BfDI: Kritik an Erfassung von Fluggastdaten

27. April 2012

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat die Entscheidung der Innenminister der EU-Mitgliedstaaten für ein europaweites System zur fünfjährigen Speicherung von Fluggastdaten öffentlich kritisiert. Die Entscheidung zur anlasslosen Vorratsspeicherung von Daten unverdächtiger Flugpassagiere sei ein weiterer großer Schritt zur lückenlosen Überwachung alltäglichen Verhaltens, wovor das Bundesverfassungsgericht in seinem Urteil zur Vorratsdatenspeicherung von Telekommunikationsdaten ausdrücklich gewarnt habe. Er könne nur dringend mahnen, diese Warnung ernst zu nehmen. Das Gericht habe festgestellt, dass die Vermeidung einer Totalüberwachung zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland gehöre und für weitere Vorratsdatenspeicherungen – auch auf europäischer Ebene – deshalb kaum noch Raum bestünde. Außerdem sei das Vorhaben, alle Fluggäste auf der Grundlage der Daten einer Gefahrenanalyse zu unterziehen, aufgrund seiner Parallelen zu einer Rasterfahndung sehr bedenklich.

“Bei den nun beginnenden Verhandlungen des Rates mit dem Europäischen Parlament setze ich darauf, dass die Abgeordneten des Europäischen Parlaments das Vorhaben stoppen, ganz im Sinne des neuen Gewichts, das ihnen der Vertrag von Lissabon gegeben hat, und ganz im Sinne der Grundrechtecharta der Europäischen Union.”, so Schaar.

Deutsche Telekom: Sicherheitslücken bei WLAN-Routern der Marke Speedport

26. April 2012

Die Deutsche Telekom hat am gestrigen Tage bekannt gegeben, dass die WLAN-Router der Marke Speedport W 504V, Speedport W 723V Typ B und Speedport W 921V Sicherheitslücken aufweisen. Diese sollen dazu führen können, dass sich in der Reichweite des Funknetzwerkes befindliche Angreifer unbefugt Zugang zu dem WLAN beschaffen können (z.B. über den Anschluss im Internet surfen oder ggf. auf Dienste oder Komponenten in dem Heimnetzwerk zugreifen können, die nicht passwortgesichert sind). Betroffenen Kunden werde empfohlen, die WPS Funktion in dem Speedport W 504V und Speedport W 723V Typ B über die Konfigurations-Weboberfläche des Geräts zu deaktivieren, bis die fehlerbereinigte Softwareversion vorliegt. Ergänzend solle ein neues, sicheres WLAN-Passwort vergeben werden. Bei dem Speedport W 921V solle die WLAN Funktion komplett ausgeschaltet werden. Es werde mit Hochdruck an einem Firmwareupdate für die genannten Speedport Modelle gearbeitet, so das Unternehmen.

Gesundheitsdatenschutz: Vernichtung von Patientenakten

Der erst in der jüngeren Vergangenheit bekannt gewordene Datenskandal bei der Asklepios Klinik Hamburg-Eilbek zeigt, dass – erst recht wenn besondere Arten personenbezogener Daten wie Patientendaten betroffen sind – besonderes Augenmerk auf die Organisation der Aktenvernichtung gelegt werden muss. Eine unzureichende Organisation im Vernichtungsablauf kann schnell zur Folge haben, dass Patientenakten in unbefugte Hände geraten, was – von dem ungewünschten Medienecho ganz zu schweigen – nicht nur datenschutzrechtlich unzulässig und bußgeldbewehrt ist, sondern auch strafrechtliche Relevanz hat.

Aber was muss eine verantwortliche Stelle beachten, damit der Datenschutz bei der Vernichtung von Patientenakten in adäquater Form gewahrt wird?

Strukturierung der Abläufe

Zunächst ist es unabdingbar, die Abläufe hinreichend zu strukturieren. Es sollten auf dem Betriebsgelände verschlossene Entsorgungsbehälter in angemessener Anzahl an zentralen Stellen positioniert werden. Abteilungen, in denen erfahrungsgemäß viele und überwiegend besondere Arten personenbezogener Daten anfallen (z.B. Personalabteilung, Archiv), sollten mit einem eigenen Entsorgungsbehälter ausgestattet werden. Alle Mitarbeiter sollten angehalten werden, vertrauliches Material – was im Einzelnen genau zu definieren wäre – umgehend in die dafür vorgesehenen verschlossenen Entsorgungsbehälter zu verbringen. Zwischenlagerungen (z.B. in einem Karton unter dem Schreibtisch) sind zu vermeiden, jedenfalls dann, wenn das Büro nicht durchgängig sozial überwacht oder abgeschlossen ist.

