Kategorie: Allgemein

Neuer Bundesdatenschutzbeauftragter (BfDI) gewählt

30. November 2018

Neuer Bundesdatenschutzbeauftragter ist Ulrich Kelber, der seit dem Jahr 2000 für die Partei SPD im Bundestag vertreten ist. Mit seiner Wahl, bei der er 444 Stimmen der Abgeordneten bekam, folgt er auf Andrea Voßhoff.

Der neue Leiter der höchsten deutschen Datenschutzbehörde war unter anderem als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig. Kelber bringt darüber hinaus einschlägige Berufserfahrung als IT-Experte mit sich.

Interessanter Nebenaspekt ist dabei der in den einschlägigen Fachforen bereits diskutierte Auswahlprozess des neuen Bundesbeauftragten für Datenschutz. In ihrem Art. 53 bestimmt die Datenschutz-Grundverordnung (DSGVO) eigentlich folgendes:
„Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird (…).“

Die Wahl Kelbers dagegen verlief, wie bislang üblich, auf Vorschlag der Bundesregierung. Entsprechend gab es keine Ausschreibung, die womöglich die von der DSGVO intendierte Transparenz gefördert hätte. Ob und welche Auswirkungen dies haben könnte, ist dabei unklar.
Über die fachliche und persönliche Qualifikation des IT-erfahrenen Kelber sei damit selbstverständlich keine Aussage getroffen.

Nach Stop für Wunschzettel-Aktion nun auch kein Weihnachtsgeldzuschuss für Bedürftige

28. November 2018

Nachdem die bayrische Stadt Roth die Wunschzettel-Aktion auf dem diesjährigen Weihnachtsmarkt aufgrund von Datenschutzgründen für nicht durchführbar erklärte (wir berichteten), hat nun die Gemeinde Holzkirchen in Bayern bekanntgegeben, dass es für Bedürftige dieses Jahr keinen Weihnachtszuschuss gäbe. Grund hierfür sei, dass das Landratsamt Miesbach die personenbezogenen Daten der Bedürftigen nicht mehr für den Zweck des Weihnachtszuschusses herausgeben dürfe.

Um Bedürftigen zukünftig dennoch eine finanzielle Hilfe anbieten zu können, plane die Gemeinde nächstes Jahr den Bedürftigen den Weihnachtszuschuss in Form eines Gutscheinmodells zukommen zu lassen.

Kategorien: Allgemein
Schlagwörter: , ,

Uber muss Strafe zahlen – Datenpanne verschwiegen

27. November 2018

Ein Jahr lang hat der Fahrdienst-Vermittler Uber über ein massives Datenleck geschwiegen, bei dem 57 Millionen Nutzerdaten gestohlen wurden. Abgegriffen wurden Namen, E-Mail-Adressen und Telefonnummern.

In den Niederlanden waren rund 174.000 Bürger Opfer des Hacker-Angriffs geworden. Der Diebstahl hatte sich bereits 2016 ereignet und wurde erst ein Jahr später im Dezember 2017 bekannt gemacht.

Am Dienstag verhängte die niederländische Datenschutzbehörde eine Strafe von 600.000 Euro mit der Begründung, dass Uber diese Datenpanne nicht innerhalb der vorgegebenen Frist von 72-Stunden nach der Entdeckung gemeldet habe.

Kategorien: Allgemein

20.000 Euro Bußgeld wegen DSGVO Verstoß

22. November 2018

Das soziale Netzwerk Knuddels.de muss ein Bußgeld in Höhe von 20.000 Euro zahlen, weil Passwörter von Nutzern unverschlüsselt gespeichert worden sind. Damit habe das Unternehmen aus Karlsruhe gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte Stefan Brink mit. Laut Brink ist dies die erste Strafe nach DSGVO in Deutschland.

Infolge des Angriffs im September waren nach Darstellung des Unternehmens im Internet rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter veröffentlicht worden.

Kategorien: Allgemein

Anforderung einer Patientenakte durch das Nachlassgericht

Nach dem Tod einer Person stellt sich für die Angehörigen oder die sonstigen Erben oftmals die Notwendigkeit der Beantragung eines Erbscheins beim Nachlassgericht. Mit Einreichung der entsprechenden Anträge prüft das Nachlassgericht, ob die Voraussetzungen für die Ausstellung eines Erbscheins vorliegen. Falls der Verstorbene im Wege einer einseitigen Verfügung von Todes wegen selbst seine Erben bestimmt hat, prüft das Nachlassgericht vor der Ausstellung des Erbscheins unter anderem, ob es möglicherweise Anlass zu Zweifeln an der Testierfähigkeit des Erblassers gibt. Um aufzuklären, ob beispielsweise die Testierfähigkeit des Verstorbenen aufgrund gesundheitlicher Beeinträchtigungen nicht mehr gegeben war, kann sich das Nachlassgericht mit der Bitte um Übermittlung der Patientenakte an den behandeln Arzt wenden.

