Kategorie: Aufsichtsbehördliche Maßnahmen
13. Mai 2015
Alle zwei Jahre legt der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen den Datenschutz- und Informationsfreiheitsbericht vor. Der 22. Bericht, der den Zeitraum vom 1. Januar 2013 bis 31. Dezember 2014 berücksichtigt, ist heute vom Landesdatenschutzbeauftragten NRW, Ulrich Lepper, veröffentlicht worden.
In dem 156 Seiten starken Dokument setzt sich die Behörde mit zahlreichen Fragen des Datenschutzes auseinander, deren Problematik nicht nur Fachleute jüngst beschäftig hat und noch weiterhin beschäftigen wird, sondern auch in der breiten Masse intensiv und medial diskutiert wird und wurde.
Folgerichtig zieht der Bericht auch gleich zu Beginn Lehren aus den Snowden-Enthüllungen und warnt eindringlich vor einem zunehmenden Überwachungsstaat, der für die öffentliche Sicherheit Freiheitsrechte opfert. In diesem Kontext leitet der Bericht über zu den viel diskutierten Themen Vorratsdatenspeicherung, Funkzellenabfragen und öffentlicher wie privater Videoüberwachung, die auf öffentlichen Plätzen Lepper selbst kürzlich als „No-Go“ bezeichnete. Einer Diskussion zum novellierten Verfassungsschutzgesetz NRW schließt sich die generelle Frage nach der Datensicherheit in der öffentlichen Landesverwaltung an, welcher die Landesdatenschützer nicht zuletzt Versäumnisse im Datenschutz hinsichtlich der Nutzung von sozialen Medien für Bürgeranfragen vorwerfen.
Im Bereich neuer Entwicklungen im Dienstleistungs- und Warensektor stehen verhaltensbezogene Versicherungstarife am Beispiel von Kfz- und Krankenversicherungen, die nach vorteilhafter Bewertung von persönlichen Verhaltensdaten der Versicherungsnehmer günstigere Beiträge gewähren, ebenso in der Kritik der Landesdatenschützer wie automatische Funktionen in modernen Kraftfahrzeugen, bei denen personenbezogene Aussagen über das Fahrverhalten erhoben werden können, und zuletzt modernen „Smart-TVs“, welche Daten über die Mediennutzung des Rezipienten zu erheben und übermitteln in der Lage sind.
Auch dem europäischen Datenschutz wird ein eigenes Kapitel gewidmet. So wird die Entscheidung des Europäischen Gerichtshofs zu Internet-Suchmaschinen, nach der Bürger ein Recht auf Unsichtbarkeit haben, reflektiert. Wie schon im Bericht von 2013 wird insbesondere auch die immer noch ausstehende europäische Datenschutzreform, allem voran die EU-Grundverordnung, thematisiert. Auch die Düsseldorfer Behörde begegnet der EU-Initiative nach wie vor mit Skepsis.
Eine „Abfuhr“ für das herkömmliche System der Datenschutzkontrolle sieht Lepper durch die geplante Änderung des Unterlassungsklagegesetzes, wonach u.a. künftig auch Verbraucherschutzverbände bei Datenschutzverstößen durch Unternehmen Klagebefugnis erhalten sollen.
Wichtige Instrumente für Datenschutz in der Fläche sieht Lepper einerseits in freiwilligen Zertifizierungen von Unternehmen, welche die Behörde ausdrücklich begrüßt, aber auch in der Information und Aufklärung von Bürgern, die so für eigene Rechtewahrnehmung sensibilisiert werden.
Den vollständigen 22. Datenschutz- und Informationssicherheitsbericht des Landesdatenschutzbeauftragten des Landes Nordrhein-Westfalen finden Sie hier.
7. Mai 2015
Wie Medien berichten, will das US-Ministerium für Heimatschutz sämtliche Kfz-Kennzeichen in den USA überwachen lassen.
