4. Dezember 2018
Angriffe von Hackern auf IT-Systeme dienen oftmals der Erlangung personenbezogener Daten. Von besonderem Interesse und Wert sind dabei vor allem auch Kreditkarteninformationen. Nun wurde bekannt, dass der Marriott-Konzern, eine der weltweit größten Hotelketten, Opfer groß angelegter Cyberattacken wurde. Das Unternehmen gab bekannt, dass persönliche Daten von möglicherweise bis zu 500 Millionen Gästen gestohlen wurden. Im Mittelpunkt der Cyberattacken stand dabei die Tochtermarke Starwood, die von Marriott im Jahr 2016 für rund 13,6 Milliarden Dollar gekauft wurde. Zu Starwood gehören unter anderem die Hotels Westin, St. Regis, Le Méridien und W Hotels. Nun wurde bekannt, dass die von den Starwood Hotels eingesetzte Datenbank zum Management von Gästereservierungen seit 2014 regelmäßig von Hackerangriffen betroffen war. Bei diesen Attacken wurden unter anderem Namen, Geburtsdaten, Passinformationen, E-Mail – Adressen und die Aufenthaltszeiträume von Hotelgästen entwendet. Darüber hinaus konnten die Hacker wohl auch von einigen Hotelgästen die in der Datenbank hinterlegten Kreditkarteninformationen, samt den zur Entschlüsselung notwendigen Daten, erlangen. Nachdem die Angriffe dem Marriott-Konzern intern bekannt wurden, wurden die zuständigen Ermittlungsbehörden eingeschaltet. Weiterhin kündigte Marriott an, dass die von der Cyberattacke betroffenen Hotelgäste zeitnah per Mail hierüber informiert werden würden und das die IT-Systeme der Tochtermarke Starwood ausgemustert werden sollen. Das Bekanntwerden dieser Datenpanne führte dazu, dass der Kurs der Marriott-Aktie kurzfristig um bis zu 6 Prozent nachgab.
3. Dezember 2018
Überwachungskameras in der Nachbarschaft verstoßen nicht gegen gesetzliche Regelungen, sofern sie nur das eigene Grundstück und nicht auch das des Nachbarn filmen. Ein ”Überwachungsdruck” ist für einen Eingriff in das Allgemeinen Persönlichkeitsrecht, nach einer Entscheidung des Amtsgerichts München vom 22.11.2018, nicht ausreichend (Az.: 213 C 15498/18).
Die Grundstücke der Beteiligten liegen nebeneinander. Die Kläger bewohnen ein Haus mit angebautem Wintergarten, der Beklagte bewohnt das unmittelbar an die Wintergarten-Seite angrenzende Grundstück. Aufgrund von mehrfachen Beschädigungen des Grundstücks des Beklagten, in der Vergangenheit, installierte dieser zwei Überwachungskameras.
Die Überwachungskameras lösten bei den Klägern Unbehagen aus, weil diese befürchteten, dass ihre im Garten bzw. Wintergarten spielenden Kinder und sie selbst von den Kameras aufgezeichnet werden. Deswegen zeigten sie den Beklagten bei der Polizei an. Im Rahmen einer Durchsuchung wurde das Grundstück des Beklagten, insbesondere die Aufzeichnungen und die Ausrichtung der Kameras, von der Polizei gesichtet. Dabei wurde festgestellt, dass ausschließlich das Grundstück des Beklagten aufgezeichnet wird und die Kameras nur manuell verstellt werden können.
Die Kläger wandten ein, dass der Beklagte den Winkel der Kameras in Ansehung der Durchsuchung geändert hätte, jedenfalls bestehe aber ein Überwachungsdruck dadurch, dass der Winkel der Kameras geändert werden könnte.
Dies sah die zuständige Richterin anders und gab dem Beklagten Recht. Der Überwachungsdruck allein kann in dem hiesigen Fall keine Verletzung des Allgemeinen Persönlichkeitsrechts darstellen. Darüber hinaus müsse vorliegend berücksichtigt werden, dass die Kläger ihrerseits ebenfalls eine Kamera an der Vorderseite des Hauses installierten haben, welche nicht nur das Grundstück sondern auch Teile des öffentlichen Gehwegs filmt.
