Kategorie: Aufsichtsbehördliche Maßnahmen

BayLfD: Entsorgung von Patientenakten durch Dritte regelmäßig unzulässig

19. Februar 2015

Nachdem in München mindestens vier Säcke voller Röntgenbildern aus dem Krankenhaus Weilheim auf der Straße entdeckt wurden, die auch die Namen und Geburtsdaten der jweiligen Patienten enthielten, hat der Bayerische Landesdatenschutzbeauftragte, Dr. Thomas Petri, eine Prüfung des Falles eingeleitet.

Nach einer regelmäßigen Entsorgungsaktion ist ein Teil der Aufnahmen offenbar nicht an der dafür beauftragten Stelle angekommen. Es handle sich um Unterlagen, für die die zehnjährige Aufbewahrungsfrist abgelaufen sei, teilte eine Sprecherin des Krankenhauses mit.

Der Landesdatenschutzbeauftragte kündigte in bayerischen Krankenhäusern verstärkte Kontrollen der Einhaltung datenschutzrechtlicher Vorschriften beim Outsourcing an. Das Bayerische Krankenhausgesetz sehe besonders strenge Regelungen vor, die das Patientengeheimnis schützen sollen, so Dr. Petri in einer nun veröffentlichten Pressemitteilung. Bei der Verarbeitung von Patientendaten dürfe sich ein Krankenhaus regelmäßig nicht anderer Stellen außerhalb des Krankenhauses bedienen, was auch auch die Vernichtung bzw. Entsorgung von Patientendaten mit umfasse. Ein solches Outsourcing könne sogar gegen die ärztliche Schweigepflicht (§ 203 StGB) verstoßen.

Gesetzentwurf zur PKW-Maut datenschutzrechtlich undifferenziert

29. Januar 2015

Seitens der EU und diverser Mitgliedsstaaten ist und bleibt die von Bundesverkehrsminister Alexander Dobrindt initiierte PKW-Maut ein umstrittenes Thema. Und auch Datenschützer sind seit Beginn derer Ausarbeitung auf den Plan gerufen und weisen auf die zahlreichen Gefahren für die Betroffenen hin.

Diese Bedenken bekommen auch nach dem jüngsten Stand des Gesetzentwurfs wieder neuen Vorschub, wie Heise berichtet. Denn um eine gerichtliche Verwertbarkeit der erhobenen Daten sicherzustellen bleibt es hinsichtlich des beabsichtigten Zwecks unerlässlich ein Bild des Fahrzeugs, sowie die Zeit und den Ort der Erfassung zu dokumentieren. Gleichwohl steht die Aussage des Ministeriums im Raum, dass eben keine Bewegungsdaten und daraus entsprechend ableitbare Bewegungsprofile erhoben würden. Dieser zunächst offensichtliche Widerspruch wird jedoch nicht anhand klarer Definitionen innerhalb des Gesetzentwurfs aufgeklärt und aufgehoben. Hier bleibt es seitens des Ministeriums bei dem Standpunkt, dass “Mautdaten” nicht mit Standort- oder Verbindungsdaten aus dem Telekommunikationsbereich vergleichbar seien und die konkrete technische Ausgestaltung im weiteren Verfahren auszuarbeiten sei. Hierbei würden alle Datenschutzanforderungen berücksichtigt.

Bankmitarbeiter verbreitet Kundendaten im Internet

8. Januar 2015

Wie die amerikanische  Großbank Morgan Stanley berichtete, hat am vergangenen Montag einer ihrer Mitarbeiter die Daten von rund 350.000 Kunden gestohlen und einige von ihnen im Internet veröffentlicht.

Inzwischen sei dem Mitarbeiter gekündigt worden, teilte das Geldhaus mit. Es sei den betroffenen Kunden dadurch jedoch kein finanzieller Schaden entstanden, so alle bisherigen Erkenntnisse. Man habe die betroffenen Kunden bereits informiert und die Kontonummern geändert. Zudem informierte die Großbank nach eigenen Angaben die Aufsichtsbehörden.

Nach Angaben der Frankfurter Allgemeinen Zeitung veröffentlichte dieser Mitarbeiter von 900 Kunden der Vermögensverwaltung Informationen wie Namen oder Kontonummer im Internet. Er hatte offenbar die Absicht, die übrigen Datensätze zu verkaufen.

Es ist noch ungeklärt, wie der Mitarbeiter an die Datensätze gelangen konnte.

