Kategorie: DSGVO

Lernsieg-App wieder online

25. Februar 2020

Die kritisierte Lernsieg-App, in der Schüler Lehrer und Schulen in Deutschland und Österreich bewerten können, darf mit seinen gleichen Funktionen wieder online gehen. Datenschützer sehen es als zulässig an, dass Lehrer und Schulen mit bis zu fünft Sternen anonym von den Schülern bewertet werden dürfen. Den Entwicklern der App gehe es um Transparenz und den Leistungsgedanken. Es soll gemeinsam an einem besseren Schulsystem gearbeitet werden.

Im November war die App nach nur wenigen Tagen offline gegangen aufgrund Kritik der österreichischen Lehrer-Gewerkschaft und zahlreicher Hass-Mails.

Die österreichische Datenschutzbehörde hat ihr Verfahren gegen „Lernsieg“ eingestellt. Aus ihrer Sicht stehe die Verarbeitung der Lehrerdaten im Einklang mit den Grundsätzen der DSGVO und die berechtigten Interessen der Allgemeinheit beziehungsweise der Schüler überwiege die Beeinträchtigung des Grundrechts auf Datenschutz der Lehrer. Es bestehe ein legitimes Informationsinteresse der Öffentlichkeit an der Bewertung.

„Lernsieg“ erinnert an die Webseite spickmich.de, die vor rund 10 Jahren die Gerichte in Deutschland beschäftigte, weil Lehrer immer wieder erfolglos versuchten, sich auf dem rechtlichen Weg gegen die teils diffamierenden Kommentare auf der Seite zur Wehr zu setzen. Diese Seite wurde inzwischen eingestellt.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Verbände kritisieren Entwurf für „Digitale Gesundheitsanwendungen-Verordnung“ (DiGAV)

19. Februar 2020

Das Bundesministerium für Gesundheit (BMG) hatte im Januar 2020 einen Entwurf für eine „Digitale Gesundheitsanwendungen-Verordnung“ (DiGAV) vorgelegt. Durch diese Verordnung soll für gesetzlich Versicherte nicht nur ein Anspruch auf Versorgung mit digitalen Gesundheitsanwendungen begründet, sondern auch Anforderungen an Funktionstauglichkeit, Sicherheit, Qualität, Nachweis positiver Versorgungseffekte sowie Datenschutz und Datensicherheit dieser digitalen Gesundheitsanwendungen gestellt werden – so das BMG. Digitale Gesundheitsanwendungen sind dabei laut DVG (Digitale-Versorgung-Gesetz) solche Medizinprodukte, deren Hauptfunktionen wesentlich auf digitalen Technologien beruhen.

Verschiedene Verbände haben nun zu der geplanten Verordnung Stellung genommen und sich dabei auch zu den Fragen Datenschutz und Datensicherheit geäußert.

Der AOK-Bundesverband kritisiert in diesem Zusammenhang insbesondere, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) keine eigene Prüfung vornehmen solle, ob die datenschutzrechtlichen Anforderungen durch die Hersteller der Produkte tatsächlich eingehalten werden. Verließe sich das BfArM lediglich auf die Angaben der Hersteller, verkämen die datenschutzrechtlichen Vorgaben zu einem „zahnlosen Tiger“. Zudem sei eine Verschärfung des Grundsatzes der Datenminimierung erforderlich: Hersteller und Anbieter müssten beispielsweise nicht zwingend Kenntnis von der Identität des Nutzers haben.

Die fehlende Überprüfung der Einhaltung des Datenschutzes durch das BfArM wird auch seitens des Deutschen Caritasverbandes kritisiert. Zudem wird bemängelt, dass Datenschutzverstöße keine Sanktionen nach sich ziehen würden.

Ähnliche Kritik äußert auch die Deutsche Gesellschaft für Psychologie e.V. (DGPs). Neben fachspezifischen Anmerkungen weist die DGPs darauf hin, dass die datenschutzrechtlichen Rahmenbedingungen insbesondere in Bezug auf den internationalen Austausch von Nutzerdaten sowie hinsichtlich der wissenschaftlich fundierten Weiterentwicklungsmöglichkeiten der digitalen Gesundheitsanwendungen verschärft werden müssten.

