Schlagwort: HmbBfDI
5. Oktober 2012
Dem
Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Caspar sind von dem
Universitätsklinikum Hamburg-Eppendorf (UKE) – im Nachgang zu der
im März ausgesprochenen Beanstandung wegen unzulässiger oder jedenfalls undefinierter Notfall- bzw. Sonderzugriffen auf das Krankenhausinformationssystem (KIS) sowie wegen des Fehlens wirksamer technisch-organisatorischer Maßnahmen gegenüber einem möglichen Missbrauch – aktuelle Zahlen zu nunmehrigen Zugriffen auf das KIS vorgelegt worden. Nach den
Angaben des HmbBfDI belegen diese, dass Notfallzugriffe mittlerweile stark reduziert wurden. Während im März 2012 noch 11.671 Zugriffe stattgefunden hätten, sei die Zahl seitdem fast halbiert, was eine direkte Folge der Maßnahmen, die im UKE aufgrund der Beanstandung durchgeführt wurden, sei. So seien z.B. fachrichtungsspezifische Zugriffsregelungen angepasst und eine Dienstvereinbarung zur Auswertung der Zugriffsprotokolle beschleunigt abgeschlossen worden. Weiterhin seien Zugriffsprotokolle überprüft worden, bei denen der Ausführende bei fehlender Plausibilität zur Rede gestellt worden sei.
„Wir haben den Eindruck gewonnen, dass der Datenschutz im IT-Management des UKE nun eine aktive Rolle spielt. Insofern haben wir mit der Beanstandung das Ziel erreicht, das wir erreichen wollten. Ich vertraue auf eine weitere konstruktive Zusammenarbeit mit dem UKE, durch die der Datenschutz der Patienten weiter gestärkt wird.“, so Caspar.
24. September 2012
Die vom Social Network Facebook integrierte Gesichtserkennung steht seit langem als rechtswidrig in der Kritik. Das Verfahren schlägt Nutzern mögliche Verlinkungen von Personen auf Fotos vor, welche durch einen biometrischen Abgleich ermittelt wurden. Nun hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar (HmbBfDI), wie durch einen Pressemitteilung bekannt geben wurde, gegenüber Facebook eine Verwaltungsanordnung erlassen, welche das Unternehmen dazu verpflichtet, die Gesichtserkennung auch rückwirkend datenschutzkonform zu gestalten und sicherzustellen, dass nur mit der aktiven Zustimmung der bereits registrierten Nutzer biometrische Profile erzeugt und dauerhaft gespeichert werden. Zudem müssen diese zuvor umfassend über die Risiken des Verfahrens aufgeklärt werden. Facebook hat nun einen Monat lang Zeit gegen den Bescheid Widerspruch einzulegen, bevor dieser rechtskräftig wird. Anschließend sind die Anforderungen umzusetzen. Geschieht dies nicht fristgerecht, müssen die erhobenen Daten gelöscht werden.
Die Anordnung war nötig geworden, da Facebook auch nach langwierigen und intensiven Verhandlungen nicht bereit war, aus freien Stücken das Verfahren europäischen Datenschutzanforderungen anzupassen. Caspar dazu: „Ich bedaure, dass Facebook nicht willens ist, den europäischen Standard bei der Nutzung digitaler Bilder zur Erstellung biometrischer Profile umzusetzen. Die erlassene Anordnung basiert auf den von den europäischen Datenschutzbeauftragten gemeinsam erarbeiten Anforderungen. Ziel der Anordnung ist es im Übrigen nicht, den Einsatz dieser Technologie zu verhindern, sondern den Nutzerinnen und Nutzern Instrumente an die Hand zu geben, die ihnen eine bewusste und aktive Entscheidung für oder gegen eine Teilnahme an dieser nicht unproblematischen Technologie ermöglicht.“
Wegen der örtlichen Zuständigkeit gilt die Anordnung zunächst nur bezüglich Nutzern aus Hamburg. Andere deutsche Aufsichtsbehörden planen indes gleichlautende Anordnungen zu erlassen.
