Kategorie: Aufsichtsbehördliche Maßnahmen
29. Mai 2017
Nachdem am 25.05.2017 „Halbzeit“ der Vorbereitungszeit von Unternehmen an die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) erreichte, hat das Bayerische Landesamt für Datenaufsicht (BayLDA) einen Prüffragebogen veröffentlicht. Der Prüffragebogen vermittelt verantwortlichen Stellen einerseits einen Eindruck darüber, wie ab Mai 2018 Prüfungen durch das BayLDA ablaufen könnten.
Gleichzeitig ist der Prüffragebogen ein gutes Instrument festzustellen, hinsichtlich welcher Aspekte Unternehmen ihre Prozesse und Systeme noch nicht EU-DSGVO-konform gestaltet haben. Zwar enthält die EU-DSGVO viele der bereits bekannten Grundsätze und Prinzipien. Insbesondere hinsichtlich der Rechte der Betroffenen sowie der Dokumentationspflichten bestehen jedoch wesentliche Unterschiede im Vergleich zur jetzigen Rechtslage.
Zwar enthält der Prüffragebogen alle wesentlichen Neuerungen. Jedoch darf sein zweiseitiger Umfang nicht darüber hinwegtäuschen, dass die Anpassung der Systeme und Prozesse eine zeitintensive Aufgabe ist.
13. April 2017
(mehr …)
7. April 2017
Die Datenschutzbeauftragte Maja Smoltczyk moniert den Umgang der Berliner Gesundheitsbehörden mit Gesundheitsdaten, insbesondere im Zusammenhang mit Patientendaten in Berliner Krankenhäusern. In ihrem aktuellen Tätigkeitsbereich kritisiert die Berliner Datenschutzbeauftragten die fehlende Ausstattung der Gesundheitsbehörden unter anderem mit moderner Technik und den erforderlichen Ressourcen. Vor diesem Hintergrund lassen sich Datenpannen, wie das unbeabsichtigte Offenlegen von Patientendaten gegenüber unbeteiligten Dritten durch die Gesundheitsbehörden, nicht verhindern.
Erhebliche Kritik äußerte die Datenschutzbeauftragte auch hinsichtlich einer mangelnden Erfassung dezentraler Prozesse innerhalb von Tochtergesellschaften der Krankenhäuser oder einer lückenhaften Umsetzung der IT Sicherheitsvorgaben bei Wartungen von Krankenhaus-ITs.
In diesem Zusammenhang wird der aktuelle Entwurf des neuen Bundesdatenschutzgesetzes, nach dem die Datenschutzaufsichtbehörden keine Kontrollen mehr vor Ort im Arbeitsbereich von Berufsgeheimnisträgern ausüben dürfen, keinesfalls zu einem besseren Schutzniveau der Berliner Gesundheitsdaten führen. Denn ob die Krankenhäuser die ihnen datenschutzrechtlich vorgegebenen Maßnahmenergreifungen auch tatsächlich umsetzen, könnten die Aufsichtsbehörden demnach überhaupt nicht mehr nachkontrollieren.
6. April 2017
Vor der Geltung der Datenschutz-Grundverordnung (DS-GVO) im Mai kommenden Jahres steigt bei den datenschutzrechtlichen Aufsichtsbehörden des Bundes und der Länder der Bedarf an qualifiziertem Personal, denn Zuständigkeits- und Verantwortungsbereiche werden stark anwachsen.
Nach einer aktuellen Umfrage des Handelsblatts zeigt sich, dass insbesondere bei den Ländern nicht rechtzeitig genügend Personal zur Verfügung stehen wird, um die z. T. komplexen Neuerungen umzusetzen. Die Hälfte der betroffenen Behörden führt derzeit noch Verhandlungen über Haushaltserhöhungen, in einigen Bundesländern steht bereits fest, dass es dieses Jahr nicht mehr zu Neueinstellungen kommen kann (so in Berlin, Bremen, Hamburg, Saarland, Sachsen und Thüringen).
