2. Mai 2012
Wie die BBC online berichtet, wurde ein walisisches Gesundheitsamt als erste staatliche Behörde mit einer Geldbuße von 70.000 Pfund belegt. Grund ist die Weitergabe von sensiblen Gesundheitsdaten eines Patienten an den falschen Adressaten.
Der betreffende Arzt hatte den Namen falsch geschrieben und keine weiteren Informationen zur Identifikation an seine Sekretärin weitergeleitet, die das Schreiben schließlich an einen anderen Empfänger mit ähnlichem Namen sendete.
Nach Angaben des Information Commissioner’s Office enthielt das Schreiben genaue Details über den Gesundheitszustand des Patienten und bedeute einen ernsthaften Datenschutzverstoß. Die folgende Untersuchung des Vorfalls habe ergeben, dass das Personal weder datenschutzrechtlich geschult gewesen sei, noch hätte es Routinen zur Überprüfung der richtigen Empfängeradressen gegeben.
Gleichzeitig bemängelte das ICO, dass ähnliche Standards zum Datenschutzrecht auch in anderen Einrichtungen herrschen, wobei doch das Gesundheitswesen mit den sensibelsten Daten umgehe.
Die Behörde reagierte inzwischen und will für die Zukunft sicherstellen, dass alle Mitarbeiter und Angestellten Schulungen zum Datenschutz erhalten und sich an die Richtlinien zum Datenschutz halten.
Der betroffene Patient bekam ein Entschuldigungsschreiben.
30. April 2012
Nach Angaben des Nachrichtenmagazins Spiegel haben Filialleiter von hessischen Filialen der Unternehmensgruppe ALDI SÜD – u.a. in Frankfurt am Main und Dieburg – Kundinnen verdeckt beim Einkauf gefilmt. Insbesondere seien Kundinnen in kurzen Röcken oder ausgeschnittener Oberbekleidung, die sich über Kühltheken beugten oder vor Regalen bückten, betroffen. Die Filme, auf denen die Kundinnen mittels Zooms besonders hervorgehoben worden seien, sollen auf CD gebrannt und im Anschluss untereinander ausgetauscht worden sein. ALDI SÜD habe sich bislang nicht zu den konkreten Fällen geäußert, jedoch kommentiert, dass ein Fehlverhalten eines einzelnen Mitarbeiters nicht ausgeschlossen werden könne. Sollte ein missbräuchlicher Umgang den Vorgesetzten bekannt werden, werde dieses umgehend untersucht, unterbunden und ziehe entsprechende disziplinarische Konsequenzen nach sich.
27. April 2012
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat die Entscheidung der Innenminister der EU-Mitgliedstaaten für ein europaweites System zur fünfjährigen Speicherung von Fluggastdaten öffentlich kritisiert. Die Entscheidung zur anlasslosen Vorratsspeicherung von Daten unverdächtiger Flugpassagiere sei ein weiterer großer Schritt zur lückenlosen Überwachung alltäglichen Verhaltens, wovor das Bundesverfassungsgericht in seinem Urteil zur Vorratsdatenspeicherung von Telekommunikationsdaten ausdrücklich gewarnt habe. Er könne nur dringend mahnen, diese Warnung ernst zu nehmen. Das Gericht habe festgestellt, dass die Vermeidung einer Totalüberwachung zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland gehöre und für weitere Vorratsdatenspeicherungen – auch auf europäischer Ebene – deshalb kaum noch Raum bestünde. Außerdem sei das Vorhaben, alle Fluggäste auf der Grundlage der Daten einer Gefahrenanalyse zu unterziehen, aufgrund seiner Parallelen zu einer Rasterfahndung sehr bedenklich.
“Bei den nun beginnenden Verhandlungen des Rates mit dem Europäischen Parlament setze ich darauf, dass die Abgeordneten des Europäischen Parlaments das Vorhaben stoppen, ganz im Sinne des neuen Gewichts, das ihnen der Vertrag von Lissabon gegeben hat, und ganz im Sinne der Grundrechtecharta der Europäischen Union.”, so Schaar.
