Panne mit sensiblen Patientendaten

4. November 2011

Medienberichten zufolge konnten Patientendaten von rund 2500 psychisch Erkrankter aus Schleswig-Holstein monatelang von Jedermann im Internet eingesehen werden. Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen sollen sogar downloadfähig gewesen sein. Diese Datenpanne sei auf eine Sicherheitslücke bei dem IT-Dienstleister RebuS Consulting- und Verwaltungs GmbH, der bundesweit für fünf soziale Dienste und Behörden Datenbanken betreibt, zurückzuführen. Betroffen seien demnach nicht nur Patienten aus Schleswig-Holstein (z.B. Patienten des Therapie- und Beratungszentrums “Die Brücke” in Rendsburg), sondern auch Patienten anderer Bundesländer (z.B. des Hilfsvereins für psychisch Kranke in Winnenden). Der Server soll vorübergehend abgeschaltet worden sein. (sa)

Kategorien: Gesundheitsdatenschutz
Schlagwörter: ,

BVerwG: Geltung des Informationsfreiheitsgesetzes

Das Bundesverwaltungsgericht (BVerwG) hat am gestrigen Tage in zwei Fällen entschieden, dass ein Bundesministerium den Antrag auf Zugang zu amtlichen Informationen – betroffen waren hausinterne Unterlagen zu einem Gesetzgebungs- verfahren sowie Stellungnahmen gegenüber dem Petitionsausschuss – nicht mit der Begründung ablehnen darf, dass die Unterlagen ausschließlich die Regierungs- tätigkeit betreffen. Das Informationsfreiheitsgesetz und der daraus hergeleitete Anspruch auf Zugang zu amtlichen Informationen gelte somit für die gesamte Tätigkeit eines Ministeriums. Eine Unterscheidung zwischen dem Verwaltungs- und dem Regierungshandeln eines Ministeriums sei im Gesetz nicht angelegt und auch nach dem Gesetzeszweck nicht gerechtfertigt.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, begrüßte Medienangaben zufolge die rechtliche Klarstellung. Das Gericht habe so “der Transparenz der Regierungsarbeit zum Durchbruch verholfen”. Schaar rechne damit, dass die Urteile in der Praxis eine große Bedeutung entfalten. Es handele sich um eine “gute Nachricht für alle, die von ihrem demokratischen Recht auf umfassende Information Gebrauch machen wollen”. (sa)

Deutsche Bahn: Datenpanne bei Handy-Ticketsystem

3. November 2011

Medienangaben zufolge hat es bei der Deutschen Bahn eine Datenpanne bei dem seit dem 01. November neu eingeführten Handy-Ticketsystem “Touch & Travel” gegeben. Personenbezogene Daten von Kunden, die sich erstmalig für das Ticketsystem registriert haben, sollen danach in der Anmeldemaske für nachfolgende Kunden einsehbar gewesen sein. Betroffen seien u.a. Name, Adresse, Telefonnummer und Bankverbindung. Die Deutsche Bahn soll daraufhin die Internet-Registrierung für Neukunden gesperrt haben.

Die für die Datenpanne ursächliche Sicherheitslücke scheint mittlerweile behoben zu sein. Für Neukunden ist die Internet-Registrierung wieder möglich. (sa)

