Zum Inhalt springen

Bußgeld

Bri­ten ver­ga­ßen 17000 USB Sticks in der Reinigung

Sie baden gera­de Ihren USB-Stick darin

Laut einem Online-Bericht der öster­rei­chen Zei­tung “Kro­ne” wur­den 2010 in Groß­bri­tan­ni­en über 17.000 USB-Sticks in Klei­dung ver­ges­sen, die zur Rei­ni­gung in die Wäsche­rei gege­ben wur­de. Die­se Zahl hol­te eine Umfra­ge des Daten­schutz-Unter­neh­mens Cre­dant Tech­no­lo­gies aus der Wäsche­trom­mel. Laut Cre­dant sind das vier­mal so viel wie in 2009 — bri­ti­scher Reinlichkeitswahn?

Ab 1000 Umdre­hun­gen geht es rund

Unter Daten­schutz­ge­sichts­punk­ten sind die Sticks im Zwei­fel nach Wasch- und Schleu­der­gang daten­schutz­ge­recht ent­sorgt. Dies ist so jedoch nicht im Sin­ne des Erfin­ders — nicht der Wasch­ma­schi­ne, son­dern des Datenschutzes.

Für daten­schutz­ge­rech­te Ent­sor­gung ist für gewöhn­lich die IT-Abtei­lung eines Unter­neh­mens zustän­dig, nicht die Wäsche­rei um die Ecke. Der Fach­be­reich ver­fügt über das Know-How und die not­wen­di­gen Tools, um Daten­trä­ger fach­ge­recht zu löschen oder end­gül­tig zu entsorgen.

Ohne Weich­spü­ler und Knitterschutz

Nicht aus­zu­den­ken, wenn die Sticks statt in der Trom­mel in kri­mi­nel­le Hän­de gera­ten wären oder im Ver­kauf bei Ebay: Ver­lust von Fir­men-Internas, Kal­ku­la­tio­nen oder viel­leicht sogar per­so­nen­be­zo­ge­ner Daten. Letz­te­res ist nach § 42a BDSG kein Kava­liers­de­likt und hat in Deutsch­land unan­ge­neh­me Fol­gen für das betrof­fe­ne Unter­neh­men, zu dem der Mit­ar­bei­ter gehört -> Buß­geld­ka­ta­log.

Nicht nur sau­ber, son­dern rein

Für den siche­ren Umgang mit USB-Sticks und ande­ren exter­nen Spei­cher­me­di­en sor­gen regel­mä­ßi­ge Schu­lun­gen und Infor­ma­tio­nen durch Ihren Daten­schutz­be­auf­trag­ten, der zuvor die Kon­zep­ti­on ent­spre­chen­der Richt­li­ni­en aktiv mit­ge­stal­tet hat (Ver­schlüs­se­lung, Nut­zung, Ent­sor­gung etc.). Sie haben noch kei­nen? Dann spre­chen Sie mich an.

Daten­si­cher­heit in Unter­neh­men oft­mals noch ver­nach­läs­sig­tes Thema

Online-Umfra­ge von “Deutsch­land sicher im Netz e.V.” (DsiN) ent­hüllt Schwachstellen

600 klei­ne und mit­tel­stän­di­sche Unter­neh­men betei­lig­ten sich an der aktu­el­len anony­men Online-Umfra­ge von DsiN. Das Ergeb­nis ist wenig schmei­chel­haft für die Ver­ant­wort­li­chen in den Unter­neh­men: ledig­lich ein Drit­tel der Befrag­ten gibt an, über eine Com­pli­ance-Stra­te­gie zu ver­fü­gen. Vor dem Hin­ter­grund dro­hen­der Buß­gel­der bei Nicht­ein­hal­tung von Daten­schutz- und Daten­si­cher­heits­re­geln — gera­de im Umgang mit per­so­nen­be­zo­ge­nen Daten — schwer nachvollziehbar.

Erfreu­lich zumin­dest die Aus­sa­ge, daß fast 70% immer­hin mit der Umset­zung von Ein­zel­maß­nah­men außer­halb eines Stra­te­gie­kon­zepts begon­nen haben. Aller­dings sind ledig­lich in 26,7% aller befrag­ten Unter­neh­men die Mit­ar­bei­ter durch regel­mä­ßi­ge Schu­lun­gen zum The­ma Daten­schutz und Daten­si­cher­heit sensibilisiert.

