Kategorie: DSGVO
18. November 2019
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat die polizeiliche Durchsuchung einer Wohnung veranlasst. Den Beschluss der Hausdurchsuchung stellte das Amtsgericht Erfurt aus.
Anlass hierfür war eine in der Nachbarschaft herumfliegende Drohne. Ein Nachbar des Drohnenbesitzers hatte sich scheinbar beschwert, dass der Pilot das Fluggerät mit einem Videomonitor steuere. Da die Drohne auch über andere Gärten fliege und sie dabei in die Nähe von Schlafzimmerfenstern komme, sei mithin eine massive Beeinträchtigung der Rechte und Freiheiten der Nachbarn wahrscheinlich.
In der Wohnung des Drohnenbesitzers hat man Datenträger sichergestellt. Diese würden nun ausgewertet.
14. November 2019
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber erklärte in einer Pressemitteilung vom 14.11.19, dass Webtracking nur noch mit expliziter Einwilligung der User möglich ist.
Wenn Website-Betreiber Dritt-Dienste wie z.B. Google Analytics auf ihrer Internet-Seite mit einbinden und diese die personenbezogenen Daten für eigene Zwecke nutzen, benötigen sie eine Einwilligung des Betroffenen. Diese muss datenschutzkonform sein und kann nicht durch Cookie-Banner oder voraktivierte Kästchen ersetzt werden.
Daher rief Ulrich Kelber die Website-Betreiber dazu auf ihre Websites auf Dritt-Dienste zu kontrollieren. Für einen datenschutzkonformen Einsatz dessen sollte der Website-Betreiber die Einwilligung der User einholen. Andernfalls wird zur Löschung der Dritt-Dienste geraten.
6. November 2019
Wie bereits am 10.07.2019 berichtet wurde, entwarf Bundesgesundheitsminister Spahn das Digitale-Versorgung-Gesetz.
Das neue Gesetz sieht eine digitale Speicherung der personenbezogenen Daten von 73 Millionen gesetzlich Versicherten vor. Das Einsehen einer digitalen Personenakte soll damit erleichtert werden.
Die Kritik am umstrittenen Gesetz beruht maßgeblich auf der Gefährdung des sensiblen Gesundheitsdatenschutzes. Insbesondere verzichtet das Gesetz auf eine Einwilligung für die Weitergabe der Patientendaten zu Forschungszwecken. Pseudonymisierte Abrechnungsdaten werden von den gesetzlichen Krankenkassen an den Spitzenverband weitergeleitet. Nach nochmaliger Pseudonymisierung können diese Daten dem Forschungsdatenzentrum zur Verfügung gestellt werden. Dieses leitet anonymisierte und zusammengefasste Ergebnisse auf Antrag an Wissenschaftlerinnen und Forscher weiter. Zusätzlich kritisiert wird der Ausschluss des Widerrufsrechts. Es bleibt abzuwarten, ob der Bundestag das Digitale-Versorgung-Gesetz in dieser Form morgen beschließt.
5. November 2019
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30.10.2019 den deutschlandweit bisher höchsten Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Der Verstoß gegen die DSGVO bestand in der Verwendung eines rechtswidrigen Archivsystems. Dieses verhinderte das Entfernen von nicht mehr erforderlichen personenbezogenen Daten von Mieterinnen und Mietern. Dadurch wurden die personenbezogenen Daten ohne Überprüfung der Rechtmäßigkeit der Verarbeitung fortwährend gespeichert. Obwohl der Zweck zur Datenerhebung bereits entfallen war, konnten die Daten zu persönlichen und finanziellen Verhältnissen der Betroffenen noch jahrelang eingesehen werden. Nachdem die Aufsichtsbehörde bereits im Juni 2017 auf die Missstände hingewiesen hatte, waren die rechtswidrigen Speichermethoden bei erneuter Kontrolle im März 2019 noch nicht beseitigt. Es konnte weder eine Bereinigung des Archivs nachgewiesen, noch Rechtsgründe für die weitere Speicherung der Daten vorgebracht werden.
Die Aufsichtsbehörde stützt ihren Bußgelderlass auf einen Verstoß gegen Art. 25 I und Art. 5 DSGVO im Zeitraum von März 2018 bis März 2019. Der gesetzliche Bußgeldrahmen, bemessen an dem Jahresumsatz der Deutsche Wohnen SE von über einer Milliarde Euro, lag bei 28 Millionen Euro. Zur Bestimmung des Bußgeldbetrages wurde der Verantwortlichen das bewusste Anlegen des Archivsystems und der lange Zeitraum des Verstoßes zulasten gelegt. Positiv wurden die Mitwirkungsbereitschaft gegenüber der Aufsichtsbehörde und die Vorbereitungsmaßnahmen zur Verbesserung des Systems berücksichtigt. Zusätzlich konnte kein missbräuchlicher Zugriff auf die personenbezogenen Daten nachgewiesen werden. Aus einer Gesamtabwägung ergab sich der Mittelwert von 14,5 Millionen Euro Bußgeld. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Die Stadtverwaltung Berlin analysiert mit Beginn des heutigen Tages den Schadstoffausstoß von Kraftfahrzeugen. Dies gab die Stadtverwaltung in einer Pressemitteilung bekannt.