30. November 2018
Zutreffend ist, dass das KDG im Gegensatz zur DSGVO in § 8 Abs. 2 ausdrücklich die Schriftform der Einwilligung fordert. Allerdings findet sich ebendort die Einschränkung „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Damit sind durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss.
Die Deutsche Bischofskonferenz (DBK) weist die Kritik zurück, der kirchliche Datenschutz sei strenger als das EU-Recht.
Zwar fordert das KDG im Gegensatz zur DSGVO explizit die Schriftform, es seien aber durch eine Öffnungsklausel “durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss”. Die DBK betont, dass das kirchliche Gesetz “mit seiner Forderung einer schriftlichen Einwilligung nicht von der DSGVO abweichen und strenger sein wollte als diese, sondern lediglich konkreter und damit anwenderfreundlicher”.
Darüber hinaus schreibt auch die DSGVO in Art. 7 vor, dass der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Wie soll dieser Nachweis erfolgen, wenn die Einwilligung nicht schriftlich erfolgt?
Neuer Bundesdatenschutzbeauftragter ist Ulrich Kelber, der seit dem Jahr 2000 für die Partei SPD im Bundestag vertreten ist. Mit seiner Wahl, bei der er 444 Stimmen der Abgeordneten bekam, folgt er auf Andrea Voßhoff.
Der neue Leiter der höchsten deutschen Datenschutzbehörde war unter anderem als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig. Kelber bringt darüber hinaus einschlägige Berufserfahrung als IT-Experte mit sich.
Interessanter Nebenaspekt ist dabei der in den einschlägigen Fachforen bereits diskutierte Auswahlprozess des neuen Bundesbeauftragten für Datenschutz. In ihrem Art. 53 bestimmt die Datenschutz-Grundverordnung (DSGVO) eigentlich folgendes:
“Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird (…).”
Die Wahl Kelbers dagegen verlief, wie bislang üblich, auf Vorschlag der Bundesregierung. Entsprechend gab es keine Ausschreibung, die womöglich die von der DSGVO intendierte Transparenz gefördert hätte. Ob und welche Auswirkungen dies haben könnte, ist dabei unklar.
Über die fachliche und persönliche Qualifikation des IT-erfahrenen Kelber sei damit selbstverständlich keine Aussage getroffen.
28. November 2018
Ein kurzes Video der norwegischen Verbraucherschutzorganisation zeigt wie mittels Googles Tracking von Nutzer-Standorten ein ausführliches Bild über religiöse und politische Überzeugungen, den Gesundheitsstand und die sexuelle Orientierung gemacht werden kann.
Android-Smartphones besitzen eine Funktion des automatischen Standortverlaufs, die die Bewegungen des Nutzers aufzeichnet und dafür sorgt, dass Googles Dienste wie z.B. Google Now ordnungsgemäß funktionieren. Die gesammelten Daten werden dann für die Optimierung der Suchfunktionen, aber auch für die gezielte Werbung genutzt. Dabei werden verschiede Tricks verwendet um die Abschaltung der Standort-Ortung durch Nutzer zu vermeiden.
Europäische Verbraucherschutzverbände aus Norwegen, den Niederlanden, Griechenland, Tschechien, Slowenien, Polen und Schweden sehen in dem Googles Tracking von Nutzer-Standorten ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und wollen bei ihren jeweiligen Datenschutzbehörden Beschwerde einlegen. Nach Ansicht der Verbraucherschutzverbände fehle Google ein ausreichender rechtlicher Grund um diese Daten zu verarbeiten.
Google-Sprecher verweist nach dem Vorwurf der Verbraucherschützer auf die Möglichkeit des Ausschaltens der Tracking-Funktion, jedoch teilt ebenfalls mit, dass die Standort-Ortung auch nachdem sie ausgeschaltet sei, weiter Standort-Daten zur Nutzungsverbesserung sammele.
Es bleibt daher abzuwarten, ob die Beschwerde eingelegt wird und wie sich der Verbraucherzentrale Bundesverband in Deutschland zu diesem Thema äußert.