Gefah­ren lau­ern im (Büro-) Alltag

Spre­che ich mit Ver­ant­wort­li­chen in Unter­neh­men, so höre ich beim The­ma Daten­si­cher­heit oft ein­an­der ähneln­de Aus­sa­gen wie “Wir haben alles tech­nisch mög­li­che gegen Hacker­an­grif­fe unter­nom­men”, “Unse­re Back­up- und Reco­very-Stra­te­gie wird immer wie­der geprüft” oder auch “Unse­re IT ist in ein Rechen­zen­trum out­ges­ourct und daher voll­kom­men sicher”. In der Sum­me sicher der rich­ti­ge Ansatz, als häu­fig iso­liert umge­setz­te Ein­zel­maß­nah­men im Sin­ne einer Com­pli­ance-Stra­te­gie unzureichend.

Dabei wird oft­mals über­se­hen, daß die Gefah­ren für die Daten im Unter­neh­men nicht unbe­dingt von außen dro­hen, son­dern im ganz nor­ma­len Büro-All­tag auftreten:

  • USB-Sticks /​ Mobi­le Spei­cher­me­di­en: hier lau­ert gleich dop­pel­te Gefahr. Einer­seits durch den Ver­lust die­ser oft­mals nur noch dau­men­na­gel­gro­ßen Gerä­te mit eige­nen sen­si­blen und /​ oder per­so­nen­be­zo­ge­nen Daten. Ande­rer­seits das Risi­ko, unbe­merkt und unbe­wußt Schad­rou­ti­nen durch das unge­schütz­te Ein­ste­cken oder Ein­le­gen in das inter­ne Fir­men­netz einzuschleusen.
  • Mobi­le Gerä­te /​ Lap­tops /​ Smart­phones: Pro­ble­me tre­ten hier bei Ver­lust schnell zuta­ge durch feh­len­de Ver­schlüs­se­lung, lokal gespei­cher­te Infor­ma­tio­nen oder unzu­rei­chend gesi­cher­te VPN-Zugän­ge, meist zuguns­ten eines höhe­ren Bedien­kom­forts (in einer Stu­die von 2008 steht Kom­fort für knapp ein Vier­tel der IT-Ver­ant­wort­li­chen vor Datensicherheit).
  • Mul­ti­funk­ti­ons­ge­rä­te (MFG) /​ Kopie­rer: in einer immer mehr ver­netz­ten Welt kom­mu­ni­zie­ren die­se Gerä­te mitt­ler­wei­le über das Inter­net und sind somit von außen angreif­bar. Inter­ne Zwi­schen­spei­cher kön­nen bei Repa­ra­tur oder Aus­tausch durch exter­ne Dienst­leis­ter eben­falls Internas nach außen tragen.
  • VoIP (Voice over IP): meist kom­for­ta­bler und preis­güns­ti­ger als Tele­fon­an­la­gen birgt die Tech­nik jedoch auch Gefah­ren. Wie jede IP-Tech­no­lo­gie ist sie von außen angreif­bar und im Zwei­fel auf­grund unzu­rei­chen­der Schutz­maß­neh­men abhörbar.
  • Cloud Com­pu­ting: der gro­ße Hype aus 2010 setzt sich in 2011 fort — alle wol­len “in die Cloud”. Kos­ten­druck und Über­all-Ver­füg­bar­keit hin oder her soll­ten nicht davon ablen­ken, daß hier Fir­men­in­ter­na und per­so­nen­be­zo­ge­ne Daten in “öffent­li­che” Berei­che außer­halb des Unter­neh­mens aus­ge­la­gert und in die Ver­ant­wor­tung exter­ner Anbie­ter über­ge­ben werden.
  • Mit­ar­bei­ter: man­geln­der Kennt­nis­stand und feh­len­de Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter stell­ten mit die größ­ten Bedro­hungs­po­ten­tia­le für Ihre Unter­neh­mens­da­ten dar. Gesel­len sich noch Frust oder Vor­satz hin­zu, dann ist Ihr Unter­neh­men fast chancenlos.

Wie begeg­nen Sie die­sen Gefahren?