So würden zu Zwecken des Umweltschutzes Kennzeichen der Fahrzeuge mittels Videokameras erfasst und einem Schadstoffausstoß zugeordnet. Die Kennzeichenerhebung würde jedoch ausdrücklich nicht zur Ahndung von Verstößen gegen die Umweltzone genutzt. Vielmehr würden ausschließlich das Kennzeichen, nicht aber ein Bild des Fahrzeugs oder gar der Insassen registriert und der Zulassungsbehörde ohne Ortsangaben mitgeteilt. Auch eine Abfrage der Halterdaten würde nicht erfolgen.
Diese Form der Kennzeichenerhebung sei im Vorfeld mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit abgestimmt worden. Die automatisierte Auswertung der Kennzeichen erfolge unter Berücksichtigung der Datenschutzgrundverordnung und des Berliner Datenschutzgesetzes.
4. November 2019
Heute präsentierte Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg, die Ergebnisse der diesjährigen Umfrage zum Stand der Umsetzung des Datenschutzrechts in den Gemeinden. Von den 1101 angefragten Gemeinden haben 986 (88 %) an der Online-Umfrage teilgenommen.
Im Ergebnis fühlen sich viele Gemeinden durch die DSGVO
stark belastet und es fehlen – insbesondere in kleinen Gemeinden – personelle
und zeitliche Ressourcen für den Bereich Datenschutz. In vielen Fällen sind die
Zustände im Bereich der Datensicherheit unzureichend. Die Gemeinden fordern vom
LfDI mehr Unterstützung und Beratung. Bemängelt wird außerdem die fehlende Zusammenarbeit
zwischen den Kommunen im Bereich des Datenschutzes.
In diesem Zusammenhang hat der LfDI heute eine aktuelle Broschüre zum Thema Datenschutz in den Gemeinden veröffentlicht. „Den Ruf nach mehr praxisorientierter Unterstützung habe ich gehört.“, führte Brink dazu aus. Darüber hinaus kündigte er an, dass das für nächstes Jahr geplante Schulungs- und Fortbildungszentrum beim LfDI „als Schwerpunkt auch bedarfsgerechte Veranstaltungen und Seminare für den kommunalen Bereich anbieten“ wird.
Die ausführliche Auswertung der Umfrage kann auf der Website des LfDI abgerufen werden.
28. Oktober 2019
Das Gesetz soll die Sicherheit und Qualität von Implantationen verbessern. Abstriche werden beim Datenschutz gemacht. Das Gesetz enthält eine Beschränkung der Rechte der betroffenen Patientinnen und Patienten.
Der Deutsche Bundestag hat am 26. September 2019 in 2./3. Lesung das „Gesetz zur Errichtung eines Implantateregisters Deutschland und zu weiteren Änderungen des Fünften Buches Sozialgesetzbuch“ (Implantateregister-Errichtungsgesetz, EIRD) beschlossen. Es soll am 1. Januar 2020 in Kraft treten
Damit die Aussagefähigkeit des Registers gewährleistet werden könne, ist die Meldung an das Register für Gesundheitseinrichtungen, gesetzliche und private Krankenversicherungen und Patienten verpflichtend. Dadurch ist das Recht auf Widerspruch gegen die Datenverarbeitung, welches dem Patienten eigentlich nach Art. 21 DSGVO zusteht, ausgeschlossen. Ebenso verhält es sich mit dem Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, dieses wird ebenfalls durch den § 26 EIRD ausgeschlossen. Und das, obwohl es sich bei den Patientendaten um besonders sensible Daten im Sinne des Art. 9 DSGVO handelt, welche besonders schutzwürdig sind.
Die Registerstelle für die zentrale Datensammlung wird beim Deutschen Institut für Medizinische Dokumentation und Information (DIMDI) errichtet.
26. September 2019
In immer mehr Städten sind E-Scooter schon unterwegs. Jeder Nutzer sollte sich trotzdem Gedanken darüber machen, dass die Nutzung eines E-Scooters einen erheblichen Eingriff in die Privatsphäre von Nutzern darstellen könnte. Der Hamburger Datenschutzbeauftragte Johannes Caspar bestätigt dies mit seiner Aussage: „Diese neue Form urbaner Mobilität wird von vielen Anbietern nur unter einem erheblichen Eingriff in die Privatsphäre von Nutzern zur Verfügung gestellt.“
Wer diese neue Form urbaner
Mobilität leihen will, braucht eine App und eine Registrierung. Bei der
Registrierung erheben die E-Scooter-Anbieter nicht nur Kontaktdaten,
Kontodaten und Daten zur Nutzung des Internetangebots, sondern auch Standortdaten
(Start- und Abstellort sowie Fahrverlauf), Daten von verlinkten
Drittanbieterdiensten sowie Daten von Marketing- und Werbepartnern des
Anbieters. Auf diese Weise könnten die E-Scooter-Anbieter Bewegungsprofile
jedes einzelnen Nutzers erstellen.
