Schlagwort: DSGVO

BfDI kritisiert Einführung der elektronischen Patientenakte nach PDSG

28. August 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, kündigte an, dass er voraussichtlich aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen ergreifen müsse. Hintergrund ist das Patientendaten-Schutz-Gesetz (PDSG). In seiner derzeitigen Fassung verstoße es hinsichtlich der Einführung der elektronischen Patienake (ePA) stellenweise gegen die europäische Datenschutz-Grundverordnung (DSGVO). Dadurch könne es zu einer rechtswidrigen Verarbeitung von Gesundheitsdaten kommen. Gesundheitsdaten sind als eine besondere Kategorie von personenbezogenen Daten besonders schützenswert.

Schon während des Gesetzgebungsverfahrens des PDSG äußerte der BfDI Bedenken, dass die Patienten bei einer Einführung der ePA nach Vorgaben des PDSG nicht die volle Gewalt über ihre Daten hätten.
Der Zugriff auf die eigene ePA ist für Patienten nur dann datenschutzrechtlich sicher, wenn sie hierzu geeignete Smartphones oder Tablets nutzen. Werden keine geeigneten Smartphones oder Tablets für den Zugriff auf die ePA verwendet, wird nicht dokumentengenau kontrolliert, welche Beteiligte welche in der ePA gespeicherten Daten einsehen können. Darüber hinaus ist besonders problematisch, dass auch diese Zugriffsmöglichkeit über Smartphones oder Tablets erst ein Jahr nach der Einführung der ePA – also nach 2021 – möglich sein wird.

Dadurch, dass nicht dokumentengenau kontrolliert wird, welche Beteiligten welche in der ePA hinterlegten Informationen einsehen können, besteht die Möglichkeit, dass jeder Beteiligte, dem durch den Patienten Einsicht in die ePA gewährt wird, auch alle hinterlegten Informationen einsehen kann. Diese Einsichtsmöglichkeit ist unabhängig davon, ob die Kenntnis der konkreten Informationen erforderlich ist. Daher kann ein Facharzt für Psychiatrie beispielsweise in die vom Zahnarzt des Patienten in der ePA gespeicherten Informationen einsehen.

Patienten, die kein geeignetes Endgerät zur Einsichtnahme in ihre ePA zur Verfügung haben oder keine Einsichtnahme in ihre ePA über Smartphone oder Tablet nehmen möchten, haben keine Möglichkeit, eigenständig ihre ePA einsehen zu können. Auch eine Prüfung der erfolgten Zugriffe auf ihre in der ePA hinterlegten Daten ist somit nicht möglich.

50 Strafverfahren wegen Verdachts auf Datenschutzverstoß durch Berliner Polizei

30. Juli 2020

Mutmaßliche Rechtsextremisten versuchen, mit Drohbriefen Politiker oder Personen des öffentlichen Lebens einzuschüchtern. Über Polizeirechner in Hessen konnten die Täter unberechtigt Adressen, E-Mail-Adressen und Telefonnummern abfragen. Auch in Brandenburg und Berlin wurden solche unberechtigten Abfragen in den vergangenen zwei Jahren bekannt.

Wie die Senatsverwaltung für Inneres auf Anfrage am 27. Juli 2020 mitteilte, wurden gegen die Berliner Polizei deswegen in den letzten zwei Jahren rund 50 Strafverfahren wegen eines Verdachts des Verstoßes gegen das Landesdatenschutzgesetz aufgrund unberechtigter Datenabfragen eingeleitet.

Der Großteil dieser Verfahren wurde allerdings wegen mangelnden Tatverdachts eingestellt:
2018 wurden 24 Verfahren eingeleitet, von denen 23 wieder eingestellt wurden. In lediglich einem Verfahren wurde ein Strafbefehl erlassen.
Im Jahr 2019 wurden von 25 Strafverfahren gegen Bedienstete der Polizei Berlin 16 wegen mangelnden Tatverdachts und eines wegen geringer Schuld eingestellt. Die acht weiteren Strafverfahren sind bisher noch nicht abgeschlossen.

