Kategorie: Aufsichtsbehördliche Maßnahmen
24. August 2017
Die Bundesdatenschutzbeauftragte, Andrea Voßhoff, betonte heute in einer Stellungnahme, dass eine automatische biometrische Gesichtserkennung, wie sie seit Anfang August in einem Pilotprojekt am Berliner Bahnhof Südkreuz stattfindet, nur bei Vorliegen einer informierten, umfassenden Einwilligungserklärung der Betroffenen datenschutzrechtlich legitimiert sei.
Die Einwilligungserklärung müsse insbesondere auch die Tatsache umfassen, dass bei dem Projekt ein aktiv sendender Bluetooth-Transponder (iBeacon) verwendet wird, der jeweils als Token an die Teilnehmer ausgehändigt worden war.
Vorausgegangen war die Meldung der Datenschutzorganisation Digitalcourage, die aufgedeckt hatte, dass es sich bei dem ausgeteilten Token eben nicht um eine Art passiven RFID-Chip handelt, sondern um einen sogenannten iBeacon. Mit diesem lassen sich Daten wie Temperatur, Neigung und Beschleunigung messen, speichern und weitergeben und theoretisch aussagekräftige Profile auch außerhalb des Bahnhofs erstellen.
Bis zum Vorliegen derartiger neu eingeholter Einwilligungserklärungen finde der Testlauf laut Voßhoff derzeit ohne Rechtsgrundlage statt und sei daher auszusetzen.
17. August 2017
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) konnte dieser Tage durchsetzen, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt.
Vorausgegangen waren zahlreiche Beschwerden von Bürgerinnen und Bürgern über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine. Nach Einschätzung des HmbBfDI stellt die Auffindbarkeit von Informationen über die Insolvenzverfahren der Betroffenen bei bloßer Namenssuche einen erheblichen Eingriff in deren Recht auf informationelle Selbstbestimmung dar. Diese Informationspreisgabe könne erhebliche Auswirkungen auf die Teilnahme der Betroffenen am geschäftlichen Verkehr haben, zudem mangele es bei den Nutzern der Suchmaschine häufig am diesbezüglichen Informationsinteresse, wenn sie bei bloßer Namenssuche über die Suchmaschine Informationen aus Insolvenzverfahren erhalten.
Dazu äußerte sich der HmbBfDI, Prof. Dr. Johannes Caspar, erfreut: “In Fällen wie diesem (…) hat das Recht auf Vergessenwerden gegenüber Suchmaschinen eine besondere Bedeutung für die Betroffenen.”
9. August 2017
Nachdem sich bei der Bundesnetzagentur rund 2.500 Verbraucher über Werbeanrufe der Energy2day GmbH über rechtswidrige Werbeanrufe für Energielieferverträge beschwert hatten, verhängte die Behörde in der vergangenen Woche ein Bußgeld in Höhe von 300.00 Euro gegenüber dem Unternehmen. Dies ist das nach Gesetz gegen den Unlauteren Wettbewerb (UWG) höchstmögliche Bußgeld.
Energy2day hatte sich in den Anrufen als örtlicher Energieversorger ausgegeben oder behauptet, es würde mit diesem zusammenarbeiten. Ziel war es, die Verbraucher zum Wechsel ihres Stromlieferanten zu bewegen. Das Unternehmen hatte dazu in der Vergangenheit eine komplexe Vertriebsstruktur aufgebaut und mit einer Vielzahl an Untervertriebspartnern u.a. auch im Ausland zusammengearbeitet, die als Subunternehmer derartige Anrufe getätigt haben.
Inwiefern Energy2day ihrer Aussage nachkommt, kein Telefonmarketing gegenüber Verbrauchern mehr betreiben zu wollen, wird die Bundesnetzagentur beobachten.
27. Juli 2017
Eine repräsentative Studie des Digitalverbandes Bitkom hat ergeben, dass mehr als die Hälfte (53%) der deutschen Unternehmen in den letzten beiden Jahren in irgendeiner Form Opfer von Wirtschaftsspionage, Datenverlust oder -Diebstahl geworden ist. Entsprechend real sei die Gefahr für Unternehmen aller Branchen und Größen. Häufigstes Vorkommnis sei der Diebstahl von IT- oder Telekommunikationsgeräten. Unklar ist dabei, ob die Täter, die häufig “aus den eigenen Reihen” stammen, dabei auf die Smartphones und Laptops selbst oder auf die hierauf gespeicherten Daten abzielen. Immer häufiger (mind. jedes 5. Unternehmen im Betrachtungszeitraum) sei auch das sog. Social Engineering zu verzeichnen, bei dem Mitarbeiter durch Vortäuschung falscher Tatsachen und Identitäten zur Preisgabe sensibler Informationen verleitet werden sollen.