Bei einem Nachlassverfahren handelt es sich um ein Verfahren, für welches das Gesetz über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit (FamFG) einschlägig ist. §§ 26, 29 FamFG ermächtigt die Nachlassgerichte dabei die entscheidungserheblichen Tatsachen unabhängig vom Parteivorbringen von Amts wegen in geeigneter Form zu ermitteln, sodass sich das Nachlassgericht direkt mit einer entsprechenden Bitte um Übermittlung der Patientenakte an den behandelnden Arzt wenden kann.

Für den behandelnden Arzt stellt sich sodann die Frage, wie er mit dieser an sich statthaften Bitte des Nachlassgerichts umgehen soll. Aus der Bitte des Nachlassgerichts folgt nämlich nicht immer auch zwingend die Befugnis zur Übermittlung der besonders geschützten medizinischen Daten. Für den Arzt ist hierbei insbesondere relevant, dass die unbefugte Weitergabe fremder Geheimnisse – zu denen auch die Behandlungsdaten eines Patienten gehören – nach § 203 Abs. 1 StGB eine Straftat darstellt, die mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft werden kann. Bei einer entsprechenden Bitte um Übermittlung der Patientenakte hat der Arzt demnach genau zu prüfen, ob für ihn auch eine Befugnis zur Übermittlung besteht.

Eine Befugnis zur Offenbarung von Geheimnissen im Sinne von § 203 StGB kann sich aus einer gesetzlichen Ermächtigungsnormen oder aus einer Einwilligung des Betroffenen ergeben. Für den Fall einer Übermittlung an ein Nachlassgericht besteht zur Zeit keine spezialgesetzlich normierte Ermächtigungsgrundlage. Im oben skizzierten Fall ist das Einholen einer Einwilligung in Form einer Entbindung von der Schweigepflicht aufgrund des Todesfalls jedoch nicht mehr möglich. Da es sich bei dem über § 203 StGB geschützten allgemeinen Persönlichkeitsrecht um ein höchstpersönliches Rechtsgut handelt, das grundsätzlich nicht auf die Hinterbliebenen übergeht, besteht für auch die Hinterbliebenen nicht die Möglichkeit, den Arzt von seiner Schweigepflicht zu entbinden.

In einem solchen Fall kann jedoch gegeben falls ein Rückgriff auf eine vermutete Einwilligung des Verstorbenen als Rechtfertigung im Sinne von § 203 StGB statthaft sein. Hierbei ist durch den behandelnden Arzt im Einzelfall einzuschätzen, ob der Verstorbene eine Offenbarung seiner Patientenakte gegenüber dem Nachlassgericht zu Zwecken der Feststellung seiner Testierfähigkeit zugestimmt hätte oder nicht. Falls dem behandelnden Arzt, etwa aufgrund von Äußerungen des Verstorbenen, Zweifel an einer solchen Zustimmung kommen, ist die Übermittlung an das Nachlassgericht nicht durch eine vermutete Einwilligung zu rechtfertigen. Sollten dem behandelnden Arzt hingegen keine Einwände des Verstorbenen gegen eine Übermittlung zum Zwecke der Feststellung der Testierfähigkeit bekannt sein, dann greift noch immer regelmäßig die Vermutung des Bundesgerichtshofs, dass dem Verstorbenen daran gelegen war, Zweifel über seine Testierfähigkeit nach Möglichkeit auszuräumen. Das wohlverstandene Interesse des Verstorbenen sei nicht darauf gerichtet, zu verbergen, dass er testierunfähig sei, da damit vielfach gerade die seinem Schutz dienenden Vorschriften zur Testierfähigkeit in vielen Fällen unterlaufen würden.

Gerne unterstützen wir Sie bei diesbezüglichen und weiteren Fragestellungen aus dem Bereich des Gesundeitsdatenschutzes durch entsprechende Beratungsleistungen.

Kontrolle von Dieselfahrverbot durch automatisierte Nummernschildüberwachung?

21. November 2018

Immer mehr Städte sind von Fahrverboten für Dieselautos betroffen. Allein in Köln sind dies nach Angaben des Kraftfahrt-Bundesamt 100.000 Fahrzeuge.

