Kategorie: Aufsichtsbehördliche Maßnahmen

Empfindliches Bußgeld für Portugiesisches Krankenhaus

23. Oktober 2018

Die Portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) hat kürzlich bekanntgegeben, dass das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro für Verstöße gegen die DSGVO zahlen soll. Damit ist in Europa erstmals eine hohe Geldstrafe aufgrund der neuen Bußgeldrahmen der DSGVO verhängt worden.

Wie die Portugiesische Zeitung Público berichtet, hat das Krankenhaus gegen die DSGVO verstoßen, indem es zugelassen hat, dass zu viele Nutzer in dem Patientenverwaltungssystem des Krankenhauses Zugriff auf Patientendaten gehabt haben, obwohl diese nur für die Ärzte hätten einsehbar sein dürfen. Zudem seien in dem Krankenhaussystem zu viele Profile mit den Zugriffsberechtigungen eines Arztes erstellt worden – von insgesamt 985 aktiven Benutzern ist hier die Rede – obwohl 2018 nur 296 Ärzte angestellt waren.

Das Krankenhaus will nun gerichtlich gegen die Geldstrafe vorgehen.

Videoüberwachung in Chemnitz

11. Oktober 2018

Die Chemnitzer Innenstadt wird seit Anfang Oktober mit mehreren Kameras videoüberwacht. Der sächsische Landesdatenschutzbeauftragte drohte mit der Abschaltung der Kameras. Es fehlten nämlich noch bestimmte Dokumente, die sich beispielsweise mit folgenden Fragen beschäftigen: Welche Bereiche filmen die Kameras? Warum ist dies nötig? Und wer hat Zugriff auf die Aufnahmen? Solange diese Fragen nicht beantwortet sind, dürfen die Kameras rein formell betrachtet nicht in Betrieb genommen werden. Ordnungsbürgermeister Miko Runkel verwunderten diese Forderungen, da im Sommer ein Entwurf der Stadtverwaltung dem Datenschutzbeauftragten vorgelegt wurde und die von ihm gegebenen Hinweise abgearbeitet wurden. Nach eigener Aussage habe sich die Stadt an die Datenschutzgrundverordnung gehalten, sodass ein weiteres Dokument nicht erforderlich sei, sondern lediglich der Rat des Landesdatenschutzbeauftragten eingeholt werden müsse.

Seit dem 1. Oktober zeichnen 31 Kameras das Geschehen von belebten Orten in Chemnitz auf. Dazu gehören beispielsweise Zentralhaltestelle und das Areal um den Stadthallenpark. Laut Stadtverwaltung werden die Aufzeichnungen 10 Tage gespeichert. Es wird nur anlassbezogen ausgewertet. Die Polizei hat bisher kein Zugriff darauf, dies ändert sich jedoch sobald die Erlaubnis vorliegt.

Ermittlungen gegen Google Plus – Datenpanne verschwiegen?

9. Oktober 2018

Nach Facebook räumt auch Google eine Datenpanne ein. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat die Ermittlung gegen das Online-Netzwerk Google Plus aufgenommen.

Durch eine Software-Panne bei Google Plus sollen Basis-Profilinformationen wie Name, E-Mail-Adresse, Geschlecht oder das Alter der Nutzer jahrelang für die App-Entwickler ohne Erlaubnis abrufbar gewesen sein. Diese Datenpanne sei im März 2018 bei Google entdeckt worden, welche sie für ein halbes Jahr für sich behielt. Dies räumte Google am Montag ein. Andere Daten seien jedoch nicht betroffen. Der Fehler sei unmittelbar durch Google behoben worden.

Als Reaktion wird die 2011 als Konkurrenz zu Facebook gestartete Plattform für die Verbraucher dichtgemacht. Darüber hinaus sollen auch die Möglichkeiten für App-Entwickler, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen, zukünftig eingeschränkt werden,

Das „Wall Street Journal“ berichtete unter Berufung auf interne Unterlagen Googles, dass dieses Datenleck bereits seit 2015 bestand. Google habe zwar keine Hinweise auf einen Datenmissbrauch, jedoch auch nicht genug Informationen, um einen solchen vollständig auszuschließen. Aus Sorge vor Vergleichen mit Facebook habe sich der Konzern im März dazu entschieden, die Öffentlichkeit nicht über die Entdeckung zu informieren.