Schlüssel zur Öffnung der Entsorgungsbehälter sollten nicht in den allgemeinen Umlauf gelangen, sondern von einer Person, die einen Stellvertreter für Fälle der Abwesenheit benennt, verwaltet werden. Öffnungen der Entsorgungsbehälter sollten nur in konkret definierten (Ausnahme-)Fällen unter Wahrung des Vier-Augen-Prinzips (z.B. unter Hinzuziehung des Datenschutzbeauftragten) gestattet werden.

Haben die Entsorgungsbehälter ihren maximalen Füllstand erreicht, ist eine sichere Abholung zur Vernichtung durch einen externen Dienstleister, mit dem ein Vertrag zur Auftragsdatenverarbeitung abzuschließen wäre, zu gewährleisten. Bis zur Abholung durch den externen Dienstleister ist es empfehlenswert, die zuständige Abteilung aufzufordern, auch bis dahin jede Zwischenlagerung des zu vernichtenden Materials in öffentlich zugänglichen Bereichen zwingend zu vermeiden. Diese sind allenfalls in stets verschlossenen und nur von einem eng umgrenzten Personenkreis zuzulassen.

Eine hinreichende Dokumentation der Abläufe und Verantwortlichkeiten sowie des jeweiligen Vernichtungsvorgangs sind empfehlenswert.

Sensibilisierung der Mitarbeiter

Die beste Ablaufsorganisation hilft allerdings nur wenig bei der Vermeidung von Datenschutzverstößen, wenn die Vorgaben nicht von allen Mitarbeitern im Betriebsalltag umgesetzt und “gelebt” werden. Daher sollten die Mitarbeiter zum einen in Form einer Arbeitsanweisung mit den Strukturen vertraut gemacht und insbesondere aufgefordert werden, vertrauliches Material umgehend in die dafür vorgesehenen verschlossenen Entsorgungsbehälter zu verbringen. Zum anderen sind sie regelmäßig auf die Einhaltung des Datenschutzes im Allgemeinen sowie im Speziellen bei der Aktenvernichtung zu schulen.

Haben Sie Fragen zu diesem Themenkomplex? Kinast & Partner, deren Rechtsanwälte bundesweit als externer Datenschutzbeauftragter tätig sind, stehen Ihnen gern zur Verfügung.

BfDI: Dritter Tätigkeitsbericht zur Informationsfreiheit

24. April 2012

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat am heutigen Tag seinen 3. Tätigkeitsbericht zur Informationsfreiheit für die Jahre 2010 und 2011 vorgelegt. Darin stellt er fest, dass immer mehr Menschen von ihrem Recht auf Zugang zu Informationen öffentlicher Stellen Gebrauch machen. So sei die Anzahl gestellter Anträge auf Akteneinsicht bei Bundesbehörden nach dem Informationsfreiheitsgesetz im vergangenen Jahr um 110 Prozent – insgesamt auf 3.280 Anträge – angestiegen, während im ersten Berichtszeitjahr 2010 die Bundesbehörden lediglich 1.557 Anträge nach dem Informationsfreiheitsgesetz verzeichnet worden seien.

Die Bundesregierung sollte das gestiegene Interesse der Bürgerinnen und Bürger an Verwaltungsinformationen ernst nehmen, kommentierte Schaar.
Kategorien: Allgemein
Schlagwörter: ,

25.000 Dollar Strafe für Google

18. April 2012

Nach einem Bericht von heise.de wurde Google für mangelnde Kooperation bei der Aufarbeitung eines Datenskandals abgemahnt. Das Bußgeld in Höhe von 25.000 US-Dollar sei die höchstmögliche Strafe dafür, dass Google die Untersuchungen erschwert und verzögert habe. Dahinter steht die US-Aufsichtsbehörde FCC, die ihre Entscheidung nun in einem Zwischenbericht begründet.