Um dies zu ermöglichen, hat das Ministerium in einer Art Ausschreibung um konkrete Angebote von privaten Firmen gebeten, die technisch und logistisch in der Lage sind, täglich Millionen von Kennzeichen zu scannen und die Daten zu speichern. Das Ministerium erwägt, Lizenzen für rund 3.000 Rechner zu erwerben, von denen auf die erfassten Daten überall im Land zugegriffen werden kann. Wie heise online mitteilt, sollen die privaten Überwachungsfirmen die erfassten Daten nahezu ohne Löschungsfristen, also für immer, speichern dürfen. Wenige Ausnahmen beschränken sich auf Daten im Zusammenhang mit Straftaten. Hier sollen die Daten „nur“ bis zur Verjährung der Tat gespeichert werden dürfen. Bei anderen, nicht näher beschriebenen, „Untersuchungen“ solle die Vorhaltefrist fünf Jahre betragen dürfen.
Eine Rechtfertigung für ein solch umfangreiches Vorgehen und tiefes Eingreifen in die Privatsphäre seiner Bürger sieht die Behörde in der – jedenfalls in den USA scheinbar stets greifenden – Bedrohung der nationalen Sicherheit. Natürlich verfolgt das Ministerium ausschließlich Zwecke zum Vorgehen gegen Waffenschmuggel, Drogenschmuggel und illegale Einwanderung. Aber auch Kinderpornographie, Kindermissbrauch, Betrug und Finanzverbrechen – also eigentlich nahezu alle Verbrechen – sollen durch das Erfassen, Speichern und Auswerten von Fahrzeugdaten bekämpft und eingedämmt werden, wie heise online weiter mitteilt.
Nachrichten wie diese werfen die Frage auf, ob es in den USA denn überhaupt keine Interessenabwägungen gibt und ob der Zweck wirklich alle Mittel heiligt.
26. März 2015
In dieser Woche hat das Bayerische Landesamt für Datenschutzaufsicht seinen Tätigkeitsbericht für die Jahre 2013 und 2014 veröffentlicht. Neben einem Überblick über die allgemeine Tätigkeit der 17 Personen umfassenden Behörde werden hier zahlreiche Einzelfälle zu Datenschutzthemen der letzten Jahre dargestellt. So schildert der Bericht unter anderem die Bemühungen der Behörde, zu prüfen, welche Daten Smart TVs über ihre Nutzer an Hersteller und Dritte melden. Zu diesem Thema, welches auch medial in den letzten Monaten Beachtung fand, führte die Behörde eigene Tests durch, deren Ergebnisse letzten Monat veröffentlicht wurden. In diesen konnte dargelegt werden, dass bereits beim Einschalten des Fernsehers Daten an verschiedene Server verschickt wurden und letztlich eine komplette Ausforschung des TV-Verhaltens möglich ist. Auch zu weiteren Themen wie Fahrzeugdaten, Videoüberwachung und Beschäftigtendatenschutz gibt die Behörde einen interessanten Einblick in ihre Tätigkeit. Insgesamt zeigt sich, dass Bürger immer öfter den Kontakt zu den Aufsichtsbehörden suchen und diese dann auch eigene Ermittlungen durchführen und in vielen Fällen auch Bußgelder verhängen. Die staatliche Aufsicht über die Einhaltung des Datenschutzes, dieser Eindruck entsteht, wurde in den letzten Jahren immer engmaschiger und effektiver.
19. Februar 2015
Nachdem in München mindestens vier Säcke voller Röntgenbildern aus dem Krankenhaus Weilheim auf der Straße entdeckt wurden, die auch die Namen und Geburtsdaten der jweiligen Patienten enthielten, hat der Bayerische Landesdatenschutzbeauftragte, Dr. Thomas Petri, eine Prüfung des Falles eingeleitet.
Nach einer regelmäßigen Entsorgungsaktion ist ein Teil der Aufnahmen offenbar nicht an der dafür beauftragten Stelle angekommen. Es handle sich um Unterlagen, für die die zehnjährige Aufbewahrungsfrist abgelaufen sei, teilte eine Sprecherin des Krankenhauses mit.