Nach Angaben der Innenverwaltung könnte es weitere Verdachtsfälle gegeben haben, bei denen sich aber unmittelbar herausgestellt haben könnte, dass der Zugriff auf die Daten rechtmäßig war. Das Berliner Datenschutzgesetz wurde Mitte 2018 reformiert. Dadurch können einige Verstöße als Ordnungswidrigkeit einzustufen sein, die bei der Polizei Berlin allerdings statistisch nicht erfasst werden.

Seit 2018 wurden deutschlandweit insgesamt mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen solcher unberechtigten Datenabfragen eingeleitet. Eine zweistellige Zahl dieser Verfahren wurde allerdings bereits eingestellt oder werden derzeit noch überprüft.

Kategorien: Allgemein · DSGVO
Schlagwörter: , , ,

Unverzichtbarkeit betrieblicher Datenschutzbeauftragter während Kurzarbeit

5. Juni 2020

Mit einer Stellungnahme vom 27.05.2020 erklärte der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, dass betriebliche Datenschutzbeauftragte auch während einer (Corona-bedingten) Kurzarbeit im Unternehmen unverzichtbar sind.

Denn auch für den Fall, dass ein Verantwortlicher in seinem Unternehmen Kurzarbeit einführt – dass also entweder in geringerem Umfang weitergearbeitet oder vorübergehend die gesamte Tätigkeit eingestellt wird – bleibt das Unternehmen an sich bestehen. Betriebliche Dateschutzbeauftragte sind insbesondere deswegen weiterhin von Bedarf, da Kunden- und Geschäftsbeziehungen auch während einer Kurzarbeit bestehen bleiben. Somit werden auch weiterhin personenbezogene Daten verarbeitet. Auch bringt die Corona-Pandemie neue datenschutzrechtliche Herausforderungen mit sich. So wurden durch Betriebe vermehrt Home-Office angeordnet oder Konferenzen und Besprechungen per Videosysteme abgehalten. Ebenso mussten teilweise die innerbetrieblichen Kommunikationswege mit neuen elektronischen Systemen und Anbietern sichergestellt werden.
Es obliegt weiterhin dem Verantwortlichen gemäß Art. 38 Abs. 2 der Datenschutz-Grundverordnung (DSGVO), dem Datenschutzbeauftragten zu ermöglichen, Kontroll- und Beratungsaufgaben wahrzunehmen.

Auch die Pflicht, einen Datenschutzbeauftragten nach Bundesdatenschutzgesetz (BDSG) zu benennen, besteht weiter. Dass in § 38 Abs. 1 S. 1 BDSG festgelegt ist, dass Verantwortliche dann einen Datenschutzbeauftragten zu benennen haben, „…soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“, soll nicht heißen, dass damit jegliche kurzzeitige Veränderung in Betriebsabläufen gemeint ist. Vielmehr muss hier eine langfristige Betrachtung der Verarbeitungsvorgänge vorgenommen werden. Solange auch im Anschluss an die Kurzarbeit mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Pflicht zur Bennenung eines Datenschutzbeauftragten nach Bundesdatenschutzgesetz gegeben.

Möglich ist, den Arbeitszeitumfang eines betrieblichen Datenschutzbeauftragten, der vor der Kurzarbeit in Vollzeit tätig war, zu verringern. Es muss jedoch stets gewährleistet sein, dass er seinen datenschutzrechtlichen Pflichten uneingeschränkt nachkommen kann.
Um dies zu gewährleisten, muss dem Datenschutzbeauftragten des Weiteren mit geeigneten Maßnahmen durch den Verantwortlichen ermöglicht werden, telefonisch und/oder per E-Mail erreichbar zu sein und ihre Posteingänge prüfen zu können.

