Kategorie: Allgemein

Auch bei unerwünschten Kommentaren: Autor darf anonym bleiben

4. Juni 2011

Der Betreiber einer Internetplattform muss einem Nutzer keine Auskunft über den Autor bestimmter Beiträge geben, wenn der Nutzer sich durch einen Beitrag angegriffen fühlt und deswegen Auskunft begehrt, um gegen den Verfasser des Beitrags vorzugehen.

Das AG München (Aktenzeichen: 161 C 24062/10) wies darauf hin, dass Privatpersonen nur ein eingeschränktes Informationsrecht hätten, selbst wenn sie sich durch einen Beitrag im Internet diskriminiert fühlten. Der Datenschutz des Verfassers wiegt insoweit höher. Ein Auskunftsanspruch aus § 14 II TMG scheide sowohl in direkter als auch analoger Anwendung aus. Da aber § 14 II TMG lex specialis zu einem allgemeinen Auskunftsanspruch sei, scheide auch ein Anspruch nach §§ 242, 259 BGB aus.

Sieht sich jemand durch einen Beitrag verletzt und will dagegen vorgehen, muss er dies daher auf dem „offiziellen“ Wege tun, d.h. Anzeige erstatten. Über die Staatsanwaltschaft kann der Betroffene nämlich im Wege der Akteneinsicht Kenntnis von den entsprechenden Daten erlangen und dann auch zivilrechtlich gegen den Verfasser des Beitrag vorgehen.

Kategorien: Allgemein
Schlagwörter: , ,

Internationale Datenverarbeitung – Indien Herausforderungen für CIOs bei der Anwendung der neuen Regeln

3. Juni 2011

Das neue Datenschutzgesetz in Indien bringt auch neue Herausforderungen für CIOs mit sich, deren Unternehmen Niederlassungen in Indien haben bzw. dort Outsourcing-Projekte betreiben, da die indischen Datenschutzregeln für alle Organisationen und Unternehmen gelten, die personenbezogene Daten und Informationen in Indien erheben oder verarbeiten lassen, einschließlich solcher personenbezogener Daten, die außerhalb Indiens erhoben worden sind.

Zwar sind viele der neuen gesetzlichen Regelungen mit denen der EU oder der USA vergleichbar. Allerdings enthält das neue Indische Datenschutzgesetz auch Anforderungen, die deutlich strenger sind, wie etwa die Verpflichtung, besondere personenbezogene Daten nur nach vorheriger schriftlicher Zustimmung des Betroffenen zu erheben und zu verarbeiten.

Obwohl die Indischen Datenschutzregeln die Entwicklung Indiens als Drehkreuz globaler Datenverarbeitung unterstützen und fördern sollen, werden CIOs dennoch vor der Aufgabe stehen, bislang etablierte Prozesse an die neuen gesetzlichen Anforderungen anzupassen.

 

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter:

Europäische Datenschutzverbände fordern Stärkung der Datenschutzbeauftragten

Führende Datenschutzverbände, nämlich die deutsche Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), die französische Association Française des Correspondants à la Protection des Données à caractère personnel (AFCDP), die niederländische Genootschap van Functionarissen voor de gegevensbescherming (NGFG) und die spanische Organisation Asociación Profesional Española de Privacidad (APEP), haben die Europäische Kommission aufgefordert, die Stellung der Datenschutzbeauftragten bei der Überarbeitung der EU-Datenschutzrichtlinie zu berücksichtigen und ihre Rolle angemessen zu stärken.

In einer aktuellen Pressemitteilung betonen sie, dass den Datenschutzbeauftragten eine Schlüsselrolle beim Schutz der Privatsphäre von Kunden, Arbeitnehmern und Bürgern zukomme, und dass ihre Stellung, Aufgaben und Funktion daher europaweit definiert und vereinheitlicht werden solle.

Google: Angriff gegen E-Mail-Dienst “Gmail”

Unbekannte sollen in Hunderte E-Mail-Accounts von chinesischen Dissidenten, US-amerikanischen Regierungsvertretern, asiatischen Amtsträgern und Journalisten des E-Mail-Dienstes von Google eingedrungen sein, teilte der Sicherheitsexperte des Unternehmens im Firmenblog am vorgestrigen Tage mit. Die Täter sollen sich mittels Phishing und Einsatzes von Malware die Passwörter der Opfer erschlichen und in Folge verwendet haben, um u.a. die Einstellungen zur Weiterleitung von E-Mails zu verändern und den E-Mail-Verkehr zu überwachen. Der Angriff sei nunmehr gestoppt und weitere Angriffe verhindert worden. Außerdem seien die Betroffenen und die Behörden informiert worden und die E-Mail-Accounts nunmehr gesichert. Alle Gmail-Nutzer wurden allerdings zur Wachsamkeit und zur Kontrolle (z.B. auf ungewöhnliche Einstellungen) aufgerufen.