Kategorien: Allgemein
Schlagwörter: , ,

Beanstandung der Staatskanzlei Schleswig-Holstein wegen Facebook Fanpage

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat eine Beanstandung der Staatskanzlei Schleswig-Holstein nach § 42 des Landesdatenschutzgesetzes angekündigt. Diese hatte zuvor angekündigt, dass ihre Fanpage bei dem sozialen Netzwerk Facebook auch weiterhin betrieben werde. Statt der geforderten Einstellung der Fanpage sollte dort lediglich ein Warnhinweis implementiert werden, so dass angeblich erst nach dem Anklicken des “Gefällt-mir”-Buttons auf der Fanseite und der danach notwendigen persönlichen Registrierung personenbezogene Daten an Facebook übertragen werden. Nach Einschätzung Weicherts, dem Landesbeauftragten für den Datenschutz Schleswig-Holstein, greift ein solcher Warnhinweis jedoch zu kurz, da schon das Aufrufen der Fanpage die Übermittlung von Nutzungsdaten in die USA auslöse. Weichert bezeichnete den Ministerpräsidenten und seine Staatskanzlei als “schlechte Vorbilder für andere öffentliche und private Stellen, die ebenfalls ihre Facebook-Fanpages weiterbetreiben”. Neben einer Beanstandung will Weichert nun in weiteren Gesprächen klären lassen, auf welche Weise Rechtsklarheit gerichtlich hergestellt werden könne. (sa)

BAG: Betrieblicher Datenschutzbeauftragter kann aus wichtigem Grund wieder abberufen werden

2. November 2011

Ein betrieblich bestellter Datenschutzbeauftragter kann nach § 4f Abs. 3 Satz 4 BDSG und dem dortigen Verweis auf § 626 BGB aus wichtigem Grund wieder abberufen werden. Als wichtiger Grund im Sinne dieser Normen zähle jedoch nicht allein die Absicht des Arbeitgebers, künftig einen externen Datenschutzbeauftragten zu bestellen, entschied das Bundesarbeitsgericht (Urt. v. 23.03.2011, Az. 10 AZR 562/09). Die wichtigen Gründe müssten sich vielmehr aus der Funktion und Tätigkeit des Datenschutzbeauftragten ergeben und als solche auch vorgebracht werden. Wird der betriebliche Datenschutzbeauftragte unzuverlässig oder reichen seine fachlichen Kenntnisse nicht (mehr) aus, dürfe der Arbeitgeber sehr wohl den Datenschutz in die Hände externer Datenschützer geben.

Betriebliche Datenschutzbeauftragte genießen einen besonderen Abberufungsschutz, der Verweis auf § 626 BGB soll ihre Unabhängigkeit stärken. Sie müssten ihr Amt weisungsfrei ausüben können, ohne dass die Erfüllung ihrer Aufgaben beeinträchtigt werde. Eine Furcht vor der Abberufung sei dabei hinderlich, nur objektive und schwerwiegende Gründe könnten sie rechtfertigen.

Der Arbeitgeber hatte aber keine besonderen Gründe vorgebracht, sondern die Abberufung allein mit dem Plan der künftigen Bestellung eines externen Datenschutzbeauftragten begründet. Das sei jedoch, so die Richter, kein so wichtiger Grund, der es dem Arbeitgeber „unter besonderer Berücksichtigung des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile unzumutbar mache, die betriebliche Datenschutzbeauftrage auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen“.

Daran ändern könne auch nichts der Umstand, dass der Arbeitgeber sich für einen internen oder externen Datenschutzbeauftragten bei der erstmaligen Bestellung habe entscheiden können. Einmal getroffene Entscheidungen binden ihn trotz der vorherigen Wahlfreiheit, damit der Abberufungsschutz seine Wirkung entfalten könne. (ssc)

 

 

 

 

Elektronische Lohnsteuerkarte: Einführung abermals vertagt

Das Bundesministerium der Finanzen teilte mit, dass sich die Einführung der elektronischen Lohnsteuerkarte, die plangemäß Anfang des Jahres 2012 erfolgen sollte, wegen technischer Probleme abermals verschieben wird. Bund und Länder sollen sich derzeit über die weitere Vorgehensweise und einen neuen Starttermin beraten, nachteilige Folgen für Bürgerinnen und Bürger seien jedoch nicht zu befürchten. Die papiergebundene Lohnsteuerkarte wurde bereits im Jahre 2010 abgeschafft, galt hingegen mangels funktionierenden Ersatzverfahrens noch für das Jahr 2011. Die zurzeit laufenden Korrekturarbeiten, besonders soweit Informationsschreiben an die Bürgerinnen und Bürger über die „elektronischen Lohnsteuerabzugsmerkmale“ (ELStAM) versandt wurden, seien davon nicht berührt und würden weiterhin durchgeführt, so das Bundesministerium für Finanzen. (sa)