Nach dem Hamburger Datenschutzbeauftragten Johannes Caspars sei mithin zu befürchten, dass “die Kluft zwischen den rechtlichen Erwartungen, die der Gesetzgeber mit der neuen Regelung verfolgt, und der defizitären Ausstattungssituation noch viel größer wird, als sie bereits unter der gegenwärtigen Rechtslage ist“.
Etwas besser sieht die Personalsituation beim Bund aus. Nach Informationen der Bundesdatenschutzbeauftragten Andrea Voßhoff sind für ihre Behörde bereits 32 neue Stellen für die DS-GVO vorgesehen.
30. März 2017
Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Berlin Maja Smoltczyk hat sich in einer Presseerklärung klar gegen die Technik der biometrischen Gesichtserkennung positioniert und diese als Technik ohne Zukunft beschrieben. Dies kann nach Ansicht der LDI die Freiheit sich in der Öffentlichkeit frei zu bewegen vollständig zerstören, da den Betroffenen keine Möglichkeit geboten würde sich einer Überwachung zu entziehen. Im Gegensatz zur konventionellen Videoüberwachung würde dies die Rechte erheblich schwerer einschränken. Auch das Potential der erhobenen Daten würde schwerwiegend zu Lasten der Betroffenen gehen. So könne man Bewegungsprofile erstellen und die Daten durch ihre eindeutige Personenbeziehbarkeit problemlos mit anderen Daten, zum Beispiel aus sozialen Netzwerken, kombinieren.
Der europäische Gesetzgeber hat die enormen Risiken dieser Technik für die Privatsphäre erkannt und die Erhebung biometrischer Daten zur Identifizierung in der ab Mai 2018 geltenden Datenschutzgrundverordnung grundsätzlich verboten. Ausnahmen sind nur in engen Grenzen zulässig, z. B. wenn der Betroffene ausdrücklich eingewilligt hat oder wenn die Identifizierung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Auf letzteres können sich in erster Linie Sicherheitsbehörden z. B. bei der Verfolgung schwerer Straftaten stützen. Auch in diesen Fällen müssen aber der Wesensgehalt des Rechts auf Datenschutz gewahrt bleiben und angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und -freiheiten der Betroffenen vorgesehen werden.
20. März 2017
Wie der Bayerische Landesbeauftragte für den Datenschutz am 16.03.2017 mitteilte, fordert die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder den Bundesgesetzgeber auf, den Einsatz von externen Dienstleistern durch Berufsgeheimnisträger datenschutzkonform und rechtssicher zu gestalten.
Berufsgeheimnisträger unterliegen auf Grund ihrer Berufsordnungen der Schweigepflicht. Dies dient dem Schutz der Vertrauensbasis, beispielsweise zwischen Anwalt und Mandant oder Arzt und Patient. Ein Verstoß gegen die Schweigepflicht bzw. eine unbefugte Offenbarung von Privatgeheimnissen wird nach § 203 Strafgesetzbuch (StGB) mit Geld- oder Freiheitsstrafe bestraft.
Kaum eine Anwaltskanzlei oder Arztpraxis kommt jedoch heut zu Tage ohne die Nutzung der modernen Technik aus. Gleichzeitig sind Berufsgeheimnisträger auf Hilfe hinsichtlich Support und Wartung ihrer Systeme durch externe Dienstleister angewiesen. Der Einsatz externer Dienstleister kann jedoch zu einer strafbaren unbefugten Offenbarung von Privatgeheimnissen führen.
Diesem Dilemma soll der Gesetzesentwurf der Bundesregierung „zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ entgegenwirken. Der Gesetzesentwurf sieht vor, dass in Fällen der Beauftragung mit der Datenverarbeitung oder Wartung durch einen Berufsgeheimnisträger auch der externe Dienstleister nach § 203 StGB verpflichtet ist.
