Nach Stop für Wunschzettel-Aktion nun auch kein Weihnachtsgeldzuschuss für Bedürftige

28. November 2018

Nachdem die bayrische Stadt Roth die Wunschzettel-Aktion auf dem diesjährigen Weihnachtsmarkt aufgrund von Datenschutzgründen für nicht durchführbar erklärte (wir berichteten), hat nun die Gemeinde Holzkirchen in Bayern bekanntgegeben, dass es für Bedürftige dieses Jahr keinen Weihnachtszuschuss gäbe. Grund hierfür sei, dass das Landratsamt Miesbach die personenbezogenen Daten der Bedürftigen nicht mehr für den Zweck des Weihnachtszuschusses herausgeben dürfe.

Um Bedürftigen zukünftig dennoch eine finanzielle Hilfe anbieten zu können, plane die Gemeinde nächstes Jahr den Bedürftigen den Weihnachtszuschuss in Form eines Gutscheinmodells zukommen zu lassen.

Kategorien: Allgemein
Schlagwörter: , ,

Uber muss Strafe zahlen – Datenpanne verschwiegen

27. November 2018

Ein Jahr lang hat der Fahrdienst-Vermittler Uber über ein massives Datenleck geschwiegen, bei dem 57 Millionen Nutzerdaten gestohlen wurden. Abgegriffen wurden Namen, E-Mail-Adressen und Telefonnummern.

In den Niederlanden waren rund 174.000 Bürger Opfer des Hacker-Angriffs geworden. Der Diebstahl hatte sich bereits 2016 ereignet und wurde erst ein Jahr später im Dezember 2017 bekannt gemacht.

Am Dienstag verhängte die niederländische Datenschutzbehörde eine Strafe von 600.000 Euro mit der Begründung, dass Uber diese Datenpanne nicht innerhalb der vorgegebenen Frist von 72-Stunden nach der Entdeckung gemeldet habe.

Kategorien: Allgemein

20.000 Euro Bußgeld wegen DSGVO Verstoß

22. November 2018

Das soziale Netzwerk Knuddels.de muss ein Bußgeld in Höhe von 20.000 Euro zahlen, weil Passwörter von Nutzern unverschlüsselt gespeichert worden sind. Damit habe das Unternehmen aus Karlsruhe gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte Stefan Brink mit. Laut Brink ist dies die erste Strafe nach DSGVO in Deutschland.

Infolge des Angriffs im September waren nach Darstellung des Unternehmens im Internet rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter veröffentlicht worden.

Kategorien: Allgemein

Anforderung einer Patientenakte durch das Nachlassgericht

Nach dem Tod einer Person stellt sich für die Angehörigen oder die sonstigen Erben oftmals die Notwendigkeit der Beantragung eines Erbscheins beim Nachlassgericht. Mit Einreichung der entsprechenden Anträge prüft das Nachlassgericht, ob die Voraussetzungen für die Ausstellung eines Erbscheins vorliegen. Falls der Verstorbene im Wege einer einseitigen Verfügung von Todes wegen selbst seine Erben bestimmt hat, prüft das Nachlassgericht vor der Ausstellung des Erbscheins unter anderem, ob es möglicherweise Anlass zu Zweifeln an der Testierfähigkeit des Erblassers gibt. Um aufzuklären, ob beispielsweise die Testierfähigkeit des Verstorbenen aufgrund gesundheitlicher Beeinträchtigungen nicht mehr gegeben war, kann sich das Nachlassgericht mit der Bitte um Übermittlung der Patientenakte an den behandeln Arzt wenden.

Bei einem Nachlassverfahren handelt es sich um ein Verfahren, für welches das Gesetz über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit (FamFG) einschlägig ist. §§ 26, 29 FamFG ermächtigt die Nachlassgerichte dabei die entscheidungserheblichen Tatsachen unabhängig vom Parteivorbringen von Amts wegen in geeigneter Form zu ermitteln, sodass sich das Nachlassgericht direkt mit einer entsprechenden Bitte um Übermittlung der Patientenakte an den behandelnden Arzt wenden kann.

Für den behandelnden Arzt stellt sich sodann die Frage, wie er mit dieser an sich statthaften Bitte des Nachlassgerichts umgehen soll. Aus der Bitte des Nachlassgerichts folgt nämlich nicht immer auch zwingend die Befugnis zur Übermittlung der besonders geschützten medizinischen Daten. Für den Arzt ist hierbei insbesondere relevant, dass die unbefugte Weitergabe fremder Geheimnisse – zu denen auch die Behandlungsdaten eines Patienten gehören – nach § 203 Abs. 1 StGB eine Straftat darstellt, die mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft werden kann. Bei einer entsprechenden Bitte um Übermittlung der Patientenakte hat der Arzt demnach genau zu prüfen, ob für ihn auch eine Befugnis zur Übermittlung besteht.