16. August 2012
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Caspar hat bekannt gegeben, das Verfahren gegen Facebook, welches wegen dessen automatischer Gesichtserkennung eingeleitet, jedoch wegen zwischenzeitlichen Verhandlungen zwischen Facebook und der irischen Datenschutzbehörde ausgesetzt wurde, wieder aufgenommen zu haben. Facebook habe zwar angekündigt, vorerst auf die Erstellung weiterer Gesichtsmodelle von neuen Nutzern zu verzichten, allerdings keine weitergehenden Verpflichtungen – insbesondere im Hinblick auf die bereits bestehende Datenbank – anzuerkennen. Damit sei und bleibe die bestehende Datenbank biometrischer Muster, die ohne Einwilligung der Betroffenen angelegt wurde, rechtswidrig. Die Wiederaufnahme des unterbrochenen Verfahrens mit dem Ziel, auch eine tragfähige Lösung für die ohne Einwilligung erstellten biometrischen Erkennungsmuster durchzusetzen, sei somit unumgänglich. Als Mindestvoraussetzung käme nur eine Einwilligungslösung für bereits biometrisch erfasste Nutzer in Betracht, anderenfalls müssten die Daten gelöscht werden.
„Zunächst ist zu begrüßen, dass Facebook offenbar mittlerweile selbst erkennt, dass das vom Netzwerk derzeit eingesetzte Verfahren der Sammlung biometrischer Gesichtsmodelle zumindest in Europa nicht mit dem Datenschutzrecht vereinbar ist. Facebook darf jetzt aber nicht auf halbem Weg stehen bleiben. Den Anforderungen der Art. 29-Gruppe der Europäischen Datenschutzbeauftragten zur Gesichtserkennung ist gerade hinsichtlich der bereits erhobenen Daten nachzukommen. Das informationelle Selbstbestimmungsrecht gilt nicht nur für die neuen, sondern auch für die existierenden Nutzer. Die bereits erhobenen Daten der Betroffenen sind zu löschen oder es ist zumindest sicherzustellen, dass die Betroffenen einer weiteren Speicherung und Verwendung ihrer Gesichtsdaten nachträglich ausdrücklich zustimmen können. Bedauerlich ist, dass Facebook die Chance für eine einvernehmliche Lösung nicht genutzt hat und offenbar in dieser Frage auch weiterhin auf Zeit spielt. Facebook kennt unsere Rechtsauffassung und kann uns jederzeit über die Einführung eines Einwilligungsmodells oder über die Löschung der gesammelten Daten unterrichten.“, so Caspar.
19. Juli 2012
Der Hamburgische Datenschutzbeauftragte für Datenschutz und Informations- freiheit (HmbBfDI) Caspar hat bekannt gegeben, ein Bußgeld in Höhe von 54.000 Euro gegen die Europcar Autovermietung GmbH festgesetzt zu haben, die einen Teil ihrer Flotte ohne Wissen der betroffenen Mieter per GPS hat orten lassen.
Die Übermittlung der Ortungsdaten soll nach der ersten Einlassung des Unternehmens dazu gedient haben, Diebstähle aufzuklären. Außerdem habe man damit kontrollieren wollen, ob sich der Mieter noch im zulässigen Gebiet befindet, da die Benutzung der Fahrzeuge in verschiedenen Ländern vertraglich ausgeschlossen ist. Neben dem Standort seien Datum, Zeit und auch die Geschwindigkeit der Fahrzeuge erhoben worden. Bei weiteren Vor-Ort-Ermittlungen habe die Aufsichtsbehörde jedoch überdies feststellen müssen, dass auch ohne Anlass zusätzlich alle 48 Stunden eine Ortung der Fahrzeuge vorgenommen wurde und eine automatische Übermittlung der Daten erfolgte, sobald ein Fahrzeug ein Hafengebiet befährt.
Mittlerweile habe Europcar die regelmäßige Ortung alle 48 Stunden abgestellt. Über die Übermittlung der Ortungsdaten in den anderen Fällen sollen Mieter jetzt im Vorfeld informiert werden, indem sie ihr im Rahmen des Mietvertrags zustimmen müssen. Dadurch sollen heimliche Überwachungen ausgeschlossen werden.
„Der Einsatz von Ortungssystemen bei Mietfahrzeugen setzt zumindest eine vollständige Information über Art und Weise der Ortung sowie die ausdrückliche Einwilligung der Betroffenen in das Tracking voraus. Jeder Mieter muss das Recht haben, selbst darüber zu entscheiden, ob er Fahrzeuge anmieten will, deren Nutzung beim Vermieter oder dessen Vertragspartnern unmittelbar eine individuelle digitale Nutzungsspur hinterlässt. Diese Vorgaben werden nun von Europcar erfüllt“, so Caspar.
