Kategorie: DSGVO
28. Juni 2019
Die Digitalisierung des Gesundheitswesens wird durch verschiedene gesetzliche Maßnahmen, wie zum Beispiel mit dem Terminservice- und Versorgungsgesetz (TSVG), welches seit dem 01. Mai 2019 Anwendung findet sowie dem Gesetzes für mehr Sicherheit in der Arzneimittelversorgung (GSAV), welches voraussichtlich im Juli 2019 in Kraft treten wird, vorangetrieben.
Das TSVG enthält unter anderem den politischen Auftrag an die Krankenkassen, ihren Versicherten ab dem 1. Januar 2021 eine von der gematik – Gesellschaft für Telematik zugelassene elektronische Patientenakte (ePA) anzubieten. Die Digitalisierung in der Medizin, die Digitalpolitik von Bundesgesundheitsminister Jens Spahn (CDU) sowie die Sicherheitsstruktur der Telematikinfrastruktur (TI) haben mehrfach zu Diskussionen geführt. Dabei sind insbesondere datenschutzrechtliche Aspekte immer mehr in den Vordergrund gerückt. So machten bei einer Pressekonferenz der Ärzteverband Medi, die Freie Ärzteschaft (FÄ) sowie der Freie Verband Deutscher Zahnärzte ihre Einschätzungen deutlich, dass Sicherheitslücken in der TI bestehen würden und damit Patientendaten für Hacker künftig einfach auffindbar sein könnten.
Die stellvertretende FÄ-Vorsitzende Silke Lüder warnte, dass durch die Digitalpolitik und die Vernetzung aller Bereiche „die ärztliche Schweigepflicht“ ausgehebelt werden könne. „Wenn mein Patient in der Sprechstunde nicht mehr darauf vertrauen kann, dass das, was er mir über seine gesundheitlichen Probleme berichtet, in meinem Sprechzimmer bleibt, kann ich nicht mehr für ihn arbeiten.“ Damit ist auch das ärztliche Berufsrecht berührt.
Des Weiteren besteht im Zusammenhang mit der Einführung der ePA Anfang 2021 die Kritik, dass keine selektiven Zugriffsrechte vergeben werden könnten. Auch hierbei handelt es sich um einen datenschutzrechtlich relevanten Aspekt. Zudem dürfte auch noch weiterer Diskussionsbedarf in Bezug auf haftungsrechtliche Gesichtspunkte bestehen, die hinsichtlich der Sicherheitsstruktur der TI aufgekommen sind.
Die Fraktionen der großen Koalition planen im Innenausschuss des Bundestages die alten deutschen Datenschutzregeln, die schon vor der DSGVO galten, Stück für Stück anzupassen. Vergangene Woche sprach sich die Koalition für eine Entschärfung des Datenschutzes für Kleinbetriebe aus. Das geht aus gemeinsamen Änderungsanträgen von CDU/CSU und SPD hervor.
Jetzt verabschiedete der Bundestag in der Nacht auf den 28.06.2019 ein Gesetz, mit dem die Schwelle, ab der Betriebe einen Datenschutzbeauftragten ernennen müssen, von 10 auf 20 Mitarbeiter, steigt.
Gerade kleinere Betriebe beschweren sich über die Pflichten, die Ihnen durch die DSGVO auferlegt werden. Befürworter sehen in dieser Maßnahme die Möglichkeit zum Bürokratieabbau, von der 90 % der Handwerksbetriebe profitieren. Datenschützer hingegen reagieren empört.
Damit die umstrittene Neuregelung allerdings in Kraft treten kann, muss noch der Bundesrat zustimmen.
26. Juni 2019
Die französische Datenschutzbehörde „Commission Nationale de l’informatique et des Libertés“ (CNIL) hat eine Geldbuße in Höhe von 20.000 Euro gegen ein Unternehmen verhängt. Das betroffene Pariser Unternehmen hatte ein Videoüberwachungssystem eingerichtet, das seine Mitarbeiter einer kontinuierlichen Überwachung unterwarf.
Von 2013 bis 2017 gingen bei der französischen Datenschutzbehörde Beschwerden von mehreren Mitarbeitern für das Videoüberwachungssystem des Unternehmens ein. Das Unternehmen wurde vom CNIL zweimal darauf hingewiesen, dass Maßnahmen ergriffen werden sollten. Außerdem hat das CNIL das Unternehmen aufgefordert, ihm zusätzliche Informationen über das eingeführte Videoüberwachungssystem zur Verfügung zu stellen.
Angesichts weiterer Beschwerden wurde im Februar 2018 in den Räumlichkeiten des Unternehmens eine Kontrolle durchgeführt. Bei den Ermittlungen kam raus, dass drei Kameras im Büro der Angestellten diese kontinuierlich an ihrem Arbeitsplatz filmten, ohne dass ihnen Informationen über die Videoüberwachung zur Verfügung gestellt wurden. Daneben wurden noch weitere Verstöße festgestellt. So waren beispielsweise die Computerarbeitsplätze nicht passwortgeschützt, und alle Mitarbeiter griffen auf gemeinsame Unternehmens-E-Mails mit einem allen bekannten Passwort zu.