Anlass gaben die Kamerafahrten von Google für Street View in den Jahren 2007 bis 2010. Dabei wurden nicht nur Fotos geschossen, sondern auch WLAN-Daten gesammelt. Sie sollten gespeichert werden, um spätere Lokalisierungen zu ermöglichen. Gespeichert wurden jedoch nicht nur Name und Ort des WLANs, sondern auch Inhalte der abgefangenen Kommunikation wie zum Beispiel E-Mails oder Passwörter.

Dem Bericht zufolge bestritt Google zunächst die Vorgänge, das Unternehmen hätte die Speicherung solcher Daten nicht in Auftrag gegeben. Später folgte ein Eingeständnis, es seien mehr Daten gespeichert worden, als geplant gewesen wäre.

Untersuchungen der US-Handelsbehörde FTC wurden eingestellt, nachdem Google versprochen hatte, die fälschlicherweise gesammelten Daten wieder zu löschen. Die Regulierungsbehörde FCC hat daraufhin ihre eigenen Untersuchungen begonnen, auf die Google aber kaum reagierte. Vor allem hielt Google die Namen der Verantwortlichen für die damalige Aktion zurück.

Später sei Google der Behörde zwar ein Stück weit entgegengekommen und habe einige Namen genannt. Belege, dass interne Untersuchungen vorangetrieben worden wären, hätten jedoch weiterhin gefehlt.

Ob Google sich von der Strafzahlung nachhaltig zu mehr Kooperation bei der Aufklärung motivieren lässt, sei dahingestellt.

Indien fordert Bestätigung durch EU

17. April 2012

Wie The Economist Times berichtet, hat Neu Delhi die EU aufgefordert, Indien in die Riege der sicheren Drittstaaten mit angemessenem Datenschutzniveau aufzunehmen. Dieser Status ermöglicht den Ländern, auf die in der Praxis schwer durchsetzbaren Standardvertragsklauseln der EU zu verzichten.

Bislang ist es EU-Staaten nicht ohne Weiteres erlaubt, sensible personenbezogene Daten nach Indien zu übermitteln. Dies behindere zum Beispiel Dienstleistungen wie die Telemedizin und schränke insgesamt den Dienstleistungsverkehr ein.

In Indien beruft man sich auf Verbesserungen der heimischen Datenschutzgesetze, die nun eine hohe Datensicherheit gewährleisten sollen. Aus den USA gäbe es bereits ungehindert die Möglichkeit, auch sensible Daten nach Indien zu übermitteln und Dienstleistungen auszulagern. Der Vorteil für Indien, in den jeweiligen Wirtschaftszweigen zu wachsen, sei groß, wenn nur die EU Indien als sicheres Land im Sinne des Datenschutzes deklariere. Die EU dürfe  den Blick nicht nur auf Konformität mit den eigenen Regeln lenken. Auch wenn Indien abweichende Regelungen treffe, könnten diese als niveaukonform bewertet werden und  angemessenen Datenschutz gewährleisten.

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter:

Big Brother Awards 2012

16. April 2012

Am 13. April fand die jährliche Verleihung der Big Brother Awards, “Preisen”, die an Firmen, Organisationen und Personen vergeben werden, die in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen oder personenbezogene Daten Dritten zugänglich machen, statt. So wurde z. B. der Big Brother Award 2012 in der Kategorie “Behörden und Verwaltung” an den Sächsischen Staatsminster des Inneren Ulbig für die Funkzellenabfragen im Raum Dresden verliehen. In der Kategorie “Kommunikation” ging der Award an die Cloud und den damit verbundenen Trend, Nutzern die Kontrolle über ihre Daten zu entziehen. In der Kategorie „Politik“ wurde Bundesinnenminister Friedrich für die Einrichtung eines Cyber-Abwehrzentrums ohne Legitimation durch den Bundestag ausgezeichnet. Der BigBrotherAward 2012 in der Kategorie “Arbeitswelt” wurde an die Firma Bofrost für die rechtswidrige Ausforschung von Daten auf einem Betriebsratscomputer verliehen.

Lobende Erwähnung für gut gelebten und engagiert betriebenen Datenschutz fanden der Intendant und Personalrat des Hessischen Rundfunks Breuer sowie der Datenschutzbeauftragte des Landes Schleswig-Holstein Weichert.