Eine schlüs­si­ge Com­pli­ance-Stra­te­gie bewer­tet die­se bei­spiel­haft genann­ten Gefah­ren­punk­te ent­spre­chend und sieht dafür — neben IT-gestütz­ten Mecha­nis­men — bewähr­te Ver­fah­rens­wei­sen vor:

  • Erstel­len und Umset­zen geeig­ne­ter, unter­neh­mens­wei­ter Benut­zer­richt­li­ni­en für den Umgang mit Tech­no­lo­gien mit Gefährdungspotential
  • Regel­mä­ßi­ge Schu­lun­gen und Sen­si­bi­li­sie­run­gen der Mit­ar­bei­ter z.B. im Rah­men der obli­ga­to­ri­schen Ver­pflich­tung auf das Datengeheimnis
  • Fort­lau­fen­de Infor­ma­ti­on der Unter­neh­mens­füh­rung und Mit­ar­bei­ter über neue Bedro­hungs­sze­na­ri­en auf­grund tech­ni­scher Weiterentwicklungen

Ihr Daten­schutz­be­auf­trag­ter ist gefordert

Die­se fort­wäh­ren­de Tätig­keit in Abstim­mung mit Unter­neh­mens­füh­rung und IT-Lei­tung ist ein klas­si­sches Tätig­keits­feld für Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie mich an. Even­tu­ell sind Sie in Ihrem Unter­neh­men gesetz­lich zur Bestel­lung ver­pflich­tet. Ver­mei­den Sie unnö­ti­ge Bußgelder.

  • DsiN Sicher­heits­check online: Prü­fen Sie, wie fit Ihr Unter­neh­men in punk­to Daten­si­cher­heit ist

Wie­so die Schwei­ge­pflicht nicht den Daten­schutz ersetzt …

Bereits in einem Blog­bei­trag vom 12.11.2010 habe ich auf den Umstand hin­ge­wie­sen, daß Stan­des­re­ge­lun­gen oder Geset­ze das Bun­des­da­ten­schutz­ge­setz nicht zwin­gend erset­zen. Hin­ter­grund war und ist die regel­mä­ßig wie­der­keh­ren­de Fehl­ein­schät­zung sei­tens Anwäl­ten, Ärz­ten und Steu­er­be­ra­tern, daß ihr “Stan­des­recht” die vor­ge­schrie­be­nen Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) obso­let machen würde.

Die­se Pro­ble­ma­tik hat nun eben­falls der Betrei­ber von www​.daten​schutz​be​auf​trag​ter​-info​.de in einem aktu­el­len, lesens­wer­ten Bei­trag auf­ge­nom­men: Wenn der Daten­schutz Ärz­te und Rechts­an­wäl­te zum Schwei­gen bringt. Anschau­lich wird hier noch­mals die Rechts­la­ge nach­voll­zieh­bar dar­ge­stellt: Schwei­ge­pflicht ergänzt Daten­schutz, ersetzt die­sen jedoch nicht. Die Fol­gen — abge­se­hen vom Image­ver­lust und dro­hen­den Man­dan­ten-/Pa­ti­en­ten­schwund — sind emp­find­li­che Buß­gel­der in der Kate­go­rie bis 300.000 EUR. Ger­ne wird bei der gan­zen Dis­kus­si­on dann die mög­li­cher­wei­se vor­lie­gen­de Bestell­pflicht eines Daten­schutz­be­auf­trag­ten über­se­hen. Ein zusätz­li­cher Ver­stoß aus der Kate­go­rie bis 50.000 EUR.

Wel­che Maß­nah­men aus dem BDSG bis hin zur Bestel­lung eines Daten­schutz­be­auf­trag­ten für Ihre Kanz­lei, Ihre Pra­xis oder Ihr Büro not­wen­dig sind, kann der a.s.k. Daten­schutz Quick-Check beant­wor­ten. Eine über­schau­ba­re Inves­ti­ti­on, die Ihnen, Ihren Kun­den und deren meist sen­si­blen Daten zu Gute kommt.

Spre­chen Sie mich an!

Ham­bur­ger Daten­schutz­be­auf­trag­ter sagt Nein zu Goog­le Analytics

Trotz eini­ger Nach­bes­se­run­gen und Ver­su­che sei­tens Goog­le mit dem Web­track­ing-Tool Ana­ly­tics den deut­schen Daten­schutz­an­for­de­run­gen gerecht zu wer­den (sie­he auch den Bei­trag “Goog­le Ana­ly­tics: Daten­schutz­pro­ble­me gelöst?”), hat jetzt erneut der Ham­bur­ger Daten­schutz­be­auf­trag­te Johan­nes Cas­per die rote Kar­te gezückt. Wie inter­net world heu­te online berich­tet, hat Cas­per die Ver­hand­lun­gen mit Goog­le über eine daten­schutz­ge­rech­te Aus­ge­stal­tung von Ana­ly­tics abge­bro­chen. Auf der Web­sei­te von Cas­per ist dies­be­züg­lich noch kei­ne Ver­laut­ba­rung zu fin­den (Stand 12.01.2011).

