Kategorie: DSGVO

Nur wenige Nachbesserungen bei Microsoft-Anwendungen

1. August 2019

Bei Untersuchungen im Auftrag des niederländischen Justizministeriums wurden letztes Jahr massive Datenschutzverstöße bei Microsoft festgestellt. Das Ergebnis einer Nachuntersuchung zeigt, dass trotz vieler Nachbesserungen Office Online, die mobilen Apps und Windows 10 Enterprise immer noch nicht datenschutzkonform sind.

Als Nachbesserungsmaßnahmen wurden z.B. neue Datenschutzbestimmungen für die Nutzung von Enterprise-Versionen von Office und Windows 10-Software für die rund 300.000 digitalen Arbeitsplätze in den Ministerien und anderen Behörden vereinbart. Die acht vorher identifizierten Mängel bei Office 365 ProPlus wurden ebenfalls behoben.

Diese Nachbesserungen wurden aber noch nicht für Office Online und den mobilen Office-Apps umgesetzt. So kann man den Datenverkehr in Office nicht minimieren und bei den iOS App (Word, Excel und PowerPoint) werden Daten an eine US-amerikansiches Marketing-Unternehmen weitergeleitet, das sich auf Profiling spezialisiert hat. Die Nutzer werden nicht über den Zweck dieser Verarbeitung informiert und können sie auch nicht abstellen.

BfDi Prof. Ulrich Kelber möchte „Alexa“ und „Siri“ überprüfen

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Ulrich Kelber möchte künftig die Sprachassistenten „Alexa“ und „Siri“ überprüfen. Zumindest geht dies aus Medienberichten sowie einer Mitteilung des Bundestages hervor. Er betonte, dass sich mit den in Rede stehenden Sprachassistenten beschäftigt und deren datenschutzrechtliche Konformität auf Grundlage der Datenschutzgrundverordnung geprüft werden müsse.

Darüber hinaus hat der Hessische Landesdatenschutzbeauftragte, Herr Prof. Ronellenfitsch die Nutzung von Microsoft Office 365 an Schulen verboten. Dies sind nur zwei Beispiele dafür, dass die Aufsichtsbehörden mittlerweile langsam die Überforderung des ersten Jahres nach Inkrafttreten der DSGVO überwinden und zum täglichen Geschäft übergehen.

Ob dies tatsächlich der Fall ist und wie die Meinung der Aufsichtsbehörden bezüglich der Umsetzung der DSGVO im Allgemeinen aussieht, können Sie beim datenschutzticker.live, am 30.10.2019 in der Wolkenburg in Köln erfahren. Im Rahmen des datenschutzticker.live werden unter anderem sowohl Herr Prof. Kelber als auch Herr Prof. Ronellenfitsch und der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Herr Dr. von Bose über aktuelle Themen referieren.

Hierfür müssen Sie sich lediglich verbindlich anmelden. Die Veranstaltung ist kostenlos.

EuGH entscheidet über „Gefällt mir“-Button

30. Juli 2019

Der EuGH hat vergangenen Montag in einem Urteil verkündet, dass Webseiten mit integrierten Facebook „Gefällt mir“-Button eine Mitverantwortung für die Erhebung und Übermittlung von personenbezogenen Daten an Facebook tragen (C-40/17).

Die Betreiber der Webseiten müssen in diesem Falle über die Erhebung der Daten informieren und eine entsprechende Einwilligung einholen. Für die weitere Verarbeitung nach Übermittlung der Daten ist Facebook alleinverantwortlich.

In dem konkreten Fall ging es darum, dass der Webseitenbetreiber Fashion ID den „Gefällt mir“-Button eingesetzt hat um sein Onlinesortiment zu bewerten. Die personenbezogenen Daten wurden jedoch bereits bei Aufsuchen der Webseite an Facebook übermittelt, vollkommen unabhängig, ob der Webseiten-Nutzer einen „Gefällt mir“-Button genutzt hat oder überhaupt ein Facebook-Account betreibt. Die Klage ging von der Verbraucherzentrale NRW aus, die eine Datenübermittlung ohne Einwilligung stark kritisierte.

Das Verfahren begann beim Landgericht Düsseldorf und führte über das Oberlandesgericht Düsseldorf zum Europäischen Gerichtshof.

Die Entscheidung des EuGH wurde mit dem Prinzip der „Gemeinsamen Verantwortung“ gemäß Art. 26 DSGVO untermauert, wodurch Fashion ID selbst auf seiner Webseite über die Erhebung, Nutzung und Übermittlung der personenbezogenen Daten informieren und die Einwilligung der Nutzer einholen muss.