Kategorien: Allgemein · DSGVO
Schlagwörter: , , ,

Thüringen: Erfassen von Kundendaten in „Corona-Listen“

20. Mai 2020

In Thüringen sind im Zuge der Corona-Pandemie bestimmte Dienstleistungsunternehmen, zum Beispiel Gaststätten, dazu verpflichtet, sogenannte „Corona-Listen“ zu führen. Ziel dieser Listen ist, dass im Falle einer möglichen Infektion mit SARS-CoV-2 von Kunden deren Kontaktpersonen festgestellt werden können. Damit können mögliche Infektionsketten nachverfolgt werden. In den „Corona-Listen“ werden personenbezogene Daten der Kunden wie Vor- und Nachname, Telefonnummer, E-Mail-Adresse und Adresse aufgenommen.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, bezog hierzu Stellung. Er mahnte an, dass die Datenschutz-Grundverordnung auch in diesem Fall nicht außer Acht gelassen werden dürfe. Jeder Kunde, der im Rahmen dieser „Corona-Listen“ seine personenbezogenen Daten angibt, muss nach Art. 13 ff DSGVO Informationen über Datenerhebung und -verarbeitung erhalten. Dabei müssen insbesondere der Zweck der Datenverarbeitung und die Speicherdauer angegeben werden. Hasse merkte zur Speicherdauer an, dass diese höchstens zwei bis drei Wochen betragen dürfe.
Es sei davon abzusehen, fortlaufende „Corona-Listen“ auszulegen, bei denen Dritte Einblick in die bereits erfassten Daten anderer Gäste nehmen könnten. Selbiges gilt für das offene Führen von Büchern mit personenbezogenen Daten.

Problematisch ist weiterhin, dass für die Erhebung und Verarbeitung personenbezogener Daten entweder eine Rechtsgrundlage oder die freiwillige Einwilligung der betroffenen Personen vorliegen müssen. Dr. Lutz Hasse meint hierzu: „Eine Rechtsgrundlage kann ich, wie das Sozialministerium auch, derzeit nicht erkennen.“ Eine Pflicht zur Speicherung der personenbezogenen Daten von Kunden in Restaurants und bei Friseuren sei in der Corona-Verordnung Thüringens nicht festgelegt. Damit kann die Erhebung und Verarbeitung der personenbezogenen Daten alleine auf die Einwilligung der betroffenen Personen gestützt werden.
Bezüglich der Einwilligung sieht Hasse kritisch, dass diese mit einem Restaurantbesuch oder Friseurtermin zusammenhängt und zweifelt damit die Freiwilligkeit eine solchen Einwilligung an.

Kategorien: Allgemein
Schlagwörter: , ,

Start von Facebook Dating in Europa verspätet sich aus Datenschutzgründen

13. Februar 2020

Eigentlich sollte Facebooks Datingdienst am 13. Februar und damit pünktlich einen Tag vor Valentinstag in Europa verfügbar sein. Daraus wird aber nichts, wie die irische Datenschutzkommission (DPC) am 12. Februar bekanntgab. Erst 10 Tage vor dem geplanten Start, am 3. Februar, wurde die DPC von Facebooks EU-Headquarter in Irland über den geplanten Start von Facebook Dating informiert. Die DPC monierte, dass ihr keine Informationen und Dokumentationen über die Datenschutz-Folgenabschätzung (DPIA) oder den bei Facebook Irland abgelaufenen Entscheidungsfindungsprozessen vorgelegt wurden. Um die Beschaffung der erforderlichen Unterlagen zu beschleunigen hat die DPC am vergangenen Montag eine Inspektion in den Büros von Facebook Irland durchgeführt und Dokumente gesammelt. Am daraufolgenden Tag teilte Facebook der Datensschutzbehörde mit, dass die Einführung des Features verschoben wurde.

In den USA wurde das Dating-Feature bereits im September gelauncht. EU-Bürger müssen bis auf Weiteres auf anderen Plattformen auf Partnersuche gehen. Aber auch die stehen im Fokus von Untersuchunngen: So legten norwegische Verbraucherschützer gegen die Dating-App Grindr Beschwerde ein, auch Lovoo stand bereits in der Kritik und aktuell ermittelt die irische Datenschutzkommission, ob der Umgang mit personenbezogenen Daten der Dating-App Tinder im Einklang mit dem Datenschutzrecht steht.

15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach DSGVO

8. Januar 2020

Das Amtsgericht Wertheim verhängte mit Beschluss vom 12.12.2019 (Az.: 1 C 66/19) ein Zwangsgeld in Höhe von 15.000 Euro (ersatzweise ein Tag Zwangshaft für je 500 Euro) gegen ein nach Art. 15 DSGVO auskunftspflichtiges Unternehmen.

