Aktueller Stand der Umsetzung des EU-Telekommunikationspaketes in nationales Recht

1. Juni 2011

Am 25. Mai lief die Frist zur Umsetzung der überarbeiteten EU-Vorschriften für Telekommunikationsnetze und ‑dienste  (MEMO/09/491) in nationales Recht ab. Der deutsche Gesetzgeber hat die Änderungen bisher noch nicht umgesetzt, möchte diesen Missstand aber im Rahmen der Novellierung des Telekommunikationsgesetzes (TKG) beheben. Aktuell wird der Regierungsentwurf zur Novellierung des Telekommunikationsgesetzes im Bundestag beraten. Bisher letzter Schritt im laufenden Verfahren war dabei eine öffentliche Anhörung am 31.05.2011, bei der auch die von den Oppositionsfraktionen eingebrachten Anträge auf Verpflichtung zur Netzneutralität behandelt werden sollten.

Der maßgebliche Kernpunkt des Paketes sind erweiterte Verbraucherschutzvorschriften im Bereich des TK-Rechts:

  • Es soll möglich sein Festnetz- oder Mobilfunkbetreiber innerhalb eines Werktags ohne Änderung der Telefonnummer zu wechseln.
  • Die Vertragslaufzeit für Erstverträge darf höchstens 24 Monate betragen. Weiterhind sind die Dienstanbieter verpflichtet, Verträge über 12 Monate anzubieten, um den Kunden den Anbieterwechsel zu erleichtern.
  • Der Nutzer muss klarer über die bestellten Dienstleistungen informiert werden. Die Verträge müssen daher Angaben zum Mindestniveau der Dienstleistungsqualität enthalten. Vorrangig zu erteilen sind hierbei Auskünfte über Datenverkehrssteuerung (sog. Trafficshapping), sowie über etwaige sonstige Einschränkungen (Bandbreitendrosselung, Höchstbandbreiten, Blockierung bestimmter Dienste, wie VOIP etc.). Außerdem ist in den Verträgen anzugeben, welche Kompensations- und Erstattungsleistungen die Kunden erhalten, sollten diese Mindeststandards nicht eingehalten werden (näher dazu IP/11/486 und MEMO/11/319).

Ebenfalls umzusetzen sind Verbesserungen beim Online-Datenschutz und der Online-Sicherheit:

  • Der Datenschutz und die Verhinderung von „Spam“ (unerwünschte E-Mails) sollen verbessert werden.
  • Eine Benachrichtigungspflicht bei Datenschutzverletzungen wird vorgeschrieben.
  • Für die Handhabung von „Cookies“ und anderer Informationen, die auf dem Computer der Nutzers gespeichert sind, werden bessere Informations- und Zustimmungspflichten vorgeschrieben (vertiefend MEMO/11/320).

Um eine bessere Durchsetzung der neuen Regelungen zu ermöglichen, sollen nationalen Regulierungsbehörden größere Unabhängigkeit und als ultima ratio sogar die Möglichkeit erhalten, Telekommunikations­betreiber mit beträchtlicher Marktmarkt zu zwingen, ihren Netz- und Dienstleistungsbetrieb zu trennen, um einen diskriminierungsfreien Zugang anderer Betreiber zu gewährleisten. Weiterhin wurden der Kommission neue Aufsichtsbefugnisse erteilt, die es ihr ermöglichen, in Abstimmung mit dem Gremium der Europäischen Regulierungsstellen für elektronische Kommunikation (GEREK gegründet im Mai 2010 in Riga), wettbewerbsrechtliche Abhilfemaßnahmen für die Telekommunikations­märkte im Rahmen des Verfahrens nach Artikel 7 festzulegen. (se)

Update:

Die Europäische Kommission hat mittlerweile Deutschland und 19 weitere EU-Mitgliedsstaaten, welche die Richtlinie ebenfalls noch nicht vollständig umgesetzt haben, ermahnt dies innerhalb von zwei Monaten nachzuholen. Sollte auch diese Frist ungenutzt verstreichen, will die Kommission formelle Vertragsverletzungsverfahren gegen die  Mitgliedsstaaten anstrengen. Mit Dänemark, Estland, Finnland, Großbritannien, Irland, Malta und Schweden haben bisher erst sieben Mitgliedsstaaten die Richtlinie vollständig umgesetzt. (se)

 