 

LfDI RlP: 1,3 Millionen Euro Rekordbußgeld gegen Debeka wegen Datenschutzverstößen

30. Dezember 2014

Der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI RlP) Wagner hat mitgeteilt, dass die im Dezember des vergangenen Jahres gegen den Debeka Krankenversicherungsverein a. G. (Debeka) und gegen seine Vorstandsmitglieder eingeleiteten Ordnungswidrigkeitenverfahren mit einem Bescheid im Wege der Verständigung abgeschlossen worden sind. Darin wird die Debeka verpflichtet, eine Geldbuße in Höhe von 1,3 Millionen Euro zu zahlen. Damit sind die gegen die Debeka erhobenen Vorwürfe von Aufsichtspflichtverletzungen im Bereich des Datenschutzes insgesamt aufgearbeitet. Vorstand und Aufsichtsrat des Unternehmens haben die Geldbuße bereits akzeptiert. Die Debeka wird zusätzlich 600.000 Euro für eine Stiftungsprofessur bereitstellen, die an der Johannes Gutenberg-Universität Mainz, Fachbereich Rechts- und Wirtschaftswissenschaften, eingerichtet wird. Damit wird die Debeka die Grundlagenforschung für einen effektiven Datenschutz und dessen Implementierung in der Praxis nachhaltig fördern.

Anlass der aufsichtsbehördlichen Maßnahmen waren einige von der Debeka eingeräumte Fälle sogenannter Listenkäufe, bei denen einzelne Mitarbeiter weisungswidrig Datensätze zu Anwärtern im öffentlichen Dienst erworben und genutzt hatten. Es wurde festgestellt, dass in einigen Fällen unter Missachtung des Datenschutzes Neukunden für die Debeka durch Informationen von Kollegen gewonnen wurden. Einzelne Debeka-Mitarbeiter hatten Listen oder Kontaktdaten möglicher Kunden ohne deren Einverständnis erhalten und dafür zum Teil auch ein Entgelt bezahlt. Hierbei verstießen sie gegen unternehmensinterne Vorgaben, aber auch gegen geltendes Datenschutzrecht. Die Debeka musste feststellen, dass in der Vergangenheit nicht alle Aufsichtsmaßnahmen und Kontrollen etabliert und angewandt worden waren, die aus heutiger datenschutzrechtlicher Sicht den notwendigen Standards entsprechen.

Wagner erklärte sich mit dem Ausgang des Verfahrens zufrieden. “Wichtiger als das verhängte Bußgeld ist mir zweierlei: Zum einen hat die Debeka ernsthafte und erfolgreiche Anstrengungen unternommen, den Datenschutz in ihrem Vertriebssystem zu stärken. Ohne das kooperative Verhalten der Debeka wäre ein solch gutes Ergebnis nicht zu erzielen gewesen. Zum anderen geht von dem Verfahren das Signal aus, dass alle Unternehmen zukünftig mit noch mehr Nachdruck daran arbeiten müssen – und können! -, dass mit den persönlichen Daten von Interessenten, Kunden und Mitarbeitern vertrauensvoll und rechtskonform umgegangen wird.” Auch im öffentlichen Bereich seien durch die Änderung der Nebentätigkeitsbestimmungen und durch die Aufarbeitung von Datenschutzverstößen erste wichtige Konsequenzen gezogen und die Überwachungs- und Kontrollmechanismen den heute geltenden Standards angepasst worden.

Der Debeka-Vorstandsvorsitzende Uwe Laue begrüßt die einvernehmliche Klärung der datenschutzrechtlichen Auseinandersetzung: “Der konstruktive Dialog mit dem LfDI hat zur Beseitigung von Fehlerquellen geführt und die grundsätzliche Zulässigkeit von Tippgebern bestätigt. Wir haben damit die Vergangenheit aufgearbeitet und schauen nun nach vorne. Mit den getroffenen Maßnahmen hält die Debeka die Datenschutzbestimmungen nicht nur ein – sie übertrifft sie sogar. Damit sind wir für die Zukunft bestens gerüstet. Wir freuen uns auch, an der Universität Mainz die wissenschaftliche Aufarbeitung von datenschutzrechtlichen Fragestellungen zu fördern.”