Bemerkenswert ist, dass Unternehmen entsprechende Vorfälle aus Angst vor Imageschäden vergleichsweise selten (lediglich 31%) an Polizei oder andere Stellen melden. Aus datenschutzrechtlicher Sicht ist zu beachten, dass bei dem Verlust personenbezogener Daten nach geltendem und auch nach künftigem Recht eine Meldepflicht bestehen kann, deren Nichtbeachtung bußgeldbewährt ist. Mit der Anwendung der Datenschutz-Grundverordnung ab dem 25.05.2018 stellt sich in diesem Bereich eine drastische Erhöhung ein: Die – aus welchen Gründen auch immer – unterlassene Meldung eines Datenverlusts an die Aufsichtsbehörde kann dann mit einem Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweiten Konzern-Jahresumsatzes (Art. 83 Abs. 4 DSGVO) belegt werden. Diese potentiell immense zusätzliche Belastung kann durch den verordnungskonformen Umgang mit entsprechenden Situationen durch den Datenschutzbeauftragten verhindert werden.
Die Bitkom-Studie verdeutlicht die Notwendigkeit präventiver Maßnahmen wie z.B. die flächendeckende Verschlüsselung von Datenträgern, Installation aktueller Virenscanner-Software sowie regelmäßige Anfertigung von Backups. Neben der “technischen Sicherheit” sind auch organisatorische Maßnahmen, z.B. die regelmäßige Sensibilisierung der Mitarbeiter, äußerst ratsam. Zwar kann auch hierdurch keine 100-prozentige Sicherheit gewährleistet werden. Dem verhältnismäßig geringen Aufwand stehe allerdings eine signifikante Verbesserung gegenüber der Risikolage ohne entsprechende Maßnahmen gegenüber.
25. Juli 2017
Zurzeit befasst sich der Europäische Gerichtshof (EuGH) erneut mit dem sogenannten „Recht auf Vergessenwerden“, wie heise berichtet. Hintergrund hierfür ist ein Rechtsstreit zwischen dem US-amerikanischen Suchmaschinenbetreiber Google und der französischen Datenschutzaufsichtsbehörde CNIL. CNIL hatte Google zuvor eine Strafe von € 100.000 auferlegt, da Links aus den Suchmaschinenergebnissen nicht weltweit gelöscht wurden. Um die Strafe gerichtlich prüfen zu lassen, zog Google vor das französische Verwaltungsgericht. Dieses legte die Frage, ob sich der Löschungsanspruch auf weltweite Suchergebnisse erstreckt, nun dem EuGH zur Entscheidung vor.
Vor drei Jahren hatte der EuGH das Recht auf Vergessenwerden in seinem Urteil manifestiert. Das Recht auf Vergessenwerden berechtigt Individuen von Suchmaschinenbetreibern die Löschung von Links zu Informationen zu verlangen, die veraltet sind oder ihre Privatsphäre verletzen. Seit Mai 2014 erhielt Google mehr als 2 Millionen dieser Aufforderungen. Sofern nach der Ansicht von Google die Voraussetzungen für die Löschung vorliegen, wird der beanstandete Link aus den Suchmaschinenergebnissen entfernt. Die Löschung findet jedoch nur auf den europäischen Versionen von Google statt. CNIL geht dies jedoch nicht weit genug und fordert eine weltweite Löschung, damit dem Recht auf Vergessen umfassend entsprochen wird. Google hält diese Forderung für absurd. Zum einen werde die Freiheit des Internets beschränkt. Außerdem könnte Google nationales Recht nicht weltweit umsetzen.
Mit Spannung wird deswegen nun die Entscheidung des EuGH erwartet.
29. Juni 2017
Wie die Bundesnetzagentur (BNA) am 28.06.2017 mitteilte, sieht sie bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens über die Verfassungsmäßigkeit der Vorratsdatenspeicherung gegenüber den zur Speicherung verpflichteten Unternehmen von Anordnungen und sonstigen Maßnahmen zur Durchsetzung den in § 113b Telekommunikationsgesetz (TKG) vorgesehenen Speicherpflichten ab. Insbesondere würden keine Bußgeldverfahren eingeleitet werden.
Damit reagiert die BNA auf den Beschluss des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen (OVG NRW) vom 22.06.2017 (Az. 13 B 238/17). Das OVG NRW hatte jüngst beschlossen, dass der Kläger – ein Internetzugangsdiensteanbieter – nicht verpflichtet ist, Telekommunikationsdaten seiner Kunden nach § 113b TKG zu speichern, so lange das Hauptsacheverfahren nicht rechtskräftig entschieden ist. In diesem Beschluss erklärte das Gericht, das Gesetz zur Einführung von Speicherpflichten für Telekommunikationsdiensteanbieter zur Speicherung von Telekommunikationsdaten sei mit geltenden Unionsrecht nicht vereinbar. Konkret verstoße § 113b Abs. 1 TKG gegen Artikel 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG vom 12. Juli 2002.
Gemäß § 113b TKG sind Telekommunikationsanbieter verpflichtet, Standort- und Verkehrsdaten ihrer Kunden für vier bzw. zehn Wochen zu speichern. Bei Zuwiderhandlung dieser Pflichten ist die BNA gemäß § 115 TKG befugt, Anordnungen und Maßnahmen zu treffen, um die Einhaltung dieser Vorschriften sicherzustellen.