Der Landesdatenschutzbeauftragte kündigte in bayerischen Krankenhäusern verstärkte Kontrollen der Einhaltung datenschutzrechtlicher Vorschriften beim Outsourcing an. Das Bayerische Krankenhausgesetz sehe besonders strenge Regelungen vor, die das Patientengeheimnis schützen sollen, so Dr. Petri in einer nun veröffentlichten Pressemitteilung. Bei der Verarbeitung von Patientendaten dürfe sich ein Krankenhaus regelmäßig nicht anderer Stellen außerhalb des Krankenhauses bedienen, was auch auch die Vernichtung bzw. Entsorgung von Patientendaten mit umfasse. Ein solches Outsourcing könne sogar gegen die ärztliche Schweigepflicht (§ 203 StGB) verstoßen.
29. Januar 2015
Seitens der EU und diverser Mitgliedsstaaten ist und bleibt die von Bundesverkehrsminister Alexander Dobrindt initiierte PKW-Maut ein umstrittenes Thema. Und auch Datenschützer sind seit Beginn derer Ausarbeitung auf den Plan gerufen und weisen auf die zahlreichen Gefahren für die Betroffenen hin.
Diese Bedenken bekommen auch nach dem jüngsten Stand des Gesetzentwurfs wieder neuen Vorschub, wie Heise berichtet. Denn um eine gerichtliche Verwertbarkeit der erhobenen Daten sicherzustellen bleibt es hinsichtlich des beabsichtigten Zwecks unerlässlich ein Bild des Fahrzeugs, sowie die Zeit und den Ort der Erfassung zu dokumentieren. Gleichwohl steht die Aussage des Ministeriums im Raum, dass eben keine Bewegungsdaten und daraus entsprechend ableitbare Bewegungsprofile erhoben würden. Dieser zunächst offensichtliche Widerspruch wird jedoch nicht anhand klarer Definitionen innerhalb des Gesetzentwurfs aufgeklärt und aufgehoben. Hier bleibt es seitens des Ministeriums bei dem Standpunkt, dass “Mautdaten” nicht mit Standort- oder Verbindungsdaten aus dem Telekommunikationsbereich vergleichbar seien und die konkrete technische Ausgestaltung im weiteren Verfahren auszuarbeiten sei. Hierbei würden alle Datenschutzanforderungen berücksichtigt.
8. Januar 2015
Wie die amerikanische Großbank Morgan Stanley berichtete, hat am vergangenen Montag einer ihrer Mitarbeiter die Daten von rund 350.000 Kunden gestohlen und einige von ihnen im Internet veröffentlicht.
Inzwischen sei dem Mitarbeiter gekündigt worden, teilte das Geldhaus mit. Es sei den betroffenen Kunden dadurch jedoch kein finanzieller Schaden entstanden, so alle bisherigen Erkenntnisse. Man habe die betroffenen Kunden bereits informiert und die Kontonummern geändert. Zudem informierte die Großbank nach eigenen Angaben die Aufsichtsbehörden.
Nach Angaben der Frankfurter Allgemeinen Zeitung veröffentlichte dieser Mitarbeiter von 900 Kunden der Vermögensverwaltung Informationen wie Namen oder Kontonummer im Internet. Er hatte offenbar die Absicht, die übrigen Datensätze zu verkaufen.
Es ist noch ungeklärt, wie der Mitarbeiter an die Datensätze gelangen konnte.
