Kategorie: Allgemein

Neues Implantateregister-Errichtungsgesetz schränkt Recht auf informationelle Selbstbestimmung ein

28. Oktober 2019

Das Gesetz soll die Sicherheit und Qualität von Implantationen verbessern. Abstriche werden beim Datenschutz gemacht. Das Gesetz enthält eine Beschränkung der Rechte der betroffenen Patientinnen und Patienten.

Der Deutsche Bundestag hat am 26. September 2019 in 2./3. Lesung das „Gesetz zur Errichtung eines Implantateregisters Deutschland und zu weiteren Änderungen des Fünften Buches Sozialgesetzbuch“ (Implantateregister-Errichtungsgesetz, EIRD) beschlossen. Es soll am 1. Januar 2020 in Kraft treten

Damit die Aussagefähigkeit des Registers gewährleistet werden könne, ist die Meldung an das Register für Gesundheitseinrichtungen, gesetzliche und private Krankenversicherungen und Patienten verpflichtend. Dadurch ist das Recht auf Widerspruch gegen die Datenverarbeitung, welches dem Patienten eigentlich nach Art. 21 DSGVO zusteht, ausgeschlossen. Ebenso verhält es sich mit dem Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, dieses wird ebenfalls durch den § 26 EIRD ausgeschlossen. Und das, obwohl es sich bei den Patientendaten um besonders sensible Daten im Sinne des Art. 9 DSGVO handelt, welche besonders schutzwürdig sind.

Die Registerstelle für die zentrale Datensammlung wird beim Deutschen Institut für Medizinische Dokumentation und Information (DIMDI) errichtet. 

Bußgeld aufgrund mangelhaftem Cookie-Banner

24. Oktober 2019

Die spanische Datenschutzbehörde verhängte ein Bußgeld von 30.000 Euro wegen rechtswidriger Cookie-Policy auf der Webseite von Vueling Airlines. Besucher der Webseite des spanischen Unternehmens konnten keine Einstellungen zu den Cookies vornehmen.

Das Unternehmen nutzt Cookies auf der Website und informiert die Webseitenbesucher in seiner Cookie-Policy über die Cookies selbst und über die Art der Datenverarbeitung mittels beacons und Pixel Tags. Es wird auch mitgeteilt, dass Dritte auf diese Cookies zugreifen können. Das Unternehmen weist jedoch darauf hin, dass die Nutzer den Browser so konfigurieren können, dass er entweder standardmäßig alle Cookies akzeptiert, ablehnt oder eine Benachrichtigung über den Empfang jedes einzelnen Cookies auf dem Bildschirm anzeigt. Bei der letzten Option entscheidet der Nutzer über die Speicherung des einzelnen Cookies.

Nach Ansicht der spanischen Aufsichtsbehörde stellt das Unternehmen kein Managementsystem oder keine Cookie- Konfigurationsanzeige zur Verfügung, die es dem Nutzer ermöglicht, einzelne Cookies zu deaktivieren. Um die Auswahl der Cookies zu ermöglichen, müsste der Banner eine Schaltfläche beinhalten, mit dem der Nutzer alle Cookies ablehnen oder aktivieren, oder nur einzelne Cookies zulassen kann. Aktuell gibt es nur die Möglichkeit, die Cookies generell zuzulassen und auf der Seite weiterzusurfen.

Das Bußgeld von 30.000 Euro wurde von der spanischen Datenschutzbehörde aufgrund eines Verstoßes gegen § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes (Spanish Law on Information Society Services and Electronic Commerce) verhängt. Gemäß § 22 Abs. 2 dieses Gesetzes sind die Webseitenbetreiber in Spanien verpflichtet, die Nutzer der Webseite über die Speicherung von Daten zu informieren und ihnen die Möglichkeit bereitzustellen, auf einfache Weise kostenlos die weitere Verarbeitung ihrer Daten zu untersagen.

Datenschutz-Studie: 47 Länder im Vergleich

In einer breit angelegten Studie des britischen Unternehmens Comparitech wurden datenschutzrechtliche Standards in 47 Ländern verglichen. Anhand von festgelegten Kriterien wurde bewertet, inwiefern die jeweilige Regierung die Privatsphäre der Bürger schützt.