Abzuwarten bleibt nun die Entscheidung im Hauptsacheverfahren.
Die TK-Branche begrüßte die Entscheidung sehr. Auch aus datenschutzrechtlicher Sicht sind die jüngsten Entwicklungen positiv zu beurteilen. Eine anlasslose Überwachung sämtlicher Betroffenen ist mit dem Recht auf informationelle Selbstbestimmung nicht vereinbar.
29. Mai 2017
Nachdem am 25.05.2017 „Halbzeit“ der Vorbereitungszeit von Unternehmen an die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) erreichte, hat das Bayerische Landesamt für Datenaufsicht (BayLDA) einen Prüffragebogen veröffentlicht. Der Prüffragebogen vermittelt verantwortlichen Stellen einerseits einen Eindruck darüber, wie ab Mai 2018 Prüfungen durch das BayLDA ablaufen könnten.
Gleichzeitig ist der Prüffragebogen ein gutes Instrument festzustellen, hinsichtlich welcher Aspekte Unternehmen ihre Prozesse und Systeme noch nicht EU-DSGVO-konform gestaltet haben. Zwar enthält die EU-DSGVO viele der bereits bekannten Grundsätze und Prinzipien. Insbesondere hinsichtlich der Rechte der Betroffenen sowie der Dokumentationspflichten bestehen jedoch wesentliche Unterschiede im Vergleich zur jetzigen Rechtslage.
Zwar enthält der Prüffragebogen alle wesentlichen Neuerungen. Jedoch darf sein zweiseitiger Umfang nicht darüber hinwegtäuschen, dass die Anpassung der Systeme und Prozesse eine zeitintensive Aufgabe ist.
13. April 2017
(mehr …)
7. April 2017
Die Datenschutzbeauftragte Maja Smoltczyk moniert den Umgang der Berliner Gesundheitsbehörden mit Gesundheitsdaten, insbesondere im Zusammenhang mit Patientendaten in Berliner Krankenhäusern. In ihrem aktuellen Tätigkeitsbereich kritisiert die Berliner Datenschutzbeauftragten die fehlende Ausstattung der Gesundheitsbehörden unter anderem mit moderner Technik und den erforderlichen Ressourcen. Vor diesem Hintergrund lassen sich Datenpannen, wie das unbeabsichtigte Offenlegen von Patientendaten gegenüber unbeteiligten Dritten durch die Gesundheitsbehörden, nicht verhindern.
Erhebliche Kritik äußerte die Datenschutzbeauftragte auch hinsichtlich einer mangelnden Erfassung dezentraler Prozesse innerhalb von Tochtergesellschaften der Krankenhäuser oder einer lückenhaften Umsetzung der IT Sicherheitsvorgaben bei Wartungen von Krankenhaus-ITs.
In diesem Zusammenhang wird der aktuelle Entwurf des neuen Bundesdatenschutzgesetzes, nach dem die Datenschutzaufsichtbehörden keine Kontrollen mehr vor Ort im Arbeitsbereich von Berufsgeheimnisträgern ausüben dürfen, keinesfalls zu einem besseren Schutzniveau der Berliner Gesundheitsdaten führen. Denn ob die Krankenhäuser die ihnen datenschutzrechtlich vorgegebenen Maßnahmenergreifungen auch tatsächlich umsetzen, könnten die Aufsichtsbehörden demnach überhaupt nicht mehr nachkontrollieren.
6. April 2017
Vor der Geltung der Datenschutz-Grundverordnung (DS-GVO) im Mai kommenden Jahres steigt bei den datenschutzrechtlichen Aufsichtsbehörden des Bundes und der Länder der Bedarf an qualifiziertem Personal, denn Zuständigkeits- und Verantwortungsbereiche werden stark anwachsen.
Nach einer aktuellen Umfrage des Handelsblatts zeigt sich, dass insbesondere bei den Ländern nicht rechtzeitig genügend Personal zur Verfügung stehen wird, um die z. T. komplexen Neuerungen umzusetzen. Die Hälfte der betroffenen Behörden führt derzeit noch Verhandlungen über Haushaltserhöhungen, in einigen Bundesländern steht bereits fest, dass es dieses Jahr nicht mehr zu Neueinstellungen kommen kann (so in Berlin, Bremen, Hamburg, Saarland, Sachsen und Thüringen).
Nach dem Hamburger Datenschutzbeauftragten Johannes Caspars sei mithin zu befürchten, dass “die Kluft zwischen den rechtlichen Erwartungen, die der Gesetzgeber mit der neuen Regelung verfolgt, und der defizitären Ausstattungssituation noch viel größer wird, als sie bereits unter der gegenwärtigen Rechtslage ist“.
Etwas besser sieht die Personalsituation beim Bund aus. Nach Informationen der Bundesdatenschutzbeauftragten Andrea Voßhoff sind für ihre Behörde bereits 32 neue Stellen für die DS-GVO vorgesehen.
Pages: 1 2 ... 25 26 27 28 29 ... 37 38