Nach wie vor kri­ti­siert er die Erfas­sung und Über­tra­gung der Besu­cher-IP sowie deren Wei­ter­lei­tung auf Goog­le Ser­ver in den USA ver­bun­den mit der dor­ti­gen Aus­wer­tungs­mög­lich­keit in Form von Bewe­gungs­pro­fi­len. Wei­ter­hin wer­den zahl­rei­che Besu­cher von Web­sei­ten, die Goog­le Ana­ly­tics ein­set­zen, von der Wider­spruchs­mög­lich­keit gegen die Erfas­sung aus­ge­schlos­sen, weil für deren Inter­net Brow­ser kei­ne Plug-Ins zur Unter­bin­dung der Erfas­sung durch  Ana­ly­tics ver­füg­bar sind.

Web­sei­ten­be­trei­ber, die nach wie vor auf Goog­le Ana­ly­tics set­zen, sind nun erneut von Buß­gel­dern bedroht. Cas­per erwägt Mus­ter­pro­zes­se gegen aus­ge­wähl­te Webseitenbetreiber.

Daten­schutz­ge­rech­te Alter­na­ti­ven zu Goog­le Ana­ly­tics gibt es, fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie mich an!

Update 14.01.2011:

Der Web­auf­tritt des Ham­bur­ger Daten­schutz­be­auf­trag­ten läuft inner­halb des Gesamt­auf­tritts von ham​burg​.de. Da die­ser nach wie vor Goog­le Ana­ly­tics zum Web­track­ing ein­setzt, hat Cas­per den Part sei­ner Daten­schutz­be­hör­de vom Netz genom­men. Zur Zeit ist eine Umlei­tung auf daten​schutz​.de aktiv. Kon­se­quent und ein Zei­chen mehr dafür, sei­ne Ankün­di­gun­gen ernst zu nehmen.

Fro­hes Fest und Guten Rutsch wünscht Ihr exter­ner Daten­schutz­be­auf­trag­ter Sascha Kuhrau

Ein ereig­nis­rei­ches Jahr für den Daten­schutz geht zu Ende. Geprägt von Daten­pan­nen, Skan­da­len, Buß­gel­dern und hit­zi­gen Debat­ten über Goog­le Street-View und Face­book. Ein neu­es Gesetz für den Schutz von Arbeit­neh­mer­da­ten wur­de auf den Weg gebracht. Begrüßt von den einen, als Papier­ti­ger ver­spot­tet oder gänz­lich als unzu­mut­bar für den Arbeit­ge­ber abge­stem­pelt. Wün­schen wir dem “Baby” einen guten Start im Jahr sei­nes Inkraft­tre­tens 2011. Bei­trä­ge hier­zu: Arbeit­neh­mer­da­ten­schutz, ELENA, Daten­schutz­ver­stö­ße in Unter­neh­men neh­men zu

Ter­ror­war­nun­gen rück­ten das The­ma Vor­rats­da­ten­spei­che­rung wie­der auf die Agen­da der Hard­li­ner. Gera­de erst durch das Bun­des­ver­fas­sungs­ge­richt gekippt, wer­den die Rufe nun wie­der lau­ter nach all­um­fas­sen­der Daten­samm­lung. Die Bun­des­jus­tiz­mi­nis­te­rin behält dabei Augen­maß und warnt vor Schnell­schüs­sen zur Erlan­gung der Luft­ho­heit über den Stammtischen.

Das The­ma Sen­si­bi­li­sie­rung für Daten­schutz und früh­zei­ti­ge Auf­klä­rung von Kin­dern und Jugend­li­chen fand in zahl­rei­chen Initia­ti­ven und Bericht­erstat­tun­gen Beach­tung. Da jeder für die Her­aus­ga­be sei­ner Daten selbst ver­ant­wort­lich ist — eine Pflicht aus dem Recht zur infor­ma­tio­nel­len Selbst­be­stim­mung -, ein sehr begrü­ßens­wer­ter Ansatz.