Eine Befugnis zur Offenbarung von Geheimnissen im Sinne von § 203 StGB kann sich aus einer gesetzlichen Ermächtigungsnormen oder aus einer Einwilligung des Betroffenen ergeben. Für den Fall einer Übermittlung an ein Nachlassgericht besteht zur Zeit keine spezialgesetzlich normierte Ermächtigungsgrundlage. Im oben skizzierten Fall ist das Einholen einer Einwilligung in Form einer Entbindung von der Schweigepflicht aufgrund des Todesfalls jedoch nicht mehr möglich. Da es sich bei dem über § 203 StGB geschützten allgemeinen Persönlichkeitsrecht um ein höchstpersönliches Rechtsgut handelt, das grundsätzlich nicht auf die Hinterbliebenen übergeht, besteht für auch die Hinterbliebenen nicht die Möglichkeit, den Arzt von seiner Schweigepflicht zu entbinden.

In einem solchen Fall kann jedoch gegeben falls ein Rückgriff auf eine vermutete Einwilligung des Verstorbenen als Rechtfertigung im Sinne von § 203 StGB statthaft sein. Hierbei ist durch den behandelnden Arzt im Einzelfall einzuschätzen, ob der Verstorbene eine Offenbarung seiner Patientenakte gegenüber dem Nachlassgericht zu Zwecken der Feststellung seiner Testierfähigkeit zugestimmt hätte oder nicht. Falls dem behandelnden Arzt, etwa aufgrund von Äußerungen des Verstorbenen, Zweifel an einer solchen Zustimmung kommen, ist die Übermittlung an das Nachlassgericht nicht durch eine vermutete Einwilligung zu rechtfertigen. Sollten dem behandelnden Arzt hingegen keine Einwände des Verstorbenen gegen eine Übermittlung zum Zwecke der Feststellung der Testierfähigkeit bekannt sein, dann greift noch immer regelmäßig die Vermutung des Bundesgerichtshofs, dass dem Verstorbenen daran gelegen war, Zweifel über seine Testierfähigkeit nach Möglichkeit auszuräumen. Das wohlverstandene Interesse des Verstorbenen sei nicht darauf gerichtet, zu verbergen, dass er testierunfähig sei, da damit vielfach gerade die seinem Schutz dienenden Vorschriften zur Testierfähigkeit in vielen Fällen unterlaufen würden.

Gerne unterstützen wir Sie bei diesbezüglichen und weiteren Fragestellungen aus dem Bereich des Gesundeitsdatenschutzes durch entsprechende Beratungsleistungen.

Droht Deutschland ein EU-Verfahren aufgrund von Datenschutz-Verstößen?

21. November 2018

Die Datenschutzgrundverordnung (DSGVO) entfaltet seit dem 25.Mai diesen Jahres Wirkung. In diesem Kontext stieg die Anzahl der durch die Datenschutzbehörden zu erfüllenden Aufgaben bekanntermaßen an. Dies resultiert sowohl aus einer steigenden Bereitschaft der Menschen, Verstöße zu melden als auch aus neuen, durch die DSGVO entstandenen Aufgaben.

Dieser Anstieg der Anzahl zu erledigenden Aufgaben scheint die Datenschutzbehörden jedoch trotz der zweijährigen Umsetzung nahezu unvorbereitet getroffen zu haben. Dies geht zumindest aus einem Interview mit Baden-Württembergs Datenschutzbeauftragtem Stefan Brink hervor. Dieser (und andere) konstatierte(n) scheinbar, dass das Personal einiger Bundesländer nicht – oder unzureichend – aufgestockt wurde und hierdurch ein Engpass entstanden sei, der zu langen Wartezeiten bei der Bearbeitung etwaiger Aufgaben führe. Mit anderen Worten seien die Datenschutzbehörden überlastet.

Im Ergebnis führe diese Überlastung zu einer reellen Gefahr, dass Deutschland einem Vertragsverletzungsverfahren ausgesetzt wird. Aus heutiger Perspektive bleibt abzuwarten, ob dies tatsächlich der Fall ist. Insoweit bleiben künftige Veränderungen innerhalb der Behördenstruktur oder aber des Aufgabenausmaßes abzuwarten.