30. Dezember 2014
Der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI RlP) Wagner hat mitgeteilt, dass die im Dezember des vergangenen Jahres gegen den Debeka Krankenversicherungsverein a. G. (Debeka) und gegen seine Vorstandsmitglieder eingeleiteten Ordnungswidrigkeitenverfahren mit einem Bescheid im Wege der Verständigung abgeschlossen worden sind. Darin wird die Debeka verpflichtet, eine Geldbuße in Höhe von 1,3 Millionen Euro zu zahlen. Damit sind die gegen die Debeka erhobenen Vorwürfe von Aufsichtspflichtverletzungen im Bereich des Datenschutzes insgesamt aufgearbeitet. Vorstand und Aufsichtsrat des Unternehmens haben die Geldbuße bereits akzeptiert. Die Debeka wird zusätzlich 600.000 Euro für eine Stiftungsprofessur bereitstellen, die an der Johannes Gutenberg-Universität Mainz, Fachbereich Rechts- und Wirtschaftswissenschaften, eingerichtet wird. Damit wird die Debeka die Grundlagenforschung für einen effektiven Datenschutz und dessen Implementierung in der Praxis nachhaltig fördern.
Anlass der aufsichtsbehördlichen Maßnahmen waren einige von der Debeka eingeräumte Fälle sogenannter Listenkäufe, bei denen einzelne Mitarbeiter weisungswidrig Datensätze zu Anwärtern im öffentlichen Dienst erworben und genutzt hatten. Es wurde festgestellt, dass in einigen Fällen unter Missachtung des Datenschutzes Neukunden für die Debeka durch Informationen von Kollegen gewonnen wurden. Einzelne Debeka-Mitarbeiter hatten Listen oder Kontaktdaten möglicher Kunden ohne deren Einverständnis erhalten und dafür zum Teil auch ein Entgelt bezahlt. Hierbei verstießen sie gegen unternehmensinterne Vorgaben, aber auch gegen geltendes Datenschutzrecht. Die Debeka musste feststellen, dass in der Vergangenheit nicht alle Aufsichtsmaßnahmen und Kontrollen etabliert und angewandt worden waren, die aus heutiger datenschutzrechtlicher Sicht den notwendigen Standards entsprechen.
Wagner erklärte sich mit dem Ausgang des Verfahrens zufrieden. “Wichtiger als das verhängte Bußgeld ist mir zweierlei: Zum einen hat die Debeka ernsthafte und erfolgreiche Anstrengungen unternommen, den Datenschutz in ihrem Vertriebssystem zu stärken. Ohne das kooperative Verhalten der Debeka wäre ein solch gutes Ergebnis nicht zu erzielen gewesen. Zum anderen geht von dem Verfahren das Signal aus, dass alle Unternehmen zukünftig mit noch mehr Nachdruck daran arbeiten müssen – und können! -, dass mit den persönlichen Daten von Interessenten, Kunden und Mitarbeitern vertrauensvoll und rechtskonform umgegangen wird.” Auch im öffentlichen Bereich seien durch die Änderung der Nebentätigkeitsbestimmungen und durch die Aufarbeitung von Datenschutzverstößen erste wichtige Konsequenzen gezogen und die Überwachungs- und Kontrollmechanismen den heute geltenden Standards angepasst worden.
Der Debeka-Vorstandsvorsitzende Uwe Laue begrüßt die einvernehmliche Klärung der datenschutzrechtlichen Auseinandersetzung: “Der konstruktive Dialog mit dem LfDI hat zur Beseitigung von Fehlerquellen geführt und die grundsätzliche Zulässigkeit von Tippgebern bestätigt. Wir haben damit die Vergangenheit aufgearbeitet und schauen nun nach vorne. Mit den getroffenen Maßnahmen hält die Debeka die Datenschutzbestimmungen nicht nur ein – sie übertrifft sie sogar. Damit sind wir für die Zukunft bestens gerüstet. Wir freuen uns auch, an der Universität Mainz die wissenschaftliche Aufarbeitung von datenschutzrechtlichen Fragestellungen zu fördern.”
Die Debeka und der LfDI RlP sprechen übereinstimmend von einer sehr konstruktiven Aufarbeitung der datenschutzrelevanten Vorgänge im Vertrieb der Debeka. Dies führte letztlich dazu, dass eine langwierige gerichtliche Auseinandersetzung und Klärung mit für beide Seiten ungewissem Ausgang nicht gesucht, sondern – trotz teilweise unterschiedlicher Rechtsauffassungen – zur Erledigung aller im Raum stehender Vorwürfe das genannte Bußgeld gezahlt wird. Die Verfahren gegen die Vorstände sind ohne Bußgeldzahlungen eingestellt worden.