Hacking-Angriff bei Neckermann

31. Mai 2011

Heute wurde bekannt, dass das Versandkaufhaus Neckermann Ziel eines Hacking-Angriffs geworden ist. Von rund 1.2 Millionen Gewinnspielteilnehmern sind  personenbezogene Daten in Form von Name und E-Mail-Adresse gestohlen worden. Die auf einem anderen Server vorgehaltenen Kundendaten des Onlineshops blieben dabei verschont.
Die Betroffenen wurden mittels elektronischer Post über den Vorfall informiert und u.a. davor gewarnt, keine E-Mails und insbesondere keine Anhänge von E-Mails unbekannter Absender zu öffnen und damit die unbemerkte Installation von Malware zu vermeiden. Es wurde außerdem eine Service-Hotline für besorgte Kunden eingerichtet, die zuständige Datenschutzbehörde wurde über den Vorfall in Kenntnis gesetzt und die Staatsanwaltschaft eingeschaltet.

Online-Zahlungsanbieter „Sofortüberweisung.de“ in der Kritik

Neben der Zahlung mit Kreditkarte oder PayPal bieten viele Online-Unternehmen inzwischen auch die Zahlung per Sofortüberweisung an. Der Online-Zahldienst Sofortüberweisung.de steht dabei nun in der Kritik: Bei einer Sofortüberweisung erfolgt eine „Kontodeckungsabfrage“, in der zahlreiche Kontodaten erfasst und überprüft werden, worüber der Nutzer jedoch nur unzureichend informiert wird.

Der Anbieter interessiert sich neben Kontostand, den Umsätzen der letzten 30 Tage und Auslandsüberweisungen auch dafür, ob der Nutzer Dispokredite und andere Konten bei derselben Bank besitzt. Der Betreiber Payment Network, rechtfertigt sich damit, dass man diese Informationen benötige, um die notwendige Deckung des Kontos zu überprüfen. Es sei möglich, dass der aktuelle Kontostand durch andere Überweisungsaufträge nicht dem tatsächlich verfügbaren Einkommen entspräche.

Kritisiert wird dabei aus datenschutzrechtlicher Sicht, dass dem Kunden der Umfang der Datenabfrage nicht bewusst ist, da er eine „Kontodeckungsabfrage“ primär mit dem Kontostand assoziiere. Zudem sei eine so weit gehende Kontrolle nicht erforderlich.

Payment Network selbst hält sein Vorgehen für rechtlich zulässig, bietet jedoch eine rechtliche Überprüfung seiner AGB an.

Selbst wenn das Unternehmen sein Vorgehen künftig so weiterführen darf, ist es nicht unwahrscheinlich, dass zahlreiche Nutzer nach Aufklärung über die Vorgehensweise bei Sofortüberweisung.de künftig lieber zu anderen Zahlungsmethoden greifen. Denn das datenschutzrechtliche Bewusstsein nimmt bei Konsumenten zu und freiwillige Datenschutzbemühungen von Unternehmen über das gesetzliche Maß hinaus werden verstärkt honoriert.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Datenschutzprobleme im Gesundheitswesen der USA

Nachdem das Gesundheitsministerium der USA eine Liste mit annährend 300 Krankenhäusern, Ärzten und Versicherungen, die in den letzten Jahren massiv gegen medizinische Verschwiegenheitsregelungen verstoßen haben, veröffentlicht hat, wird in den USA nun verstärkt über Maßnahmen zum Schutz solcher sensibler Daten debattiert. In den letzten zwei Jahren wurden danach mehr als 7,8 Millionen Patienteninformationen unzulässiger Weise öffentlich zugänglich gemacht. Dabei vergaß z.B. der Mitarbeiter eines Krankenhauses 192 Patientenakten in einer U-Bahn, die elektronischen Daten von 1,7 Millionen Patienten und Mitarbeiter kamen abhanden, als der Van, in dem sie zwischenzeitlich auf Speichermedien aufbewahrt wurden, gestohlen wurde und ein Versicherungsunternehmen teilte mit, dass ihm die Daten von 1,9 Millionen Versicherten abhandengekommen sei.

Diese Vorfälle könnten zudem ein Problem für Präsident Obamas Bemühungen werden, die amerikanische Bevölkerung künftig in elektronischen Gesundheitsdaten zu erfassen, da sich die Skepsis dagegen verstärkt.