26. April 2012
Die Deutsche Telekom hat am gestrigen Tage bekannt gegeben, dass die WLAN-Router der Marke Speedport W 504V, Speedport W 723V Typ B und Speedport W 921V Sicherheitslücken aufweisen. Diese sollen dazu führen können, dass sich in der Reichweite des Funknetzwerkes befindliche Angreifer unbefugt Zugang zu dem WLAN beschaffen können (z.B. über den Anschluss im Internet surfen oder ggf. auf Dienste oder Komponenten in dem Heimnetzwerk zugreifen können, die nicht passwortgesichert sind). Betroffenen Kunden werde empfohlen, die WPS Funktion in dem Speedport W 504V und Speedport W 723V Typ B über die Konfigurations-Weboberfläche des Geräts zu deaktivieren, bis die fehlerbereinigte Softwareversion vorliegt. Ergänzend solle ein neues, sicheres WLAN-Passwort vergeben werden. Bei dem Speedport W 921V solle die WLAN Funktion komplett ausgeschaltet werden. Es werde mit Hochdruck an einem Firmwareupdate für die genannten Speedport Modelle gearbeitet, so das Unternehmen.
Der erst in der jüngeren Vergangenheit bekannt gewordene Datenskandal bei der Asklepios Klinik Hamburg-Eilbek zeigt, dass – erst recht wenn besondere Arten personenbezogener Daten wie Patientendaten betroffen sind – besonderes Augenmerk auf die Organisation der Aktenvernichtung gelegt werden muss. Eine unzureichende Organisation im Vernichtungsablauf kann schnell zur Folge haben, dass Patientenakten in unbefugte Hände geraten, was – von dem ungewünschten Medienecho ganz zu schweigen – nicht nur datenschutzrechtlich unzulässig und bußgeldbewehrt ist, sondern auch strafrechtliche Relevanz hat.
Aber was muss eine verantwortliche Stelle beachten, damit der Datenschutz bei der Vernichtung von Patientenakten in adäquater Form gewahrt wird?
Strukturierung der Abläufe
Zunächst ist es unabdingbar, die Abläufe hinreichend zu strukturieren. Es sollten auf dem Betriebsgelände verschlossene Entsorgungsbehälter in angemessener Anzahl an zentralen Stellen positioniert werden. Abteilungen, in denen erfahrungsgemäß viele und überwiegend besondere Arten personenbezogener Daten anfallen (z.B. Personalabteilung, Archiv), sollten mit einem eigenen Entsorgungsbehälter ausgestattet werden. Alle Mitarbeiter sollten angehalten werden, vertrauliches Material – was im Einzelnen genau zu definieren wäre – umgehend in die dafür vorgesehenen verschlossenen Entsorgungsbehälter zu verbringen. Zwischenlagerungen (z.B. in einem Karton unter dem Schreibtisch) sind zu vermeiden, jedenfalls dann, wenn das Büro nicht durchgängig sozial überwacht oder abgeschlossen ist.
Schlüssel zur Öffnung der Entsorgungsbehälter sollten nicht in den allgemeinen Umlauf gelangen, sondern von einer Person, die einen Stellvertreter für Fälle der Abwesenheit benennt, verwaltet werden. Öffnungen der Entsorgungsbehälter sollten nur in konkret definierten (Ausnahme-)Fällen unter Wahrung des Vier-Augen-Prinzips (z.B. unter Hinzuziehung des Datenschutzbeauftragten) gestattet werden.
Haben die Entsorgungsbehälter ihren maximalen Füllstand erreicht, ist eine sichere Abholung zur Vernichtung durch einen externen Dienstleister, mit dem ein Vertrag zur Auftragsdatenverarbeitung abzuschließen wäre, zu gewährleisten. Bis zur Abholung durch den externen Dienstleister ist es empfehlenswert, die zuständige Abteilung aufzufordern, auch bis dahin jede Zwischenlagerung des zu vernichtenden Materials in öffentlich zugänglichen Bereichen zwingend zu vermeiden. Diese sind allenfalls in stets verschlossenen und nur von einem eng umgrenzten Personenkreis zuzulassen.