23. Dezember 2014
Die niederländische Datenschutzbehörde College Bescherming Persoonsgegevens (CBP) kritisiert Googles Praxis, Daten von Nutzern ohne deren Einwilligung für Werbezwecke zu nutzen, als mit europäischem Datenschutzrecht nicht vereinbar.
Wie die CBP auf ihrer Webseite berichtet sammelt das Unternehmen Nutzerdaten unabhängig davon, ob der Betroffene über eine Google-Account eingeloggt ist oder nicht. Seit der Änderung von Googles Datenschutzerklärung 2012, können beispielsweise Daten über Suchanfragen, Standortdaten und angesehene Videos zu einem Profil zusammengefügt werden, auf dessen Grundlage personenbezogene Werbung gezeigt wird.
Die niederländische Datenschutzbehörde fordert jetzt von Google bis Ende Februar 2015 die Einwilligung seiner Nutzer dazu einzuholen, dass die Daten aus verschiedenen Diensten wie der Websuche, mobilen Diensten, GMail und YouTube für Werbezwecke miteinander kombiniert werden dürfen. Die Nutzer sollen auch deutlich darüber aufgeklärt werden, welche Daten von diesen Diensten genutzt werden. Ansonsten droht Google eine Geldbuße von bis zu 15 Millionen Euro.
Wie heise.de berichtet, ist auch der in Deutschland zuständige Datenschutzbeauftragte Hamburgs mit Google wegen der aussagekräftigen Profilbildung im Gespräch. Google sei aber bislang nicht bereit, substanzielle Verbesserungen zugunsten der Nutzerkontrolle umzusetzen.
18. Dezember 2014
Wie Medien berichten, hat die Bundesregierung in dieser Woche einen überarbeiteten Entwurf für das geplante IT-Sicherheitsgesetz beschlossen.
40 Prozent der weltweiten Wertschöpfung basiere bereits auf der Informations- und Kommunikationstechnologie, heißt es beim bmi (Bundesministerium des Innern). Die Bundesregierung verfolge daher mit ihren Maßnahmen das Ziel, Deutschland als einen der sichersten digitalen Standorte weltweit zu etablieren.
Das neue Gesetz verpflichtet künftig Betreiber von kritischen Infrastrukturen einen Mindeststandard an IT-Sicherheit einzuhalten. Zu den Betreibern kritischer Infrastrukturen zählen zum Beispiel Energieversorger, Unternehmen im Gesundheits-, Finanz- und Versicherungswesen sowie aus der Transport- und Verkehrsbranche – also Einrichtungen, die für das Gemeinwesen von großer Bedeutung sind. Auch sieht das Gesetz eine Meldepflicht für IT-Sicherheitsfälle vor. Gemeint sind damit vor allem Cyberangriffe. Betroffen sind Betreiber, die mehr als zehn Personen beschäftigen und einen Jahresumsatz von über zwei Millionen Euro aufweisen. Für die so genannten Kleinunternehmer werden die Regelungen nicht gelten.
Darüber hinaus verschärft das IT-Sicherheitsgesetz Regelungen für Dienstanbieter im Bereich Telekommunikation und Telemedien. Diese sollen künftig ihre IT-Sicherheit nach dem aktuellsten technischen Stand aus- und einrichten und ihre Kunden darüber informieren, wenn dem Betreiber Auffälligkeiten am Anschluss des Kunden bekannt werden, die ebenfalls auf Angriffe oder Sicherheitslücken hindeuten.
Wie golem berichtet, sind in dem Gesetzesentwurf auch höhere Budget- und Personalressourcen vorgesehen. Bis zu 38 Millionen Euro jährlich für Personal und Sachmittel und bis zu 425 zusätzliche Stellen sollen bei Sicherheitsbehörden wie dem Bundesnachrichtendienst, dem Bundeskriminalamt und dem Verfassungsschutz entstehen.
