8. November 2018
Die Digitalisierung im Gesundheitswesen bringt einige Vorteile mit sich, so werden beispielsweise Möglichkeiten geschaffen, die Versorgung zu verbessern und die Arbeit effizienter zu gestalten. Dies stellte die Personalberatung Rochus Mummert Healthcare Consulting in einem neuen Gutachten heraus, in dem 360 Führungskräfte in deutschen Krankenhäusern und Pflegeeinrichtungen befragt wurden. Unter den Studienteilnehmern sind rund die Hälfte in öffentlich-rechtlichen Krankenhäusern beschäftigt, 20 Prozent in privatwirtschaftlichen und konfessionellen Krankenhäusern sowie circa 10 Prozent in freigemeinnützigen oder sonstigen Einrichtungen.
Rund 71 Prozent der Studienteilnehmer sind der Ansicht, dass die Digitalisierung in Kliniken und anderen Pflegeeinrichtungen die Versorgung der Patienten verbessern kann. Darüber hinaus sehen 64 Prozent die Möglichkeit zur Kosteneinsparung, insbesondere deshalb, weil die Digitalisierung dazu beitragen kann, unnötige Untersuchungen und Behandlungen zu vermeiden.
Jedoch stehen diesen positiven Auswirkungen der Digitalisierung auch erhöhte Risiken entgegen. So berichten 43 Prozent der Befragten, dass sie bereits Ziel eines Hackerangriffs geworden sind. Fast ein Drittel (31 Prozent) kann nicht ausschließen, schon einmal unbemerkt Opfer eines Cyber-Kriminellen geworden zu sein.
Bei den Daten in Klinken und Pflegeeinrichtungen handelt es sich überwiegend um sensible personenbezogene Daten, die besonders schutzbedürftig sind. Bei der zunehmenden Digitalisierung, die zwar erhebliche Vorteile mit sich bringt, dürfen Risiken, insbesondere die datenschutzrechtlichen Risiken, nicht außer Acht bleiben.
Um diesen Risiken entgegenzuwirken, muss mehr in die IT-Sicherheit und den Datenschutz investiert werden, beispielsweise durch umfassende IT-Sicherheitsprüfungen, Schulungen und weitere Schutzmaßnahmen, die einen Zugriff von außen durch unberechtigte Dritte verhindern.
7. November 2018
Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.
Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.
Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.
Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.
6. November 2018
Immer noch umstritten ist die Frage, ob Verstöße gegen das Datenschutzrecht von Wettbewerbern abgemahnt werden können. Mittlerweile haben sich zwei Gerichte mit unterschiedlichen Ergebnissen damit auseinandergesetzt. Im Gegensatz zu den Richtern des Landgerichts Bochum bejahen die Richter am Landgericht Würzburg die Abmahnfähigkeit von Datenschutzrechtsverstößen.
Das Landgericht Würzburg entschied dies im Falle einer Rechtsanwältin, die mit ihrer Datenschutzerklärung auf ihrer Homepage nicht den gesetzlichen Anforderungen der DSGVO gerecht wurde. Eben dieser Verstoß führe weiterhin zu einem Wettbewerbsverstoß, der abmahnfähig sei.
Im Falle eines Online-Händlers, der seinen Informationspflichten auf seiner Website nicht nachgekommen war, hat das Landgericht Bochum entschieden, dass der Wettbewerber trotz des Verstoßes gegen Artikel 13 DSGVO keinen Anspruch auf Unterlassung habe. Begründet wurde dies damit, dass die DSGVO in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthalte. Ein Argument dafür sei, dass die DSGVO eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthalte. Danach stehe nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Daraus sei zu schließen, dass der Unionsgesetzgeber wohl eine Erstreckung auf Mitbewerber des den Bestimmungen nicht eingehaltenen Wettbewerbers nicht zulassen wolle.
Entscheidend für die Anwendbarkeit des Datenschutzrechts ist der Personenbezug von Daten. Nach dem Wortlaut der DSGVO liegen personenbezogene Daten vor, wenn Informationen einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können (Art. 4 Nr. 1 DSGVO). Die Qualifikation als personenbezogenes Datum ist manchmal jedoch schwieriger als es die Definition auf den ersten Blick verspricht. In der Rechtsprechung haben sich daher insbesondere zwei Theorien entwickelt, um die Bestimmung zu vereinfachen. So kann es einerseits bei der Herstellung des Personenbezugs auf das Wissen und die Mittel irgendeiner beliebigen Person ankommen (absolute Theorie) oder andererseits auf das Wissen und die Mittel der datenverarbeitenden Stelle (relative Theorie).