Google selbst hat bisher keine Angaben dazu gemacht, wie lange diese Lücke tatsächlich bestand. Es könnten potentiell Profile von bis zu 500 000 Konten bei Google Plus betroffen sein. Genauere Angaben könne der Konzern nicht machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden.

EU wird japanisches Datenschutzsystem anerkennen

27. Juli 2018

Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der „umstrittene Privacy-Shield“ zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.

Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden,  welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.

Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.

US-Medien sperren EU-Bürger von Online-Nachrichten aus

11. Juli 2018

Die Regelungen der EU-Datenschutzgrundverordnung (DSGVO) gelten auch für Unternehmen außerhalb der Europäischen Union, wenn sie Daten von EU-Bürgern verarbeiten. Statt die 99 Artikel der DSGVO umzusetzen, haben einige US-Medien schlicht ihre Online-Präsenz für europäische Bürger gesperrt. So sind für Besucher mit europäischen IP-Adressen die Nachrichtenseiten der Baltimore Sun, Chicago Tribune, Los Angeles Times, New York Daily News und San Diego Union-Tribune geblockt. Alle genannten Seiten gehören zum Verleger Tronc, welcher bei einem Zugriff aus Europa verlautbaren lässt, man suche nach Möglichkeiten, die digitalen Angebote auf dem europäischen Raum anzubieten. Die Washington Post hat anlässlich der DSGVO ihr Geschäftsmodell erweitert und bietet eine „Premium EU Ad-Free Subscription“ ohne Werbung und Third-Party-Cookies für Europäer an.

Die wirtschaftlichen Folgen mögen für genannten US-Journalismus gering sein, da sich wohl nur wenige Europäer für Lokalnachrichten aus den USA interessieren. Kleinere Firmen, Start-Ups oder Vereine aus dem EU-Ausland ringen aber mit der DSGVO. Bevor Bußgelder oder Abmahnungen zu befürchten sind, blocken einige Verantwortliche während der Arbeit an den DSGVO-Vorgaben ihre Internetseiten für Europäer.

Die DSGVO gilt unmittelbar, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden. Ob Großkonzern oder Start-Up, die datenschutzrechtlichen Pflichten unterscheiden sich grundsätzlich nicht. Lediglich in Erwägungsgrund 13 der Verordnung werden kleine und mittlere Unternehmen (KMU) ausdrücklich erwähnt. So kann es Entlastungen hinsichtlich Verzeichnissen von Verarbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitern geben. Doch selbst diese Entlastung birgt gewisse Rechtsrisiken, sodass in der Regel dieser Dokumentationspflicht zu genügen ist. Zusätzlich ruft Artikel 40 DSGVO Verbände und Behörden dazu auf, Verhaltensregeln mit Berücksichtung der Bedürfnisse von KMU anzufertigen. Das Bayerische Landesamt für Datenschutzaufsicht hat für KMU einen Fragebogen und Handreichungen veröffentlicht.

Es bleibt abzuwarten, welche Reaktionen die DSGVO noch auf im EU-Ausland ansässige Anbieter mit Datenverarbeitung von EU-Bürgern haben wird. Journalismus mit globaler Berichterstattung und europäischer Leserschaft wird jedenfalls kaum den Weg einiger US-Medien wählen können und wollen, die Internetpräsenz für Europäer zu sperren.

Datenschutz-Hotline für Vereine und Ehrenamtliche in Bayern

9. Juli 2018

Ab dem 09.07.18 bietet das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach eine Telefonhotline für Fragen zur neuen Datenschutzgrundverordnung an. Die Hotline soll Vereine und Ehrenamtliche bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) unterstützen und somit Sanktionen vermeiden. Können einzelne Fragen über das Telefon nicht beantwortet werden, gibt es zusätzlich auch einen E-Mail-Kontakt. Außerdem will die Datenschutzbehörde die meist gestellten Fragen inklusive Antworten auf ihrer Homepage veröffentlichen.