Eine hinreichende Dokumentation der Abläufe und Verantwortlichkeiten sowie des jeweiligen Vernichtungsvorgangs sind empfehlenswert.
Sensibilisierung der Mitarbeiter
Die beste Ablaufsorganisation hilft allerdings nur wenig bei der Vermeidung von Datenschutzverstößen, wenn die Vorgaben nicht von allen Mitarbeitern im Betriebsalltag umgesetzt und “gelebt” werden. Daher sollten die Mitarbeiter zum einen in Form einer Arbeitsanweisung mit den Strukturen vertraut gemacht und insbesondere aufgefordert werden, vertrauliches Material umgehend in die dafür vorgesehenen verschlossenen Entsorgungsbehälter zu verbringen. Zum anderen sind sie regelmäßig auf die Einhaltung des Datenschutzes im Allgemeinen sowie im Speziellen bei der Aktenvernichtung zu schulen.
Haben Sie Fragen zu diesem Themenkomplex? Kinast & Partner, deren Rechtsanwälte bundesweit als externer Datenschutzbeauftragter tätig sind, stehen Ihnen gern zur Verfügung.
24. April 2012
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat am heutigen Tag seinen 3. Tätigkeitsbericht zur Informationsfreiheit für die Jahre 2010 und 2011 vorgelegt. Darin stellt er fest, dass immer mehr Menschen von ihrem Recht auf Zugang zu Informationen öffentlicher Stellen Gebrauch machen. So sei die Anzahl gestellter Anträge auf Akteneinsicht bei Bundesbehörden nach dem Informationsfreiheitsgesetz im vergangenen Jahr um 110 Prozent – insgesamt auf 3.280 Anträge – angestiegen, während im ersten Berichtszeitjahr 2010 die Bundesbehörden lediglich 1.557 Anträge nach dem Informationsfreiheitsgesetz verzeichnet worden seien.
Die Bundesregierung sollte das gestiegene Interesse der Bürgerinnen und Bürger an Verwaltungsinformationen ernst nehmen, kommentierte Schaar.
18. April 2012
Nach einem Bericht von heise.de wurde Google für mangelnde Kooperation bei der Aufarbeitung eines Datenskandals abgemahnt. Das Bußgeld in Höhe von 25.000 US-Dollar sei die höchstmögliche Strafe dafür, dass Google die Untersuchungen erschwert und verzögert habe. Dahinter steht die US-Aufsichtsbehörde FCC, die ihre Entscheidung nun in einem Zwischenbericht begründet.
Anlass gaben die Kamerafahrten von Google für Street View in den Jahren 2007 bis 2010. Dabei wurden nicht nur Fotos geschossen, sondern auch WLAN-Daten gesammelt. Sie sollten gespeichert werden, um spätere Lokalisierungen zu ermöglichen. Gespeichert wurden jedoch nicht nur Name und Ort des WLANs, sondern auch Inhalte der abgefangenen Kommunikation wie zum Beispiel E-Mails oder Passwörter.
Dem Bericht zufolge bestritt Google zunächst die Vorgänge, das Unternehmen hätte die Speicherung solcher Daten nicht in Auftrag gegeben. Später folgte ein Eingeständnis, es seien mehr Daten gespeichert worden, als geplant gewesen wäre.
Untersuchungen der US-Handelsbehörde FTC wurden eingestellt, nachdem Google versprochen hatte, die fälschlicherweise gesammelten Daten wieder zu löschen. Die Regulierungsbehörde FCC hat daraufhin ihre eigenen Untersuchungen begonnen, auf die Google aber kaum reagierte. Vor allem hielt Google die Namen der Verantwortlichen für die damalige Aktion zurück.
Später sei Google der Behörde zwar ein Stück weit entgegengekommen und habe einige Namen genannt. Belege, dass interne Untersuchungen vorangetrieben worden wären, hätten jedoch weiterhin gefehlt.
Ob Google sich von der Strafzahlung nachhaltig zu mehr Kooperation bei der Aufklärung motivieren lässt, sei dahingestellt.