Der Digitalverband Bitkom kritisierte die Entscheidung des EuGH, da sich diese auf alle Social-Media-Plugins auswirken wird und Cookie-Banner sowie Datenschutzerklärungen bereits viel Platz auf den Webseiten einnehmen ohne vom Nutzer genügend Beachtung zu erhalten.

Kategorien: Allgemein · DSGVO · Social Media
Schlagwörter: , , ,

Kein eigenständiges Recht auf Herausgabe von Datenkopien

18. Juli 2019

Der hessische Beauftragte für Datenschutz hat am 24. Juni 2019 seinen 47. Tätigkeitsbericht veröffentlicht. Dabei hat er Stellung zur umstrittenen Frage bezüglich des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO genommen.

Gemäß Art. 15 DSGVO erhalten die Betroffenen das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Art. 15 Abs. 3 DSGVO regelt zudem, dass die verantwortliche Stelle dem Betroffenen „eine Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen müsse.

Zum Teil wird vertreten, dass es sich bei Art. 15 Abs. 3 DSGVO um einen eigenständigen Anspruch des Betroffenen handelt, der dazu berechtigt, von dem Verantwortlichen alle Daten in der Form heraus zu verlangen, wie sie dem Verantwortlichen vorliegen. Diese weite Auffassung des „Kopie“-Begriffs führt zu einem allgemeinen Informations- bzw. Akteneinsichtsrecht. Der Hessische Datenschutzbeauftragte legt demgegenüber den „Kopie“-Begriff aus Art. 15 Abs. 3 DSGVO einschränkend aus. Insofern müssen den Betroffenen nicht sämtliche sie betreffende Dokumente in Kopie zur Verfügung gestellt werden. Vielmehr reicht es aus, wenn diesen eine „sinnvolle strukturierte Zusammenfassung“ bereitgestellt wird, die den Betroffenen im Kontext kenntlich macht, welche Daten zu ihrer Person verarbeitet werden.

Diese Auslegung würde vor allem dem Sinn und Zweck der DSGVO entsprechen. Bei einer weiten Auslegung bestünde die Gefahr, dass ein faktisch entstehendes Informations- und Akteneinsichtsrecht für Ziele missbraucht werde, die mit dem bezweckten Schutz von natürlichen Personen in keinem Zusammenhang stünden. Lediglich in einzelnen Fällen kann aus Art. 15 DSGVO die Pflicht zur Übersendung einer Kopie eines bestimmten Dokuments entstehen, wenn zum Beispiel die Übersendung zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung zwingend notwendig ist.

Der Hessische Datenschutzbeauftragte verbietet Microsoft Office 365 an Schulen

17. Juli 2019

Die digitalen Anwendungen im Schulalltag verändert das Lernen wie kaum zuvor. Jedoch scheint Hessen auf ein Problem mit Cloudanwendung von Office 365 gestoßen zu sein, so dass die Nutzung von Office 365 an hessischen Schulen derzeit verboten werden soll. Was für Microsoft Office 365 gilt, ist auch für andere Cloud-Lösungen etwa von Google oder Apple zutreffend.

Michael Ronellenfitsch, der Hessische Beauftragte für Datenschutz und Informationsfreiheit, betonte, dass Dritte Zugriff auf die Microsoft Cloud erlangen könnten, weswegen Schulen die Cloudanwendung von Office 365 nicht mehr nutzen sollen. Laut Ronellenfitsch liegt das Problem, dass personenbezogene Schülerdaten aus Deutschland in die USA übermittelt werden. In seiner Stellungnahme erklärte der Landesdatenschutzbeauftragte, dass der entscheidende Aspekt ist, „ob die Schule als öffentliche Einrichtung personenbezogene Daten von Kindern in einer europäischen Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.“ Ferner begründet er seine Auffassung, dass Office 365 nicht für Schulen geeignet ist, mit der besonderen Verantwortung der öffentlichen Einrichtungen in Deutschland beim Datenschutz hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Zudem mahnt Ronellenfitsch, dass „die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein“ müsse. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch darauf hingewiesen, dass über Windows 10 und Microsoft Office 365 „eine Fülle von Telemetrie-Daten an Microsoft übermittelt“ würden, deren Inhalte trotz wiederholter Anfragen noch nicht hinreichend geklärt seien.

Der Landesdatenschutzbeauftragte argumentiert, dass man auch mit der Einwilligung der Betroffenen das Problem nicht lösen könnte, da die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind. Der Versuch einer Heilung durch eine Einwilligung der Eltern bietet auch keine Lösung, weil es nicht nachvollziehbar ist, welche Daten tatsächlich übermittelt werden.