In der Zeit von Montag bis Freitag, von 08.00 bis 19.00 Uhr, sind fachkundige Mitarbeiter des Landesamts unter der Telefonnummer 0981/531810 erreichbar.

Hintergrund für die Einrichtung der Hotline ist, dass viele Vereine und ehrenamtlich Tätige wegen des neuen europäischen Datenschutzrechts stark verunsichert sind. Zuletzt wurden in Bayern sogar pauschale Fotografier-Verbote für Veranstaltungen von Schulen und Kinderkrippen ausgesprochen. Dabei sind Fotografien für den Privatgebrauch von der DSGVO überhaupt nicht betroffen. Insbesondere wegen der hohen angedrohten Strafen, wollen sich jedoch viele unbedingt absichern.

Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, erklärt: „Unser Ziel ist nach wie vor, diejenigen, die sich um die Einhaltung datenschutzrechtlicher Vorschriften bemühen, dabei zu unterstützen und nicht zu sanktionieren. Nur wer sich um den Datenschutz überhaupt nicht kümmert, muss auch mit Sanktionen rechnen.“

Künstliche Intelligenz hilft EU bei Umsetzung der DSGVO

6. Juli 2018

Forscher haben eine künstliche Intelligenz (KI) entwickelt, die die Umsetzung der DSGVO für die EU erleichtern soll.  Die KI mit dem Namen Claudette entdeckt Verstöße gegen die DSGVO.

Für die Aufsichtsbehörden ist die Prüfung der Unternehmen hinsichtlich des eingehaltenen Datenschutzes mit einem enormen personellen und zeitintensiven Aufwand verbunden. Aus diesem Grund ist die KI Claudette eine enorme Unterstützung für die überforderten Aufsichtsbehörden.

Bei einem Testlauf durch die KI kamen bei 14 Technologiekonzernen eklatante Mängel im Datenschutz zum Vorschein.

In einer laut Bloomberg Technology durchgeführten Studie, die die KI auch bei Großkonzernen wie Facebook und Google eingesetzt haben, hat sich herausgestellt, dass rund ein Drittel der Policen potentiell problematisch seien oder unzureichende Informationen enthielten.

Auffällig war, dass die Information über die Übermittlung der Daten an Dritte in den meisten Fällen fehlte.

Um Datenschutzverstöße zu identifizieren, nutzt die KI Claudette eine Form von „Machine Learning“, das sogenannte „Natural Language Processing“. Dabei vergleicht sie die untersuchten Datenschutzbedingungen mit den Modelklauseln der DSGVO.

Ob Claudette in Zukunft großflächig zum Einsatz kommt, ist bisher nicht bekannt.

Aufsichtsbehörde überprüft DSGVO Umsetzung

Seit Ende Juni werden branchenübergreifend 20 große sowie 30 mittelgroße Unternehmen durch die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hinsichtlich der Umsetzung der DSGVO überprüft.
Hierzu wurden den insgesamt 50 Unternehmen Fragebögen übermittelt, um den aktuellen Umsetzungsstand zu ermitteln. Hierdurch möchte sich die Aufsichtsbehörde einen Überblick darüber verschaffen, wie die Gesellschaften die zweijährige Übergangszeit bis zur Geltung der DSGVO am 25. Mai genutzt haben. Das primäre Ziel der Überprüfung liegt nach Aussage der LfD in der Stärkung des Bewusstseins sowie der Sensibilisierung für den Datenschutz. Die Verhängung etwaiger Bußgelder ist darüber hinaus möglich, sofern im Rahmen der Prüfung erhebliche Verstöße gegen die DSGVO festegstellt werden sollten.
Die versendeten Fragebögen gehen speziell auf die Punkte ein, die ein Datenschutzmanagementsystem nach der DSGVO enthalten muss. Hierzu werden die Vorbereitung auf die DSGVO, das Verzeichnis von Verarbeitungstätigkeiten, die Rechtsgrundlagen der Verarbeitung personenbezogener Daten, die Sicherstellung der Betroffenenrechte, die Gewährleistung der technisch und organisatorischen Maßnahmen, die Durchführung von Datenschutz-Folgeabschätzungen, der Abschluss notwendiger Auftragsverarbeitungsverträge, die Einbindung des Datenschutzbeauftragten in die Unternehmensorganisation, die Prozesse zur Meldung von Datenschutzvorfällen sowie die Dokumentation über die Einhaltung der notwendigen Umsetzungen genauer geprüft.
Durch die Prüfung erhofft sich die Aufsichtsbehörde weitergehende Erkenntnisse darüber, in welchen Bereichen erweiterter Beratungs- und Aufklärungsbedarf besteht. Mit Hilfe dieser Erkenntnisse können sodann etwaige neue Orientierungshilfen erarbeitet werden.