Als zu streng betrachtet die geplanten datenschutzrechtlichen Anforderungen hingegen der Spitzenverband Digitale Gesundheitsversorgung (SVDGV). Dieser kritisiert vor allem, dass die Verarbeitung von Patientendaten nur auf der Grundlage einer ausdrücklichen Einwilligung möglich sei. Auch sollten die Patientendaten zu weiteren als den im Entwurf genannten Zwecke verarbeitet werden dürfen, etwa zur Weiterentwicklung der Gesundheitsanwendungen, aber auch um den Patienten weitere relevante Versorgungsangebote anbieten zu können.

Es bleibt abzuwarten, welche der beteiligten Interessenvertretungen sich mit ihren Anliegen schließlich durchsetzen wird, oder ob überhaupt noch Änderungen an dem Referentenentwurf vorgenommen werden. Eine Fachanhörung im Ministerium war für den heutigen Mittwoch (19.02.2020) geplant.

Start von Facebook Dating in Europa verspätet sich aus Datenschutzgründen

13. Februar 2020

Eigentlich sollte Facebooks Datingdienst am 13. Februar und damit pünktlich einen Tag vor Valentinstag in Europa verfügbar sein. Daraus wird aber nichts, wie die irische Datenschutzkommission (DPC) am 12. Februar bekanntgab. Erst 10 Tage vor dem geplanten Start, am 3. Februar, wurde die DPC von Facebooks EU-Headquarter in Irland über den geplanten Start von Facebook Dating informiert. Die DPC monierte, dass ihr keine Informationen und Dokumentationen über die Datenschutz-Folgenabschätzung (DPIA) oder den bei Facebook Irland abgelaufenen Entscheidungsfindungsprozessen vorgelegt wurden. Um die Beschaffung der erforderlichen Unterlagen zu beschleunigen hat die DPC am vergangenen Montag eine Inspektion in den Büros von Facebook Irland durchgeführt und Dokumente gesammelt. Am daraufolgenden Tag teilte Facebook der Datensschutzbehörde mit, dass die Einführung des Features verschoben wurde.

In den USA wurde das Dating-Feature bereits im September gelauncht. EU-Bürger müssen bis auf Weiteres auf anderen Plattformen auf Partnersuche gehen. Aber auch die stehen im Fokus von Untersuchunngen: So legten norwegische Verbraucherschützer gegen die Dating-App Grindr Beschwerde ein, auch Lovoo stand bereits in der Kritik und aktuell ermittelt die irische Datenschutzkommission, ob der Umgang mit personenbezogenen Daten der Dating-App Tinder im Einklang mit dem Datenschutzrecht steht.

Datenschützer zu Twitter: „Die Gnadenfrist läuft schon“

11. Februar 2020

Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, „ob die anderen drinbleiben dürfen.“ Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der „Twexit“ des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung „Sozialer Netzwerke„. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.

In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um „die Behörden [zu] zwingen, mit dem Twittern aufzuhören.“ Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem „in der zweiten Jahreshälfte […] Unternehmen ansehen.“ Er ist sich sicher durch „Druck auf die Unternehmen“ zu erreichen, dass „die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben“ und so an „den formal nötigen Vertrag“ kommen werden.

Die britische Polizei setzt Kameras zur Gesichtserkennung ein

28. Januar 2020

Während die EU-Kommission über ein zeitweiliges Verbot der Verwendung von Gesichtserkennung zum Schutz der Persönlichkeitsrechte nachdenkt, hat die britische Polizei als Teil eines risikoorientierten Plans zur Regulierung der künstlichen Intelligenz den Einsatz der datenschutzfeindlichen Technologie vorangetrieben und die operative Nutzung der Live-Gesichtserkennungskameras in der britischen Hauptstadt erlaubt.

Die britische Polizei erklärte, dass die Technologie dabei helfen würde, Verdächtige schnell zu identifizieren und festzunehmen sowie schwere Verbrechen unter anderem Waffen- und Messerverbrechen zu bekämpfen.  Die Kameras würden in Vierteln eingesetzt, in denen es wahrscheinlich sei, dass sich bestimmte Verdächtigte aufhalten.

Die Technologie, die die Polizei einsetzen wird, geht über die verwendeten Gesichtserkennungssysteme hinaus, die ein Foto mit einer Datenbank abgleichen, um eine Person zu identifizieren. Die neuen Tools verwenden eine Software, die Personen auf einer polizeilichen Beobachtungsliste sofort identifizieren kann, sobald sie von einer Videokamera gefilmt werden.