Nach der neuen Rechtslage der DSGVO gibt es keine ausdrückliche Regelung zur Videoüberwachung mehr. Zwar enthält das BDSG-neu eine Regelung zur Videoüberwachung, die inhaltlich mit der ursprünglichen Regelung des § 6b BDSG a.F. in großen Teilen übereinstimmt. Allerdings ist nicht klar, ob diese Regelung nicht europarechtswidrig ist, da umstritten ist, ob für den Erlass einer solchen Vorschrift durch den nationalen Gesetzgeber eine Ermächtigungsnorm besteht.
Nicht öffentlichen Stellen ist daher zu empfehlen, eine Videoüberwachung (zumindest vorerst bis zur Klärung der Rechtslage) nicht auf § 4 BDSG-neu zu stützen, sondern auf die allgemeine Ermächtigungsnorm des Art. 6 Abs. 1 lit. f DSGVO. Hiernach hat eine Interessensabwägung zwischen den eigenen Interessen und den Interessen der betroffenen Personen stattzufinden.
Ebenfalls berücksichtigt werden sollten
• die Informationspflichten nach Artt. 12 ff. DSGVO, wonach über die Videoüberwachung durch Hinweisschilder und die weiteren gesetzlich normierten Informationen (bspw. durch einen Aushang) transparent aufzuklären ist,
• die Aufnahme des Verfahrens in das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO und
• eine eventuell durchzuführende Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO bei einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen. Dies gilt in jedem Fall bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Räume (Art. 35 Abs. 3 lit. c DSGVO).
Nachdem die bayrische Stadt Roth die Wunschzettel-Aktion auf dem diesjährigen Weihnachtsmarkt aufgrund von Datenschutzgründen für nicht durchführbar erklärte (wir berichteten), hat nun die Gemeinde Holzkirchen in Bayern bekanntgegeben, dass es für Bedürftige dieses Jahr keinen Weihnachtszuschuss gäbe. Grund hierfür sei, dass das Landratsamt Miesbach die personenbezogenen Daten der Bedürftigen nicht mehr für den Zweck des Weihnachtszuschusses herausgeben dürfe.
Um Bedürftigen zukünftig dennoch eine finanzielle Hilfe anbieten zu können, plane die Gemeinde nächstes Jahr den Bedürftigen den Weihnachtszuschuss in Form eines Gutscheinmodells zukommen zu lassen.
27. November 2018
Ein Jahr lang hat der Fahrdienst-Vermittler Uber über ein massives Datenleck geschwiegen, bei dem 57 Millionen Nutzerdaten gestohlen wurden. Abgegriffen wurden Namen, E-Mail-Adressen und Telefonnummern.
In den Niederlanden waren rund 174.000 Bürger Opfer des Hacker-Angriffs geworden. Der Diebstahl hatte sich bereits 2016 ereignet und wurde erst ein Jahr später im Dezember 2017 bekannt gemacht.
Am Dienstag verhängte die niederländische Datenschutzbehörde eine Strafe von 600.000 Euro mit der Begründung, dass Uber diese Datenpanne nicht innerhalb der vorgegebenen Frist von 72-Stunden nach der Entdeckung gemeldet habe.
22. November 2018
Das soziale Netzwerk Knuddels.de muss ein Bußgeld in Höhe von 20.000 Euro zahlen, weil Passwörter von Nutzern unverschlüsselt gespeichert worden sind. Damit habe das Unternehmen aus Karlsruhe gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte Stefan Brink mit. Laut Brink ist dies die erste Strafe nach DSGVO in Deutschland.
Infolge des Angriffs im September waren nach Darstellung des Unternehmens im Internet rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter veröffentlicht worden.
Nach dem Tod einer Person stellt sich für die Angehörigen oder die sonstigen Erben oftmals die Notwendigkeit der Beantragung eines Erbscheins beim Nachlassgericht. Mit Einreichung der entsprechenden Anträge prüft das Nachlassgericht, ob die Voraussetzungen für die Ausstellung eines Erbscheins vorliegen. Falls der Verstorbene im Wege einer einseitigen Verfügung von Todes wegen selbst seine Erben bestimmt hat, prüft das Nachlassgericht vor der Ausstellung des Erbscheins unter anderem, ob es möglicherweise Anlass zu Zweifeln an der Testierfähigkeit des Erblassers gibt. Um aufzuklären, ob beispielsweise die Testierfähigkeit des Verstorbenen aufgrund gesundheitlicher Beeinträchtigungen nicht mehr gegeben war, kann sich das Nachlassgericht mit der Bitte um Übermittlung der Patientenakte an den behandeln Arzt wenden.
