Kategorie: Allgemein
18. Juli 2019
Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App „Face App“, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.
Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen „Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte“ vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.
Der hessische Beauftragte für Datenschutz hat am 24. Juni 2019 seinen 47. Tätigkeitsbericht veröffentlicht. Dabei hat er Stellung zur umstrittenen Frage bezüglich des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO genommen.
Gemäß Art. 15 DSGVO erhalten die Betroffenen das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Art. 15 Abs. 3 DSGVO regelt zudem, dass die verantwortliche Stelle dem Betroffenen „eine Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen müsse.
Zum Teil wird vertreten, dass es sich bei Art. 15 Abs. 3 DSGVO um einen eigenständigen Anspruch des Betroffenen handelt, der dazu berechtigt, von dem Verantwortlichen alle Daten in der Form heraus zu verlangen, wie sie dem Verantwortlichen vorliegen. Diese weite Auffassung des „Kopie“-Begriffs führt zu einem allgemeinen Informations- bzw. Akteneinsichtsrecht. Der Hessische Datenschutzbeauftragte legt demgegenüber den „Kopie“-Begriff aus Art. 15 Abs. 3 DSGVO einschränkend aus. Insofern müssen den Betroffenen nicht sämtliche sie betreffende Dokumente in Kopie zur Verfügung gestellt werden. Vielmehr reicht es aus, wenn diesen eine „sinnvolle strukturierte Zusammenfassung“ bereitgestellt wird, die den Betroffenen im Kontext kenntlich macht, welche Daten zu ihrer Person verarbeitet werden.
Diese Auslegung würde vor allem dem Sinn und Zweck der DSGVO entsprechen. Bei einer weiten Auslegung bestünde die Gefahr, dass ein faktisch entstehendes Informations- und Akteneinsichtsrecht für Ziele missbraucht werde, die mit dem bezweckten Schutz von natürlichen Personen in keinem Zusammenhang stünden. Lediglich in einzelnen Fällen kann aus Art. 15 DSGVO die Pflicht zur Übersendung einer Kopie eines bestimmten Dokuments entstehen, wenn zum Beispiel die Übersendung zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung zwingend notwendig ist.
17. Juli 2019
Die digitalen Anwendungen im Schulalltag verändert das Lernen wie kaum
zuvor. Jedoch scheint Hessen auf ein Problem mit Cloudanwendung von Office 365
gestoßen zu sein, so dass die Nutzung von Office 365 an hessischen Schulen derzeit
verboten werden soll. Was für Microsoft Office 365 gilt, ist auch
für andere Cloud-Lösungen etwa von Google oder Apple zutreffend.
Michael Ronellenfitsch, der Hessische Beauftragte für Datenschutz und
Informationsfreiheit, betonte, dass Dritte Zugriff auf die Microsoft Cloud
erlangen könnten, weswegen Schulen die Cloudanwendung von Office 365 nicht mehr
nutzen sollen. Laut Ronellenfitsch liegt das Problem, dass personenbezogene
Schülerdaten aus Deutschland in die USA übermittelt werden. In seiner
Stellungnahme erklärte der
Landesdatenschutzbeauftragte, dass der entscheidende Aspekt ist, „ob
die Schule als öffentliche Einrichtung personenbezogene Daten von Kindern in
einer europäischen Cloud speichern kann, die z.B. einem möglichen Zugriff
US-amerikanischer Behörden ausgesetzt ist.“ Ferner begründet er
seine Auffassung, dass Office 365 nicht
für Schulen geeignet ist, mit der besonderen Verantwortung der
öffentlichen Einrichtungen in Deutschland beim Datenschutz hinsichtlich der
Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Zudem
mahnt Ronellenfitsch, dass „die
digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein“
müsse. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch
darauf hingewiesen, dass über Windows 10 und Microsoft Office 365 „eine Fülle von Telemetrie-Daten an Microsoft
übermittelt“ würden, deren Inhalte trotz wiederholter Anfragen noch
nicht hinreichend geklärt seien.
Der Landesdatenschutzbeauftragte argumentiert, dass man auch mit
der Einwilligung der Betroffenen das Problem nicht lösen könnte, da die Sicherheit
und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet
sind. Der Versuch einer Heilung durch eine Einwilligung der Eltern bietet auch keine Lösung, weil es nicht nachvollziehbar ist, welche Daten
tatsächlich übermittelt werden.
Diese Regelungen gelten zurzeit nur
in Hessen. Es bleibt abzuwarten, wie die anderen Bundesländer hiermit umgehen
werden.
16. Juli 2019
Sollten bei einem Zugriff des Staates auf Daten privater Smart-Home-Geräte strengere Regeln gelten? Sicherheitsbehörden können theoretisch vernetzte Geräte zur akustischen Überwachung einsetzen. Bei der Beantwortung dieser Frage sind die Bundesregierung und der Datenschutzbeauftragte unterschiedlicher Meinung.