Daten­schutz ist kei­ne Moment­auf­nah­me oder ein ein­ma­li­ges Pro­jekt. Wenn sich dies alle Betei­lig­ten immer wie­der deut­lich machen und mit den not­wen­di­gen und zumut­ba­ren Mit­teln an dem The­ma arbei­ten, dann sind wir auf dem rich­ti­gen Weg. Ein lang­wie­ri­ger Pro­zess, der nicht erst in 2010 begon­nen hat, son­dern sei­nen Ursprung bereits im ers­ten Daten­schutz­ge­setz von Hes­sen im Jahr 1970 fin­det (übri­gens dem ers­ten Daten­schutz­ge­setz welt­weit). Begeg­net man dem The­ma mit Augen­maß und gesun­dem Men­schen­ver­stand, dann ist der ers­te Schritt erfolg­reich getan. Und auch wenn dies ger­ne pro­pa­giert wird, Daten­schutz ist bei rich­ti­ger Umset­zung kein Hemm­schuh für Unter­neh­men. Im Gegen­teil, Daten­schutz bie­tet ekla­tan­te Vor­tei­le — zu denen nicht aus­schließ­lich die Ver­mei­dung von Buß­geld­ri­si­ken zählt.

In die­sem Sin­ne wün­sche ich allen Lesern die­ses Blogs ein Fro­hes Fest und einen Guten Rutsch ins Neue Jahr

Ihr
Sascha Kuhrau

Die Daten­schutz Zitro­ne wünscht Fro­hes Fest © Sascha Kuhrau

Ham­bur­ger Spar­kas­se (HASPA) zahlt 200.000 Euro Buß­geld wegen Datenschutzverstoß

Nicht lan­ge gefa­ckelt hat der Ham­bur­ger Daten­schutz­be­auf­trag­te Johan­nes Cas­par und die Ham­bur­ger Spar­kas­se zur Zah­lung eines Buß­gelds in Höhe von 200.000 EUR verdonnert.

Die “Has­pa” hat ihren Finanz­be­ra­tern im Außen­dienst zwi­schen 2005 und 2010 sehr weit­rei­chen­den Zugriff auf die Finanz­in­for­ma­tio­nen ihrer Kun­den ermög­licht, teil­wei­se ohne Ein­wil­li­gung der Betrof­fe­nen. Hin­zu kam die Klas­si­fi­zie­rung der Has­pa-Kun­den nach Cha­rak­t­er­pro­fi­len unter Zuhil­fe­nah­me von Kon­ten­be­we­gungs­da­ten und wei­te­ren Anga­ben — ohne Kennt­nis der Betroffenen.

Mil­dernd hat sich der Umstand aus­ge­wirkt, daß die Has­pa eine zügi­ge Auf­klä­rung der Sach­ver­hal­te ermög­licht hat.

  • Zur Pres­se­mel­dung des Ham­bur­ger Datenschutzbeauftragten

ULD unter­sagt Daten­über­mitt­lung an Hausarztverband

Mit Ver­fü­gung vom 26.07.2010 unter­sagt das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein (ULD) dem Haus­ärz­te­ver­band Schles­wig-Hol­stein e. V. (HÄV SH) unter Andro­hung eines Zwangs­gel­des in Höhe von 30.000 Euro, gemäß dem zwi­schen der AOK Schles­wig-Hol­stein, dem HÄV SH und Dienst­leis­tern abge­schlos­se­nen Ver­trag von ein­ge­schrie­be­nen Haus­ärz­ten stam­men­de Pati­en­ten­da­ten wei­ter­zu­ge­ben oder die­se selbst zu nut­zen. Die sofor­ti­ge Voll­zie­hung die­ser Ver­fü­gung wur­de ange­ord­net. Der Haus­arzt­ver­trag zwi­schen AOK und HÄV SH war durch einen Schlich­ter­spruch zustan­de gekommen.

Nach Auf­fas­sung des ULD ver­fü­gen die Haus­ärz­te wegen des zwi­schen der AOK Schles­wig-Hol­stein, dem Haus­ärtzte­ver­band und Dienst­leis­tern abge­schlos­se­nen Ver­tra­ges über kei­ne aus­rei­chen­de Mög­lich­keit der Kon­trol­le über die Wei­ter­ga­be von Pati­en­ten­da­ten durch ihr Pra­xis­sys­tem. Damit feh­le es auch an den gesetz­li­chen Vor­aus­set­zun­gen einer Auf­trags­da­ten­ver­ar­bei­tung. Die Ärz­te könn­ten die Kon­trol­le über ihre Pati­en­ten­da­ten als Auf­trag­ge­ber nicht mehr wahrnehmen.

