Kategorie: Allgemein
12. März 2018
Das Bayerische Landesamt für Datenschutzaufsicht hat gemeinsam mit dem Bayerischen Landesbeauftragten für Datenschutz einen Leitfaden zur Umsetzung der Datenschutzgrundverordnung in bayerischen öffentlichen und privaten Krankenhäusern veröffentlicht. Ziel des Leitfadens ist es, praktische Hinweise zur Umsetzung der DSGVO zur Verfügung zu stellen und bestehende Unsicherheiten abzubauen. Da es bislang nur wenige Hilfstellungen in diesem Bereich gab, war es das erklärte Ziel beider Datenschutzaufsichtsbehörden, erste Hinweise zur Auslegung der DSGVO im Bereich des Gesundheitsdatenschutzes zu geben. Der Leitfaden eignet sich zur Orientierung ebenfalls für Krankenhäuser in anderen Bundesländern.
Schwerpunkt des Leitfadens ist das Datenschutzmanagement, um den erhöhten Anforderungen der DSGVO Rechnung zu tragen. Nach Auffassung der Verfasser sollte das Datenschutzmanagement im Wesentlichen neun Punkte erhalten. Genannt wird in diesem Zuge unter anderem die Festlegung eines Teams, das zur Umsetzung der datenschutzrechtlichen Anforderungen den Datenschutzbeauftragten unterstützen soll. Darüber hinaus enthält der Leitfaden Handlungsempfehlungen zur Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten, der Auflistung von Datenschutzkonzepten für Verfahren und Auftragsverarbeitungsverträgen, sowie der Erstellung von Datenschutzfolgenabschätzungen. Zudem werden die Punkte der Risikoabschätzung, der Behandlung von Datenschutzverletzungen sowie der Implementierung von Informationspflichten und der Umsetzung von Betroffenenrechten thematisiert.
8. März 2018
Das OVG Hamburg hat entschieden, dass Facebook auf Grundlage einer bisher angeforderten Einwilligungserklärung keine personenbezogenen Daten erheben und speichern darf.
Facebook hatte zuvor erfolglos beim VG Hamburg (Az. 13 E 5912/16) gegen eine Untersagungsverfügung des Hamburger Datenschutzbeauftragten, Johannes Caspar, im Wege des einstweiligen Rechtsschutzes geklagt (wir berichteten).
Das OVG Hamburg schloss sich in seiner Entscheidung nun der Vorinstanz an. Dafür erklärte es zunächst, dass die Rechtmäßigkeit der beanstandeten Untersagungsverfügung offen sei. Im Rahmen der Prüfung ist konkret offen, ob deutsches Recht anwendbar ist und ob der Hamburger Datenschutzbeauftragte gegen das Unternehmen Facebook vorgehen darf, obwohl dieses seinen Sitz in Irland hat. Trotz dieser offenen Rechtsfragen kam das OVG zu der Entscheidung, dass die Untersagungsverfügung nicht die für eine Aufhebung erforderliche offensichtliche Rechtswidrigkeit aufweist. So entspricht die angeforderte Einwilligung der Nutzer von WhatsApp nicht dem deutschen Datenschutzrecht. Diese fehlende Übereinstimmung mit deutschem Datenschutzrecht führt dazu, dass die Interessenabwägung zu Gunsten der Rechte der Nutzer ausfällt.
Nach der ablehnenden Entscheidung des OVG im einstweiligen Rechtsschutz ist weiterhin offen, ob sich ein Klageverfahren in der Hauptsache anschließt. Diese Entscheidung liegt nun bei Facebook.
7. März 2018
Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft, allerdings besteht noch viel Nachholbedarf diesbezüglich.
Allein auf Bundesebene sind 154 Rechtsnormen an die neue Verordnung anzupassen. Die meisten Bundesländer hinken dabei jedoch noch hinterher. Dies sorgt für viel Rechtsunsicherheit im Hinblick auf die Einführung der DGSVO. Auch ein Bußgeldkatalog wurde bisher von der Bundesregierung nicht vorgelegt.