Kategorien: Allgemein
Schlagwörter:

BfDI: Löschung aller ELENA-Daten

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, hat bekannt gegeben, sich nach dem Stopp des ELENA-Verfahrens davon überzeugt zu haben, dass sämtliche personenbezogenen Daten gelöscht sind, die im Rahmen dieses Verfahrens bei der früheren Zentralen Speicherstelle und der Registratur Fachverfahren gespeichert waren. Nach dem Inkrafttreten des Gesetzes über die Aufhebung des ELENA-Verfahrensgesetzes Anfang Dezember 2011 seien bereits sämtliche Schlüssel für die ELENA-Daten durch den BfDI vernichtet worden, der den Datenbankhauptschlüssel verwaltet hatte. Damit galten die ELENA-Daten juristisch bereits als gelöscht. Gleichwohl sei zwischen den am ELENA-Verfahren Beteiligten vereinbart worden, die Daten zudem physikalisch zu löschen. Zu diesem Zweck seien Verfahren entwickelt worden, die den Sicherheitsstandards für die Löschung staatlicher Geheimnisse entsprechen, um die Daten sowohl bei der Zentralen Speicherstelle als auch bei der Registratur Fachverfahren sicher zu löschen. Diese Löschung der ELENA-Daten sei nun erfolgreich durchgeführt und diese seien auch physikalisch nicht mehr vorhanden, teilte Schaar mit.

Kategorien: Allgemein
Schlagwörter: ,

BMJ: DDoS-Attacke auf Website

12. April 2012
Kurz nach dem Bekanntwerden des Urteils des Landgerichts Leipzig gegen den hauptverantwortlichen Programmierer des Filmportals Kino.to am gestrigen Tage konnte nach Angaben des Bundesministerium der Justiz dessen eigene Website bis zum späten Nachmittag nicht aufgerufen werden. Dies soll auf eine Distributed Denial of Service-Attacke (“DDoS-Attacke”), bei der Server mutwillig durch das Absenden einer hohen Zahl von Anfragen, die regelmäßig von vielzähligen Rechnern ausgehen, überlastet und in Folge arbeitsunfähig gemacht werden, zurückzuführen sein. Verantwortlich sei eine Gruppe namens “Anonymous Austria”, die über den Kurznachrichtendienst Twitter die Nachricht “Revenge for kino.to – http://www.bmj.de/ DOWN!”, eine im Hacker-Jargon gebräuchliche Formel für eine erfolgreiche Blockade von Internetseiten, verbreitet habe.
“Das Urteil des Landgerichts Leipzig ist ein Urteil der unabhängigen Justiz, auf das das Bundesjustizministerium keinen Einfluss hat. Wer Recht ändern will, muss es zuallererst auch verstehen. Angriffe wie diese stärken nur diejenigen, die keine offene Debatte über die Modernisierung des Urheberrechts führen wollen, die nur Gefahren durch das Netz sehen, nicht seine Chancen.”, so das Bundesministerium der Justiz.
Kategorien: Allgemein
Schlagwörter: , ,

Asklepios Klinik Hamburg-Eilbek: Entsorgung von Patientenakten als Sperrmüll

Medienberichten zufolge sind auf dem Gelände der ehemaligen Asklepios Klinik Hamburg-Eilbek Patientenakten in einem Sperrmüllcontainer entsorgt worden. Neben ausgedienten Möbeln und ähnlichen Sperrmüll seien von einem Journalisten mindestens fünf Behälter mit sensiblen Patienteninformationen aufgefunden und als Beweismaterial für unzureichend gelebten Gesundheitsdatenschutz mitgenommen worden. Dieser Vorfall, den der Journalist dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit angezeigt habe, sei von dem Sprecher der Asklepios Kliniken GmbH, die nun mit der Einleitung eines Bußgeldverfahrens zu rechnen habe, bestätigt worden. Die Patientenunterlagen seien ungeplant in diesem Container entsorgt worden. Sie seien zur Vernichtung bestimmt gewesen und hätten in einen benachbarten Sicherheitscontainer verbracht werden sollen. Wie die Dokumente in dem falschen Container gelandet seien, sei noch nicht abschließend geklärt, teilte er mit.

1 254 255 256 257 258 280