Kategorie: Aufsichtsbehördliche Maßnahmen

ULD: Bußgelder wegen Veröffentlichung von Patientendaten im Internet

29. April 2013

Die im Jahr 2011 bekannt gewordene Datenpanne, die es ermöglichte, dass im Internet circa 3.600 Dokumente der Brücke Rendsburg-Eckenförde e. V. und anderen Hilfsorganisationen für psychisch Kranke im Internet einzusehen und sogar Behörden- und Klinikbriefe sowie Befunde herunter zu laden waren, wurde nach Angaben des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) nun mit Bußgeldern sanktioniert. Gegen den IT-Dienstleister RebuS GmbH sei ein Bußgeld in Höhe von 30.000 Euro und gegen die Brücke Rendsburg-Eckenförde e. V. sei ein Bußgeld in Höhe von 70.000 Euro verhängt worden. Die Bescheide seien allerdings noch nicht rechtskräftig.

„Die Veröffentlichung der psychiatrischen Unterlagen stellten eine massive Verletzung der Vertraulichkeit dar, die die behandelten Personen berechtigterweise von den Hilfsorganisationen erwarten. Wir mussten mit Erschrecken feststellen, dass die verantwortlichen Stellen in der ganzen über ein Jahr dauernden Auseinandersetzung sich nicht über die Bedeutung des Unterlassens der nötigen technisch-organisatorischen Sicherungen und der Kontrolle im Rahmen der Auftragsdatenverarbeitung einsichtig zeigten. Zwar wurde umgehend das konkrete Datenleck geschlossen, doch bis heute wurde kein Konzept für ein valides Datenschutzmanagement vorgelegt.“, so der Leiter des ULD Weichert.

HmbBfDI: Bußgeld gegen Google wegen unzulässigen WLAN-Mitschnitten

23. April 2013

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Caspar hat nach eigenen Angaben gegen Google Inc. ein Bußgeld von 145.000 Euro wegen unzulässiger WLAN-Mitschnitte verhängt. Google Inc. habe zwischen 2008 und 2010 nicht nur Straßen und Häuser für den Dienst Google Street View fotografiert, sondern zugleich WLAN in Reichweite der dabei verwendeten Fahrzeuge erfasst. Dabei seien auch Inhaltsdaten der erfassten unverschlüsselten WLAN-Anschlüsse aufgezeichnet worden. Neben dem Bußgeldbescheid habe man Google Inc. angewiesen, die unzulässig erhobenen Daten vollständig zu löschen. Der Vollzug der Löschung sei gegenüber dem HmbBfDI bereits bestätigt worden.

„Nach meiner Einschätzung handelt es sich bei dem Sachverhalt um einen der größten bislang bekannt gewordenen Datenschutzverstöße überhaupt. Google hat sich bei der Aufklärung kooperativ gezeigt und öffentlich ein Fehlverhalten eingeräumt. Das Speichern personenbezogener Daten sei nie beabsichtigt gewesen. Dass es dennoch über einen solchen Zeitraum und in dem von uns festgestellten Umfang erfolgt ist, lässt dann nur den Schluss zu, dass die firmeninternen Kontrollmechanismen in erheblicher Weise versagt haben“, kommentierte Caspar den Sachverhalt.

BayLfD: Unzulässige direkte Einbindung von Social Plugins in Internetauftritten

22. April 2013

Der Bayerische Landesbeauftragte für Datenschutz (BayLfD) Petri hat bekannt gegeben, am heutigen Tag 66 bayerische öffentliche Stellen aufgefordert zu haben, die unzulässige direkte Einbindung von Social Plugins in ihren Internetauftritt zu unterlassen. Anderenfalls erhalte z.B. Facebook unzulässig Daten von Nutzern, die eine Behördenwebsite besuchen, wenn die Behörde den Like-Button („Gefällt mir“) von Facebook direkt eingebunden hat. Dies erfolge ohne gesetzliche Grundlage und ohne die Möglichkeit von Seitenbesuchern, dies vor dem Seitenaufruf zu erkennen.