Bei einem Nachlassverfahren handelt es sich um ein Verfahren, für welches das Gesetz über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit (FamFG) einschlägig ist. §§ 26, 29 FamFG ermächtigt die Nachlassgerichte dabei die entscheidungserheblichen Tatsachen unabhängig vom Parteivorbringen von Amts wegen in geeigneter Form zu ermitteln, sodass sich das Nachlassgericht direkt mit einer entsprechenden Bitte um Übermittlung der Patientenakte an den behandelnden Arzt wenden kann.
Für den behandelnden Arzt stellt sich sodann die Frage, wie er mit dieser an sich statthaften Bitte des Nachlassgerichts umgehen soll. Aus der Bitte des Nachlassgerichts folgt nämlich nicht immer auch zwingend die Befugnis zur Übermittlung der besonders geschützten medizinischen Daten. Für den Arzt ist hierbei insbesondere relevant, dass die unbefugte Weitergabe fremder Geheimnisse – zu denen auch die Behandlungsdaten eines Patienten gehören – nach § 203 Abs. 1 StGB eine Straftat darstellt, die mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bestraft werden kann. Bei einer entsprechenden Bitte um Übermittlung der Patientenakte hat der Arzt demnach genau zu prüfen, ob für ihn auch eine Befugnis zur Übermittlung besteht.
Eine Befugnis zur Offenbarung von Geheimnissen im Sinne von § 203 StGB kann sich aus einer gesetzlichen Ermächtigungsnormen oder aus einer Einwilligung des Betroffenen ergeben. Für den Fall einer Übermittlung an ein Nachlassgericht besteht zur Zeit keine spezialgesetzlich normierte Ermächtigungsgrundlage. Im oben skizzierten Fall ist das Einholen einer Einwilligung in Form einer Entbindung von der Schweigepflicht aufgrund des Todesfalls jedoch nicht mehr möglich. Da es sich bei dem über § 203 StGB geschützten allgemeinen Persönlichkeitsrecht um ein höchstpersönliches Rechtsgut handelt, das grundsätzlich nicht auf die Hinterbliebenen übergeht, besteht für auch die Hinterbliebenen nicht die Möglichkeit, den Arzt von seiner Schweigepflicht zu entbinden.
In einem solchen Fall kann jedoch gegeben falls ein Rückgriff auf eine vermutete Einwilligung des Verstorbenen als Rechtfertigung im Sinne von § 203 StGB statthaft sein. Hierbei ist durch den behandelnden Arzt im Einzelfall einzuschätzen, ob der Verstorbene eine Offenbarung seiner Patientenakte gegenüber dem Nachlassgericht zu Zwecken der Feststellung seiner Testierfähigkeit zugestimmt hätte oder nicht. Falls dem behandelnden Arzt, etwa aufgrund von Äußerungen des Verstorbenen, Zweifel an einer solchen Zustimmung kommen, ist die Übermittlung an das Nachlassgericht nicht durch eine vermutete Einwilligung zu rechtfertigen. Sollten dem behandelnden Arzt hingegen keine Einwände des Verstorbenen gegen eine Übermittlung zum Zwecke der Feststellung der Testierfähigkeit bekannt sein, dann greift noch immer regelmäßig die Vermutung des Bundesgerichtshofs, dass dem Verstorbenen daran gelegen war, Zweifel über seine Testierfähigkeit nach Möglichkeit auszuräumen. Das wohlverstandene Interesse des Verstorbenen sei nicht darauf gerichtet, zu verbergen, dass er testierunfähig sei, da damit vielfach gerade die seinem Schutz dienenden Vorschriften zur Testierfähigkeit in vielen Fällen unterlaufen würden.
Gerne unterstützen wir Sie bei diesbezüglichen und weiteren Fragestellungen aus dem Bereich des Gesundeitsdatenschutzes durch entsprechende Beratungsleistungen.
Pages: 1 2 ... 100 101 102 103 104 ... 275 276 