In der Ver­fü­gung heisst es: “An dem Rah­men­ver­trag, der das Ver­hält­nis zwi­schen dem HÄV SH, Dienst­leis­tern und den ein­zel­nen Ärz­tin­nen und Ärz­ten fest­legt, sind Letz­te­re über­haupt nicht betei­ligt. Dar­in wer­den die­se gezwun­gen, auf ihren Pra­xis­sys­te­men Soft­ware gemäß den Vor­ga­ben des Haus­ärz­te­ver­ban­des zu instal­lie­ren, womit das Auf­trags­ver­hält­nis gera­de­zu auf den Kopf gestellt wird. Ihnen wird sogar ver­trag­lich ver­bo­ten, Kennt­nis von wesent­li­chen Ele­men­ten der Soft­ware zu neh­men, so dass sie fak­tisch kei­ne voll­stän­di­ge Kon­trol­le mehr über die Daten auf ihrem Sys­tem hät­ten. Damit wür­den sie nicht nur ihre Daten­schutz­pflich­ten ver­let­zen, son­dern auch ihre ärzt­li­che Schwei­ge­pflicht. Ein Auf­trags­ver­hält­nis ist recht­lich zudem dadurch aus­ge­schlos­sen, dass der Haus­ärz­te­ver­band, der aus­schließ­lich im Inter­es­se und nach Wei­sung der ein­zel­nen Ärz­te die Daten ver­ar­bei­ten soll­te, ein eige­nes Inter­es­se an die­sen Daten hat.”

Aus­lö­ser die­ser Vor­ge­hens­wei­se des ULD ist die im Sep­tem­ber 2009 in Kraft getre­te­ne Novel­le des Bun­des­da­ten­schutz­ge­setz (BDSG), § 11 Auf­trags­da­ten­ver­ar­bei­tung. Die­se for­dert, dass der Auf­trag­ge­ber Herr über die Daten blei­ben muss. Der Auf­trag­neh­mer (das daten­ver­ar­bei­ten­de Unter­neh­men) darf ledig­lich aus­füh­ren­des und wei­sungs­ab­hän­gi­ges Organ sein.

Wäh­rend das ULD bemän­gelt, daß nicht früh­zei­tig auf ent­spre­chen­de Ein­wän­de sei­tens der Daten­schutz­be­hör­de ein­ge­gan­gen wur­de (11.02.2010 Stel­lung­nah­me des ULD zu “Haus­arzt­zen­trier­te Ver­sor­gung und Daten­schutz”), kri­ti­siert aerz​te​zei​tung​.de online“Frag­lich ist auch, war­um das ULD und ihr Chef Thi­lo Wei­chert sich gera­de jetzt mel­den. Schließ­lich gab es die Dis­kus­si­on um den Daten­schutz bei den HzV-Ver­trä­gen längst.” aerz​te​blatt​.de hofft der­weil auf eine bun­des­weit ein­heit­li­che Lösung.

Auch über Fach­krei­se hin­aus zieht das The­ma Krei­se. So berich­tet die Com­pu­ter-Fach­zeit­schrift c’t in Ihrem News­ti­cker über den Vorfall.

Aus recht­li­cher Sicht ist die Ent­schei­dung des ULG nach­voll­zieh­bar und ganz im Sin­ne des BDSG. Aus­nah­men für den medi­zi­ni­schen Bereich sind nicht vor­ge­se­hen. Ob dies jedoch in die­ser Form prak­ti­ka­bel ist, steht auf einem ande­ren Blatt. Blei­ben also nur zwei Mög­lich­kei­ten, wie auch “Das Daten­schutz-Blog” anführt. Ent­we­der stim­men Pati­en­ten in die­se Abrech­nungs­ver­fah­ren­wei­se zuvor wider­ruf­lich schrift­lich ein (wenig prak­ti­ka­bel, wenn es zu einem Wider­ruf kommt) oder der Gesetz­ge­ber macht sich an die Erar­bei­tung eines Pati­en­ten­da­ten­schutz­ge­set­zes und trägt der Pro­ble­ma­tik dar­in Rechnung.