Dabei stellt sich aber die Frage, wie man diese Fahrverbote kontrollieren soll? Ein neues Gesetz könnte die automatisierte Analyse ermöglichen, zumindest, wenn man davon ausgeht, dass die Bundesregierung einen Gesetzentwurf zur  automatisierten Nummernschild-Überwachung durch Bundestag und Bundesrat bekommt.

In dem unlängst beschlossenen Text heißt es, die Behörden sollten „im Rahmen von Kontrollen bestimmte Daten, auch automatisiert, erheben, speichern und verwenden sowie auf die Daten des Zentralen Fahrzeugregisters zugreifen können“. Das Nummernschild, Bild des Fahrers und anderes sollen erfasst und gespeichert werden.

Das zuständige Bundesministerium für Verkehr und digitale Infrastruktur betont, die Daten von berechtigten Fahrern sollten „unverzüglich“ gelöscht werden. Der Gesetzentwurf sei nur ein Angebot an die zuständigen Behörden in den Bundesländern, um Kontrollmöglichkeiten vor Ort zu verbessern. Die Datenerhebung diene ausschließlich der Feststellung, ob gegen die Fahrverbote verstoßen werde, so das Ministerium.

Der Umgang mit Bewerberdaten

20. November 2018

Durch das Inkrafttreten der Datenschutz-Grundverordnung und des BDSG-neu sind die Anforderungen an Unternehmen im Allgemeinen schärfer geworden. Auch im Bereich des Bewerberdatenschutzes hat sich der Umgang mit den Daten stark verändert. Bei den wenigsten Unternehmen gehen noch Bewerbungen in Papierform ein. Zumeist erhalten die Unternehmen Online-Bewerbungen via E-Mail oder Website. Doch wie müssen Unternehmen mit den unterschiedlichen Bewerbungseingängen umgehen?

Bewerbungen die in Papierform bei einem Unternehmen eingehen sind datenschutzrechtlich weniger problematisch als Online-Bewerbungen zu bewerten. Erst wenn die Bewerbung digitalisiert wird oder die Bewerberdaten in ein System eingetragen werden spricht man von einer Verarbeitung im Sinne der DSGVO. Sobald die Daten in einen Verarbeitungsprozess eingebunden werden, sollte der Bewerber gemäß Art. 13 sowie Art. 14 DSGVO über die Verarbeitung sowie die Betroffenenrechte informiert werden.

Bei Bewerbungen die via E-Mail bei einem Unternehmen eingehen sollte vor allem eine verschlüsselte Übermittlung gewährleistet werden. Außerdem ist es zu empfehlen, dass die interne Weiterleitung zwischen den jeweiligen Mitarbeitern oder Abteilungen durch eine Arbeitsanweisung geregelt wird.

Ähnlich der Bewerbungen via E-Mail, muss im Fall einer Bewerbung durch die Website eine Verschlüsselung der Daten sichergestellt werden. Bei Bewerbungen die mittels eines externen Dienstleisters generiert werden, besteht die Möglichkeit, dass Dritte Zugang zu den Daten erlangen. Um sich dahingehend abzusichern sollte ein Vertrag zur Auftragsverarbeitung zwischen dem Unternehmen und dem externen Dienstleister abgeschlossen werden.

Generell gilt, das Daten von Bewerbern strikt von anderen Datensätzen zu trennen sind.

Kategorien: Allgemein · Beschäftigtendatenschutz
Schlagwörter:

Niederländische Datenschützer erheben Vorwürfe gegen Microsoft

Nach einem Bericht der britischen Zeitung „The Telegraph“, erheben Datenschutzexperten der niederländischen Firma „Privacy Company“ Vorwürfe gegen Microsoft, da sie auf Hinweise gestoßen seien, dass Microsoft mit Hilfe der Office-Anwendungen eine erhebliche Menge an personenbezogenen Daten abgefragt habe ohne dabei weder die Informationspflichten der DSGVO einzuhalten noch die Nutzer anderweitig über die Erhebung der Daten in Kenntnis zu setzen. Unter anderem seien Betreffzeilen aus E-Mails sowie inhaltliche Ausschnitte aus den betroffenen Mails erfasst worden. Das Ganze soll dabei automatisch abgelaufen sein, sobald der Nutzer die Rechtsschreibprüfungsfunktion benutzte. Microsoft behauptet derweil, die Datenerhebung erfolge zum Zwecke der Sicherheit und der Funktionsweise der Office-Anwendungen.