Das Unternehmen war zuvor mit Anerkenntnisurteil vom 27.05.2019 (Az.: 1 C 66/19) verurteilt worden, Auskunft über die personenbezogenen Daten des Klägers, die bei dem Unternehmen verarbeitet werden, zu erteilen und diesem über die Informationen nach Art. 15 Abs.1 DSGVO Auskunft zu geben.

Das Gericht begründete seinen Beschluss nun mehr damit, dass das Unternehmen dieser Pflicht nicht vollständig nachgekommen sei. Insbesondere habe das Unternehmen nicht alle erforderlichen Informationen über die Herkunft der Daten des Klägers nach Art. 15 Abs. 1 lit. g) DSGVO erteilt.

Das Unternehmen legte dem Kläger zwecks Auskunftserteilung ein Schriftstück vor, dessen Erhalt der Kläger bestritt. Das Schriftstück gab die Kategorien der verarbeiteten Daten an und benannte als Herkunft der Daten in Klammern eine GmbH mit dem Zusatz „z.B.“.

Unabhängig davon, ob ein solches Schreiben tatsächlich an den Kläger übergegeben wurde, so das Amtsgericht, genüge dieses jedoch nicht den Anforderungen des Art.12 DSGVO. Die Information über die Herkunft der Daten werde in dem Schriftstück nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt. Der Zusatz „z.B.“ mache das Schriftstück vielmehr unklar und irreführend, da für den Betroffenen nicht ersichtlich sei, ob die Daten wirklich von der benannten GmbH stammten.

Weiterhin führte das Gericht aus, dass aus dem Schriftstück auch nicht hervorgehe zu welchem Zeitpunkt und mit welchem Inhalt personenbezogene Daten übermittelt wurden.

Auch genüge es nicht mitzuteilen, welche Art oder Kategorie von Daten verarbeitet wurde. Entscheidend sei im Hinblick auf Art. 15 DSGVO vielmehr die Nennung der konkreten personenbezogenen Daten.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Keine Abschaffung des Datenschutzbeauftragten

29. April 2019

Die Datenschutzkonferenz lehnt die Forderung ab, die Pflicht zur Benennung von Datenschutzbeauftragten aufzuweichen.

In dem Entschließungsantrag des Landes Niedersachsen vom 02. April 2019 war nachfolgende Forderung angeführt:

„Der Bundesrat fordert eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Gemäß § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Zwar ist diese Regelung nicht neu, sondern an den § 4 f Abs. 1 S. 4 BDSG a. F. angelehnt, sie stellt jedoch eine nationale Besonderheit dar, durch die in Deutschland ansässige Unternehmen gegenüber Unternehmen in anderen Mitgliedsstaaten mit mehr Bürokratie belastet werden. Der Bundesrat fordert die Bundesregierung daher auf, hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.“

Dieser Forderung kommt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einem Beschluss nicht nach.

Nach der DSK habe sich diese Pflicht seit vielen Jahren bewährt und sei auch deshalb bei der Datenschutzreform im deutschen Recht beibehalten worden. Aufgrund einer betrieblichen Selbstkontrolle sorgen die Datenschutzbeauftragten für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten.

Ein Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten würde dem nicht entgegenkommen.
Mittelfristig ginge interne Kompetenz verloren.

Die Konferenz spricht sich daher gegen eine Abschaffung oder Auflockerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen (§ 38 BDSG) aus.

Kategorien: Allgemein · EU-Datenschutzgrundverordnung
Schlagwörter: , , ,

Neue Gesetze verlangen die Verschlüsselung von Daten

25. Januar 2019

Grundsätzlich ist jedes Unternehmen und jede Behörde durch die neuen Gesetze dazu angehalten sensibel Daten zu verschlüsseln. Viele Unternehmen schätzen den Nachdruck, der hinter der Umsetzung steht, falsch ein. Erst wenn Daten verloren gehen oder durch Hacker gestohlen und veröffentlicht werden, wird die Bedeutung der Gesetze greifbar.