In dem Länderranking wurden Noten zwischen 1 (endemic surveillence) und 5 (upholding privacy standards on a consistent basis) vergeben. Die Autoren berechneten die Gesamtnote aus dem Mittelwert der Kategorienoten. Am besten schnitt Irland mit einem Score von 3,2 (adequate safegeuards) ab, dicht gefolgt von Dänemark, Frankreich, Norwegen und Portugal (3,1 – adequate safegeuards). Das Schlusslicht bilden Indien, Russland (2,4 und 2,1 – systematic faillure to maintain safeguards) und China mit 1,8 (extensive surveillance).

Deutschland befindet sich im unteren Mittelfeld mit 2,8 Punkten (some safeguards/ weakened protection). Unter den EU-Mitgliedsstaaten landete Deutschland sogar auf dem viertletzten Platz. Als Gründe werden unter anderem die Verarbeitung von biometrischen Daten im Personalausweis und die Erlaubnis zur Videoüberwachung mit Gesichtserkennung genannt.

Comparitech versteht sich selbst als einen Dienstleister, der seit 2015 auf seiner Website Verbrauchern Informationen zu Technik und IT-Themen zur Verfügung stellt.

EU-Kommission zufrieden mit EU-US Privacy Shield

23. Oktober 2019

Im Sommer 2016 trat der EU-US-Privacy Shield in Kraft durch den Standards für den Umgang mit europäischen Daten und Informationen sowie die Weiterleitung von Daten aus den USA festgelegt wurde. Bis heute nutzen ca. 500 Unternehmen auf beiden Seiten diesen Rechtsrahmen für internationale Geschäfte.

Die Auswirkung des Abkommens wird von der EU-Kommission als positiv beschrieben, sodass man von großen Fortschritten in der Umsetzung des Abkommens spricht. Der jährliche Bericht der Brüssler Behörde kritisiert zwar, dass das Aufnahmeverfahren von Unternehmen in den „Privacy Shield“ zu langwierig sei und in Bezug auf das Verfahren nachgebessert werden sollte, bestätigt jedoch außerdem, dass das Datenschutz-Niveau der USA weiterhin angemessen ist. Seit 2018 gibt es beispielsweise monatliche Stichproben bei Unternehmen der USA um die Einhaltung des Abkommens zu überprüfen außerdem seien alle Vakanzen der amerikanischen Behörde für Datenschutz und bürgerliche Freiheit besetzt worden.

Smart Speaker von Telekom in der Kritik

Daten- und Verbraucherschützer bemängeln den Smart Speaker „Hallo Magenta“ von der Telekom. Der Hamburger Datenschutzbeauftragte Johannes Caspar moniert im Einzelnen, dass sich die Telekom entgegen ihres Werbeversprechens, die Verarbeitung der Nutzerdaten erfolge ausschließlich innerhalb der Europäischen Union, in der Datenschutzerklärung das Recht einräumt, die Daten auch von Dienstleistern außerhalb der EU auswerten zu lassen.

Überdies sei entgegen der Auffassung der Telekom eine informierte Einwilligung nach dem Opt-In Prinzip erforderlich. „Mit der Erfüllung eines Vertrags zu argumentieren ist problematisch, da die Vertragserfüllung gegenüber dem Kunden eben nicht die manuelle Auswertung von dessen Sprachnachrichten erfordert“, so der Hamburger Datenschutzbeauftragte.

Seiner Ansicht nach müssen die Nutzer dieses Sprachassistenten transparent darüber informiert werden, dass die Sprachdaten gespeichert und ausgewertet würden und dass ein „nicht unerhebliches Risiko von Fehlaktivierungen in seinem Umfeld“ bestehe.

Auch Vebraucherschützer Romberg bemängelt an dem neuen Smart Speaker: „Nach den zahlreichen Skandalen und den mangelhaften Informationen anderer Anbieter von smarten Assistenten hätte die Telekom hier mit besserem Beispiel vorangehen können und ein Opt-in für die Analyse der Sprachbefehle einschalten können.“

Um Datenschutz als Wettbewerbvorteil nutzen zu können, muss die Telekom noch etwas nachbessern.