Die Debeka und der LfDI RlP sprechen übereinstimmend von einer sehr konstruktiven Aufarbeitung der datenschutzrelevanten Vorgänge im Vertrieb der Debeka. Dies führte letztlich dazu, dass eine langwierige gerichtliche Auseinandersetzung und Klärung mit für beide Seiten ungewissem Ausgang nicht gesucht, sondern – trotz teilweise unterschiedlicher Rechtsauffassungen – zur Erledigung aller im Raum stehender Vorwürfe das genannte Bußgeld gezahlt wird. Die Verfahren gegen die Vorstände sind ohne Bußgeldzahlungen eingestellt worden.

Niederländische Datenschutzbehörde droht Google mit Sanktionen

23. Dezember 2014

Die niederländische Datenschutzbehörde College Bescherming Persoonsgegevens (CBP) kritisiert Googles Praxis, Daten von Nutzern ohne deren Einwilligung für Werbezwecke zu nutzen, als mit europäischem Datenschutzrecht nicht vereinbar.

Wie die CBP auf ihrer Webseite berichtet sammelt das Unternehmen Nutzerdaten unabhängig davon, ob der Betroffene über eine Google-Account eingeloggt ist oder nicht. Seit der Änderung von Googles Datenschutzerklärung 2012, können beispielsweise Daten über Suchanfragen, Standortdaten und angesehene Videos zu einem Profil zusammengefügt werden, auf dessen Grundlage personenbezogene Werbung gezeigt wird.

Die niederländische Datenschutzbehörde fordert jetzt von Google bis Ende Februar 2015 die Einwilligung seiner Nutzer dazu einzuholen, dass die Daten aus verschiedenen Diensten wie der Websuche, mobilen Diensten, GMail und YouTube für Werbezwecke miteinander kombiniert werden dürfen. Die Nutzer sollen auch deutlich darüber aufgeklärt werden, welche Daten von diesen Diensten genutzt werden. Ansonsten droht Google eine Geldbuße von bis zu 15 Millionen Euro.

Wie heise.de berichtet, ist auch der in Deutschland zuständige Datenschutzbeauftragte Hamburgs mit Google wegen der aussagekräftigen Profilbildung im Gespräch. Google sei aber bislang nicht bereit, substanzielle Verbesserungen zugunsten der Nutzerkontrolle umzusetzen.

Bundesregierung beschließt Entwurf für IT-Sicherheitsgesetz

18. Dezember 2014

Wie Medien berichten, hat die Bundesregierung in dieser Woche einen überarbeiteten Entwurf für das geplante IT-Sicherheitsgesetz beschlossen.

40 Prozent der weltweiten Wertschöpfung basiere bereits auf der Informations- und Kommunikationstechnologie, heißt es beim bmi (Bundesministerium des Innern). Die Bundesregierung verfolge daher mit ihren Maßnahmen das Ziel, Deutschland als einen der sichersten digitalen Standorte weltweit zu etablieren.

Das neue Gesetz verpflichtet künftig Betreiber von kritischen Infrastrukturen einen Mindeststandard an IT-Sicherheit einzuhalten. Zu den Betreibern kritischer Infrastrukturen zählen zum Beispiel Energieversorger, Unternehmen im Gesundheits-, Finanz- und Versicherungswesen sowie aus der Transport- und Verkehrsbranche – also Einrichtungen, die für das Gemeinwesen von großer Bedeutung sind. Auch sieht das Gesetz eine Meldepflicht für IT-Sicherheitsfälle vor. Gemeint sind damit vor allem Cyberangriffe. Betroffen sind Betreiber, die mehr als zehn Personen beschäftigen und einen Jahresumsatz von über zwei Millionen Euro aufweisen. Für die so genannten Kleinunternehmer werden die Regelungen nicht gelten.

Darüber hinaus verschärft das IT-Sicherheitsgesetz Regelungen für Dienstanbieter im Bereich Telekommunikation und Telemedien. Diese sollen künftig ihre IT-Sicherheit nach dem aktuellsten technischen Stand aus- und einrichten und ihre Kunden darüber informieren, wenn dem Betreiber Auffälligkeiten am Anschluss des Kunden bekannt werden, die ebenfalls auf Angriffe oder Sicherheitslücken hindeuten.

Wie golem berichtet, sind in dem Gesetzesentwurf auch höhere Budget- und Personalressourcen vorgesehen. Bis zu 38 Millionen Euro jährlich für Personal und Sachmittel und bis zu 425 zusätzliche Stellen sollen bei Sicherheitsbehörden wie dem Bundesnachrichtendienst, dem Bundeskriminalamt und dem Verfassungsschutz entstehen.