9. März 2012
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Caspar (HmbBfDI) hat mitgeteilt, das Universitätsklinikum Hamburg-Eppendorf (UKE) formell beanstandet zu haben. Hintergrund dessen sei, dass jedem Arzt im UKE ein Notfallzugriff auf das Krankenhausinformationssystem und damit ein Zugriff auf alle zu dem Patienten vorgehaltenen Daten ermöglicht werde, unabhängig davon, ob er eine Behandlung durchführt oder nicht. Dies könne zwar in zeitkritischen Situationen medizinisch geboten sein, allerdings fehlten die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz vor einem Missbrauch dieses Instrumentes. Der einen Notfallzugriff nutzende Arzt bekomme lediglich einen Warnhinweis nebst Aufforderung, einen Grund für einen Zugriff außerhalb seines normalen Berechtigungsprofils anzugeben. Eine (stichprobenartige) Kontrolle finde nicht statt, so dass ein Missbrauch kaum entdeckt werden könne. Da über den Notfallzugriff der Nutzer alle jemals zu dem Patientenkreis des UKE und dessen Tochterunternehmen erfassten Daten einsehen könne, sei das Missbrauchspotential hoch. Das UKE soll eingeräumt haben, dass allein im Oktober 2010 insgesamt 6.400 Abfragen über diesen Notfallzugriff erfolgten. Aktuellere Zahlen lägen nicht vor. Die hohen Zugriffszahlen seien auf Prozessablaufschwierigkeiten zurückzuführen.
Der HmbBfDI fordere daher nun einen regelmäßigen Bericht über Anzahl und Gründe der Notfallzugriffe sowie die Erstellung und Umsetzung eines Konzepts zur Auswertung der Zugriffsprotokolle. Weiterhin müsse eine Lösung für die technischen Prozessablaufprobleme gefunden werden. Der Notzugriff müsse in seinen Ausmaßen deutlich eingedämmt und auf seine eigentliche Bestimmung begrenzt werden. Dem UKE werde eine Frist von drei Wochen zu einer schriftlichen Stellungnahme sowie eine dreimonatige Frist zur Umsetzung geeigneter Kontrollmaßnahmen gesetzt. „Die Problematik des Notfallzugriffs ist dem UKE seit mehr als zwei Jahren bekannt. Trotz intensiver Gespräche und datenschutzrechtlicher Begleitung unsererseits ist es nicht gelungen, das UKE zu einem datenschutzgerechten Verfahren zu bewegen. Unsere Geduld ist nunmehr erschöpft. Angesichts der Sensibilität der Daten und der Vielzahl von Berechtigten und Betroffenen muss das UKE nun unverzüglich in die Umsetzung der technischen und organisatorischen Maßnahmen zur Sicherung der Patientendaten eintreten“, kommentierte Caspar seine Schritte.
11. November 2011
Der
Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Caspar hat
angekündigt, rechtliche Schritte gegen Facebook vorzubereiten. Er begründete dies mit der Weigerung des sozialen Netzwerkes, die Funktion der
automatischen Gesichtserkennung mit deutschen und europäischen Regelungen in Einklang zu bringen. Anstelle der zwingenden Information und gleichermaßen zwingenden Einholung einer Einwilligung des Betroffenen in die Erhebung und Verarbeitung biometrischer Daten, soll Facebook nun – entgegen vorheriger Aussagen – angekündigt haben, sich mit einer Ankreuzlösung begnügen zu wollen und den Betroffenen so die Möglichkeit zu geben, in alle Nutzungsbedingungen des Netzwerkes nebst Datenverwendungsrichtlinien einzuwilligen. Diese Bezugnahme auf die Nutzungsbedingungen reiche jedoch zur Legitimation der Erhebung und Verarbeitung biometrischer Gesichtsprofile der Nutzer nicht aus. Es bleibe völlig unklar, ob und inwieweit die Nutzer im Rahmen dieser Datenverwendungsrichtlinien über die Gesichtserkennungsfunktion und die biometrische Datenbank informiert werden sollen. Außerdem sei dieses Verfahren offensichtlich nur auf Nutzer ausgerichtet, die sich zukünftig bei Facebook registrieren. Bisher registrierte Nutzer – in Deutschland rund 20 Millionen – blieben unberücksichtigt.
“Nach monatelangen Verhandlungen, die wir mit Facebook geführt haben, ist das Ergebnis enttäuschend. Weiterhin liegt ein Verstoß gegen europäisches und nationales Datenschutzrecht vor. Dieser muss nun abgestellt werden. Um künftig sicherzustellen, dass die neue Technologie der Gesichtserkennung in einer Weise eingesetzt wird, die das informationelle Selbstbestimmungsrecht der Nutzer achtet, werden wir die uns zur Verfügung stehenden rechtlichen Instrumente einsetzen. In Betracht kommen die Verhängung eines Bußgeldes wie auch der Erlass einer Ordnungsverfügung.“, so Caspar. (sa)