Da zum Ende der in der Aufforderung gesetzten Frist keine zufriedenstellenden Maßnahmen ergriffen wurden, führte das CNIL im Oktober 2018 eine zweite Prüfung durch, bei der das Fortbestehen der Mängel trotz gegenteiliger Behauptungen des Unternehmens bestätigt wurde. Daher wurde von der französischen Datenschutzbehörde ein Sanktionsverfahren eingeleitet.
Für die Bestimmung der Geldbuße wurden
insbesondere die Größe und die finanzielle Situation des Unternehmens
berücksichtigt. Da das betroffene Pariser Unternehmen ein sehr kleines
Unternehmen mit nur neun Mitarbeitern ist, wurde lediglich ein Bußgeld in Höhe
von 20.000 € und ein Säumniszuschlag von 200 € pro Tag bei Nichtbefolgung
ausgesprochen.
25. Juni 2019
Falschparker sind in vielen überfüllten Großstädten ein Ärgernis. Sie blockieren Ein- und Ausfahrten oder behindern Fußgänger und Fahrradfahrer. In Stuttgart wurden Verkehrssünder nun online von Twitter-Usern an den Pranger gestellt. Unter dem Hashtag #StuttgartParktFair wurden Fotos der falsch abgestellten Fahrzeuge gepostet.
Der Landesdatenschutzbeauftragte von Baden-Württemberg sieht hierin einen eindeutigen Verstoß gegen die Datenschutzgrundverordnung. Das Problem: Fotos der Falschparker werden mit klar erkennbaren Nummernschildern ins Internet gestellt. Nummernschilder sind personenbezogene Daten, die einem Fahrzeughalter zugeordnet sind und unterliegen mithin dem Datenschutz. Eine Veröffentlichung im Internet ohne Einwilligung des Betroffenen sei nicht zulässig.
Zwar sollen keine Verfahren gegen die Nutzer angestrebt werden, allerdings verweist der Landesdatenschutzbeauftragte darauf, dass den Betroffenen möglicherweise Schadensersatzansprüche zustehen können.
19. Juni 2019
Das Landesamt für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat ausweislich einer von ihm herausgegebenen Mitteilung ein erstes Bußgeld gegen einen Polizeibeamten verhängt.
Dieser habe dienstlich erlangte personenbezogene Daten rechtswidrig zu privaten Zwecken verwendet. Konkret habe er ohne dienstlichen Bezug und unter Verwendung seiner dienstlichen Benutzerkennung über das Zentrale Verkehrsinformationssystem (ZEVIS) Daten einer privaten Zufallsbekanntschaft abgefragt und zur Ermittlung der Festnetz- und Mobilfunknummern weiterverwendet. Unter Verwendung der so erlangten Mobilfunknummer nahm der Polizeibeamte – ohne dienstliche Veranlassung oder Einwilligung der Geschädigten – telefonisch Kontakt mit dieser auf.
Aus diesem Grund sei eine Geldbuße in Höhe von 1.400,- Euro verhängt worden. Es handele sich um das erste Bußgeld gegen einen Mitarbeiter einer öffentlichen Stelle nach Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) und des neuen Landesdatenschutzgesetzes (LDSG).
12. Juni 2019
Wie wir bereits berichteten hat die spanische Fußballliga Millionen Fans über eine App belauscht, in der das Mikrofon der Smartphones mit dem Ziel angezapft wurde, illegale Zuschauer aufzuspüren. Nachdem der Verband die Datenschutzerklärung aktualisierte, flog der Lauschangriff auf die Fans auf.
Jetzt hat die spanische Datenschutzbehörde AEPD ein Bußgeld in Hohe von 250.000 Euro gegen die spanische Fußball-Liga „La Liga“ verhängt. Betroffen von dem Lauschangriff sind mehr als vier Millionen Fans.
Grund für die Datenabfrage sei unter anderem der Kampf gegen Pay-TV-Betrug, da immer wieder Sportkneipen und Übertragungsorte die Gebühr für die Lizenz prellen würden, die zur öffentlichen Vorführung der Fußballturniere berechtigen.
Die Datenschützer kritisieren, dass die App-Nutzer gegen ihr Wissen als Spitzel für die wirtschaftlichen Interessen der Liga eingespannt worden sein. Der jährliche Schaden soll sich nach Angaben der spanischen Liga auf 400 Millionen Euro belaufen.
Zwar hätte aufmerksamen Lesern der Datenschutzvereinbarung der offiziellen Liga-App bereits 2019 bemerken können, dass der Anbieter unter anderem Zugriff auf das Smartphone-Mikrofon der Nutzer verlangte. Jedoch bewertete die spanische Datenschutzbehörde das Vorgehen von „La Liga“ jetzt als Verstoß gegen die geltenden Transparenzregeln und verhängte die Strafe. Zusätzlich muss die App bis zum 30.Juni entfernt werden.
Gegen diese Entscheidung wehrt sich der Fußballverband nun und wies die Vorwürfe als „unbegründet“ zurück. Sie wollen gegen die „unverhältnismäßige“ Strafe in Berufung gehen. La Liga hätte immer „verantwortungsbewusst“ und „im Einklang mit dem Gesetz“ gehandelt. Als Begründung führte sie an, dass die App das Smartphone-Mikro nur zur Sendezeit der Ligaspiele aktiviere. Die Aufzeichnung von Gesprächen oder zusammenhängenden Audio-Dateien würde nicht stattfinden und eine Gewährleistung der Privatsphäre wäre gegeben.