BayLDA: Verstärkte Ahndung von rechtswidrigen Werbemaßnahmen

10. Dezember 2014

Einer Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) vom 25.11.2014 zufolge werden die Beschwerden von Verbrauchern über belästigende Werbung bei den Datenschutzaufsichtsbehörden nicht weniger. Insbesondere die unerwünschte Telefon- und E-Mail-Werbung und die Nichtbeachtung von Werbewidersprüchen verärgere regelmäßig die Betroffenen.

Damit Wirtschaftsunternehmen für ihre Produkte und Dienstleistungen werben können, müssen sie sich an verschiedene datenschutz- und wettbewerbsrechtliche Regelungen halten. Dabei sind hinsichtlich der unterschiedlichen Werbeformen wie Telefon-, E-Mail-, SMS- und Postwerbung auch unterschiedliche rechtliche Voraussetzungen zu beachten.

Um als Unternehmen eine sowohl aus datenschutzrechtlichen als auch aus wettbewerbsrechtlichen Gesichtspunkten zulässige Telefonwerbung durchführen zu können, ist die vorherige ausdrückliche Einwilligung des Verbrauchers notwendig. Dem BayLDA zufolge würde dies jedoch von den werbenden Unternehmen und Callcentern häufig ignoriert werden. Bei einem Missbrauch von Rufnummern hat die Bundesnetzagentur die Befugnis einzuschreiten und die Möglichkeit geeignete Maßnahmen wie die Durchführung eines Bußgeldverfahren oder die Abschaltung der Telefonanschlüsse der Täter zu ergreifen.

Ebenfalls notwendig ist eine vorherige ausdrückliche Einwilligung für die Werbung neuer Kunden auf elektronischem Wege per E-Mail oder per SMS. Dessen ungeachtet meldet das BayLDA laufend Beschwerden über die Verwendung von E-Mail-Adressen für Werbung gegen den Willen der kontaktierten Verbrauchern. Die werbenden Unternehmen können im Rahmen dieser Beschwerdeverfahren jedoch in den meisten Fällen die angeblich vorliegenden Einwilligungen für die Werbung per E-Mail nicht belegen.

In gesetzlich normierten Ausnahmefällen (§ 28 Abs. 3 S. 2 BDSG) kann die Werbung per Post auch ohne vorherige Einwilligung des Betroffenen erfolgen. Dennoch besteht in diesen Fällen zumindest ein Widerspruchsrecht, worauf der Betroffene in der jeweiligen Werbesendung hinzuweisen ist. Wenn ein solcher Widerspruch missachtet und trotzdem Postwerbung zugesandt werde, sei die Verärgerung der Verbraucher über solche unerwünschten Belästigungen verständlich, so das BayLDA. Allein im Jahre 2013 seien 162 und im Jahre 2014 bisher 149 Eingaben und Beschwerden zum Thema unzulässige Werbung eingegangen. Auch nach Überprüfung dieser Beschwerden durch das BayLDA hätten sich noch mehr als zwei Drittel dieser Beschwerden als Datenschutzverstoß und damit als begründet herausgestellt.

Der gegenständlichen Pressemitteilung zufolge werde das BayLDA die in der letzten Zeit eher zurückhaltende Praxis der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die “Missachtung von Werbewidersprüchen” und die unzulässige “E-Mail-Werbung zur Neukundengewinnung” mit Bußgeldern sanktionieren. Dieser Kurswechsel sei notwendig, da trotz intensiver Informationsarbeit durch alle Datenschutzaufsichtsbehörden und auch guten Hinweisen aus den Verbänden der Werbewirtschaft selbst die Zahl der begründeten Eingaben und Beschwerden nicht zurückgegangen seinen.

Die Tatbestände der unzulässigen Nutzung von E-Mail-Adressen und Telefonnummern für elektronische Werbung sowie die Postwerbung trotz ausdrücklichem Widerspruchs können Bußgelder bis zu einer Höhe von 300.000,00 Euro vorsehen.