Man werde gegen bayerische öffentliche Stellen, die weiterhin Social Plugins direkt in ihre Webseiten einbinden, konsequent vorgehen, so Petri. Dies gelte umso mehr, als es mit der sogenannten 2-Klick-Lösung eine Variante gebe, bei der nicht bereits mit Aufruf der Behördenwebseite Daten an Facebook & Co fließen. Bei 2-Klick-Lösung müsse zunächst ein Vorschaltbutton angeklickt werden, bevor das Social Plugin aktiviert wird. Vor Betätigung des Vorschaltbuttons bestehe damit auch die Möglichkeit, den Nutzer über Folgen der Betätigung des Vorschaltbuttons zu informieren.

Grüne und Linke scheitern mit Vorstoß gegen Funkzellenabfrage

1. März 2013

Bereits mehrfach wurde das Thema „Funkzellenabfrage“ in der Politik kontrovers diskutiert und sorgte für Unstimmigkeiten zwischen den Parteien. Nach einem Bericht von Heise wagten nun die Linken und Grünen einen neuerlichen Vorstoß und beantragten eine Verschärfung der Gesetzeslage.

Als Hauptargumente gegen die, nach Ansicht der Linken „in keinem Fall angemessene“, aktuelle gesetzliche Situation hinsichtlich der Funkzellenabfrage führten sie die unverhältnismäßige Einschränkung des Grundrechts auf freie Entfaltung der Persönlichkeit und des informationellen Selbstbestimmungsrechts an. Die Grünen bestärkten die Linken darüber hinaus durch die Inbezugnahme der Forderung des Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dr. Alexander Dix. Die richterlichen Anordnungsgründe seien „verheerend inhaltslos“. Darüber hinaus sei es unangemessen, dass bereits bei Straftaten „von erheblicher Bedeutung“ massenweise Handy-Daten durchleuchtet werden würden.

Die Anträge wurden jedoch mehrheitlich abgelehnt. Als Argumente für die aktuelle gesetzliche Situation berief sich der Bundestag dabei auf die Wesentlichkeit der Funkzellenabfrage für die Strafverfolgung. Angesichts dessen sei die Gesetzeslage ausreichend streng ermessen und normiert.

Google: Ankündigung von Sanktionen

19. Februar 2013

Medienberichten zufolge sollen die EU-Behörden ihre Ermittlungen betreffend die aktuelle Datenschutzrichtlinie von Google fortsetzen wollen.
Diese gilt seit März 2012 und ersetzt die rund 60 Einzelregelungen. Hauptsächlich sei kritisiert worden, dass Google persönliche Daten über seine Nutzer sammele, kombiniere und speichere. Google behalte sich ausdrücklich vor, persönliche Informationen über seine Dienste hinweg zusammenzuführen.

Die französische Datenschutzaufsicht Commission Nationale de l’Informatique (CNIL) soll noch vor dem Sommer repressive Maßnahmen gegen Google angekündigt haben. Grund hierfür sei, dass Google eine vor vier Monaten gesetzte Frist zur Reaktion auf die Kritik der EU-Datenschützer verstreichen lassen haben soll. Im Oktober 2012 seien von den nationalen Regulierungsbehörden der EU “Empfehlungen” zu Googles neuer Datenschutzrichtlinie verabschiedet worden, auf welche der Konzern ebenfalls nicht reagiert habe.

Google selbst bestreitet einen Verstoß seiner Datenschutzrichtlinie gegen EU-Recht sowie den Vorwurf der mangelnden Zusammenarbeit mit der CNIL.

 

HmbBfDI: Verwaltungsverfahren wegen Gesichtserkennung von Facebook eingestellt

8. Februar 2013

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat nach eigenen Angaben die im vergangenen Jahr gegen Facebook Inc. erlassene Anordnung wegen der datenschutzrechtlich unzulässigen Ausgestaltung der Gesichtserkennung aufgehoben. Da Facebook Inc. plausibel dargelegt habe, diese Funktion europaweit abgeschaltet zu haben und zudem die bisher erfassten biometrischen Daten gelöscht wurden, sei die Aufhebung nebst Einstellung des diesbezüglichen Verwaltungsverfahrens erfolgt.