Umfrage zu betrieblichen Datenschutzbeauftragten in Rheinland-Pfalz

31. Oktober 2011

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz (LfD) Wagner veröffentlichte jüngst die Ergebnisse einer Umfrage zu betrieblichen Datenschutzbeauftragten, die seit März 2011 in insgesamt 1500 größeren Unternehmen in Rheinland-Pfalz durchgeführt wurde. Deren Ergebnisse seien zwar partiell beruhigend, jedoch auch Anlass, die bisherigen Bemühungen um einen besseren Datenschutz und eine größere Datensicherheit zu intensivieren.

So haben danach zwar 92 Prozent der Unternehmen einen betrieblichen Datenschutzbeauftragten bestellt, allerdings stammen mehr als 12 Prozent aus Betriebsbereichen, bei denen Interessenkonflikte mit den Aufgaben eines Datenschutzbeauftragten vorprogrammiert sind, z.B. Mitglieder der Geschäftsführung oder Leiter der IT-Abteilung. “Niemand kann sich selbst kontrollieren und beraten”, mahnte der LfD. “Datenschutzbeauftragte müssen unabhängig sein.” Des weiteren stellte er einen Nachholbedarf bei der Aus- und regelmäßigen Fortbildung der Datenschutzbeauftragten und ein häufig sehr schmales Zeitbudget in Sachen Datenschutz fest, welches der gewachsenen Bedeutung und der Vielfalt der Datenschutzthemen nicht mehr gerecht werde. 97 Prozent der Unternehmen soll zudem angegeben haben, keinen Beratungsbedarf durch den LfD in Sachen Datensicherheit zu haben. “Entweder haben die Betriebe die Befürchtung, bei einer Beratung durch den LfD kontrolliert zu werden, oder sie unterschätzen die Datensicherheitsprobleme”, kommentierte dies Wagner. (sa)

EU-Kommission fordert Deutschland und Rumänien zur Umsetzung der Vorratsdatenspeicherung auf

28. Oktober 2011

Am gestrigen Tag hat die EU-Kommission sowohl Deutschland als auch Rumänien förmlich aufgefordert, binnen der kommenden zwei Monate die EU-Vorschriften zur Vorratsdatenspeicherung vollständig umzusetzen. Seit dem Urteil des Bundesver-fassungsgerichtes und dem Urteil des rumänischen Verfassungsgerichtes, die die Gesetze zur Umsetzung der Richtlinie zur Vorratsdatenspeicherung von Daten wegen Verfassungswidrigkeit aufgehoben haben, wurden seitens Deutschlands und Rumäniens keine näheren Informationen dazu gegeben, wann und auf welchem Wege (neue) Vorschriften zur Vorratsdatenspeicherung verabschiedet werden sollen. Durch die Verzögerung der Umsetzung der europäischen Richtlinie zur Vorratsdatenspeicherung in innerstaatliches Recht werden negative Auswirkungen – u.a. auf den Binnenmarkt für elektronische Kommunikation sowie auf die Fähigkeit von Justiz- und Polizeibehörden, schwere Straftaten aufzudecken, zu untersuchen und zu verfolgen – befürchtet. Die EU-Kommission hat daher beide Staaten mit einer mit Gründen versehenen Stellungnahme aufgefordert, diesen Verstoß gegen EU-Recht (Artikel 258 des Vertrags über die Arbeitsweise der Europäischen Union) zu beenden. (sa)