Auf Seiten der Behörden verläuft die Vorbereitung auf die neue Verordnung ebenfalls nur schleppend. Ein großer Personalmangel herrscht bei den Datenschutzbehörden, welcher sich aufgrund des wachsenden Zuständigkeits- und Verantwortungsbereiches durch die DSGVO weiter verschlimmern wird.
Es ist abzuwarten, wie die Länder und die Bundesregierung sich noch bis zum 25. Mai auf die DSGVO vorbereiten.
5. März 2018
Nachdem der Angriff auf das Datennetzwerk des Bundes in der vergangenen Woche an die Öffentlichkeit gelangt ist, werden immer weitere Einzelheiten bekannt.
Die russische Hackergruppe “Snake” soll nach dpa-Informationen, entgegen erster Vermutungen, hinter dem Angriff stecken. Diese sind keine Unbekannten, bereits im Verfassungsschutzbericht 2016 des Bundes wurde die Hackergruppe aufgeführt und soll schon seit 2005 aktiv sein. Ziele der Hackergruppe sind Regierungsstellen und Ziele in der Wirtschaft und Forschung weltweit.
Nach einem Bericht von Spiegel online, waren deutsche Regierungs-Interna das Ziel des Angriffs. Die Hacker gelangten wohl über die Bundesakademie für öffentliche Verwaltung der Fachhochschule des Bundes in das Außenministerium, mit Hilfe einer komplexen und qualitativ hochwertigen Schadsoftware, ein und brachten dort 17 Rechner unter ihre Kontrolle.
Laut Ermittlungen des Bundes in der Sache begann der Angriff wohl schon Ende 2016 mit dem Einschleusen einer Phishing-Mail. Mit einem Steuerbefehl für die hinterlegte Malware, begann im Januar 2017 die Netzwerkanalyse. Die durch die Analyse erlangten Informationen wurden sodann an den Verursacher gesendet. Ab März 2017 waren die Hacker im Besitz von Admin-Rechten. Wie die Hacker an Admin-Rechte gelangten, konnte noch nicht geklärt werden. Ebenso wenig wie genau die Systeme des Auswärtigen Amts kompromittiert werden konnten. Demnach müssen noch einige Untersuchungen durchgeführt werden.
Den Hinweis, dass ein Hackerangriff läuft erhielt der deutsche Geheimdienst von einem ausländischen Partner. Nach diesem Hinweis am 19.Dezember letzten Jahres machte sich das Bundesamt für Sicherheit in der Informationstechnik auf die Suche und wurde Anfang Januar bei der Bundesakademie fündig. Der Angriff lief unter Aufsicht weiter. Ob er inzwischen beendet ist, ist unklar.
Es liegt die Vermutung nahe, dass es sich um einen weltweiten Angriff handelt und noch andere Regierungen betroffen sind.
Inzwischen hat sich auch die Bundesanwaltschaft eingeschaltet und Vorermittlungen wegen geheimdienstlicher Agententätigkeit gegen Unbekannt eingeleitet.
28. Februar 2018
Das Oberverwaltungsgericht NRW (OVG NRW)in Münster setzt ein Verfahren zwischen der Bundesnetzagentur und Google um deren E-Mail-Dienst GMail aus und verweist den Streit an den Europäischen Gerichtshof (EuGH) in Luxemburg.
Dem Verfahren liegt ein seit 2012 geführter Rechtsstreit zwischen den Parteien zu der Frage zugrunde, ob GMail ein Telekommunikationsdienst im Sinne des deutschen Telekommunikationsgesetzes (TKG) ist und Google daher den dort normierten Pflichten nachkommen muss. Hierzu gehören mitunter spezielle Anforderungen an den Datenschutz, sowie die Anmeldung bei der Budesnetzagentur. Speziell streiten die Parteien über die gesetzliche Definition, wonach ein Telekommuniukationsdienst in der Regel gegen Entgelt Dienste erbringt, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Google weigerte sich dieser Anmeldepflicht als Telekommunikationsdienst nachzukommen und vertritt die Auffassung, dasss die Regelungen des TKG für GMail nicht einschlägig sind, da sie sich lediglich das Internet als bestehendes Telekommunikationsnetz zu Eigen machen und darüber hinaus ihre Dienste unentgeltlich zur Verfügung stellen.