Auch wenn in der DSGVO nicht explizit das Wort „Verschlüsselung“ verwendet wird, ist es trotzdem zwingend, dass Daten spätestens bei Speicherung in einer Cloud oder bei Übermittlung via Internet verschlüsselt werden müssen.

Geheimnisträger wie beispielsweise Anwälte, Notare sowie Wirtschaftsprüfer sind zu dem noch an den im Jahr 2017 neugefassten § 203 StGB gebunden, der den Schutz von Informationen zusätzlich regelt. Im Falle eines Verstoßes drohen Bußgelder sowie Gefängnisstrafen.

Der Schutz von Daten wird in vielen Branchen durch zusätzliche Normen geschützt. Ärzte und Apotheker sind beispielsweise an das E-Health-Gesetz gebunden. Betreiber kritischer Infrastrukturen unterliegen dem IT-Sicherheitsgesetz, welches ausdrücklich eine Verschlüsselung vorschriebt.

Mehr Transparenz im Datenschutz

21. Januar 2019

Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber arbeitet seine Behörde an einem Konzept zu größerer Transparenz im Datenschutzrecht. Danach entwickelt die Bundesdatenschutzbehörde zurzeit ein Konzept im Hinblick auf die Veröffentlichung von amtlichen Informationen, die die Ahndung von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) betreffen.

Dieses Konzept soll laut Kelber zum Ziel haben, dass grundsätzlich alle nach dem Informationsfreiheitsgesetz abfragbaren Informationen auch veröffentlicht werden können. In der Konsequenz würde die Bundesdatenschutzbehörde folglich aktiv Informationen zu Ahndungen von Datenschutzverstößen veröffentlichen, wenn ein Anspruch des Bürgers auf amtliche Informationen nach dem Informationsfreiheitsgesetz (IFG) bestehen würde.

Damit will der Bundesdatenschutzbeauftragte dem aktuellen Zustand entgegenwirken, dass nur sehr vereinzelt Datenschutzverstöße und ihre Sanktionierung transparent veröffentlicht werden. Diesen Zustand kritisierte bereits der ehemalige Bundesdatenschutzbeauftragte Peter Schaar. Ebenso wurde von Niko Härting angemerkt, dass die meisten Ahndungen der breiten Öffentlichkeit unverständlicherweise nicht bekannt seien.

Zur Erläuterung: Nach § 1 IFG hat jeder Bürger einen Anspruch auf Zugang zu amtlichen Informationen, soweit kein besonderer öffentlicher Belang entgegensteht (§ 3 IFG) und der Geheimnisschutz sowie der Schutz personenbezogener Daten gewahrt bleiben, §§ 4, 5, 6 IFG. Ein gesondertes berechtigtes Interesse muss der Bürger dafür gerade nicht nachweisen.

Neuer Bundesdatenschutzbeauftragter (BfDI) gewählt

30. November 2018

Neuer Bundesdatenschutzbeauftragter ist Ulrich Kelber, der seit dem Jahr 2000 für die Partei SPD im Bundestag vertreten ist. Mit seiner Wahl, bei der er 444 Stimmen der Abgeordneten bekam, folgt er auf Andrea Voßhoff.

Der neue Leiter der höchsten deutschen Datenschutzbehörde war unter anderem als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig. Kelber bringt darüber hinaus einschlägige Berufserfahrung als IT-Experte mit sich.

Interessanter Nebenaspekt ist dabei der in den einschlägigen Fachforen bereits diskutierte Auswahlprozess des neuen Bundesbeauftragten für Datenschutz. In ihrem Art. 53 bestimmt die Datenschutz-Grundverordnung (DSGVO) eigentlich folgendes:
„Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird (…).“

Die Wahl Kelbers dagegen verlief, wie bislang üblich, auf Vorschlag der Bundesregierung. Entsprechend gab es keine Ausschreibung, die womöglich die von der DSGVO intendierte Transparenz gefördert hätte. Ob und welche Auswirkungen dies haben könnte, ist dabei unklar.
Über die fachliche und persönliche Qualifikation des IT-erfahrenen Kelber sei damit selbstverständlich keine Aussage getroffen.

1 2 3 4