Kritik an der geplanten Visa-Warndatei

27. Oktober 2011

In einer öffentlichen Anhörung des Innenausschusses des Bundestages am vergangenen Montag wurde der Regierungsentwurf für eine Visa-Warndatei (“Entwurf eines Gesetzes zur Errichtung einer Visa-Warndatei und zur Änderung des Aufenthaltsgesetzes“) thematisiert. Während aus Sicht der Strafverfolgung die Etablierung einer entsprechenden Warndatei als äußerst hilfreiches Instrument erachtet wird und u.a. der Verhinderung von Visumserschleichung und der “irregulären Migration” diene, hegen Datenschützer erhebliche – auch verfassungsrechtliche – Bedenken. Der Datenschutzbeauftragte des Landes Schleswig-Holstein stellte beispielsweise die Notwendigkeit der Visa-Warndatei abermals in Frage und bemängelte die Verknüpfung dieser Datei mit der aus seiner Sicht verfassungsrechtlich höchst fragwürdigen Antiterror-Datei. Des weiteren wurde der mit der Etablierung der neuen Datenbank verbundene Aufwand, der sich wegen des Bestehens des EU-Visa-Informationssystems nicht rechtfertige, kritisiert. Von den Kritikern wurde entsprechend gefordert, den Entwurf entweder grundlegend nachzubessern (z.B. durch Berücksichtigung von EU-Vorschriften zum Datenschutz im Sicherheitsbereich und im Ausländerrecht) oder ihn in Gänze fallen zu lassen. (sa)

Kategorien: Allgemein
Schlagwörter:

BGH regelt Haftung von Hostprovidern für Persönlichkeitsrechtsverletzungen

26. Oktober 2011

Der Bundesgerichtshof (BGH) hat mit Urteil vom Dienstag entschieden, wann Hostprovider für Inhalte der bei ihnen gespeicherten Blogs haften müssen (Urt. v. 25.10.2011, Az. VI ZR 93/10).

In dem zugrundeliegenden Verfahren standen sich ein Unternehmer aus Deutschland und Google gegenüber. Der kalifornische Internetgigant bietet als Hostprovider Webspeicher und die nötige Software an, um einen Blog, so genannte Web-Tagebücher, zu betreiben. Auf einem solchen Blog tauchten Aussagen auf, die der Deutsche für unwahr und ehrverletzend hielt.

Dass Google in das Verfahren gezogen wurde, lag an der Anonymität des mutmaßlichen Ehrverletzers. Nur der Hostprovider selbst kann eine Schmähung aus dem Netz verbannen, wenn deren Urheber nicht mehr greifbar ist.

Der BGH bestätigte zunächst die Vorinstanzen in der Annahme, dass deutsches Recht anwendbar sei. In der Sache haben die Karlsruher Richter aber nicht entschieden, sondern an das Oberlandesgericht Hamburg zurück verwiesen. Weichen haben sie trotzdem gestellt, indem sie für künftige Fragen der Haftung eines Hostproviders eine mehr oder weniger klare Linie gezogen haben.

Die Bundesrichter haben in dem Urteil die Voraussetzungen festgelegt, nach denen ein Hostprovider als Störer für Äußerungen eines Dritten in einem Blog auf Unterlassung in Anspruch genommen werden kann. Denn zunächst müsse der Betroffene den Hostprovider konkret auf den Rechtsverstoß hinweisen. Erst dann sei der Provider gefordert, an den für den Blog Verantwortlichen heranzutreten und zur Stellungnahme aufzufordern.

Schweigt der Blogger über einen gewissen Zeitraum, sei davon auszugehen, dass die Beschwerde des Betroffenen berechtigt sei und der Eintrag im Blog gelöscht werden müsse. Sollte aber der Blog-Betreiber die Beanstandung „substantiiert in Abrede“ stellen und der Hostprovider Zweifel bekommen, sei der Betroffene aufzufordern, seinerseits für Nachweise zu sorgen. Der Provider müsse weiter prüfen und bei bestätigter Verletzung des Persönlichkeitsrechts schließlich löschen.

Provider müssen also künftig immer reagieren, wenn sie Beschwerden oder Hinweise von möglicherweise Betroffenen erhalten und prüfen, ob die Hinweise und Beschwerden genug Substanz aufweisen – nur so lässt sich nämlich feststellen, ob die nunmehr vom BGH verlangten Schritte der Klärung, nämlich ob es sich um eine Verletzung des Persönlichkeitsrechts handelt oder nicht, vollzogen werden müssen. (ssc)

1 244 245 246 247 248 259