PKW-Maut-Daten sollen wohl 13 Monate gespeichert werden

6. November 2014

Wenn Fahrer in absehbarer Zukunft mit einer Jahresvignette die Bundesfernstarßen der Republik befahren, wird eine noch unübersichtliche Maschinerie zahllose Fahrer- und Fahrzeugdaten speichern. Das ist zwangsläufig, anders ließe sich der bürokratische Kontrollaufwand gar nicht realisieren. Schwer zu finden ist im Gesetzentwurf des Bundesverkehrsministeriums jedoch eine Antwort auf die Frage, wie lange die Daten anschließend gespeichert werden sollen. Matthias Bergt, Rechtsanwalt für IT-Recht, meint die Antwort nach intensiver Recherche herausgefunden zu haben: 13 Monate. Diese Daten umfassen unter anderem ein Foto des Kraftfahrzeuges, Name und Anschrift des Fahrzeugführers, Ort sowie Zeit der Benutzung von Autobahnen und Bundesfernstraßen plus Kfz-Kennung. Ein Schlag für alle Datenschützer und Gegner der Vorratsdatenspeicherung: „Dass künftig alle Kontrolldaten der Autofahrer über mehr als ein Jahr lang gespeichert werden sollen, um die Berechtigung einzelner Erstattungsverlangen zu prüfen, erscheint völlig überzogen“, sagte etwa Hamburgs Datenschutzbeauftragter Johannes Caspar.

BayLDA: Bußgeld für Veröffentlichung von DashCam-Aufnahmen

7. Oktober 2014

Das Bayerische Landesamt für Datenschutzbeaufsicht (BayLDA) hat angekündigt, künftig gegen die unzulässige Veröffentlichung von DashCam-Aufnahmen vorzugehen. Wenn bekannt werde, dass Autofahrer die mit ihrer Dashcam aufgenommenen Videofilme an Polizei, Versicherung oder ähnliche weitergeben oder im Internet veröffentlichen, würde das BayLDA prüfen, ob im jeweils konkreten Fall der Erlass eines Bußgeldbescheides angezeigt ist. Dabei sei eine Bußgeldhöhe von bis zu 300.000 EUR möglich. Das permanente Aufnehmen des Straßenumfelds mit einer Dashcam sei datenschutzrechtlich unzulässig, wenn diese Aufnahmen mit dem Ziel gemacht werden, sie bei passender Gelegenheit an Dritte zu übermitteln, sei es durch Veröffentlichung im Internet auf Youtube, Facebook oder anderen Plattformen oder auch durch Weitergabe der Aufnahmen an Polizei, Versicherung oder sonstige Dritte. Nur dann, wenn von Anfang an fest steht – und das auch bis zum Ende, d.h. dem Löschen der Aufnahmen, durchgehalten wird – , dass derartige Aufnahmen den privaten und persönlichen Bereich nicht verlassen, seien die Vorschriften des Bundesdatenschutzgesetzes nicht einschlägig.

EU-Datenschützer einigen sich auf Kriterienkatalog zum “Recht auf Vergessen”

22. September 2014

Die Artikel-29-Gruppe der europäischen Datenschutzbeauftragten hat einen gemeinsamen Ansatz für den Umgang mit dem “Recht auf Vergessen” definiert. Ein “Netzwerk spezieller Kontaktpersonen” der Aufsichtsbehörden soll übergreifende Kriterien für den Umgang mit diesbezüglichen Eingaben von Bürgern und Firmen entwickeln. Dies teilte die Gruppe am vergangenen Donnerstag in einer Pressemitteilung mit.

Im Sommer seien immer wieder Beschwerden eingegangen, dass Suchmaschinen sich weigerten, unerwünschte Links aus ihren Ergebnislisten herauszunehmen. Das geplante Netzwerk solle diese Beanstandungen nun sammeln, auswerten und über eine Datenbank einen internen Nachweis über ergangene Entscheidungen zu den Eingaben liefern, heißt es bei der Gruppe. Die Datenschützer wollen darüber hinaus das Verhalten von Suchmaschinen in Bezug auf die Umsetzung des Urteils aus Luxemburg analysieren.

Die EuGH-Richter hatten entschieden, dass Google im Einzelfall verpflichtet werden kann, Verweise auf Webseiten mit sensiblen persönlichen Daten nicht mehr anzuzeigen. Den Internetkonzern erreichten daraufhin binnen vier Monaten rund 120.000 Löschanträge. Die hohe Zahl der Löschbegehren und die zunehmende Inanspruchnahme auch der Aufsichtsbehörden zeigt nach Ansicht der Artikel-29-Gruppe, dass das Urteil einen “ganz eigenen Bedarf an Datenschutz” Betroffener angesprochen habe.

1 24 25 26 27 28 31