DSGVO als Vorbild: Kalifornien verabschiedet neues Datenschutzgesetz

29. Juni 2018

Nachdem hier schon berichtet wurde, dass die Kalifornier über ein neues Datenschutz abstimmen wollen, wurde der „California Consumer Privacy Act“ gestern vom Senat und Repräsentantenhaus des US-Bundesstaates gebilligt und von Gouverneur Jerry Brown unterzeichnet. US-Medien zufolge ist die schnelle Verabschiedung des Gesetzes auf den Druck von Verbraucherschützern zurückzuführen.

Das Gesetz, welche durch die am 25. Mai 2018 wirksam gewordene EU-Datenschutzgrundverordnung inspiriert wurde, wird am 1. Januar 2020 in Kraft treten.

Durch das Gesetz erhalten die Unternehmen die Pflicht offenzulegen, welche Verbraucherdaten sie speichern. Außerdem können Kunden und Nutzer die Verwendung ihrer persönlichen Daten zu kommerziellen Zwecken untersagen. Datenschutzverstöße sollen auch finanziell bestraft werden.

Damit reagiert Kalifornien auch auf den Facebook-Skandal, der wegen seines Umgangs mit persönlichen Daten unter massivem Druck steht.

Die IT-Industrie, die vehement gegen dieses Bürgerbegehren steuerte, ist über das schnelle Gesetz erfreut, da ein Gesetz künftig leichter wieder abgeändert werden kann als ein erfolgreicher Volksentscheid.

Ob die US-Regierung auf Bundesebene neue Datenschutzvorgaben macht, ist derzeit unklar.

 

California Consumer Privacy Act (CCPA) steht in der USA zur Abstimmung

20. Juni 2018

Kalifornier erhalten bald die Möglichkeit für ein umfassendes Datenschutzrecht abzustimmen, welches viele DSGVO-Grundsätze widerspiegelt. Für Datenschutzgesetze hat Kalifornien in den USA eine Vorreiterrolle inne.

Befürworter des CCPA gaben am 3.5.2018 bekannt, dass genügend Unterschriften gesammelt wurden um am 6.11.2018 über die Gesetzesmaßnahme per Volksabstimmung abzustimmen.

Unter anderem räumt das Gesetz Verbrauchern das Recht ein auf Anfrage ähnlich wie nach Art. 15 DSGVO über Datensammlungen informiert zu werden. Das Unternehmen muss auch mitteilen an wen die Daten verkauft oder weitergegeben werden. Auch die Definition des CCPA von persönlichen Informationen (PI) ist viel umfassender als die Definition von „persönlichen Informationen“ gemäß des geltenden kalifornischen Gesetzes zur Meldung bei Datenschutzverstößen.

Ein CCPA-Verstoß durch Missachtung der Datenschutzrechte des Verbrauchers oder durch einen Datenschutzverstoß führt zu einem gesetzlichen Schadensersatz, unabhängig davon, ob dem Verbraucher tatsächlich ein Geld- oder Sachschaden entstanden ist. Der gesetzliche Schadensersatz liegt zwischen US$ 1000 und US$ 3000.

Viele Technologieunternehmen, Banken, und die Automobilindustrie lehnen das Gesetz ab, da es zu weitreichend und zu teuer sei.

Es sieht so aus, als ob Datenschutz bald nicht nur in Europa eine große Rolle spielt.

 

1 2 3 4 5 18