„Facebook hat auf unseren Druck reagiert und die rechtswidrige Erhebung personenbezogener Daten eingestellt sowie die zur Dokumentation erforderlichen Auskünfte erteilt. Außerdem wurde zugesagt, dass Facebook zukünftig die datenschutzrechtlichen Vorgaben erfüllen wird. Das Unternehmen weiß, welche unserer Forderungen nicht diskutierbar sind. Hierzu gehört insbesondere eine bewusste und informierte Einwilligung des Nutzers vor jeder biometrischen Erfassung“, so der HmbBfDI Caspar.

Sony: Strafe für Datenschutzdisaster in Höhe von 295.000 Euro

25. Januar 2013
Medienberichten zufolge, soll Sony vom UK Information Commissioners Office zu einer Strafzahlung von 250.000 Britischen Pfund (umgerechnet rund 295.000 Euro) verurteilt worden sein. Die Strafe bezieht sich auf den im Frühjahr 2011 vollzogenen Cyber-Angriff auf das Playstation Network und die daraus entstandene Entwendung sensibler Kundendaten. Nachforschungen sollen ergeben haben, dass der Angriff durch aktuelle Software hätte verhindert werden können.
Laut Angaben, wird Sony in Berufung gehen und die Strafe nicht einfach akzeptieren. Es könne nicht nachgewiesen werden, ob die gestohlenen Kreditkartendaten durch die Hacker entschlüsselt wurden.

Behördliche Privatkontenabfragen nehmen massiv zu

21. Januar 2013

Auch wenn Kontodaten nicht unter die eigentliche gesetzliche Definition der besonderen Arten personenbezogener Daten (d.h. sensiblen Daten) aus § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG) fallen, gelten sie aufgrund ihres Schädigungs- und Informationspotentials dem allgemeinen Verständnis nach trotzdem als die Art von Daten, die besonders schützenswert sind. So unterstehen sie etwa den besonderen Schutzvorschriften des § 42a BDSG, welcher sie den besonderen Arten personenbezogener Daten aus § 3 Abs.9 BDSG in Fällen der unrechtmäßigen Kenntniserlangung gleichstellt. Seit 2005 bei Bankkunden das automatisierte Abrufverfahren für Stammdaten wie Name, Geburtsdatum oder Adresse eingeführt wurde, haben Sozialbehörden und Finanzämter die Möglichkeit, auf bestimmte Bankdaten zuzugreifen. Die Entwicklung der Privatkontenabfragen zeigt jedoch, dass die Sensibilität für die Daten bei den Behörden in den letzten Jahren offenbar rapide nachgelassen hat.

Nach einem Bericht der Augsburger Allgemeinen lag die ursprüngliche Anzahl der Abfragen im Jahr 2005 noch unter 9000. Bis zum Jahr 2012 war die Anzahl auf 72.600 Abfragen angestiegen. Das entspricht einem Zuwachs von rund 830 %. Alleine gegenüber dem vorherigen Jahr stieg der Wert um 15,5 %. Grund genug für den Bundesdatenschutzbeauftragten Peter Schaar eine restriktivere Nutzung der gesetzlichen Möglichkeiten zu fordern. „Ich fordere die Bundesregierung auf, den Umgang mit der Kontodatenabfrage einer ergebnisoffenen wissenschaftlichen Überprüfung zu unterziehen“, sagte Schaar der Augsburger Allgemeinen. „Auch eine verbesserte Begründungspflicht könnte dazu führen, dass die Zahl der Abfragen eingedämmt wird.“ Weiter forderte er, dass für Abfragen konkrete Anhaltspunkte für eine Steuerhinterziehung, einen Sozialbetrug oder andere erhebliche Straftaten vorliegen müssen. Der aktuelle Umstand, dass die Betroffenen häufig noch nicht einmal von der Abfrage erfahren würden, sei ebenfalls nicht angemessen.

LfD BW: Kritik an Plänen zur Ausweitung der Videoüberwachung

18. Januar 2013

Innenminister Hans-Peter Friedrichs (CSU) Ankündigung, die Videoüberwachung öffentlicher Plätze ausweiten zu wollen und dementsprechend ein höheres Budget für das Haushaltsjahr 2014 ansetzen zu wollen, blieb nicht lange kritiklos im Raum stehen. Jetzt meldete sich der Landesbeauftragte für Datenschutz des Landes Baden-Württemberg (LfD BW) Jörg Klingbeil mit einer Pressemitteilung auf seiner Homepage zu Wort und stellte den Vorstoß des Innenministers in Frage.