Die Bewegungsprofile der Nutzer
sind wirtschaftlich von besonderer Bedeutung nicht nur für die Anbieter,
sondern auch für Geschäftspartner, Werbetreibende und für lokale Verkäufer von
Waren und Dienstleistungen. Der Hamburger Datenschutzbeauftragte kritisierte,
dass diese Daten „Treibstoff für digital
getriebene Geschäftsprozess“ sind.
Johannes Caspar erklärt zudem,
dass die Datenschutzhinweise defizitär seien. Außerdem ist sehr unklar, welche
Daten zu welchen Zwecken von den jeweiligen Anbietern erhoben werden. Deswegen
sind „die Datenschutzbestimmungen der
Anbieter kritisch durchzusehen“. Er empfiehlt: „Bei Verdacht auf Datenschutzverletzungen kann eine Beschwerde bei der
örtlichen oder der für den Anbieter zuständigen Datenschutzbehörde eingelegt
werden.“
18. September 2019
Insbesondere nach den Vorfällen in Voerde und Frankfurt am Main wollen
die Bundesregierung und die Bahn mehr Videoüberwachung und Polizeipräsenz auf
den Bahnhöfen einsetzen, um die Sicherheit an Bahnhöfen zu erhöhen.
Die intelligente Videoüberwachung und die biometrische Gesichtserkennung an
Bahnhöfen können künftig ein wichtiges Unterstützungsinstrument insbesondere
für die Bundespolizei sein. Auf diese Sicherheitsmaßnahmen einigten sich
der Bundesinnenminister Horst Seehofer
und der Bundesverkehrsminister Andreas Scheuer bei einem Treffen mit dem DB-Infrastrukturvorstand
Ronald Pofalla.
Für die Modernisierung der Videotechnik an Bahnhöfen sind bis 2023
bereits 70 Millionen Euro vorgesehen. Der Bundesverkehrsminister teilte
mit, dass das Verkehrsministerium weitere
50 Millionen Euro ausgeben will, die der
Bundestag noch genehmigen muss. Hinzu kommen noch 12,5 Millionen Euro von der
Deutschen Bahn (DB).
Der geplante Einsatz der Gesichtserkennung ist sehr umstritten. Datenschützer sind skeptisch, da bisher dafür keine rechtliche Grundlage existiert. Sie halten den Einsatz biometrischer Gesichtserkennungssoftware in Überwachungskameras für rechtswidrig, da die Datenschutzgrundverordnung (DSGVO) die Erhebung biometrischer Daten mit dem Ziel, Personen zu identifizieren, grundsätzlich verbietet.
In welchem Umfang ein Einsatz von Videoüberwachung mit biometrischer Gesichtserkennung geplant sei, ist derzeit nicht bekannt. Eine Bundespolizei-Sprecherin erklärte lediglich, dass es für die Implementierung des Gesichtserkennungssystems an Bahnhöfen „aufgrund der damit verbundenen Grundrechtseingriffe zunächst einer klarstellenden Rechtsgrundlage im Bundespolizeigesetz“ bedürfe.
Die Bundespolizei hatte im Jahr 2017 am Berliner Bahnhof Südkreuz ein hochumstrittenes
Pilotprojekt mit Gesichtserkennungssoftware getestet. Trotz die mittelmäßigen
Erkennungsraten, wertete die Bundespolizei die Ergebnisse als großen Erfolg. Dazu
hat der Bundesdatenschutzbeauftragte
Ulrich Kelber mitgeteilt: „Losgelöst von der Frage, wie effektiv diese Art
der Überwachung überhaupt ist, fehlt es für eine flächendeckende biometrische
Videoüberwachung nach wie vor an einer konkreten gesetzlichen Rechtsgrundlage„.
11. September 2019
Das Bundesverwaltungsgericht muss heute über einen Fall aus Schleswig-Holstein entscheiden und dabei beurteilen, wie weit die Mitverantwortung eines Unternehmens, das eine Seite bei Facebook betreibt, geht. Wie wir bereits berichtet haben hat der Europäische Gerichtshof (EuGH) bereits im vergangenen Jahr entschieden, dass eine datenschutzrechtliche Mitverantwortung anzunehmen ist.
Im Fall, über den das Bundesverwaltungsgericht heute zu entscheiden hat, hatte die Landesdatenschutzbehörde in Schleswig-Holstein geklagt. Die Wirtschaftsakademie des Bundeslandes sollte ihre Facebook-Seite deaktivieren, weil dort personenbezogene Daten erhoben wurden, ohne dass die Nutzer davon wussten.
Allerdings dürften die Richter des Bundesverwaltungsgerichtes kaum anders entscheiden als der EuGH, weshalb das Facebook-Urteil weitreichende Folgen hätte. Zum einen für Unternehmen, die solche Seiten unterhalten, aber möglicherweise auch für Profilseiten anderer sozialer Netzwerke.