Kategorien: Allgemein
Schlagwörter: , , ,

Twitter gesteht einen Datenschutzverstoß ein

15. Oktober 2019

Twitter hat in einem Hinweis an seine Nutzer am 8.10.2019 erklärt, dass das Unternehmen Telefonnummern und E-Mail-Adressen nutzte, um personalisierte Werbung zu schalten. Die betroffenen Daten wurden von Usern hinterlegt, um die sicherere Zwei-Faktor-Anmeldung zu nutzen und sollten dementsprechend lediglich für Sicherheitszwecke genutzt werden. Es handelte sich um einen internen Fehler, der ab Mitte September behoben worden sei, erklärte der Dienst.

Twitter bestätigte, dass Marketinglisten der Werbekunden mit Kontaktdaten von Twitter-Nutzern abgeglichen wurden. Die Marketinglisten basieren auf Daten, die Werbetreibende schon aus anderen Quellen zusammengestellt haben. Das Unternehmen bestätigt, dass das Problem seit dem 17. September behoben ist und keine Telefonnummern oder E-Mail-Adressen mehr für Werbezwecke verwendet werden. Außerdem teilt Twitter seinen Nutzern mit, dass keine personenbezogenen Daten an Partner oder Dritte weitergegeben wurden.

Twitter schreibt zusätzlich: „Wir können nicht mit Sicherheit sagen, wie viele Menschen betroffen waren, aber im Sinne der Transparenz wollten wir alle aufklären.“ In seinem Hinweis bittet das Unternehmen abschließend um Entschuldigung und erklärte, dass die Werbekunden keinen Zugriff auf diese Daten gehabt hätten.

Kategorien: Allgemein · Online-Datenschutz · Social Media
Schlagwörter:

Bundesrat stimmt Anpassungen an DSGVO beim 2. DSAnpUG EU zu

9. Oktober 2019

Ende Juni 2019 hat der Bundestag zahlreiche Anpassungen nationaler Vorschriften an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) verabschiedet. Der Bundesrat hat diesen Anpassungen am 20.09.2019 nun zugestimmt.

Das aus 150 Artikel bestehende „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ wird nun zur Unterzeichnung dem Bundespräsidenten weitergeleitet. Insgesamt greift es in 154 Fachgesetze ein und regelt den sogenannten bereichsspezifischen Datenschutz. Es liegen viele Anpassungen zu Begriffsbestimmungen, Verweisungen, Rechtsgrundlagen für die Datenverarbeitung und Regelungen zu den Betroffenenrechte vor.

Vor allem werden kleine Betriebe und ehrenamtliche Vereine insofern entlastet, dass die Pflicht einen betrieblichen Datenschutzbeauftragten zu bennenen künftig ab einer Personenzahl von 20 greift. Bislang musste nach § 38 BDSG ein Datenschutzbeauftragter eingesetzt werden, wenn sich „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten“. Der Bundesdatenschutzbeauftragte Ulrich Kelber weist jedoch darauf hin, dass es kleinen Unternehmen schwerfallen wird, den datenschutzrechtlichen Anforderungen ohne einen juristisch und technisch versierten Datenschutzbeauftragten gerecht zu werden.

Transparenz bei der Verarbeitung von Bürgerdaten

Die Bundesregierung will Bürgern in einem Online-Portal einen Überblick über sie betreffende verarbeitete personenbezogene Daten geben und so mehr Transparenz bei Datenverarbeitungen durch öffentliche Stellen schaffen.

Das Bundeskabinett soll Zeitungsberichten zufolge am Mittwoch über Projektempfehlungen des Kabinettausschuss-Digitalisierung (kurz: Digitalkabinett) abgestimmt haben. Unter anderem geht es um das Online-Portal „Datenschutz-Cockpit“, wo Bürger einsehen können, welche personenbezogenen Daten zu welchem Zweck von Behörden verarbeitet werden. Das Datenschutz-Cockpit soll ähnlich zum Online-Banking aufgebaut sein und Bürgern die Möglichkeit geben, ihre Daten zu verwalten und Behördengänge online zu erledigen. Darüber hinaus soll der Austausch der Daten zwischen den Behörden erleichtert werden, indem über die Plattform eine Einwilligung der Betroffenen eingeholt werden kann.