Nach ersten Untersuchungen soll der Angriff von China aus initiiert worden sein. Das FBI hat entsprechende Ermittlungen aufgenommen, das Außenministerium Chinas weist in einer ersten Stellungnahme die Vorwürfe von sich.

Kategorien: Allgemein
Schlagwörter: , ,

Europäischer Datenschutzbeauftragter kritisiert Vorratsdatenspeicherung

2. Juni 2011

In seinem Bewertungsbericht zur Richtlinie über die Vorratsdatenspeicherung (2006/24/EG) kommt der europäische Datenschutzbeauftragte (EDSB) Hustinx zu dem Ergebnis, dass diese gegen die Grundrechte auf Schutz der Privatsphäre und Datenschutz verstößt- die Notwendigkeit der Vorratsdatenspeicherung in ihrer momentan vorliegenden Form sei nicht belegt.

Auch lässt die Richtlinie nach seiner Meinung den Mitgliedstaaten zum einen zu große Interpretationsspielräume hinsichtlich der Verwendung der gespeicherten Verbindungsdaten, zum anderen hätte die Vorratsdatenspeicherung auch so geregelt werden können, dass der Staat weniger stark in die Privatsphäre seiner Bürger eingreife.

Hustinx empfiehlt weitere Untersuchungen und die Prüfung von Alternativen sowie explizite Regelungen hinsichtlich des Datenzugangs und des Verwendungszwecks für die zuständigen Behörden. Insbesondere sollten, dem Grundsatz der Verhältnismäßigkeit folgend, nicht mehr Daten als erforderlich erhoben werden.

Das Thema Vorratsdatenspeicherung ist seit Jahren  sowohl auf nationaler als auch europäischer Ebene ein Konfliktherd. Befürworter halten sie im Hinblick auf die Bekämpfung von Terrorismus und Kriminalität für alternativlos. Kritiker sehen in ihr eine unverhältnismäßige Einschränkung der Grundrechte und bezweifeln ihre Wirksamkeit. In Deutschland hat dabei das Bundesverfassungsgericht am 2. März 2010 die konkrete Umsetzung der EG-Richtlinie für verfassungswidrig erklärt und den Gesetzgeber zur Neuregelung aufgerufen. Wie diese Neuregelung aussehen soll, ist in der Politik jedoch umstritten.

Online-Zahlungsanbieter “Sofortüberweisung.de” in der Kritik

31. Mai 2011

Neben der Zahlung mit Kreditkarte oder PayPal bieten viele Online-Unternehmen inzwischen auch die Zahlung per Sofortüberweisung an. Der Online-Zahldienst Sofortüberweisung.de steht dabei nun in der Kritik: Bei einer Sofortüberweisung erfolgt eine “Kontodeckungsabfrage”, in der zahlreiche Kontodaten erfasst und überprüft werden, worüber der Nutzer jedoch nur unzureichend informiert wird.

Der Anbieter interessiert sich neben Kontostand, den Umsätzen der letzten 30 Tage und Auslandsüberweisungen auch dafür, ob der Nutzer Dispokredite und andere Konten bei derselben Bank besitzt. Der Betreiber Payment Network, rechtfertigt sich damit, dass man diese Informationen benötige, um die notwendige Deckung des Kontos zu überprüfen. Es sei möglich, dass der aktuelle Kontostand durch andere Überweisungsaufträge nicht dem tatsächlich verfügbaren Einkommen entspräche.

Kritisiert wird dabei aus datenschutzrechtlicher Sicht, dass dem Kunden der Umfang der Datenabfrage nicht bewusst ist, da er eine „Kontodeckungsabfrage“ primär mit dem Kontostand assoziiere. Zudem sei eine so weit gehende Kontrolle nicht erforderlich.

Payment Network selbst hält sein Vorgehen für rechtlich zulässig, bietet jedoch eine rechtliche Überprüfung seiner AGB an.

Selbst wenn das Unternehmen sein Vorgehen künftig so weiterführen darf, ist es nicht unwahrscheinlich, dass zahlreiche Nutzer nach Aufklärung über die Vorgehensweise bei Sofortüberweisung.de künftig lieber zu anderen Zahlungsmethoden greifen. Denn das datenschutzrechtliche Bewusstsein nimmt bei Konsumenten zu und freiwillige Datenschutzbemühungen von Unternehmen über das gesetzliche Maß hinaus werden verstärkt honoriert.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Petitionsausschuss spricht sich für stärkeren Datenschutz bei Privatversicherten aus