Nach Einschätzung der Bundesregierung benötigen Sicherheitsbehörden kein neues Gesetz. Die FDP-Fraktion hatte diesbezüglich eine Anfrage gestellt und bekam vom Bundesinnenministerium die Antwort, dass eine neue gesetzliche Regelung nicht erforderlich sei, da der bestehende Rechtsrahmen bereits die Smart-Home-Geräte umfasse. Es müssen laut Innenministerium nicht dieselben Voraussetzungen gelten, die für die Anordnung einer akustischen Wohnraumüberwachung notwendig seien. Zur Anwendung kämen stattdessen die weniger hohen Hürden für die Onlinedurchsuchung. Darunter ist der Eingriff in einen Computer oder ein anderes informationstechnisches System ohne Wissen des Betroffenen zu verstehen.
Auch wenn in beiden Fällen ein richterlicher Beschluss notwendig sei und es sich um Ermittlungen zu einer besonders schweren Straftat handelt, kommt bei einer Wohnraumüberwachung hinzu, dass sie nur dann erlaubt ist, wenn „auf Grund tatsächlicher Anhaltspunkte anzunehmen ist, dass durch die Überwachung Äußerungen des Beschuldigten erfasst werden, die für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes eines Mitbeschuldigten von Bedeutung sind.“
Der Bundesdatenschutzbeauftragte Ulrich Kleber hat dazu eine andere Meinung. Aus seiner Sicht sei darin eine „verfassungsrechtlich bedenkliche Kompetenzerweiterung“ zu sehen. Neben den klassischen Smart-Home-Geräten wie Alexa zählen auch Luftsensoren, Bewegungsmelder oder Überwachungskameras, die Informationen versenden, dazu.
Der FDP-Innenpolitiker Benjamin Strasser sagt, dass grundsätzlich „alle digitalen und vernetzten Geräte mit Mikrofon wie etwa Sprachassistenten auch für die akustische Überwachung genutzt werden“ können. Daraus ergibt sich für die Bundesregierung offenbar „ein millionenfaches Potential für Wanzen im Wohnzimmer“.
15. Juli 2019
Das Unternehmen Facebook und die US-Verbraucherschutzbehörde FTC haben sich im Zusammenhang mit Verstößen gegen datenschutzrechtliche Regelungen Medienberichten zufolge verglichen. Ausgehend von diesen soll das Unternehmen eine Strafe in Höhe von fünf Milliarden US-Dollar zahlen.
Die FTC hatte diese Ermittlungen im vergangenen Jahr eingeleitet. Konkreter Gegenstand der Ermittlungen war der unrechtmäßige Zugriff des Unternehmens Cambridge Analytica auf diverse Nutzerdaten. Damit der Vergleich wirksam wird, muss zunächst das amerikanische Justizministerium dem Vergleich zustimmen.
Dieser Zugriff betraf ebenfalls Fälle im Anwendungsbereich der DSGVO. So hat unter anderem die italienische Datenschutzbehörde ebenfalls ein Bußgeld gegen das Unternehmen verhängt.
11. Juli 2019
Im Rahmen einer Podiumsdiskussion mit 300 Gästen zum Thema „Data Protection and Competitiveness in the Digital Age“ diskutierten u.a. der Europäische Datenschutzbeauftragte Giovanni Buttarelli und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber die Herausforderung neuer Technologien und warben für mehr Zusammenarbeit zwischen verschiedenen europäischen Behörden.
Die steigende Datenkonzentration und die Datenmacht global agierender Unternehmen
wirke sich auch auf die Rechte der Bürger und die Wettbewerbsfreiheit aus,
sodass Datenschutz nicht nur ein Thema der Datenschutzbehörden sei, sondern immer
mehr auch ein Thema in verbraucherrechtlichen und wettbewerbsrechtlichen Behörden
werde. Eine engere Vernetzung dieser Behörden würde helfen der wachsenden Dominanz
von Digitalkonzernen zu begegnen und für einen besseren Datenschutz sorgen. Der
Datenschutz sollte nicht als Wettbewerbsnachteil, sondern gerade im Bereich der
digitalen Innovation ein Wettbewerbsvorteil in der EU sein.
„Neue Technologien schaffen Chancen – gleichzeitig aber auch Risiken, insbesondere für die informationelle Selbstbestimmung. Daher müssen wir gemeinsam daran arbeiten, proaktiv im Sinne der Gewährleistungsziele des Datenschutzes von Anfang an bei einer „menschzentrierten“ Technikgestaltung mitzuwirken. Dabei sollten wir das Modell der rechtsgebietsübergreifenden Behördenkooperation nicht nur auf nationaler Ebene, sondern auch auf EU-Ebene stärker institutionalisieren.“, betonte Ulrich Kelber.
Teil des Rednerpanels waren außerdem der Präsident des
Bundeskartellamtes, Andreas Mundt, die Präsidentin der französischen
Datenschutzbehörde (CNIL),
Marie-Laure Denis, der Generalsekretär der Europäischen Kommission, Martin
Selmayr, und die britische Informationskommissarin, Elizabeth Denham.
Die Sicherheitsforscher des „International Computer Science Institute“ (ICSI) mit Sitz in Kalifornien untersuchten 88.000 Apps aus dem Google Play Store und verfolgten, wie Daten von den Applikationen übertragen wurden, wenn ihnen Berechtigungen verweigert wurden. Dabei fanden sie 1325 Android-Apps, die persönliche Informationen des Nutzers abgreifen, obwohl darauf kein Zugriff erlaubt war.