Insbesondere dessen Aussage, dass dies zu mehr Sicherheit führen werde, teilte der Landesbeauftragte nicht: „Der Bevölkerung wird damit vorgegaukelt, dass ein vermehrter Einsatz von Kameras Straftaten verhindert. Terroristen und Straftäter lassen sich aber davon nicht abschrecken. Im Übrigen ist die Überwachung öffentlicher Plätze Sache der Landespolizei bzw. der Kommunen. Die Bundespolizei setzt Kameras allenfalls an Bahnhöfen oder Flughäfen ein, wobei an Bahnhöfen bereits die Videotechnik der Deutschen Bahn AG genutzt wird. Es muss daher die Frage erlaubt sein, für welchen Zweck der Bundesinnenminister mehr Mittel zur Überwachung öffentlicher Plätze möchte.“

Unterstützung erfährt Klingbeil aus den landeseigenen Reihen. Der Innenminister Baden-Württembergs Reinhold Gall spricht sich ebenfalls gegen eine Ausweitung der Maßnahmen aus: „Die Forderung des Bundesinnenministers ist blanker Populismus. Spätestens seit 2009, als die Erfahrungen der Londoner Polizei publik wurden, dürfte bekannt sein, dass mehr Videoüberwachung nichts bringt. Es sollten besser die Mittel genutzt werden, die es jetzt schon gibt.“

ULD: Verfügungen gegen Facebook wegen Klarnamenpflicht

19. Dezember 2012
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat bekannt gegeben, Facebook Inc./USA und Facebook Ltd./Irland im Rahmen von sofort vollziehbaren Verfügungen verpflichtet zu haben, pseudonyme Konten zuzulassen. Man vertrete die folgenden Auffassungen, die den Verfügungen des ULD zugrunde gelegt worden seien:
  • Facebook Inc. und Facebook Ltd. sind gemeinsam für die Klarnamenpolitik von Facebook verantwortlich und können und müssen deshalb beide auch zur Verantwortung gezogen werden.
  • Das ULD ist im Hinblick auf die Datenschutzkontrolle für Betroffene in Schleswig-Holstein bei Facebook zuständig.
  • Facebook muss § 13 Abs. 6 TMG beachten. Diese Regelung steht mit europäischem Recht in Einklang und dient u. a. dazu, im Internet die Grundrechte und insbesondere das Grundrecht auf Meinungsfreiheit zu wahren. Der Gesetzgeber hat damit klargestellt, dass sich Nutzer von Internetdiensten wie Facebook dort weitgehend unbeobachtet und ohne Angst vor unliebsamen Folgen bewegen können.
  • Das Zulassen von Pseudonymen ist Facebook zumutbar. Die Klarnamenpflicht verhindert weder Missbrauch des Dienstes für Beleidigungen oder Provokationen noch Identitätsdiebstahl. Hiergegen sind andere Vorkehrungen erforderlich.
  • Zur Sicherstellung der Betroffenenrechte und des Datenschutzrechts generell muss die Klarnamenpflicht sofort von Facebook aufgegeben werden.
„Es ist nicht hinnehmbar, dass ein US-Portal wie Facebook unbeanstandet und ohne Aussicht auf ein Ende gegen deutsches Datenschutzrecht verstößt. Ziel der Verfügungen des ULD ist es, endlich eine rechtliche Klärung herbeizuführen, wer bei Facebook verantwortlich ist und woran dieses Unternehmen gebunden ist. Eigentlich müsste dies auch im Interesse des Unternehmens sein. Insofern hoffen wir in der weiteren Auseinandersetzung auf eine sachorientierte, nicht auf
Verzögerung abzielende Vorgehensweise. Angesichts des Umstandes, dass Facebook aktuell allen seinen Mitgliedern die Möglichkeit nimmt, selbst über die Auffindbarkeit unter dem eigenen Namen zu entscheiden, ist unsere Initiative dringender denn je.“, kommentierte der Leiter des ULD Weichert die Vorgehensweise seiner Behörde.
1 15 16 17 18 19