17. April 2012
Wie The Economist Times berichtet, hat Neu Delhi die EU aufgefordert, Indien in die Riege der sicheren Drittstaaten mit angemessenem Datenschutzniveau aufzunehmen. Dieser Status ermöglicht den Ländern, auf die in der Praxis schwer durchsetzbaren Standardvertragsklauseln der EU zu verzichten.
Bislang ist es EU-Staaten nicht ohne Weiteres erlaubt, sensible personenbezogene Daten nach Indien zu übermitteln. Dies behindere zum Beispiel Dienstleistungen wie die Telemedizin und schränke insgesamt den Dienstleistungsverkehr ein.
In Indien beruft man sich auf Verbesserungen der heimischen Datenschutzgesetze, die nun eine hohe Datensicherheit gewährleisten sollen. Aus den USA gäbe es bereits ungehindert die Möglichkeit, auch sensible Daten nach Indien zu übermitteln und Dienstleistungen auszulagern. Der Vorteil für Indien, in den jeweiligen Wirtschaftszweigen zu wachsen, sei groß, wenn nur die EU Indien als sicheres Land im Sinne des Datenschutzes deklariere. Die EU dürfe den Blick nicht nur auf Konformität mit den eigenen Regeln lenken. Auch wenn Indien abweichende Regelungen treffe, könnten diese als niveaukonform bewertet werden und angemessenen Datenschutz gewährleisten.
16. April 2012
Am 13. April fand die jährliche Verleihung der Big Brother Awards, “Preisen”, die an Firmen, Organisationen und Personen vergeben werden, die in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen oder personenbezogene Daten Dritten zugänglich machen, statt. So wurde z. B. der Big Brother Award 2012 in der Kategorie “Behörden und Verwaltung” an den Sächsischen Staatsminster des Inneren Ulbig für die Funkzellenabfragen im Raum Dresden verliehen. In der Kategorie “Kommunikation” ging der Award an die Cloud und den damit verbundenen Trend, Nutzern die Kontrolle über ihre Daten zu entziehen. In der Kategorie „Politik“ wurde Bundesinnenminister Friedrich für die Einrichtung eines Cyber-Abwehrzentrums ohne Legitimation durch den Bundestag ausgezeichnet. Der BigBrotherAward 2012 in der Kategorie “Arbeitswelt” wurde an die Firma Bofrost für die rechtswidrige Ausforschung von Daten auf einem Betriebsratscomputer verliehen.
Lobende Erwähnung für gut gelebten und engagiert betriebenen Datenschutz fanden der Intendant und Personalrat des Hessischen Rundfunks Breuer sowie der Datenschutzbeauftragte des Landes Schleswig-Holstein Weichert.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Peter Schaar, hat bekannt gegeben, sich nach dem Stopp des ELENA-Verfahrens davon überzeugt zu haben, dass sämtliche personenbezogenen Daten gelöscht sind, die im Rahmen dieses Verfahrens bei der früheren Zentralen Speicherstelle und der Registratur Fachverfahren gespeichert waren. Nach dem Inkrafttreten des Gesetzes über die Aufhebung des ELENA-Verfahrensgesetzes Anfang Dezember 2011 seien bereits sämtliche Schlüssel für die ELENA-Daten durch den BfDI vernichtet worden, der den Datenbankhauptschlüssel verwaltet hatte. Damit galten die ELENA-Daten juristisch bereits als gelöscht. Gleichwohl sei zwischen den am ELENA-Verfahren Beteiligten vereinbart worden, die Daten zudem physikalisch zu löschen. Zu diesem Zweck seien Verfahren entwickelt worden, die den Sicherheitsstandards für die Löschung staatlicher Geheimnisse entsprechen, um die Daten sowohl bei der Zentralen Speicherstelle als auch bei der Registratur Fachverfahren sicher zu löschen. Diese Löschung der ELENA-Daten sei nun erfolgreich durchgeführt und diese seien auch physikalisch nicht mehr vorhanden, teilte Schaar mit.
Pages: 1 2 ... 276 277 278 279 280 ... 301 302 