Update vom 16.09.2010:

Die Fron­ten ver­här­ten sich. In einer aktu­el­len Pres­se­mit­tei­lung läßt das ULD verlautbaren:

“Das Vor­ge­hen der HÄVG zwingt nun das ULD dazu, ana­log zum AOK-Ver­trag hin­sicht­lich der HzV-Ver­trä­ge mit den ande­ren Kran­ken­kas­sen Anord­nun­gen vor­zu­be­rei­ten, um die unzu­läs­si­ge Abrech­nung über den HÄV SH und die HÄVG und die dazu vor­ge­se­he­ne Instal­la­ti­on der von den Ärz­ten nicht kon­trol­lier­ba­ren Soft­ware auf deren Rech­nern wirk­sam zu unter­bin­den. Dies ver­ur­sacht gro­ße Kos­ten und Arbeit für vie­le Juris­ten, ohne eine Klä­rung zu brin­gen. Die­se Klä­rung kann nur durch das der­zeit schon lau­fen­de Gerichts­ver­fah­ren her­bei­ge­führt wer­den. Das Vor­ge­hen der HÄVG zeugt von man­geln­dem Respekt vor dem ver­wal­tungs­ge­richt­li­chen Musterverfahren.”

Lesen Sie hier die kom­plet­te Pressemeldung.

Daten­schutz­recht­li­che Risi­ken beim Ein­satz von Goog­le Analytics

Goog­le Ana­ly­tics ist ein belieb­tes Tool für die Ana­ly­se und Aus­wer­tung der Besu­cher von Web­sei­ten durch Sei­ten­be­trei­ber. Beim Ein­satz die­ses Diens­tes ent­steht schnell der Kon­flikt mit daten­schutz­recht­li­chen Bestim­mun­gen. Infor­ma­ti­ons­pflicht, Zustim­mungs­pflicht, Spei­che­rung und Nut­zung per­so­nen­be­zo­ge­ner Daten (in die­sem Fall der IP Adres­se) flech­ten ein Netz, in dem Sie sich ohne bös­wil­li­ge Absicht ver­fan­gen kön­nen und mit ent­spre­chen­den Buß­gel­dern durch die Lan­des­da­ten­schutz­be­hör­den rech­nen müssen.

Der sog. Düs­sel­dor­fer Kreis der Lan­des­da­ten­schutz­be­hör­den warn­te bereits Ende 2009 vor dem Ein­satz des Diens­tes Goog­le Ana­ly­tics in sei­ner bis­he­ri­gen Aus­ge­stal­tung. Meh­re­re Lan­des­da­ten­schutz­be­auf­trag­te stell­ten klar, daß der Ein­satz nicht daten­schutz­kon­form ist und Hand­lungs­be­darf für betrof­fe­ne Web­sei­ten­be­trei­ber besteht. Eine Schon­frist bis Anfang Mai 2010 zur Umstel­lung auf vor­han­de­ne Alter­na­ti­ven ist ver­stri­chen. Wer jetzt noch die­sen Dienst nutzt, kann sich auf Buss­gel­der bis zu 50.000 EUR ein­stel­len. Dies mach­te der Ham­bur­ger Daten­schutz­be­auf­tra­ge, Dr. Johan­nes Cas­par im Febru­ar 2010 deutlich.

Neben dem Ein­satz alter­na­ti­ver, daten­schutz­kon­for­mer Ana­ly­se Tools gibt es jedoch wei­te­re Punk­te z.B. in der Infor­ma­ti­ons­pflicht gegen­über den Besu­chern einer Web­sei­te zu beach­ten. Ger­ne ste­he ich Ihnen mit mei­nen Leis­tun­gen als Bera­ter für Daten­schutz und Daten­si­cher­heit zur Sei­te, um die Risi­ken für Sie und Ihr Unter­neh­men zu minimieren:

  • Aus­wahl und Instal­la­ti­on geeig­ne­ter Alter­na­ti­ven an Ana­ly­se Soft­ware /​ Diens­ten
  • Text­li­che Über­prü­fung und Aus­ge­stal­tung der Datenschutzhinweise

Spre­chen Sie mich an.

  • Goog­le steht nicht nur wegen des Tools “Ana­ly­tics” in der Kritik.

Neh­men Sie die­se Ange­le­gen­heit bit­te nicht auf die leich­te Schulter!