Cyberangriff bei der Stadt Potsdam?

23. Januar 2020

Laut Pressemitteilung vom 22.01.2020 könnte die Landeshauptstadt Potsdam Opfer eines Cyberangriffs geworden sein. Infolgedessen wurde der Server der Verwaltung vor etwa 48 Stunden offline gestellt.

Der Oberbürgermeister Mike Schubert erklärte: „Wir haben unsere Systeme aus Sicherheitsgründen offline gestellt, weil wir von einer illegalen Cyberattacke ausgehen müssen“. Weiterhin versicherte er: „Wir arbeiten mit Hochdruck daran, dass die betroffenen Systeme der Verwaltung baldmöglichst wieder eingeschaltet werden und wir wieder sicher arbeiten können. Bis dahin bitten wir um Geduld bei allen Anliegen, die die Bürgerserviceeinrichtungen betreffen“.

Hintergrund für die Vermutung eines Cyberangriffs waren laut Schubert „zahlreiche Ungereimtheiten“, die in den letzten 2 Tagen in den zentralen Netzzugängen festgestellt worden sind.  Angeblich wurde, aufgrund einer „Schwachstelle im System eines externen Anbieters“, von außen versucht unberechtigt Daten vom Server der Stadt Potsdam abzurufen. Zusätzlich wurde probiert eine Schadstoffsoftware zu installieren.

Über das Ausmaß der Schäden kann zurzeit noch keine Aussage getroffen werden. Die It-Experten untersuchen momentan die Systeme, versuchen sie wiederherzustellen und die Datensicherheit zu gewährleisten. Die Stadt Potsdam hat Anzeige gegen Unbekannt gestellt und die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA) Brandenburg informiert. Die Verwaltungsvorgänge sind zurzeit stark eingeschränkt. Die Verwaltung ist nicht mehr per E-Mail, sondern nur noch telefonisch erreichbar.

Bundesdatenschutzbeauftragter für Verbot von Gesichtserkennung im öffentlichen Raum

22. Januar 2020

Aufgrund der neuesten Berichte über das US-Unternehmen Clearview, das eine Datenbank mit rund 3 Milliarden frei im Internet verfügbaren Fotos erstellt haben soll und mit dieser nun bei Behörden für einen Gesichtserkennungsdienst wirbt, hat sich Ulrich Kelber, der Bundesdatenschutzbeauftragte, nun klar gegen ein solches Vorgehen in Europa gestellt.

Im Statement gegenüber den Zeitungen des „Redaktionsnetzwerks Deutschland“ stellte Kelber klar, dass die biometrische Gesichtserkennung im öffentlichen Raum einen potenziell sehr weitgehenden Grundrechtseingriff darstelle, der auf jeden Fall durch konkrete Vorschriften legitimiert sein müsste, an der es allerdings bislang fehle. Fraglich sei allerdings auch bereits, ob eine solche Rechtsgrundlage überhaupt verfassungskonform ausgestaltet werden könne.

Kelber befürchtet zudem, dass der Einsatz von Gesichtserkennung im öffentlichen Raum das Verhalten der betroffenen Bürger zu sehr beeinträchtigen könnte, die so beispielsweise auf die Teilnahme an Demonstrationen – und damit auf die Ausübung ihrer Freiheitsrechte – verzichten könnten, um so eine Identifizierung durch Gesichtserkennung zu verhindern.

Letztlich liegt es daher nach Aussage Kelbers daran, den Einsatz von Technologie so zu regulieren, dass eine missbräuchliche und sozialschädliche Nutzung ausgeschlossen wird.

Arztpraxen brauchen erst ab 20 Mitarbeitern einen Datenschutzbeauftragten

16. Januar 2020

Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.

Der Bundestag hat mit Beschluss des sogenannten Zweiten Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden dadurch Anpassungen in rund 150 Gesetzen erforderlich.

Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.

Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.

15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach DSGVO

8. Januar 2020

Das Amtsgericht Wertheim verhängte mit Beschluss vom 12.12.2019 (Az.: 1 C 66/19) ein Zwangsgeld in Höhe von 15.000 Euro (ersatzweise ein Tag Zwangshaft für je 500 Euro) gegen ein nach Art. 15 DSGVO auskunftspflichtiges Unternehmen.