30. Mai 2011

Der Petitionsausschuss des Deutschen Bundestages hat sich am 25.05.2011 für eine Verbesserung des Datenschutzes privatkrankenversicherter Personen ausgesprochen und möchte verschiedenen Ministerien eine öffentliche Petition und Informationsmaterial zuleiten. Trotzdem meint er, dass  ”derzeit kein gesetzgeberischer Handlungsbedarf erkennbar ist“. Momentan gibt es im Bereich der privaten Krankenversicherungen keine dem Gutachterverfahren der GKV vergleichbare Rechtsnorm. Ein zwischen der Versicherungswirtschaft und den Datenschutzbehörden der Länder im Jahr 1993 abgestimmtes Verfahren sieht lediglich vor, dass Behandlungs- und Befundberichte dem beratenden Arzt der Versicherung, nicht jedoch den Sachbearbeitern zugehen sollen. Der Ausschuss meldete dabei jedoch Zweifel an, ob diese Vereinbarung ”allen dem Verband der privaten Krankenversicherungen angeschlossenen Versicherungsunternehmen bekannt ist und in der Praxis auch beachtet wird“.

Hintergrund ist eine vom Ausschuss behandelte Petition, in der gefordert wird, dass im Bereich der Gesetzlichen Krankenkassen durchgeführte Gutachterverfahren (Psychotherapie-Richtlinien bzw. Psychotherapie-Vereinbarungen Primärkassen/EKV) in analoger Weise und damit verpflichtend im Bereich der Privaten Krankenkassen und der Beihilfe durchgeführt werden müssen. Durch diese Regelungen solle unsachgemäßer und rechtswidriger Umgang mit vertraulichen, höchst persönlichen und intimen Patientendaten bei den Privaten Krankenkassen und/oder der Beihilfe verhindert werden.

Momentan wird laut der Eingabe bei der Beantragung psychotherapeutischer Leistungen von den behandelnden Psychotherapeuten ein Bericht angefertigt, der höchstpersönliche Daten beinhaltet (u. a. zu aktuellen Beschwerden, Phantasien, Affekten/Gefühlen, Träumen; zum psychischen und körperlichen Befund etc.).

Im Bereich der GKV ist das Gutachterverfahren dagegen in den PT-Richtlinien (Abschnitt F II und III) sowie in den PT-Vereinbarungen Primärkassen und EKV (jeweils §§ 11 und 12) geregelt. Von der Krankenkasse beauftragte Gutachter erhalten die Berichte von Psychotherapeuten einschließlich weiterer Unterlagen in einem verschlossenen Umschlag. Durch die Pseudonymisierung (Chiffre aus Anfangsbuchstabe des Familiennamens und Ziffern des Geburtstags) der Unterlagen ist eine Identifizierung der Patienten durch die Gutachter nicht (oder nur mit erheblichem Aufwand) möglich. Die Krankenkassen erhalten, abgesehen von den zur Bearbeitung notwendigen administrativen und medizinischen Daten (Versichertendaten, Diagnose/n), keine weiteren Informationen.

Die Petition kritisiert, dass im Bereich der Beihilfe und der Privatkassen  die Berichte an die jeweils beauftragten Gutachter dagegen häufig einfach weitergeleitet werden bzw. die Gutachter  die Berichte in aller Regel unter Angabe der Versicherungsnummer und des Namens der Patienten erhielten. Zwar liegt eine schriftliche Entbindung von der Schweigepflicht vor. Die Patienten wissen allerdings in der Regel nicht, wer alles (Gutachter, Mitarbeiterder Krankenkassen/Beihilfestellen) was über sie erfährt. Insoweit

Dieses Verfahren wird als gegen das BDSG verstoßend angesehen, da es dessen Grundsätzen der Zweckbestimmung, Datensparsamkeit und Verhältnismäßigkeit zuwider läuft.

Novellierung des Landesdatenschutzgesetzes Schleswig-Holstein

27. Mai 2011

Das Landesdatenschutzgesetz Schleswig-Holstein aus dem Jahre 2000 soll an technische Neuerungen und an aktuellere datenschutzrechtliche Standards angeglichen werden. Anfang dieser Woche beschloss die Landesregierung einen entsprechenden Änderungsentwurf. Neben der Implementierung strengerer Regeln zur Verbreitung personenbezogener Daten im Internet ist darin u.a. eine § 42a BDSG entsprechende Selbstanzeigepflicht vorgesehen, wonach Behörden und andere öffentlichen Stellen verpflichtet werden, Betroffene und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zu informieren, falls bei ihnen gespeicherte sensible Daten (z.B. Angaben zur Gesundheit) unzulässig übermittelt oder auf eine andere Weise unrechtmäßig Dritten zur Kenntnis gekommen sind. Zusätzlich werden erweiterte Dokumentationspflichten für Erfassung und Transfer der Daten formuliert. Herkunft, Zweck, Empfänger sowie Übermittlungszeitpunkt und Übermittlungszweck sollen in Zukunft protokolliert und für ein Jahr gespeichert werden.