Die Regierung will zunächst erst einmal das Einhalten der aktuellen Regelungen stärker kontrollieren und gegebenenfalls sanktionieren. Dabei wurden bislang unter Berufung auf das HIPPA (Health Insurance Portability and Accountability Act, 1996) teilweise schon Strafen in Millionenhöhe ausgesprochen. Dagegen bezweifeln andere Stimmen, dass die momentanen Regelungen ausreichend sind. Vielmehr seien strengere Gesetze erforderlich, beispielsweise einen Verbrechenstatbestand für die Nutzung unsachgemäß erlangter Informationen. Auch gibt es den Vorschlag, dass eine Maßnahme durch einen Arbeitgeber oder Versicherer aufgrund von Gesundheitsdaten wie HIV/ AIDS, Krebs oder mentaler Probleme, die die betroffene Person benachteiligt, unzulässig sein soll. Insbesondere richtet sich die Kritik jedoch gegen das HIPPA. Dieses beruht teilweise auf Ideen aus dem britische Common law, wonach eine Information dem gehört, der sie besitzt. In der heutigen Zeit, in der die Informationen an verschiedenen Stellen bearbeitet und gespeichert werden, führt dies im Prinzip dazu, dass jedem, der die Informationen auf seinem Computer gespeichert hat, diese auch gehören und er sie weitergeben kann.

Petitionsausschuss spricht sich für stärkeren Datenschutz bei Privatversicherten aus

30. Mai 2011

Der Petitionsausschuss des Deutschen Bundestages hat sich am 25.05.2011 für eine Verbesserung des Datenschutzes privatkrankenversicherter Personen ausgesprochen und möchte verschiedenen Ministerien eine öffentliche Petition und Informationsmaterial zuleiten. Trotzdem meint er, dass  ”derzeit kein gesetzgeberischer Handlungsbedarf erkennbar ist“. Momentan gibt es im Bereich der privaten Krankenversicherungen keine dem Gutachterverfahren der GKV vergleichbare Rechtsnorm. Ein zwischen der Versicherungswirtschaft und den Datenschutzbehörden der Länder im Jahr 1993 abgestimmtes Verfahren sieht lediglich vor, dass Behandlungs- und Befundberichte dem beratenden Arzt der Versicherung, nicht jedoch den Sachbearbeitern zugehen sollen. Der Ausschuss meldete dabei jedoch Zweifel an, ob diese Vereinbarung ”allen dem Verband der privaten Krankenversicherungen angeschlossenen Versicherungsunternehmen bekannt ist und in der Praxis auch beachtet wird“.

Hintergrund ist eine vom Ausschuss behandelte Petition, in der gefordert wird, dass im Bereich der Gesetzlichen Krankenkassen durchgeführte Gutachterverfahren (Psychotherapie-Richtlinien bzw. Psychotherapie-Vereinbarungen Primärkassen/EKV) in analoger Weise und damit verpflichtend im Bereich der Privaten Krankenkassen und der Beihilfe durchgeführt werden müssen. Durch diese Regelungen solle unsachgemäßer und rechtswidriger Umgang mit vertraulichen, höchst persönlichen und intimen Patientendaten bei den Privaten Krankenkassen und/oder der Beihilfe verhindert werden.

Momentan wird laut der Eingabe bei der Beantragung psychotherapeutischer Leistungen von den behandelnden Psychotherapeuten ein Bericht angefertigt, der höchstpersönliche Daten beinhaltet (u. a. zu aktuellen Beschwerden, Phantasien, Affekten/Gefühlen, Träumen; zum psychischen und körperlichen Befund etc.).

Im Bereich der GKV ist das Gutachterverfahren dagegen in den PT-Richtlinien (Abschnitt F II und III) sowie in den PT-Vereinbarungen Primärkassen und EKV (jeweils §§ 11 und 12) geregelt. Von der Krankenkasse beauftragte Gutachter erhalten die Berichte von Psychotherapeuten einschließlich weiterer Unterlagen in einem verschlossenen Umschlag. Durch die Pseudonymisierung (Chiffre aus Anfangsbuchstabe des Familiennamens und Ziffern des Geburtstags) der Unterlagen ist eine Identifizierung der Patienten durch die Gutachter nicht (oder nur mit erheblichem Aufwand) möglich. Die Krankenkassen erhalten, abgesehen von den zur Bearbeitung notwendigen administrativen und medizinischen Daten (Versichertendaten, Diagnose/n), keine weiteren Informationen.

Die Petition kritisiert, dass im Bereich der Beihilfe und der Privatkassen  die Berichte an die jeweils beauftragten Gutachter dagegen häufig einfach weitergeleitet werden bzw. die Gutachter  die Berichte in aller Regel unter Angabe der Versicherungsnummer und des Namens der Patienten erhielten. Zwar liegt eine schriftliche Entbindung von der Schweigepflicht vor. Die Patienten wissen allerdings in der Regel nicht, wer alles (Gutachter, Mitarbeiterder Krankenkassen/Beihilfestellen) was über sie erfährt. Insoweit

Dieses Verfahren wird als gegen das BDSG verstoßend angesehen, da es dessen Grundsätzen der Zweckbestimmung, Datensparsamkeit und Verhältnismäßigkeit zuwider läuft.