Das Digitalkabinett ist das zentrale Steuerungsgremium für digitalpolitische Fragen auf Ebene der Bunderegierung. Das Bundeskabinett muss am Ende über die Empfehlungen des Digitalkabinetts abstimmen. Das Projekt ist Teil des Handlungsfelds „Moderner Staat“ der Digitalstrategie der großen Koalition. Die Bundesregierung hat sich hierbei zum Ziel gesetzt bis 2022 alle Verwaltungsleistungen digital anzubieten.

Künstliche Intelligenz und Datenschutz

1. Oktober 2019

Am 24. September fand in Berlin ein Symposium des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zum Thema „Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“ mit 150 Gästen statt.

Der BfDI Ulrich Kelber führte hierzu einleitend aus: „Nicht selten stehen wir hier vor einer Blackbox. Insofern ist die datenschutzrechtliche Bewertung von KI-Systemen zwar durchaus schwierig, die Ansicht, Datenschutz und KI schließen sich aus halte ich aber für grundlegend falsch. Das Ziel von KI muss es sein nicht nur innovativ, sondern auch transparent und fair zu sein. Hierzu leistet der Datenschutz einen wichtigen Beitrag.“

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte bei dieser Gelegenheit die „Hambacher Erklärung zur Künstlichen Intelligenz“ vor, datenschutzrechtliche Anforderungen an KI stellt. Außerdem wurden praktische Erfahrungen mit aktuellen KI-Anwendungen bei Google und der Techniker Krankenkasse ausgetauscht und die bedeutende Rolle von KI im Gesundheitsbereich betont. Das Beispiel der FSD Fahrzeugsystemdaten GmbH zeigte zudem, dass KI auch ohne die Verarbeitung von personenbezogenen Daten möglich sei. Mittels KI und Fahrzeugdaten von Herstellern sowie Anbietern von Kfz-Hauptuntersuchungen entwickelt das Unternehmen eine Software, die z.B. defekte Stoßdämpfer mit großer Genauigkeit erkennt. Problematisch sei, aber dass die Autohersteller dennoch Daten mit Personenbezug übermitteln, obwohl dies nicht notwendig ist.

Es gab aber auch kritische Stimmen, dass der Grundsatz des Verbots mit Erlaubnisvorbehalt in der DSGVO im KI-Zeitalter überholt sei und kleine und mittelständische Unternehmen vom Einsatz von KI abhalte.

In einer abschließenden Diskussion zur Vereinbarkeit von Künstlicher Intelligenz und Datenschutz wurde zudem betont, dass in Europa dezentrale Modelle von KI entstehen sollten.

Thomas Cook warnt vor Gefahr für sensible Daten

30. September 2019

Im Rahmen des Insolvenzverfahrens des Reiseveranstaltungsunternehmens Thomas Cook versuchen scheinbar unbekannte Personen sensible (personenbezognene) Daten abzugreifen. Dies geschieht ausweislich der Pressemitteilung des Unternehmens mittels „Phishing Mails“. So würden Verbraucher via Email eine als offizielle Benachrichtigung von Thomas Cook deklarierte Erklärung mit dem Betreff: „Wichtig: Erstattung Ihrer Thomas Cook-Reise.“ erhalten. Dies würde mit dem Zweck geschehen, sensible Daten, wie beispielsweise Pass- und Kreditkartendaten, unberechtigterweise für einen künftigen Missbrauch abzufragen.
Thomas Cook selbst habe zu keiner Zeit Emails dieser Art an Kunden verschickt. Das Unternehmen empfiehlt diese Mails zu ignorieren und zu löschen.

Kategorien: Allgemein · Online-Datenschutz · Schadsoftware
Schlagwörter:
1 2 3 4 5 148