Zu unterscheiden sind personenbezogene Daten jedoch zunächst von Sachdaten und aggregierten Daten. Anders als personenbezogene Daten beziehen sich Sachdaten – wie bereits der Wortlaut vermuten lässt – nicht auf Personen sondern ausschließlich auf eine Sache. Demgegenüber beziehen sich aggregierte Daten auf eine Personengruppe und lassen daher keinen Rückschluss auf eine individuelle Person zu. Der Anwendungsbereich der DSGVO ist nicht eröffnet, wenn kein Personenbezug besteht. Zu tragen kommt diese Abgrenzungsfrage z.B. bei Informationen, die im Rahmen der Nutzung eines Kfz erhoben werden können. Informationen wie z.B. der Bremsweg, der Tachostand oder der Benzinverbrauch geben zunächst nur Informationen über das Fahrzeug. Lassen sich diese Informationen aber einen Fahrer oder Fahrzeughalter zuordnen, geben diese Daten Informationen über die Fahrweise oder den Wert des KFZ. In diesen Fällen sind es keine Sachdaten, sondern personenbezogene Daten. Daher ist in Einzelfällen der Personenbezug erst mit weiterem Wissen eines Dritten herzustellen.
Die Frage nach der Anwendung der absoluten oder relativen Theorie ist umstritten. Um den – meist rechtstheoretisch geführten Streit – zu entscheiden bzw. um Argumente für die eine oder die andere Theorie zu finden können unter Anderem die gesetzgeberischen Erwägungsgründe, die der DSGVO zu Grunde liegen, herangezogen werden.
Erwägungsgrund 26 lautet hierzu wie folgt:
„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“
Erwägungsgrund 26 stellt zwar neben dem Verantwortlichen auch auf das Wissen Dritter ab. Dieser zunächst absolut klingende Ansatz wird dann aber wieder relativiert. Die Identifizierung der natürlichen Person durch den Verantwortlichen über das Zusatzwissen eines Dritten muss demnach auch nach objektiven Kriterien wahrscheinlich sein.
In dem Verfahren Breyer / Deutschland (Urt. v. 18.10.2016) geht auch der EuGH davon aus, dass der Verantwortliche auch auf Wissen und Mittel Dritter zurückgreifen kann, um den Personenbezug herzustellen. Es kommt dabei jedoch nicht auf das Wissen jedes beliebigen Dritten an. Vielmehr muss die Identifizierung der Person nach objektiven Kriterien wie Kosten, Arbeitsaufwand und bestehender gesetzliche Erlaubnis zur Identifizierung der Person wahrscheinlich sein.
Als Folge des umstrittenen und nicht klar entschiedenen Theorienstreits sollte in der Praxis stets aufgrund des vorliegenden und relevanten Sachverhaltes eine Einzelfallprüfung erfolgen, ob Daten personenbezogen sind oder es sich vielmehr um Sach- oder aggregierte Daten handelt.
5. November 2018
Für die Datenverarbeitung muss zwischen der Eintragung im Taufregister und der Berücksichtigung im elektronischen Melderegister unterschieden werden. Aufgrund der schriftlichen Benachrichtigung durch die zuständige Stelle, wird das für den Ausgetretenen bestehende Taufregister ermittelt und um die Eintragung des Kirchenaustritts ergänzt. Das Taufregister über eine Person wird grundsätzlich dort geführt, wo der Betroffene getauft wurde (Geburtsort). Dabei kann es sich um die Pfarrei handeln, in deren Bezirk die Eltern zum Zeitpunkt der Geburt ihren Wohnsitz hatten oder das Geburtskrankenhaus gelegen war. Eine Vernichtung des Taufregisters findet nicht statt. Es ist eine Gesamturkunde, die in ihrem Bestand zu schützen ist.
Darüber hinaus ist der Erhalt der Eintragung ausfolgenden Gründen erforderlich: a) weil nur so verhindert werden kann, dass der Ausgetretene weitere Sakramente empfängt (z.B. Ehesakrament), c) weil die Möglichkeit eines späteren Wiedereintritts in die Kirche oder einer Konversion besteht.
Der Kirchenaustritt führt zu einer Änderung des Melderegisters. Von den Meldebehörden erhält die Kirche regelmäßig einen Änderungsdienst, der auch die Kirchenaustritte berücksichtigt. Aufgrund dieser Meldung wird dann das Gemeindemitgliederverzeichnis nach § 4 KMAO berichtigt. Der Ausgetretene wird also im kirchlichen Meldewesen nicht mehr erfasst!