Diese Regelungen gelten zurzeit nur in Hessen. Es bleibt abzuwarten, wie die anderen Bundesländer hiermit umgehen werden.

Datenschutzbehörde untersucht Apple auf DSGVO-Verstöße

4. Juli 2019

Die Irische Datenschutzbehörde untersucht ob die Apple Inc. den Pflichten aus der Datenschutzgrundverordnung nachkommt. Es handelt sich dabei nicht um die erste offizielle Prüfung des Unternehmens Für Apple ist innerhalb der Europäischen Union der Data Protection Commissioner (DPC) der Republik Irland zuständig. Bei der aktuellen Prüfung soll der Fokus besonders auf der Realisierung von Auskunftsersuchen durch Kunden gerichtet sein.

Bereits im letzten Jahr wurden durch den DPC zwei Prüfungen des Unternehmens veranlasst um festzustellen, ob die Datenschutzbestimmungen für die Nutzer transparent genug sind.

Falls Verstöße gegen die Datenschutzgrundverordnung festgestellt werden sollten, könnten diese mit hohen Strafzahlungen geahndet werden. Apple ist nicht das einzige Unternehmen gegen das Untersuchungen durch den DPC eingeleitet wurden. Auch Facebook sowie den damit verbundenen Unternehmen Twitter, WhatsApp und Instagram wurden zahlreiche Untersuchungen auferlegt.

Unzulässige Melderegisterauskünfte: Wahlwerbung für Kleinkinder

1. Juli 2019

Bei der baden-württembergischen Landesdatenschutzbehörde sind vermehrt Beschwerden gegen Meldebehörden im Zusammenhang mit der Wahlwerbung im Rahmen der Europa- und Kommunalwahlen im Mai eingegangen. In einigen Fällen sollen Kleinkinder und Säuglinge personalisierte Wahlwerbung erhalten haben.

Grundsätzlich können Parteien bei Meldebehörden unter bestimmten Voraussetzungen Daten von Wahlberechtigten zum Zwecke der Wahlwerbung erfragen (§ 50 Abs. 1 Bundesmeldegesetz). Dies ist aus datenschutzrechtlicher Sicht zulässig, soweit die Betroffenen dagegen keinen Widerspruch eingelegt haben. Teilweise haben Meldebehörden aber auch Daten von Nichtwahlberechtigten und Personen, für die eine Übermittlungssperre eingetragen war, weitergegeben. Laut Datenschutzbehörde war diese Datenverarbeitung nicht zulässig, sodass es sich um Datenpannen bei den Behörden handelt.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink hob in einer Pressemittelung den dringenden Handlungsbedarf bei Meldebehörden hervor und drückte sein Verständnis für den Unmut der Bürger aus. Daneben betonte er aber auch die Bedeutung des Auskunftsrechts der Parteien in diesem Zusammenhang: „Parteien nehmen im demokratischen Willensbildungsprozess eine hervorgehobene Rolle ein und sind deshalb melderechtlich privilegiert“.

Digitalisierung im Gesundheitswesen

28. Juni 2019

Die Digitalisierung des Gesundheitswesens wird durch verschiedene gesetzliche Maßnahmen, wie zum Beispiel mit dem Terminservice- und Versorgungsgesetz (TSVG), welches seit dem 01. Mai 2019 Anwendung findet sowie dem Gesetzes für mehr Sicherheit in der Arzneimittelversorgung (GSAV), welches voraussichtlich im Juli 2019 in Kraft treten wird, vorangetrieben.

Das TSVG enthält unter anderem den politischen Auftrag an die Krankenkassen, ihren Versicherten ab dem 1. Januar 2021 eine von der gematik – Gesellschaft für Telematik zugelassene elektronische Patien­tenakte (ePA) anzubieten. Die Digitalisierung in der Medizin, die Digitalpolitik von Bun­desgesundheitsminister Jens Spahn (CDU) sowie die Sicherheitsstruktur der Telematikinfrastruktur (TI) haben mehrfach zu Diskussionen geführt. Dabei sind insbesondere datenschutzrechtliche Aspekte immer mehr in den Vordergrund gerückt. So machten bei einer Pressekonferenz der Ärzteverband Medi, die Freie Ärzteschaft (FÄ) sowie der Freie Verband Deutscher Zahnärzte ihre Einschätzungen deutlich, dass Sicherheitslücken in der TI bestehen würden und damit Patientendaten für Hacker künftig einfach auffindbar sein könnten.