Der entscheidenede 13. Senat des OVG führt zur Begründung der Verweisung die “unionsrechtliche Dimension” des Sachverhaltes an, da das TKG im Wesentlichen auf die EU-Richtlinie 1001/21/EG zurückgeht. Der EuGH soll nun im Rahmen einer Vorabentscheidung klären, ob offen im Inernet bereitgestellte E-Mail-Dienste von der Richtlinie erfasst werden.
27. Februar 2018
In einem Unternehmen gibt es zahlreiche sensible Daten, die jeden Tag verarbeitet werden. Sei es in Form von Speichern von sensiblen Daten oder im Versenden dieser an Vertragspartner.
Dennoch ergab eine Umfrage des Bundeswirtschaftsministeriums, dass ein Viertel der mittelständischen Unternehmen keine Verschlüsselungstechniken bei ihren Verarbeitungstätigkeiten anwenden. Bei Großunternehmen sind es lediglich 10 %, die es mit der Verschlüsselung nicht ganz so genau nehmen.
Es zeichnen sich auch erhebliche Branchenunterschiede ab. IT- und Telekommunikationsunternehmen speichern und tauschen mit Dritten nur verschlüsselt Daten aus. In der Autobranche sind es beispielsweise jedoch nur zwei Drittel, die verschlüsselt arbeiten.
Als Grund werden technischer und finanzieller Aufwand genannt sowie Komforteinbußen täglicher Arbeit.
„Informationen in einer unverschlüsselten E-Mail sind etwa genauso geschützt wie die auf einer Postkarte“, sagte Brigitte Zypries (SPD), die geschäftsführende Bundeswirtschaftsministerin.
Aus diesem Grund entwickelte das Bundeswirtschaftsministerium auch einen Kompass für Unternehmen, wie man am besten Daten verschlüsseln kann.
23. Februar 2018
Laut Andreas Wiegenstein sind Kundenportale von Energieversorgern nicht ausreichend geschützt.
Ebenso wie andere Unternehmen sind auch Energieversorger verpflichtet den Anforderungen an Datenschutz und Datensicherheit nachzukommen. Nach einem Artikel von Andreas Wiegenstein kommen sie diesen Anforderungen jedoch in nur unzureichendem Maße nach.
Gerade bei Kundenportalen soll ein nicht ausreichender Schutz von Kundenkonten gegen Angreifer bestehen, obwohl die Kunden dort sensitive Daten eingeben. Die Angreifer benötigen zwar einige Informationen für einen Zugriff, jedoch ließen sich diese laut Wiegenstein zu leicht beschaffen. So sollen sich speziell die scheinbar sicheren Kundennummern und Zählernummern ohne erhebliche Probleme herausfinden lassen.
Neben einer unzureichenden Absicherung der Kundenkonten bemängelt Wiegenstein zusätzlich die Absicherung beim Transport der Daten.
Im Ergebnis fordert er für die Zukunft zusätzliche Sicherheitsmaßnahmen, um einen ausreichenden Schutz zu gewährleisten. Andernfalls seien für die Zukunft erhebliche Probleme bei der Einhaltung der DSGVO absehbar.
21. Februar 2018
Die Stiftung Warentest hat Dating-Apps von 22 Anbietern hinsichtlich des Datenschutzes getestet und ist zu dem Ergebnis gekommen, dass der überwiegende Teil zum einen mehr personenbezogene Daten seiner Nutzer abfragt als notwendig und zum anderen die Datenschutzerklärungen erhebliche Schwächen aufweisen.
Nutzer von Dating-Apps geben viele personenbezogene Daten an, sei es Geschlecht und Alter, die sexuelle Orientierung oder auch den Standort. Dass diese Daten viel über ihn oder sie preisgibt mag dem Nutzer, der Nutzerin, noch bewusst sein, ist aber ein notwendiges Übel um die Apps überhaupt nutzen zu können. Darüber hinaus werden aber teilweise auch Daten zum genutzten Gerät oder der Name des Mobilfunkanbieters an den Anbieter übermittelt, welche für Online-Dating nicht notwendig sind.