Tätig wurde die niederländische Firma im Auftrag des niederländischen Justizministeriums. Der Bericht über die Überprüfung wurde auf dem Blog der Firma veröffentlicht. Microsoft komme dem Bericht des Telegraph zufolge allerdings noch mit einer milden Strafe davon, da der us-amerikanische Konzern – so das niederländische Justizministerium – bereits im Oktober eingewilligt habe, die Office-Software datenschutzrechtlich zu überarbeiten. Die Änderungen sollen bis spätestens Mitte 2019 implementiert und abgeschlossen sein. Wie die Änderungen dann letztlich aussehen, bleibt daher vorher abzusehen.

 

Berechtigtes Interesse ist weit zu interpretieren

In einem Teilurteil des OLG München vom 24.10.2018 erklärt das Gericht die rechtmäßige Weitergabe von Kundendaten im Rahmen eines geltend gemachten Auskunftsanspruch aus § 242 BGB.

Zwischen der Klägerin und der Beklagten lag ein Vertragshändlervertrag vor, aus dem die Beklagte eine Vertragsverletzung im Rahmen einer Widerklage geltend machen wollte.

Hierzu machte die Beklagte einen Anspruch auf Auskunft über abgewickelte Lieferungsverträge der Klägerin geltend, die möglicherweise die Vereinbarungen aus dem gemeinsamen Vertragshändlervertrag verletzten. Sie verlangte demzufolge also eine Auskunft, welche auch eine Weitergabe der Daten von Kunden der Klägerin beinhaltete.

Nach ständiger BGH-Rechtsprechung ergibt sich ein solcher Auskunftsanspruch aus § 242 BGB (Treu und Glauben), wenn sich der Anspruchsberechtigte im Unklaren über den Umfang seines Rechts befindet und der Verpflichtete unschwer dazu in der Lage ist, die Auskunft zu erteilen.

 

In der Vorinstanz hatte das Landgericht Traunstein den Auskunftsanspruch abgelehnt. Im Gegensatz dazu sah das OLG München den Auskunftsanspruch als gegeben an und verneinte ein Entgegenstehen der Vorschriften der DSGVO.

Rechtsgrundlage bilde in diesem Fall Art. 6 Abs. 1 lit. f) DSGVO.

So habe die Beklagte bzw. Widerklägerin ein berechtigtes Interesse. Hierbei sind laut Erwägungsgrund 47 Satz 1 Halbsatz 2

 

„(…) die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist (…)“

 

Nach dem OLG München sei bei der vorzunehmenden Abwägung eine möglichst weite Auslegung des berechtigten Interesses als (unions-)grundrechtlich geboten. Dabei seien nicht nur rechtliche Interessen zu berücksichtigen, sondern auch wirtschaftliche oder ideelle.

Bei der Abwägung der Interessen berücksichtigte das Gericht, dass auf Seiten der Betroffenen keine höchstpersönlichen Daten oder ein besonderes Know-how der betroffenen Branche weitergegeben wurden, sondern ausschließlich wirtschaftliche Daten über mehrere Kaufabwicklungen. Diese waren zudem im konkreten Fall noch nach außen überprüfbar. Letztlich überwiege das Interesse der Beklagten an einer Durchsetzung möglicher Schadensersatzansprüche, so das OLG München.

 

 

 

Wunschzetteltradition auf dem Weihnachtsmarkt in Roth endet

19. November 2018

In der fränkischen Stadt Roth haben jahrelang über 4.000 Kinder ihre Wünsche an einen Christbaum gehängt. Nun soll mit dieser Tradition aus Datenschutzgründen gebrochen werden. Das Problem dabei ist, dass bisher Name und Adresse der Kinder auf dem Wunschzettel stand, damit dieser an den „Wunscherfüller“ weitergeleitet werden konnte. Hat sich beispielsweise ein Kind gewünscht, dass er mal Bürgermeister sein möchte, organisierte die Stadt einen Tag mit dem Bürgermeister von Roth.

Aufgrund der DSGVO müssten dafür nun Einwilligung von den Eltern eingeholt werden. Gemäß Art. 8 Abs. 1 Satz 2 DSGVO heißt es nämlich: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Dieser bürokratische Aufwand und die Gefahr vor Bußgeldern hielt die Stadt davon ab die Tradition weiterzuführen. Nach Angaben der Stadt wird jedoch nach einem anderen Weg gesucht die Wünsche und die „Wunscherfüller“ zusammen zu bringen. Die Wunschzettelaktion sei ein Herzstück der zahlreichen Aktionen auf dem Weihnachtsmarkt.

1 2 3 4 126