Kontrolle von Dieselfahrverbot durch automatisierte Nummernschildüberwachung?

Immer mehr Städte sind von Fahrverboten für Dieselautos betroffen. Allein in Köln sind dies nach Angaben des Kraftfahrt-Bundesamt 100.000 Fahrzeuge.

Dabei stellt sich aber die Frage, wie man diese Fahrverbote kontrollieren soll? Ein neues Gesetz könnte die automatisierte Analyse ermöglichen, zumindest, wenn man davon ausgeht, dass die Bundesregierung einen Gesetzentwurf zur  automatisierten Nummernschild-Überwachung durch Bundestag und Bundesrat bekommt.

In dem unlängst beschlossenen Text heißt es, die Behörden sollten „im Rahmen von Kontrollen bestimmte Daten, auch automatisiert, erheben, speichern und verwenden sowie auf die Daten des Zentralen Fahrzeugregisters zugreifen können“. Das Nummernschild, Bild des Fahrers und anderes sollen erfasst und gespeichert werden.

Das zuständige Bundesministerium für Verkehr und digitale Infrastruktur betont, die Daten von berechtigten Fahrern sollten „unverzüglich“ gelöscht werden. Der Gesetzentwurf sei nur ein Angebot an die zuständigen Behörden in den Bundesländern, um Kontrollmöglichkeiten vor Ort zu verbessern. Die Datenerhebung diene ausschließlich der Feststellung, ob gegen die Fahrverbote verstoßen werde, so das Ministerium.

Der Umgang mit Bewerberdaten

20. November 2018

Durch das Inkrafttreten der Datenschutz-Grundverordnung und des BDSG-neu sind die Anforderungen an Unternehmen im Allgemeinen schärfer geworden. Auch im Bereich des Bewerberdatenschutzes hat sich der Umgang mit den Daten stark verändert. Bei den wenigsten Unternehmen gehen noch Bewerbungen in Papierform ein. Zumeist erhalten die Unternehmen Online-Bewerbungen via E-Mail oder Website. Doch wie müssen Unternehmen mit den unterschiedlichen Bewerbungseingängen umgehen?

Bewerbungen die in Papierform bei einem Unternehmen eingehen sind datenschutzrechtlich weniger problematisch als Online-Bewerbungen zu bewerten. Erst wenn die Bewerbung digitalisiert wird oder die Bewerberdaten in ein System eingetragen werden spricht man von einer Verarbeitung im Sinne der DSGVO. Sobald die Daten in einen Verarbeitungsprozess eingebunden werden, sollte der Bewerber gemäß Art. 13 sowie Art. 14 DSGVO über die Verarbeitung sowie die Betroffenenrechte informiert werden.

Bei Bewerbungen die via E-Mail bei einem Unternehmen eingehen sollte vor allem eine verschlüsselte Übermittlung gewährleistet werden. Außerdem ist es zu empfehlen, dass die interne Weiterleitung zwischen den jeweiligen Mitarbeitern oder Abteilungen durch eine Arbeitsanweisung geregelt wird.

Ähnlich der Bewerbungen via E-Mail, muss im Fall einer Bewerbung durch die Website eine Verschlüsselung der Daten sichergestellt werden. Bei Bewerbungen die mittels eines externen Dienstleisters generiert werden, besteht die Möglichkeit, dass Dritte Zugang zu den Daten erlangen. Um sich dahingehend abzusichern sollte ein Vertrag zur Auftragsverarbeitung zwischen dem Unternehmen und dem externen Dienstleister abgeschlossen werden.

Generell gilt, das Daten von Bewerbern strikt von anderen Datensätzen zu trennen sind.

Kategorien: Allgemein · Beschäftigtendatenschutz
Schlagwörter:

Niederländische Datenschützer erheben Vorwürfe gegen Microsoft

Nach einem Bericht der britischen Zeitung „The Telegraph“, erheben Datenschutzexperten der niederländischen Firma „Privacy Company“ Vorwürfe gegen Microsoft, da sie auf Hinweise gestoßen seien, dass Microsoft mit Hilfe der Office-Anwendungen eine erhebliche Menge an personenbezogenen Daten abgefragt habe ohne dabei weder die Informationspflichten der DSGVO einzuhalten noch die Nutzer anderweitig über die Erhebung der Daten in Kenntnis zu setzen. Unter anderem seien Betreffzeilen aus E-Mails sowie inhaltliche Ausschnitte aus den betroffenen Mails erfasst worden. Das Ganze soll dabei automatisch abgelaufen sein, sobald der Nutzer die Rechtsschreibprüfungsfunktion benutzte. Microsoft behauptet derweil, die Datenerhebung erfolge zum Zwecke der Sicherheit und der Funktionsweise der Office-Anwendungen.