Ablauf der Frist zur Umsetzung der „E-Privacy-Richtlinie“ (Richtlinie 2009/136/EG) in nationales Recht der EU-Länder, die Europäische Kommission droht mit Sanktionen

27. Mai 2011

Bis 25. Mai 2011 hatten die Mitgliedstaaten der Europäischen Union die neue Richtlinie 2009/136/EG für elektronische Kommunikation in das jeweilige nationale Recht umzusetzen.

Diese Datenschutzrichtlinie dient dem Schutz der Verbraucher durch mehr Transparenz und Sicherheit. Besonders betroffen ist die Verwendung von Cookies, die die letzten Jahre eine starke Rolle in der Werbewelt spielt. Cookies speichern Daten (wie z.B. Passwörter) und sammeln Informationen über das Verhalten von Nutzern verschiedener Webseiten. Dadurch kann das Kaufverhalten der Nutzer analysiert und zu Werbezwecken verwendet werden. Die Richtlinie sieht vor, dass Cookies nur nach der Einwilligung des Nutzers auf seinem Computer installiert und aktiv werden.

Die EU-Richtlinie hat allgemein starke Kritik wegen der Umsetzungsschwierigkeiten und die Belästigung bei Internetsurfen erhalten.

Nach dem inzwischen eingetretenen Ablauf der Frist zur Umsetzung ist festzustellen, dass die Mehrheit der Regierungen der Mitgliedstaaten die Richtlinie 2009/136/EG in nationale Gesetze nicht übernommen hat. Estland und Dänemark haben der Kommission mitgeteilt, dass sie ihre nationale Gesetzte an die EU-Richtlinie angepasst haben. England, Frankreich, Slowenien und Litauen haben teilweise Anwendung bekannt gemacht. Deutschland spricht sich gegen eine jetzige Umsetzung der Richtlinie in deutsches Recht aus und will die Diskussion auf europäischer Ebene führen. Die Bundesregierung will mögliche Selbstverpflichtungserklärungen der Werbewirtschaft abwarten.

Die EU-Kommissarin für die Digitale Agenda, Neelie Kroes, hat vor dringenden Maßnahmen gegen die umsetzungsunwilligen Länder gewarnt. Der Pressesprecher der Europäische Kommission, Jonathan Todd, hat von möglichen Verfahren wegen Rechtsverletzung gegen diese Länder gesprochen.

Novellierung des Landesdatenschutzgesetzes Schleswig-Holstein

Das Landesdatenschutzgesetz Schleswig-Holstein aus dem Jahre 2000 soll an technische Neuerungen und an aktuellere datenschutzrechtliche Standards angeglichen werden. Anfang dieser Woche beschloss die Landesregierung einen entsprechenden Änderungsentwurf. Neben der Implementierung strengerer Regeln zur Verbreitung personenbezogener Daten im Internet ist darin u.a. eine § 42a BDSG entsprechende Selbstanzeigepflicht vorgesehen, wonach Behörden und andere öffentlichen Stellen verpflichtet werden, Betroffene und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zu informieren, falls bei ihnen gespeicherte sensible Daten (z.B. Angaben zur Gesundheit) unzulässig übermittelt oder auf eine andere Weise unrechtmäßig Dritten zur Kenntnis gekommen sind. Zusätzlich werden erweiterte Dokumentationspflichten für Erfassung und Transfer der Daten formuliert. Herkunft, Zweck, Empfänger sowie Übermittlungszeitpunkt und Übermittlungszweck sollen in Zukunft protokolliert und für ein Jahr gespeichert werden.

Der Landesbeauftragte für den Datenschutz NRW verhängt Bußgeld in Höhe von 120.000 Euro gegen die Postbank AG

26. Mai 2011

Die Postbank AG hat bis Herbst 2009 freiberuflichen Handelsvertretern den Zugang zu Kontodaten ihrer Kunden ermöglicht.

Handelsvertreter konnten wichtige Daten und Informationen über das Privatleben der Kunden durch ihre Kontobewegungen herausfinden und sie für Betriebs- bzw. Werbungszwecke verwenden. „Diese Daten dürfen weder von Banken und erst recht nicht von Handelsvertretern für Werbezwecke ausgewertet werden“, sagt  der NRW-Datenschutzbeauftragte, Ulrich Lepper und sanktionierte dieses Verhalten Anfang Mai dieses Jahres mit einem Bußgeld in Höhe von 120.000 Euro. Das Geschehen wurde aufgrund eines Berichts der Stiftung Warentest im Oktober 2009 aufgedeckt.