Das Unternehmen war zuvor mit Anerkenntnisurteil vom 27.05.2019 (Az.: 1 C 66/19) verurteilt worden, Auskunft über die personenbezogenen Daten des Klägers, die bei dem Unternehmen verarbeitet werden, zu erteilen und diesem über die Informationen nach Art. 15 Abs.1 DSGVO Auskunft zu geben.

Das Gericht begründete seinen Beschluss nun mehr damit, dass das Unternehmen dieser Pflicht nicht vollständig nachgekommen sei. Insbesondere habe das Unternehmen nicht alle erforderlichen Informationen über die Herkunft der Daten des Klägers nach Art. 15 Abs. 1 lit. g) DSGVO erteilt.

Das Unternehmen legte dem Kläger zwecks Auskunftserteilung ein Schriftstück vor, dessen Erhalt der Kläger bestritt. Das Schriftstück gab die Kategorien der verarbeiteten Daten an und benannte als Herkunft der Daten in Klammern eine GmbH mit dem Zusatz „z.B.“.

Unabhängig davon, ob ein solches Schreiben tatsächlich an den Kläger übergegeben wurde, so das Amtsgericht, genüge dieses jedoch nicht den Anforderungen des Art.12 DSGVO. Die Information über die Herkunft der Daten werde in dem Schriftstück nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt. Der Zusatz „z.B.“ mache das Schriftstück vielmehr unklar und irreführend, da für den Betroffenen nicht ersichtlich sei, ob die Daten wirklich von der benannten GmbH stammten.

Weiterhin führte das Gericht aus, dass aus dem Schriftstück auch nicht hervorgehe zu welchem Zeitpunkt und mit welchem Inhalt personenbezogene Daten übermittelt wurden.

Auch genüge es nicht mitzuteilen, welche Art oder Kategorie von Daten verarbeitet wurde. Entscheidend sei im Hinblick auf Art. 15 DSGVO vielmehr die Nennung der konkreten personenbezogenen Daten.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

LDA Brandenburg erklärt automatische Kennzeichenerfassung für unzulässig

7. Januar 2020

Die Landesbeauftragte für Datenschutz in Brandenburg (LDA) hat die automatische Kennzeichenerfassung (KESY) durch die Polizei für unzulässig erklärt.

Seit Jahren wurden an festinstallierten Standpunkten auf den Autobahnen in Brandenburg die Kennzeichen erfasst und gespeichert. Das Kennzeichenerfassungssystem im Aufzeichnungsmodus wurde von der Landesdatenschutzbeauftragten Dagmar Hartge gegenüber der Polizei beanstandet.

Der Grund für die Unzulässigkeit der Datenerhebung beruht auf der fehlenden Rechtsgrundlage. Die Polizei hatte die Datenverarbeitung bisher auf § 100h I 1 Nr. 2 StPO gestützt. Die fünfjährige Prüfung der Landesbeauftragten ergab jedoch, dass beim andauernden Aufnahmemodus nicht nur Beschuldigte (§ 100h I 1 Nr. 2 StPO), sondern überwiegend Unbeteiligte erfasst werden, in deren informationelles Selbstbestimmungsrecht ohne Rechtsgrundlage eingegriffen wird.

Hinzu kommen datenschutzrechtliche Mängel, da die Kennzeichenerfassung von den Staatsanwaltschaften in den Observationsbeschlüssen nicht als konkretes technisches Mittel angegeben worden sind. Indem die Polizei den Umfang der Datenverarbeitung selbst bestimmt hatte, verstieß sie gegen den Grundsatz der Datensparsamkeit und der Erforderlichkeit. Es wurden Daten gespeichert, obwohl sie nicht mehr für ein Ermittlungsverfahren aufbewahrt werden mussten.

Erste Maßnahmen zur Milderung der Datenschutzverstöße wurden von der Polizei bereits eingeleitet. So darf der Aufzeichnungsmodus nicht mehr dauerhaft, sondern nur noch auf konkrete Anordnung der Staatsanwaltschaft eingeschaltet werden. Weiterhin kritisiert wird die dauerhafte Speicherung der Kennzeichendaten.

1 2 3 5