Die Untersuchung hat ergeben, dass die Apps das Berechtigungssystem des
Android-Betriebssystems umgehen und Daten, wie beispielweise Standortinformationen,
von Geräten sammeln und an die eigenen Server senden, auch wenn Nutzer den
Zugriff auf Standortdaten verweigerten. Die 1325 Apps, die die Berechtigungsbestimmungen
verletzten, haben in ihrem Code versteckte „Workarounds“ verwendet. Sie entnehmen
personenbezogene Daten aus Quellen wie Wi-Fi-Verbindungen und in Fotos
gespeicherten Metadaten. Nach Angaben der Forscher sind einige von diesen Apps auf
über 500 Millionen Geräten installiert.
Die Forscher des ICSI haben Google und die zuständige Aufsichtsbehörde, die
Federal Trade Commission (FTC), über das Resultat der Untersuchung informiert. Google
hat angekündigt, die Probleme in der neuen Version Q von Android zu beheben.
Die Forscher wollen im August eine detaillierte
Liste der 1.325 Apps auf der Usenix Security Konferenz veröffentlichen.
10. Juli 2019
Bundesgesundheitsminister Jens Spahn (CDU) plant zum Datenschutz im Gesundheitswesen ein eigenes Gesetz. Er hat bereits Passagen zum Datenschutz aus dem Digitale-Versorgungs-Gesetz (DVG) herausgenommen.
Der Vorstandsvorsitzende der Kassenärztlichen Vereinigung (KV) Nordrhein begrüßt Spahns Pläne: „Durch die bereits in Kraft getretenen und für die Zukunft noch geplanten Gesetze des Bundesgesundheitsministers entsteht eine enorme Dynamik, auch bei der – überfälligen – Digitalisierung des Gesundheitswesens.“
Geplant ist, das eigene Datenschutzgesetz in der zweiten Jahreshälfte auf den Weg zu bringen. Vorgesehen ist unter anderem, Versicherte bei der Nutzung der zum 1. Januar 2021 startenden elektronischen Patientenakte zu unterstützen.
Das Ziel ist, dem Thema Datenschutz im Rahmen der neuen Anwendungen und der Vernetzung im Gesundheitswesen gebührend Rechnung zu tragen.
3. Juli 2019
Am 24.05.2019 hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Unternehmensverkauf zu berücksichtigen sind.
Ein Asset Deal ist eine Unterart des Unternehmenskaufs, bei dem Wirtschaftsgüter (engl. Assets) eines Unternehmens, wie Grundstücke, Gebäude, Maschinen, Patente etc., im Rahmen der Singularsukzession übertragen werden.
Bisher war es umstritten, ob und in welchem Umfang in einem solchen Fall auch Daten von Kunden verkauft werden dürfen.
Folgende Fallgruppen wurden von der DSK nun beschlossen:
- Kundendaten bei laufenden Verträgen
- Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung älter als 3 Jahre
- Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzte Vertragsbeziehung jünger als 3 Jahre
- Kundendaten im Falle offener Forderungen
- Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DS-GVO
2. Juli 2019
Seit dem 1. Juli 2019 sind Vertragsärzte und -psychotherapeuten verpflichtet, das Versichertenstammdatenmanagement (VSDM) durchzuführen. Tun sie dies nicht, drohen ihnen Honorarkürzungen.
Derzeit sind 100.000 Praxen von Vertragsärzten und Vertragspsychotherapeuten an die Telematikinfrastruktur (TI) angeschlossen und 20.000 weitere haben die Bestellungen für den Anschluss ausgelöst. Das gab das Bundesministerium für Gesundheit (BMG) gestern bekannt. Durch das Versichertenstammdatenmanagement wird die Überprüfung der Aktualität der Patientendaten auf der elektronischen Gesundheitskarte (eGK) sichergestellt. Die Prüfung der Daten erfolgt automatisch, im Bedarfsfall werden die Patientendaten aktualisiert. Als erste Anwendung in der Telematikinfrastruktur dient der VSDM auch als Nachweis, dass eine Praxis an die TI angeschlossen ist und Anspruch auf die Erstattung der Kosten über die Kassenärztliche Vereinigung (KV) besteht.
Das Ministerium konktretisierte die Höhe der drohendenden Honorarkürzungen: bei Nicht-Umsetzung ist zunächst eine Kürzung um ein Prozent geplant. Im aktuellen Referentenentwurf des Digitale Versorgung Gesetzes ist sogar eine Kürzung um 2,5 Prozent ab März 2020 vorgesehen.
Die Vertreterversammlung der Kassenärztlichen Vereinigung Bayerns (KVB) ist besorgt: Durch die zwangsweise Anbindung an die Telematikinfrastruktur und die daran geknüpften Sanktionen und „immer neue Gesetzesvorhaben in diesem Bereich […] gefährde Bundesgesundheitsminister Jens Spahn die Datensicherheit und sorge für immensen Ärger und Verunsicherung in Bayerns Praxen.“
