Schlagwort: Datenschutzaufsichtsbehörden

Datenschutzaufsichtsbehörden verhängten bislang 75 Bußgelder wegen Datenschutzverstößen

13. Mai 2019

Laut einem Bericht der Welt am Sonntag haben die Datenschutzaufsichtsbehörden der Länder seit Inkrafttreten der DSGVO im Mai 2018 in mindestens 75 Fällen Bußgelder gegen Unternehmen wegen des Verstoßes gegen datenschutzrechtliche Regelungen verhängt. Dabei soll die Summe der Bußgelder insgesamt 449.000 Euro betragen und sich auf Vorfälle in sechs Bundesländern beziehen.

Die Bußgelder gliedern sich wie folgt:

  • Baden-Württemberg: 7 Fälle / 203.000 Euro
  • Rheinland-Pfalz: 9 Fälle / 124.000 Euro
  • Berlin: 18 Fälle / 105.600 Euro
  • Hamburg: 2 Fälle / 25.000 Euro
  • Nordrhein-Westfalen: 36 Fälle / 15.600 Euro
  • Saarland: 3 Fälle / 590 Euro

An der Befragung der Welt am Sonntag nahmen 14 von 16 Bundesländer teil. Mecklenburg-Vorpommern und Thüringen machten keine Angaben.
Das mit 80.000 Euro höchste Bußgeld in einem einzelnen Fall hatte Baden-Württemberg verhängt.

Kursänderung der Aufsichtsbehörden

29. März 2019

Viele Unternehmen gingen kurz nach dem Inkrafttreten der DSGVO von einem strikten Verhalten der Datenschutzaufsichtsbehörden aus. Inzwischen wundern sich nun immer mehr über deren Zurückhaltung.

Obwohl München zu einem der beliebtesten IT-Standorten Europas gehört und viele Unternehmen der IT-Branche Zweigniederlassungen dort unterhalten, gestaltet sich das Hauptgeschäft des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) primär durch Beratungen. Sanktionen hingegen bildeten bis jetzt ehr die Ausnahme. Dieses Verhältnis soll sich durch die Landespolitik nun ändern.

Während 2017 noch ca. 3.700 Beratungsanfragen beim BayLDA zu verzeichnen waren, sind die Anfragen im Jahr 2018 inzwischen auf ca. 9.200 angestiegen. Das bedeutet ca. 384 Anfragen pro Personalstelle. Dies warf die Frage auf, ob eine Beratung überhaupt zu den Pflichtaufgaben der Behörden gehören.

Der Leiter des BayLDA Thomas Kranig sieht den Ansturm der Anfragen grundsätzlich positiv, da die Datenschutzaufsichtsbehörde somit Einblicke in die Umsetzung der DSGVO durch die Unternehmen erlangt. Aufgrund der Masse müssen Anfragen jedoch immer wieder aus Kapazitätsgründen abgelehnt werden. Der Grund für die Kapazitätsproblematik geht daraus hervor, dass die Personalstellen gegenwärtig nicht aufgestockt werden. Der BayLDA muss somit die Beratungstätigkeit “weitgehend einstellen”.

Anderen Datenschutzaufsichtsbehörden ergeht es ähnlich. Die niedersächsische Landesdatenschutzbeauftragte stellte die Beratung bereits im November weitgehend ein. Ausschließlich Vereine und Verbände werden mittels einer eigenen Hotline noch weiter beraten.

Datenschutzkonferenz: Forderungen für die neue Legislaturperiode

18. Oktober 2017

Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.

Die Datenschutzbehörden warnen davor, Daten zu einer “rein wirtschaftlichen Größe” zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort “Datensouveräntität”  zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und “integraler und förderlicher Bestandteil” von Fortschritt in Politik, Wirtschaft und Gesellschaft.

Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.

Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei “in all ihren Ausprägungen auf den Prüfstand zu stellen”.

 

Datenschutzmängel in Berliner Krankenhäusern

7. April 2017

Die Datenschutzbeauftragte Maja Smoltczyk moniert den Umgang der Berliner Gesundheitsbehörden mit Gesundheitsdaten, insbesondere im Zusammenhang mit Patientendaten in Berliner Krankenhäusern. In ihrem aktuellen Tätigkeitsbereich kritisiert die Berliner Datenschutzbeauftragten die fehlende Ausstattung der Gesundheitsbehörden unter anderem mit moderner Technik und den erforderlichen Ressourcen. Vor diesem Hintergrund lassen sich Datenpannen, wie das unbeabsichtigte Offenlegen von Patientendaten gegenüber unbeteiligten Dritten durch die Gesundheitsbehörden, nicht verhindern.

Erhebliche Kritik äußerte die Datenschutzbeauftragte auch hinsichtlich einer mangelnden Erfassung dezentraler Prozesse innerhalb von Tochtergesellschaften der Krankenhäuser oder einer lückenhaften Umsetzung der IT Sicherheitsvorgaben bei Wartungen von Krankenhaus-ITs.