Auch mit Blick auf die EU-Datenschutzgrundverordnung ist für die betroffenen Berufsgruppen wünschenswert, dass diese Problematik einheitlich gestaltet wird und die datenschutzrechtlichen mit den strafrechtlichen Regelungen übereinstimmen. Das weitere Gesetzgebungsverfahren bleibt daher abzuwarten.
13. März 2017
Nach dem Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), der dieser Tage veröffentlich wurde, ist die Zahl der Meldungen zu “unrechtmäßiger Kenntniserlangung von Daten” gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) stark angestiegen. Während es im Jahr 2015 nur 28 Unternehmen waren, die zu einer solchen Meldung verpflichtet gewesen waren, lag die Zahl im Jahr 2016 bei 85, allein in Bayern.
Diese Vervielfachung läge vor allem am gesteigerten Bewusstsein der Unternehmen, Datenpannen mit einem erhöhten Risiko melden zu müssen, so der Präsident des Landesamtes, Thomas Kranig. § 42 a BDSG sieht vor, dass immer dann die Meldung einer Panne verpflichtend ist, wenn die Daten wie etwa Bank- und Gesundheitsdaten als besonders sensibel gelten und wenn den Betroffenen schwerwiegende Beeinträchtigungen drohen.
Nach der Europäischen Datenschutzgrundverordnung (DSGVO), die ab 25. Mai 2018 anzuwenden sein wird, wird das Ausmaß der Meldungen weiter zunehmen. Die Schwelle für die Meldepflicht von Datenpannen wird dann deutlich herabgesetzt sein. So muss künftig jede Datenschutzverletzung gemeldet werden, wenn sie “voraussichtlich zu einem Risiko” für die Betroffenen führen kann (Artt. 33, 34 DSGVO). Auch der Zeitpunkt der Meldung wird gesetzlich festgelegt: Die Anzeige der Datenpanne muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde stattfinden.
10. März 2017
Die Bundesländer Bremen, Rheinland-Pfalz und Hessen verspürten in den letzten zwei Jahren einen erheblichen Anstieg der Beschwerden im Bereich des Arbeitnehmerdatenschutzes. So nimmt beispielsweise der Beschäftigtendatenschutz in Bremen den größten Beschwerdebereich bei der Landesdatenschutzaufsichtsbehörde ein.
Die schwerpunktmäßigen Beschwerdebereiche bilden dabei die Vorratsdatenspeicherung von Internetaktivitäten, die Videoüberwachung am Arbeitsplatz sowie Krankschreibungen und Personalausweiskopien.
So konnten betroffene Arbeitnehmer in acht Fällen die installierten Videoüberwachungsanlagen des Arbeitsgebers an ihrem Arbeitsplatz verhindern. In einem Fall musste der Arbeitgeber die Videoüberwachungseinrichtung an den Arbeitsplätzen seiner Auszubildeneden wieder abbauen, nachdem der Datenschutzbeauftragte es für angemessen und auch zumutbar gehalten hatte, wenn der Arbeitgeber seine sensiblen Unterlagen am Arbeitsplatz einfach einschließt, um sie vor Diebstahl von Auszubildenden in seinem Großraumbüro zu schützen. Und auch in einem anderen Fall, indem eine Videokamera auf Toilettenzugänge in den Geschäftsräumen eines Großhandels gerichtet war, setzte der Datenschutzbeauftragte den Abbau der Videoüberwachungsanlage durch.
Auch auf einem anderen klassischen arbeitnehmerdatenschutzrechtlichen Gebiet konnten betroffene Beschäftigte Erfolge erzielen: Ein Arbeitgeber hatte versucht, sich beim behandelnden Arzt seines krangeschriebenen Arbeitnehmers über den Grund von dessen Arbeitsunfähigkeit zu erkundigen. Der betroffene Arbeitnehmer beschwerte sich daraufhin bei dem zuständigen Datenschutzbeauftragten. Letzterer klärte den Arbeitgeber des betroffenen Arbeitnehemers daraufhin darüber auf, dass er seine bestehenden Zweifel hinsichtlich der Richtigkeit der Arbeitsunfähigkeitsbescheinigung unmittelbar mit dem betroffenen Arbeitnehmer selbst klären müsse.