26. Oktober 2018
Apple-Chef Tim Cook lobt im Rahmen seiner Teilnahme an der 40. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (ICDPPC), welche vom 21.10.-26.10. 2018 in Brüssel stattfindet, im EU-Parlament die europäische Datenschutzgrundverordnung. An der Konferenz nehmen neben den unabhängigen Datenschutzbehörden als akkreditierte Mitglieder auch Vertreter von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertreter aus Wissenschaft und Industrie teil.
Wie unter anderem die Süddeutsche Zeitung und das Handelsblatt am Mittwoch berichteten, forderte der Apple-Chef in seiner Rede im EU-Parlament weltweit ähnliche Datenschutzstandards. Cook warnt vor der Gefahr eines “Daten-industriellen Komplexes”. Gemeint ist die Sammelwut einiger großer Konzerne im Hinblick auf die persönlichen Daten ihrer Nutzer. Solche Daten würden als “Waffe mit militärischer Effizienz” eingesetzt. Mit den Daten der Nutzer werde ein milliardenstarkes Geschäft geführt. Die Daten würden “sorgfältig gesammelt, zusammengefasst, gehandelt und verkauft”.
Der Apple-Chef greift hier vor allem die Branchenriesen Google und Facebook an indem er die Verantwortung der Konzerne für Schaffung ausreichender Datenschutzstandards betont. Diese waren in der Vergangenheit im Zusammenhang mit der Frage nach einem ausreichenden Schutz der Daten ihrer Nutzer häufig Mittelpunkt einer globalen Diskussion rund um das Thema Datenschutz.
24. Oktober 2018
Die Verbraucherzentrale Sachsen wirft Facebook fehlende Rechtsklarheit vor und hat deshalb Klage gegen das Unternehmen erhoben.
„Jeder Nutzer hat das Recht zu wissen, was mit seinen Daten passiert und wer dafür verantwortlich ist. Es kann nicht sein, dass sich Facebook seiner Verantwortung entzieht“, teilte der Rechtsexperte Michael Hummel von der Verbraucherzentrale Sachsen mit.
Im Mittelpunkt steht die gemeinsame Verantwortlichkeit für Fanpages, die nach dem Europäischen Gerichtshof Facebook zusammen mit den Betreibern der Seite trägt. Dazu müsste Facebook entsprechende Vereinbarungen mit den Nutzern abschließen. Trotz Mahnungen von Verbraucherschützern die DSGVO-Vorgaben in dieser Hinsicht einzuhalten, hat Facebook seit dem Urteil im Juni nichts geändert.
„Mittlerweile hat uns Facebook durch seine Anwälte mitteilen lassen, dass man keine Verletzung von Verbraucherrechten erkennen könne. Mit der Klage soll Facebook nun seine Pflichten erfüllen und Verbraucher weitestgehend aus der Verantwortung nehmen“, erklärte Michael Hummel.
Ob eine DSGVO-Verletzung vorliegt oder nicht muss nun das Gericht entscheiden. Die Verbraucherzentrale rechnet damit, dass schon in einem Jahr ein Urteil ergehen könnte.
23. Oktober 2018
Die Portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) hat kürzlich bekanntgegeben, dass das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro für Verstöße gegen die DSGVO zahlen soll. Damit ist in Europa erstmals eine hohe Geldstrafe aufgrund der neuen Bußgeldrahmen der DSGVO verhängt worden.
Wie die Portugiesische Zeitung Público berichtet, hat das Krankenhaus gegen die DSGVO verstoßen, indem es zugelassen hat, dass zu viele Nutzer in dem Patientenverwaltungssystem des Krankenhauses Zugriff auf Patientendaten gehabt haben, obwohl diese nur für die Ärzte hätten einsehbar sein dürfen. Zudem seien in dem Krankenhaussystem zu viele Profile mit den Zugriffsberechtigungen eines Arztes erstellt worden – von insgesamt 985 aktiven Benutzern ist hier die Rede – obwohl 2018 nur 296 Ärzte angestellt waren.
Das Krankenhaus will nun gerichtlich gegen die Geldstrafe vorgehen.
Bei der Irischen Datenschutzaufsicht sind derzeit Verfahren gegen Facebook und Twitter eingeleitet, welche mehr Aufschluss zur Datensammlung dieser Unternehmen geben könnten. In diesem Zusammenhang schließt sich die Frage an, wann Unternehmen Auskunftsersuchen unter Umständen wegen einem unverhältnismäßigen Aufwand nicht beantworten müssen.
Hintergrund der Verfahren sind Beschwerden eines Forschers des University College in London. Dabei ging es ihm insbesondere um Informationen, die über sein Verhalten im Web außerhalb der großen Plattformen gesammelt werden. Bei Facebook sind das vor allem Daten, die über den sog. Facebook-Pixel erhoben werden, bei Twitter sind es Daten die gespeichert werden, wenn auf Links in Nachrichten geklickt wird, die über den Twitter-eigenen Linkkürzungsdienst t.co eingebunden werden. Aufgrund eines angeblichen unverhältnismäßigen hohen Aufwandes, lehnten beide Unternehmen eine dahingehende Auskunft ab.