Tätig wurde die niederländische Firma im Auftrag des niederländischen Justizministeriums. Der Bericht über die Überprüfung wurde auf dem Blog der Firma veröffentlicht. Microsoft komme dem Bericht des Telegraph zufolge allerdings noch mit einer milden Strafe davon, da der us-amerikanische Konzern – so das niederländische Justizministerium – bereits im Oktober eingewilligt habe, die Office-Software datenschutzrechtlich zu überarbeiten. Die Änderungen sollen bis spätestens Mitte 2019 implementiert und abgeschlossen sein. Wie die Änderungen dann letztlich aussehen, bleibt daher vorher abzusehen.

 

Berechtigtes Interesse ist weit zu interpretieren

In einem Teilurteil des OLG München vom 24.10.2018 erklärt das Gericht die rechtmäßige Weitergabe von Kundendaten im Rahmen eines geltend gemachten Auskunftsanspruch aus § 242 BGB.

Zwischen der Klägerin und der Beklagten lag ein Vertragshändlervertrag vor, aus dem die Beklagte eine Vertragsverletzung im Rahmen einer Widerklage geltend machen wollte.

Hierzu machte die Beklagte einen Anspruch auf Auskunft über abgewickelte Lieferungsverträge der Klägerin geltend, die möglicherweise die Vereinbarungen aus dem gemeinsamen Vertragshändlervertrag verletzten. Sie verlangte demzufolge also eine Auskunft, welche auch eine Weitergabe der Daten von Kunden der Klägerin beinhaltete.

Nach ständiger BGH-Rechtsprechung ergibt sich ein solcher Auskunftsanspruch aus § 242 BGB (Treu und Glauben), wenn sich der Anspruchsberechtigte im Unklaren über den Umfang seines Rechts befindet und der Verpflichtete unschwer dazu in der Lage ist, die Auskunft zu erteilen.

 

In der Vorinstanz hatte das Landgericht Traunstein den Auskunftsanspruch abgelehnt. Im Gegensatz dazu sah das OLG München den Auskunftsanspruch als gegeben an und verneinte ein Entgegenstehen der Vorschriften der DSGVO.

Rechtsgrundlage bilde in diesem Fall Art. 6 Abs. 1 lit. f) DSGVO.

So habe die Beklagte bzw. Widerklägerin ein berechtigtes Interesse. Hierbei sind laut Erwägungsgrund 47 Satz 1 Halbsatz 2

 

„(…) die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist (…)“

 

Nach dem OLG München sei bei der vorzunehmenden Abwägung eine möglichst weite Auslegung des berechtigten Interesses als (unions-)grundrechtlich geboten. Dabei seien nicht nur rechtliche Interessen zu berücksichtigen, sondern auch wirtschaftliche oder ideelle.

Bei der Abwägung der Interessen berücksichtigte das Gericht, dass auf Seiten der Betroffenen keine höchstpersönlichen Daten oder ein besonderes Know-how der betroffenen Branche weitergegeben wurden, sondern ausschließlich wirtschaftliche Daten über mehrere Kaufabwicklungen. Diese waren zudem im konkreten Fall noch nach außen überprüfbar. Letztlich überwiege das Interesse der Beklagten an einer Durchsetzung möglicher Schadensersatzansprüche, so das OLG München.

 

 

 

Instagram gesteht Datenpanne ein

19. November 2018

Bei der Abfrage der bei Instagram gespeicherten Daten haben Nutzer auch ihr Passwort unverschlüsselt sehen können.

Im Zuge der DSGVO-Umsetzung hat Instagram die „Download your data“-Option eingeführt. So konnten Nutzer eine Übersicht der über sie bei Instagram gespeicherten Daten bekommen. Bei der Abfrage war allerdings auch das Passwort ausgeschrieben in der URL im Browser sichtbar. Dies bedeutet, dass die Passwörter unverschlüsselt auf dem Server gespeichert waren, was die Sicherheitsstandards von Instagram in Frage stellt.

Nach dem Instagram das Problem aufgefallen ist wurde es direkt behoben. Nach eigenen Angaben seien nur wenige Nutzer betroffen. Die Betroffenen wurden informiert und gebeten ihre Passwörter zu ändern.

Ungeklärt bleibt, wie lange dieses „Datenleck“ bereits bestand und warum nur einige Nutzer betroffen sein sollten und nicht alle.

1 2 3 4 175