In diesem Zusammenhang wird der aktuelle Entwurf des neuen Bundesdatenschutzgesetzes, nach dem die Datenschutzaufsichtbehörden keine Kontrollen mehr vor Ort im Arbeitsbereich von Berufsgeheimnisträgern ausüben dürfen, keinesfalls zu einem besseren Schutzniveau der Berliner Gesundheitsdaten führen. Denn ob die Krankenhäuser die ihnen datenschutzrechtlich vorgegebenen Maßnahmenergreifungen auch tatsächlich umsetzen, könnten die Aufsichtsbehörden demnach überhaupt nicht mehr nachkontrollieren.

Datenschutzaufsicht in Deutschland bekommt personellen Zuwachs

23. November 2016

Die Datenschutzaufsicht von Bund und Ländern erhält mehr Personal. Allerdings werden nicht alle gleichermaßen bedacht.

Mit Verabschiedung des Budgets für das Ressort von der Bundesdatenschutzbeauftragten Andrea Voßhoff für das Jahr 2017, geht auch ein beträchtlicher Anstieg von Arbeitsplätzen einher. 49 neue Planstellen sind zu besetzen, so viele wie noch nie. 29 ab Januar, die Restlichen ab Dezember. Somit hat sich das Personal seit Amtsantritt im Jahr 2014 nahezu verdoppelt. Es werden sowohl Juristen als auch Informatiker und Techniker eingestellt. Deren Arbeitsfeld wird vorrangig die Bewältigung von Aufgaben sein, welche im Rahmen der EU-Datenschutzgrundverordnung anfallen. Hinzu kommen Aufgaben aus dem IT-Sicherheitsgesetz, der Vorratsdatenspeicherung und dem Transplantationsregister. Außerdem Tätigkeiten die auf die Unabhängigkeitswerdung der Behörde zurückzuführen sind.

Im Gegensatz zur Bundesebene sind die Länder nicht so reich mit neuen Stellen gesegnet. Dort gehen Forderung und Bewilligung teilweise weit auseinander. Allerdings sind die diesbezüglichen Beratungen noch nicht überall abgeschlossen.

Hessen wurden für die nächsten zwei Jahren 9 neue Stellen und Sachmittel für den Aufbau eines eigenen Labors bewilligt. Berlin, Schleswig-Holstein und Sachsen hingegen dürfen sich nicht vergrößern, hatten aber bis zu 30 Stellen beantragt. Bayern bekommt 2017 vier neue Stellen, forderte jedoch das Doppelte. Nordrhein-Westfalen (NRW) hat keine neuen Stellen gefordert, was jedoch damit zusammenhängt, das NRW bereits für das Jahr 2016 10 Stellen erhalten hat und zurzeit keinen Bedarf sieht.

Neues System zur Notifizierung bei Datenpannen in Spanien

11. Juni 2014

Seit 2013 ist die Anzahl der Notifizierungen in Spanien auf Grund der Datenpannen gestiegen. Die Erscheinung des modifizierten spanischen Telekommunikationsgesetzes im Mai 2014 (Ley General de Telecomunicaciones), soll dabei helfen, die Zahl der Anzeigen zu erhöhen.

Die spanische Aufsichtsbehörde (Agencia Española de Protección de Datos ) stellt auf ihrer Webseite seit März 2014 ein neues elektronisches System zur Verfügung, mit dem elektronische Kommunikationsanbieter den Missbrauch von personenbezogenen Daten beziehungsweise Verstöße gegen das spanische Datenschutzgesetz (LOPD) notifizieren können. Während Verbrauchern ein eigenes System zur Verfügung steht, gilt das beschriebene System nur für Anbieter elektronischer Kommunikationen.

Durch die Modifizierung des spanischen TKG soll die Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) umgesetzt werden. Das neue Notifizierungssystem wird durch ein sicheres und schnelles Online-Formular ausgeführt. Somit soll die Notifizierung von Datenpannen erleichtert werden.

Weitere Maßnahmen gegen Internetkriminalität sind in Spanien bis zum Ende des Jahres 2014 vorgesehen.

 

Google ist nicht für Web-Inhalte verantwortlich

29. Juli 2013

Gutachter des Europäischen Gerichtshofes (EuGH) meinen, dass Google nicht für Inhalte der Webseiten verantwortlich sind, für die er Links anbietet. Konsequenz hieraus sei, so der Generalanwalt Niilo Jääskinen, dass nationale Datenschutzbehörden Google nicht verpflichten können, Informationen aus seinem Index zu entfernen. Auch die EU-Datenschutzrichtlinie ändere daran nichts . Ein allgemeines “Recht auf Vergessenwerden” normiere die EU-Datenschutzrichtlinie nicht. Google müsse sich nationalem Recht unterwerfen, was aber nicht dazu führe, dass er rechtmäßige Veröffentlichungen löschen müsse.