Hinzu kommen Übermittlungen des Namens, der Nutzungsstatistik und des Mobilfunkanbieters an Facebook (Grindr, Lovoo, Tinder), Geschlecht und Alter an Werbefirmen (Grindr), Geräteinfos an US-Marketingfirma (Tinder).
Das diese Daten überhaupt übermittelt werden ist datenschutzrechtlich bereits sehr kritisch zu sehen. Darüber hinaus informieren die Datenschutzerklärungen in den meisten Fällen jedoch nur unzureichend über die Übermittlung und weitere datenschutzrechtliche Themen.
Der Test kommt zu dem Ergbenis, dass keine der 22 geprüften Datenschutzerklärungen die Nutzer genau genug informiert.
Die Nutzer von Dating-Apps müssen somit für sich selbst abwägen, wie schlimm sie die Preisgabe ihrer personenbezogenen Daten finden.
20. Februar 2018
An einer Grundschule in Thüringen wurden Eltern dazu aufgerufen, den Messenger-Dienst WhatsApp zu nutzen. Andere Eltern wiederum sahen darin datenschutzrechtliche Probleme und baten die Aufsichtsbehörde, dies zu überprüfen.
Die Elternsprecherversammlung hatte vor, die Kommunikation der Eltern untereinander auf Basis von WhatsApp zu organisieren. Hinweise oder Erklärungen zu möglichen rechtlichen Folgen und Hintergründen rund um die Nutzung von WhatsApp gab es dabei nicht. Die Aufsichtsbehörde entschied auf das Ersuchen der Eltern hin, die sich weigerten, WhatsApp zur Kommunikation zu nutzen, dass WhatsApp nicht an die Schulen gehört. Neben den Lehrern und den Verwaltungskräften an den Schulen haben auch die Eltern Datenschutzgesetze zu beachten, wenn sie schulische Aufgaben mit wahrnehmen.
Bereits im Mai 2017 hatte sich Datenschutzbeauftragte von Rheinland-Pfalz darauf hingewiesen, dass WhatsApp zu schulischen Zwecken nicht geeignet ist. Sollten Lehrer es für notwendig erachten, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter in Betracht, die eine Ende-zu-Ende-Verschlüsselung anbieten (z.B. Signal 2.0, Pidgin/OTR, SIMSme).
Vor wenigen Tagen hat der Social-Media-Riese Facebook seine Einstellungen für die Privatsphäre überarbeitet. Im Rahmen der Änderungen hat es auch erstmalig seine Datenschutzgrundlagen veröffentlicht und zeigt in diesen auf, welche Informationen der Nutzer zu welchem Zweck gesammelt und geteilt werden. Bislang hatte Facebook diese in langen und intransparenten Nutzungsbedingungen vorgehalten.
Darüber hinaus kündigte das US-amerikanische Unternehmen an, innerhalb seines Netzwerkes mit einem sogenannten Privacy Center online zu gehen. Das Privacy Center soll für die Nutzer alle datenschutzrechtlich relevanten Einstellungen bündeln und damit die Verwaltung und den Schutz der Informationen erleichtern. Mit zukünftigen Erklärvideos in der Timeline will Facebook seine Nutzer auf das neue Feature aufmerksam machen und deren Bewusstsein für sichere Privatsphäreeinstellungen steigern. Ein konkretes Datum, wann das Privacy Center für die Nutzer zur Verfügungen stehen soll, gab Facebook allerdings nicht an.
Mit Einführung des Privacy Centers trägt Facebook insbesondere den künftigen, gesetzlichen Pflichten der DSGVO Rechnung, nach denen Unternehmen ihren Nutzern den Umgang mit personenbezogenen Daten einheitlich und transparent präsentieren müssen und die Nutzer dabei insbesondere detailliert über die Art, den Umfang und die Zwecke der Verarbeitung informieren müssen.
Pages: 1 2 ... 94 95 96 97 98 ... 205 206 