Die stellvertretende FÄ-Vorsitzende Silke Lüder warnte, dass durch die Digitalpolitik und die Vernetzung aller Bereiche „die ärztliche Schweige­pflicht“ ausgehebelt werden könne. „Wenn mein Patient in der Sprechstunde nicht mehr darauf vertrauen kann, dass das, was er mir über seine gesundheitlichen Probleme berichtet, in meinem Sprechzimmer bleibt, kann ich nicht mehr für ihn arbeiten.“ Damit ist auch das ärztliche Berufsrecht berührt.

Des Weiteren besteht im Zusammenhang mit der Einführung der ePA Anfang 2021 die Kritik, dass keine selektiven Zugriffsrechte vergeben werden könnten. Auch hierbei handelt es sich um einen datenschutzrechtlich relevanten Aspekt. Zudem dürfte auch noch weiterer Diskussionsbedarf in Bezug auf haftungsrechtliche Gesichtspunkte bestehen, die hinsichtlich der Sicherheitsstruktur der TI aufgekommen sind.

Datenschutz für Kleinbetriebe soll gelockert werden

Die Fraktionen der großen Koalition planen im Innenausschuss des Bundestages die alten deutschen Datenschutzregeln, die schon vor der DSGVO galten, Stück für Stück anzupassen. Vergangene Woche sprach sich die Koalition für eine Entschärfung des Datenschutzes für Kleinbetriebe aus. Das geht aus gemeinsamen Änderungsanträgen von CDU/CSU und SPD hervor.

Jetzt verabschiedete der Bundestag in der Nacht auf den 28.06.2019 ein Gesetz, mit dem die Schwelle, ab der Betriebe einen Datenschutzbeauftragten ernennen müssen, von 10 auf 20 Mitarbeiter, steigt.

Gerade kleinere Betriebe beschweren sich über die Pflichten, die Ihnen durch die DSGVO auferlegt werden. Befürworter sehen in dieser Maßnahme die Möglichkeit zum Bürokratieabbau, von der 90 % der Handwerksbetriebe profitieren. Datenschützer hingegen reagieren empört.

Damit die umstrittene Neuregelung allerdings in Kraft treten kann, muss noch der Bundesrat zustimmen.

Bußgeld von 20.000 Euro für Videoüberwachung von Mitarbeitern

26. Juni 2019

Die französische Datenschutzbehörde „Commission Nationale de l’informatique et des Libertés“ (CNIL) hat eine Geldbuße in Höhe von 20.000 Euro gegen ein Unternehmen verhängt. Das betroffene Pariser Unternehmen hatte ein Videoüberwachungssystem eingerichtet, das seine Mitarbeiter einer kontinuierlichen Überwachung unterwarf.

Von 2013 bis 2017 gingen bei der französischen Datenschutzbehörde Beschwerden von mehreren Mitarbeitern für das Videoüberwachungssystem des Unternehmens ein. Das Unternehmen wurde vom CNIL zweimal darauf hingewiesen, dass Maßnahmen ergriffen werden sollten. Außerdem hat das CNIL das Unternehmen aufgefordert, ihm zusätzliche Informationen über das eingeführte Videoüberwachungssystem zur Verfügung zu stellen.

Angesichts weiterer Beschwerden wurde im Februar 2018 in den Räumlichkeiten des Unternehmens eine Kontrolle durchgeführt. Bei den Ermittlungen kam raus, dass drei Kameras im Büro der Angestellten diese kontinuierlich an ihrem Arbeitsplatz filmten, ohne dass ihnen Informationen über die Videoüberwachung zur Verfügung gestellt wurden. Daneben wurden noch weitere Verstöße festgestellt. So waren beispielsweise die Computerarbeitsplätze nicht passwortgeschützt, und alle Mitarbeiter griffen auf gemeinsame Unternehmens-E-Mails mit einem allen bekannten Passwort zu.

Da zum Ende der in der Aufforderung gesetzten Frist keine zufriedenstellenden Maßnahmen ergriffen wurden, führte das CNIL im Oktober 2018 eine zweite Prüfung durch, bei der das Fortbestehen der Mängel trotz gegenteiliger Behauptungen des Unternehmens bestätigt wurde. Daher wurde von der französischen Datenschutzbehörde ein Sanktionsverfahren eingeleitet.

Für die Bestimmung der Geldbuße wurden insbesondere die Größe und die finanzielle Situation des Unternehmens berücksichtigt. Da das betroffene Pariser Unternehmen ein sehr kleines Unternehmen mit nur neun Mitarbeitern ist, wurde lediglich ein Bußgeld in Höhe von 20.000 € und ein Säumniszuschlag von 200 € pro Tag bei Nichtbefolgung ausgesprochen.

Kategorien: Allgemein · DSGVO
Schlagwörter:
1 5 6 7 8