“Cookie – Gesetz” in Schweden verabschiedet

24. Mai 2011

In Schweden wurde am Donnerstag über das neue „Cookie – Gesetz“ abgestimmt, das nun zum 01.07.2011 in Kraft treten wird. Hintergrund ist die „E-Privacy-Richtlinie“ (RICHTLINIE 2009/136/EG). In Deutschland wird die Frist zur Umsetzung bis zum 25. Mai 2011 nicht eingehalten, da momentan im Bundestag immer noch über einen Gesetzesentwurf beraten wird, bei dem im Übrigen das Thema Cookies außen vor bleibt.

Im Unterschied zur bisherigen Gesetzeslage in Schweden, die dem Nutzer nur die Möglichkeit gab Cookies auszuschalten, wird nun künftig vom Besucher einer Seite eine vorherige aktive Zustimmung zur Nutzung von Cookies auf einer Seite erwartet.

Das neue Gesetz hat bereits im Vorfeld zahlreiche starke Kritik hervorgerufen, da es deutlich weiter gehe als aufgrund der EG-Richtlinie erforderlich. Naturgemäß kritisch sind die Stimmen aus der Werbebranche, die erhebliche Einbußen befürchten. Im Bereich der Online-Zeitungen hat die schwedische Zeitung Aftonbladet beispielsweise im Jahr 2010 mit Online-Werbung mehr verdient als mit Print-Werbung. Aber auch „neutrale“ Stimmen äußern sich kritisch. Eine wörtliche Interpretation des Gesetzes werde jedenfalls erhebliche Nachteile mit sich bringen, auch wenn das eigentliche Ziel des Gesetze- das zu starke Ausspionieren von Seitenbenutzern- durchaus begrüßenswert sei. Das Surfen im Internet werde aufgrund des Zustimmungserfordernisses nun unübersichtlich und unkomfortabel. Erhebliche Probleme werden jedenfalls in nächster Zeit bei der praktischen Umsetzung erwartet. Teilweise wird angenommen, dass auf einer Internetseite eine deutliche Information über Cookies und wie man sie abstellt  doch- anders als der Gesetzestext vermuten lässt- ausreichend sein sollte. Von anderer Seite wird in diesem Zusammenhang die Nutzung von Pop-ups zur Informations- und Zustimmungszwecken befürwortet, da die Information so jedenfalls nicht so leicht übersehen werden könne. Zudem wird die Idee einer der eigentlichen Zielseite vorgeschalteten Informationsseite, wo die Zustimmung erklärt werden kann, diskutiert.

Frankreich verstärkt die Datenschutzkontrolle im Gesundheitssektor

23. Mai 2011

Nach neuen datenschutzrechtlichen Bestimmungen in Indien  gibt es auch in Frankreich aktuell Bestrebungen den Datenschutz zu verstärken, auch wenn es in diesem Fall nicht durch neue gesetzliche Bestimmungen erfolgt. Die französische Datenschutzbehörde CNIL will künftig die Kontrolle in Firmen und Organisationen verstärken. Ziel ist dabei die Zahl der im Jahr 2011 kontrollierten Firmen auf mindestens 400 zu erhöhen, was im Vergleich zum Vorjahr eine Steigerung von ca. 30% bedeuten würde. Dadurch soll gewährleistet werden, dass der internationale Datenverkehr in den betroffenen Firmen sowohl den französischen als auch den europäischen Datenschutzvorschriften entspricht. Diese Kontrollverstärkung soll dabei insbesondere bei den US-Firmen, die an dem U.S.-E.U. Safe Harbor Program beteiligt sind betreffen, um sicherzustellen, dass diese die geforderten europäischen Standards einhalten.

Die Kontrollen konzentrieren sich dabei zunächst auf den Gesundheitssektor, wo naturgemäß besonders sensible Daten verarbeitet werden. Zu überprüfende Bereiche liegen dabei beispielsweise in der Telemedizin oder bei der Speicherung von Gesundheitsdaten in für  Monitoringzwecke in der medizinischen Forschung. Im späteren Verlauf des Jahres soll zudem die Aufsicht hinsichtlich des Datenschutzes im Rahmen von Videoüberwachung verstärkt werden.

Im Falle von Verstößen gegen datenschutzrechtliche Bestimmung stehen der CNIL verschiedene Befugnisse zu Verfügung. Neben Warnungen oder einstweiligen Verfügungen kann sie Bußgelder von bis zu 300.000€ aussprechen.

 

Kategorien: Allgemein
Schlagwörter: , ,
1 207 208 209 210