Der Grundsatz der Transparenz in der Datenverarbeitung ist in Art. 15 DSGVO, dem Auskunftsrecht, festgehalten und dient dem effektiven Persönlichkeitsrechtsschutz.
Kann der Verantwortliche die Auskunft mit der Begründung eines unverhältnismäßigen Aufwands verweigern?
Art. 15 DSGVO gibt dem Wortlaut nach darüber keinen Aufschluss.
Gem. § 34 Abs. 1 Nr. 2 BDSG kann der Verantwortliche die Auskunft im Falle eines unverhältnismäßigen Aufwands ablehnen. Jedoch nur, wenn zusätzlich weitere Voraussetzungen erfüllt sind.
Eine Ablehnung allein aus Gründen der Unverhältnismäßigkeit ist danach unzureichend.
Gem. Erwägungsgrund 63 der DSGVO kann der Verantwortliche verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Dies gilt allerdings nur, wenn der Verantwortliche eine große Menge an Informationen über die betroffene Person verarbeitet.
Immerhin ein Unterfall der möglichen Ablehnung.
Nach Art. 11 Abs. 2 DSGVO gilt Artikel 15 DSGVO nicht, wenn der Verantwortliche nachweisen kann, dass er den Betroffenen nicht identifizieren kann.
Dies bezieht sich sowohl auf die Person des Antragstellers selbst, als auch auf die fehlende Zuordnungsmöglichkeit der den Antragsteller betreffenden Daten.
Teilweise wird vertreten, man könne mit einer Analogie zu Art. 14 Abs. 5 lit b DSGVO arbeiten. Dieser besagt, dass auf eine Information des Betroffenen verzichtet werden kann wenn diese einen unverhältnismäßigen Aufwand erfordert. (Härting, Datenschutz-Grundverordnung, Rn. 683/685)
Nach deutschem Recht soll eine derartige Analogie aber nicht notwendig sein, da auch auf den Grundsatz von Treu und Glauben zurückgegriffen werden könne. Dieser besagt u.a., dass die Parteien eines Rechtsverhältnisses Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils nehmen müssen.
Mit der Stellung des Auskunftsersuchens wird ein solches Rechtsverhältnis zwischen Antragsteller und Verantwortlichem begründet. Demnach könne sich auch der Verantwortliche im Einzelfall auf einen unverhältnismäßig hohen Aufwand berufen. (vgl. Gola, Datenschutzgrundverordnung 2. Auflage Rn. 38)
Fazit:
Nur im Ausnahmefall bzw. Einzelfall kann mit guter Begründung ein Auskunftsersuchen aufgrund unverhältnismäßigen Aufwandes verweigert werden.
Dabei wird der vertretbare Aufwand für Unternehmen (z.B. Kosten, Zeit und Arbeitskräfte) mit dem Schutzbedarf des Betroffenen (z.B. Sensibilität der Daten) ansteigen.
Nach Angaben der Bundespolizei und des Bundesinnenministeriums ist das Pilotprojekt zur Gesichtserkennung am Berliner Bahnhof “Südkreuz” ein voller Erfolg.
Der Chaos Computer Club (CCC) hat dem widersprochen und die Ergebnisse als “absichtlich geschönigt” bezeichnet. Das getestete System hätte kein akzeptables Ergebnis gebracht. Die Resultate seien “manipuliert worden um sie nicht ganz so desaströs aussehen zu lassen.”
Die behauptete Erkennungsrate von durchschnittlich 80% ergebe sich nur, wenn “alle drei getesteten Systeme die vorbeilaufenden Menschen erfassen und jeweils softwareseitig auswerten” ,erläuterte der CCC. Keines der getesteten Systeme habe diese Trefferquote alleine erreicht. Das durchschnittliche Ergebnis des Versuchs für das beste Testsystem habe eine Erkennungsrate von 68, 5 Prozent erreicht. Das schlechteste der drei Anbieter habe sogar nur eine Trefferquote von 18,9 Prozent erreicht.
Solche Erkennungsraten seien für den geplanten Abgleich mit polizeilichen Datenbanken “völlig unbrauchbar.” Der CCC wirft der Bundespolizei vor, dass wissenschaftliche Standards missachtet worden seien und fordert das “unnütze und teure Sicherheitstheater unverzüglich einzustellen.”
Pages: 1 2 ... 136 137 138 139 140 ... 308 309 