Imke Sommer, die Bremer Datenschutzbeauftragte, spricht sich vor dem Hintergrund dafür aus, dass es “höchste Zeit für ein wirksames Beschäftigtendatenschutzgesetz” sei. Die Datenschutzgrundverordnung lege den Erlass dieses Gesetzes im Übrigen den nationalen Gesetzgebern nahe.
23. Februar 2017
Am 16.02.2017 wies das VG Köln (Az. 13 K 6093/15) die Klage der Bertreiberin eines Online-Bewertungsportals für Autofahrer gegen eine Anordnung des Datenschutzbeauftragten für das Land NRW (LDI NRW) ab, das von ihr betriebene Portal datenschutzkonform zu gestalten.
Die Klägerin betreibt das Online-Bewertungsportal „fahrerbewertung.de“, auf welchem Nutzer das Fahrverhalten Dritter bewerten können. Mit der Vergabe von Schulnoten und einem Ampelsystem bewerten die Nutzer unter Nennung des jeweiligen Kfz-Kennzeichens Fahrstil und das Fahrverhalten des Fahrers bzw. Halters.
Der Landesdatenschutzbeauftragte des Landes NRW hielt dies für datenschutzwidrig und forderte die Klägerin auf, ihr Portal entsprechend den datenschutzrechtlichen Anforderungen zu gestalten. Bei Kfz-Kennzeichen handelt es sich um personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes. Bei Kfz-Kennzeichen ergibt sich zwar kein direkter Personenbezug, jedoch ist zumindest der Halter des Fahrzeugs bestimmbar. Damit liegen personenbezogene Daten vor. Durch die Prangerwirkung, die durch das Bewertungsportal entstehe, werde der betroffene Fahrer bzw. Halter des Kfz in seinem Persönlichkeitsrecht verletzt. Dieser Ansicht gab das VG Köln in seiner Entscheidung recht.
5. Januar 2017
Der Bundesnachrichtendienst (BND) darf sich seit Ende Dezember durch die Veröffentlichung im Bundesgesetzblatt und das Inkrafttreten des Gesetzes zur Ausland-Ausland-Fernmeldeaufklärung auf eine neue umfangreiche Rechtsgrundlage für seine Überwachungstätigkeit berufen. Das Gesetz berechtigt den BND ab sofort, vom Inland aus mit technischen Mitteln Informationen einschließlich personenbezogener Daten aus Telekommunikationsnetzen zu erheben und zu verarbeiten, solange über die ausgespähten Kabel Telekommunikation von Ausländern im Ausland erfolgt. Die so erlangten Milliarden von Verbindungs- und Standortdaten dürfen für sechs Monate auf Vorrat gespeichert werden. Das Gesetz berechtigt den BND in Gefahrensituationen eines bewaffneten Angriffs, bei Terrorismusverdacht und organisierter Kriminalität auch EU-Bürger gezielt auszuhorchen, wobei jedoch Bundesbürger herausgefiltert werden müssen. Neu ist somit die Möglichkeit Netzknoten wie den De-Cix in Frankfurt zu überwachen. Die Praxis erinnert an die der NSA in den Vereinigten Staaten. Ebenso fällt mit dem Gesetz die bisherige Grenze von maximal überwachten 20 Prozent der gesamten Leistungskapazität eines Providers. Bisher war die Rechtsgrundlage für den BND in diesen Fällen häufig umstritten und vage. Durch die im Eiltempo voran getriebene Verabschiedung durch die große Koalition (wir berichteten) besteht nun Rechtssicherheit.
Pages: 1 2 ... 22 23 24 25 26 ... 34 35 