„Die Postbank ist eindeutig zu weit gegangen. Ich frage mich, was das Bankgeheimnis noch wert sein soll, wenn rund 4000 freiberufliche Außendienstmitarbeiter weit über eine Million Kontodatensätze von Kundinnen und Kunden abrufen können“, betont Lepper.

Seit November 2009 ist der Zugang zu Kundendaten von der Postbank untersagt.

EU-Parlamentsausschluss definiert Schutzmaßnahmen für den Einsatz von Körperscannern

25. Mai 2011

Der Verkehrsausschuss des EU-Parlaments hat sich in seiner Sitzung am 24.05.2011 in Brüssel mehrheitlich für den Einsatz von Körperscannern an europäischen Flughäfen ausgesprochen, gleichzeitig aber auch Rahmenbedingungen für dessen zulässigen Einsatz definiert. Wichtigste Vorraussetzung dafür sei, dass die Nutzung der Körperscanner freiwillig erfolgt. Entschließt sich der Passagier für eine Sicherheitskontrolle mittels Körperscanners muss sichergestellt sein, dass Gesundheit und Persönlichkeitsrechte des Betroffenen so wenig wie möglich beeinträchtigt werden. So sollen beispielsweise der Einsatz von röntgen-basierten Scannern sowie jede Form der Erstellung von Persönlichkeitsprofilen unterlassen werden. Außerdem sollen keine realen Körperbilder, sondern lediglich schematische, einheitliche Abbildungen von Körpern erzeugt werden, die direkt nach Abschluss der Sicherheitskontrolle zu vernichten sind. Eine Speicherung der Bilder soll verboten sein. Verweigert der Passagier den Einsatz eines Körperscanners, ist er einer alternativen, gleichermaßen effektiven Screening-Methode zu unterziehen. Aus der Weigerung soll jedoch nicht geschlossen werden, dass der Passagier als besonders verdächtig gilt. Das Plenum des EU-Parlaments will sich am 23. Juni abschließend mit dem Einsatz von Körperscannern befassen.

 

Kategorien: Internationaler Datenschutz
Schlagwörter:

Internationale Datenverarbeitung – erste Proteste gegen neue Regelungen im indischen Datenschutz

Die Neuerungen im indischen Datenschutzrecht zeigen nun bei Firmen in den USA erste Auswirkungen. Verschiedene amerikanische Firmen und auch einige indische Firmen, die um ihre Geschäftsbeziehungen fürchten, halten die nun erforderte schriftliche Zustimmung einer Person, bevor ihre persönlichen Daten gesammelt und genutzt werden dürfen, für viel zu restriktiv. Es wird befürchtet, dass viele Firmen nicht bereit sind, das Risiko einzugehen, dass ein Kunde, der die ausdrücklich Anfrage aus Indien bekommt, ob seine Daten dort gespeichert und genutzt werden dürfen, seine Zustimmung dafür verweigert. Stattdessen würden Firmen ihr Geschäft dann eher nach China oder auf die Philippinen auslagern, wo solche Bestimmungen nicht gelten. Auch Google protestiert gegen einige Passagen aus dem neuen Gesetz, wonach ein Internetanbieter für Inhalte verantwortlich gemacht werden, die als „belästigend“, „grob schädlich“ oder „ethnisch verwerflich anzusehen sind.

Der indische Minister für Informationstechnologie verteidigte das Gesetz damit, dass es einem seit langem geäußerten Begehren der IT-Industrie nachkäme, endlich gesetzlich Rahmenregelungen für den Datenschutz zu schaffen. Auch einige amerikanische Firmen befürworteten jedenfalls die Richtung des Gesetzes, da so das Vertrauen im Ausland hinsichtlich der ausgelagerten Datenverarbeitung in Indien gestärkt werde.

Ob und wie lange das Gesetz in seiner momentanen Ausgestaltung bestehen bleibt, dürfte letztlich maßgeblich von der Frage abhängen, wie stark der Druck aus dem Ausland noch wird. Da Indien in extrem hohen Maß auf die IT- und Outsourcing- Branche angewiesen ist, könnten allzu starke Proteste und Rückzugsdrohungen von Firmen aus diesem Bereich durchaus noch zu einer Änderung des Gesetzes führen.

1 242 243 244 245 246