10. Dezember 2014
Einer Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) vom 25.11.2014 zufolge werden die Beschwerden von Verbrauchern über belästigende Werbung bei den Datenschutzaufsichtsbehörden nicht weniger. Insbesondere die unerwünschte Telefon- und E-Mail-Werbung und die Nichtbeachtung von Werbewidersprüchen verärgere regelmäßig die Betroffenen.
Damit Wirtschaftsunternehmen für ihre Produkte und Dienstleistungen werben können, müssen sie sich an verschiedene datenschutz- und wettbewerbsrechtliche Regelungen halten. Dabei sind hinsichtlich der unterschiedlichen Werbeformen wie Telefon-, E-Mail-, SMS- und Postwerbung auch unterschiedliche rechtliche Voraussetzungen zu beachten.
Um als Unternehmen eine sowohl aus datenschutzrechtlichen als auch aus wettbewerbsrechtlichen Gesichtspunkten zulässige Telefonwerbung durchführen zu können, ist die vorherige ausdrückliche Einwilligung des Verbrauchers notwendig. Dem BayLDA zufolge würde dies jedoch von den werbenden Unternehmen und Callcentern häufig ignoriert werden. Bei einem Missbrauch von Rufnummern hat die Bundesnetzagentur die Befugnis einzuschreiten und die Möglichkeit geeignete Maßnahmen wie die Durchführung eines Bußgeldverfahren oder die Abschaltung der Telefonanschlüsse der Täter zu ergreifen.
Ebenfalls notwendig ist eine vorherige ausdrückliche Einwilligung für die Werbung neuer Kunden auf elektronischem Wege per E-Mail oder per SMS. Dessen ungeachtet meldet das BayLDA laufend Beschwerden über die Verwendung von E-Mail-Adressen für Werbung gegen den Willen der kontaktierten Verbrauchern. Die werbenden Unternehmen können im Rahmen dieser Beschwerdeverfahren jedoch in den meisten Fällen die angeblich vorliegenden Einwilligungen für die Werbung per E-Mail nicht belegen.
In gesetzlich normierten Ausnahmefällen (§ 28 Abs. 3 S. 2 BDSG) kann die Werbung per Post auch ohne vorherige Einwilligung des Betroffenen erfolgen. Dennoch besteht in diesen Fällen zumindest ein Widerspruchsrecht, worauf der Betroffene in der jeweiligen Werbesendung hinzuweisen ist. Wenn ein solcher Widerspruch missachtet und trotzdem Postwerbung zugesandt werde, sei die Verärgerung der Verbraucher über solche unerwünschten Belästigungen verständlich, so das BayLDA. Allein im Jahre 2013 seien 162 und im Jahre 2014 bisher 149 Eingaben und Beschwerden zum Thema unzulässige Werbung eingegangen. Auch nach Überprüfung dieser Beschwerden durch das BayLDA hätten sich noch mehr als zwei Drittel dieser Beschwerden als Datenschutzverstoß und damit als begründet herausgestellt.
Der gegenständlichen Pressemitteilung zufolge werde das BayLDA die in der letzten Zeit eher zurückhaltende Praxis der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die “Missachtung von Werbewidersprüchen” und die unzulässige “E-Mail-Werbung zur Neukundengewinnung” mit Bußgeldern sanktionieren. Dieser Kurswechsel sei notwendig, da trotz intensiver Informationsarbeit durch alle Datenschutzaufsichtsbehörden und auch guten Hinweisen aus den Verbänden der Werbewirtschaft selbst die Zahl der begründeten Eingaben und Beschwerden nicht zurückgegangen seinen.
Die Tatbestände der unzulässigen Nutzung von E-Mail-Adressen und Telefonnummern für elektronische Werbung sowie die Postwerbung trotz ausdrücklichem Widerspruchs können Bußgelder bis zu einer Höhe von 300.000,00 Euro vorsehen.
Pages: 1 2 ... 32 33 34 35 36 37 38 39