fehlender Einwilligung bejaht. § 7 Abs. 2 Nr. 2 UWG setzt dabei Art. 13 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation um.
Fazit: Laut BGH ist für Werbung unter Schutzzweckgesichtspunkten eine gesonderte Einwilligung für jeden Werbekanal nicht erforderlich.
Weiterer Hinweis: Nach der am 25. Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) sind die sog. Opt- Out- Verfahren (also ein bereits gesetzter Haken in einem Einwilligungskästchen) unzulässig.
23. Februar 2018
In der DSGVO nehmen Gesundheitsdaten eine besondere Stellung ein. In der stationären Pflege und in Krankenhäusern muss zwischen Einrichtungen in kirchlicher Trägerschaft und denen in privater oder staatlicher unterschieden werden. Bei den kirchlichen Trägerschaften gilt die Anordnung über den Kirchlichen Datenschutz (KDO) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD).
Bei staatlichen oder privaten Trägerschaften sollte insbesondere den Umgang mit Gesundheitsdaten, vor dem Hintergrund der DSGVO nochmals überprüft werden .
Welche Informationen gehören zu den Gesundheitsdaten?
In der DSGVO (Art. 4 Nr. 15) gibt es eine Erläuterung:
„Gesundheitsdaten“ sind demnach personenbezogene Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Gesundheitsdaten gehören -wie schon nach dem BDSG- auch nach der DSGVO zu der besonderen Kategorie personenbezogener Daten. Neu dazugekommen sind genetische Angaben und biometrische Daten zur eindeutigen Identifikation einer Person. Für Gesundheitsdaten gilt eine besondere Schutzbedürftigkeit.
Daher besteht ein grundsätzliches Verbot der Verarbeitung dieser Daten. Eine Verarbeitung ist nur unter bestimmten Voraussetzungen möglich (Art. 92a-j DSGVO). Es bedarf einer Einwilligung des Betroffenen oder eines Rechtfertigungsgrundes.
Organisationen im Sozial- und Gesundheitswesen sollten sich daher rechtzeitig auf die neuen Anforderungen der DSGVO einstellen.
Pages: 1 2 ... 116 117 118 119 120 ... 274 275 