Update 26.05.2010:

Goog­le hat nach­ge­bes­sert. Einer­seits haben Web­mas­ter nun die Mög­lich­keit, die letz­ten Stel­len der IP Adres­sen zu anony­mi­sie­ren. Ande­rer­seits gibt es für eini­ge Brow­ser ein Plug­In, wel­ches die Aus­füh­rung des Ana­ly­tics-Skripts im Brow­ser des Besu­chers ver­hin­dert. Wie auch die c’t meint, noch nicht die idea­le Lösung, aber ein Schritt in die rich­ti­ge Richtung.

NRW Daten­schutz­be­auf­trag­ter ver­hängt 120.000 EUR Buss­geld gegen Post­bank AG

Laut einer aktu­el­len Pres­se­mit­tei­lung des Daten­schutz­be­auf­trag­ten von NRW, Ulrich Lep­per, wur­de gegen die Post­bank AG ein Buss­geld in Höhe von 120.000 EUR ver­hängt. Die­se hat bis Herbst 2009 frei­be­ruf­li­chen Han­dels­ver­tre­tern den Zugriff auf Kon­to­be­we­gungs­da­ten von Post­bank Kun­den ermög­licht — zu Werbezwecken.

Ulrich Lep­per stellt aus­drück­lich klar, dass sol­che sen­si­blen Daten wie Kon­to­be­we­gun­gen weder von den Ban­ken geschwei­ge denn deren Han­dels­ver­tre­ter für Wer­be­zwe­cke aus­ge­wer­tet dür­fen. Las­sen die­se doch Rück­schlüs­se z.B. auf Ein­kom­men von Sozi­al­be­hör­den, Krank­hei­ten (über Kran­ken­haus­rech­nun­gen) oder ein­fach nur abon­nier­te Zeit­schrif­ten zu. Zu Recht befin­det er “Die Post­bank ist ein­deu­tig zu weit gegan­gen. Ich fra­ge mich, was das Bank­ge­heim­nis noch wert sein soll, wenn rund 4000 frei­be­ruf­li­che Außen­dienst­mit­ar­bei­ter weit über eine Mil­li­on Kon­to­da­ten­sät­ze von Kun­din­nen und Kun­den abru­fen können.”

Den Stein ins Rol­len brach­te Ende Okto­ber 2009 Stif­tung Waren­test. Eine Prü­fung ergab, dass es Arbeits­an­wei­sun­gen an die Han­dels­ver­tre­ter gab, vor der Kon­takt­auf­nah­me zu Kun­den die vor­han­de­nen Kon­to­be­we­gun­gen auszuwerten.

Seit Novem­ber 2009 hat die Post­bank den Zugriff auf die Kon­to­be­we­gungs­da­ten durch ihre Han­dels­ver­tre­ter unterbunden.

Fol­gen der Nicht­be­stel­lung eines Daten­schutz­be­auf­trag­ten (DSB) bei vor­lie­gen­der gesetz­li­cher Verpflichtung

“Was kann mir /​ mei­nem Unter­neh­men schon pas­sie­ren, wenn ich kei­nen Daten­schutz­be­auf­trag­ten bestel­le, obwohl mich das Bun­des­da­ten­schutz­ge­setz dazu ver­pflich­tet?”, die­se Fra­ge wur­de hier mehr­fach per Email gestellt. Die Ant­wort möch­te ich nicht schul­dig blei­ben und auf­grund der Trag­wei­te und Rele­vanz erfolgt die­se als öffent­li­cher Beitrag.

Das Bun­des­da­ten­schutz­ge­setz (BDSG) schreibt die Not­wen­dig­keit zur Bestel­lung eines betrieb­li­chen exter­nen oder inter­nen Daten­schutz­be­auf­tra­gen (DSB) unter bestimm­ten Vor­aus­set­zun­gen vor § 4f BDSG — sie­he auch “Wer muss einen Daten­schutz­be­auf­trag­ten bestel­len?” Oft­mals wird Daten­schutz jedoch als rei­ner Kos­ten­fak­tor und Hemm­schuh für die unter­neh­me­ri­sche Ent­wick­lung ver­stan­den, nicht als Qua­li­täts­merk­mal oder Chan­ce. Die Ver­su­chung erscheint daher groß, auf die Bestel­lung des DSB zu ver­zich­ten.Wei­ter­le­sen »Fol­gen der Nicht­be­stel­lung eines Daten­schutz­be­auf­trag­ten (DSB) bei vor­lie­gen­der gesetz­li­cher Verpflichtung

Die mobile Version verlassen