Zum Inhalt springen

Landesdatenschutzbeauftragter

Pro Kontra

Daten­schutz­auf­sicht: Zen­tral oder dezentral?

Unser Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­land (BvD) e.V. rich­tet heu­te, am 17.09.2020 eine sehr inter­es­san­te Ver­an­stal­tung aus mit dem Titel “Föde­ral oder zen­tral – Wie sieht die Zukunft der Daten­schutz­auf­sicht aus?”. Auf­grund der aktu­el­len Gege­ben­hei­ten rund um Coro­na kann die Ver­an­stal­tung mit­tels Live-Stream mit­ver­folgt wer­den und zwar unter der URL https://​www​.bvd​net​.de/​a​u​f​s​i​c​h​t​-​l​i​ve/

Vor dem Hin­ter­grund der Eva­lu­ie­rung des Bun­des­da­ten­schutz­ge­set­zes steht der Vor­schlag im Raum, die Daten­schutz­auf­sicht für Unter­neh­men zukünf­tig in eine zen­tra­le Hand zu legen statt auf 17 Auf­sichts­be­hör­den (16 Land, 1 Bund) wei­ter ver­teilt zu lassen.

Start ist um 15 Uhr und beson­ders inter­es­sant wird es bei den Bei­trä­gen ab 15:25 Uhr. “Stand­punk­te: Pro und Kon­tra Zen­tra­li­sie­rung” und “Erfah­run­gen aus der Daten­schutz­pra­xis”. Rein­schau­en bzw. Rein­hö­ren lohnt sich auf jeden Fall, wenn Ver­tre­ter der Lan­des­da­ten­schutz­be­hör­den auf Daten­schutz-Anwäl­te und Prak­ti­ker aus der Wirt­schaft tref­fen, um die Vor- und Nach­tei­le der aktu­ell facet­ten­rei­chen DSGVO Aus­le­gun­gen und Mei­nun­gen in den ver­schie­de­nen Bun­des­län­dern zu diskutieren.

Vor- und Nachteile

Wer wie wir auf­grund der Kun­den­struk­tur mit eigent­lich allen Lan­des­da­ten­schutz­be­hör­den zu tun hat, kann den Wunsch nach einer Zen­tra­li­sie­rung bzw. Ver­ein­heit­li­chung durch­aus nach­voll­zie­hen. Die nicht sel­te­ne weit gefä­cher­te und diver­gie­ren­de Aus­le­gung der DSGVO macht es nicht unbe­dingt leich­ter. Und selbst wenn es gemein­sa­me Stel­lung­nah­men z.B. im Zuge der DSK (Daten­schutz­kon­fe­renz) gibt, sind die­se gele­gent­lich so vage, dass die Bedeu­tung für die Umset­zungs­pra­xis durch­aus gegen Null stre­ben kann. Eine ein­heit­li­che Sicht­wei­se wäre hier durch­aus auch gegen­über Kun­den sehr hilf­reich. Es ist nicht immer leicht zu argu­men­tie­ren, war­um etwas in einem Bun­des­land ok ist, in einem ande­ren Bun­des­land von der Auf­sicht nicht ger­ne gese­hen wird. Ein pro­mi­nen­tes Bei­spiel sind die doch sehr abwei­chen­den Sicht­wei­sen zur Art und Wei­se der Durch­füh­rung einer Daten­schutz­fol­gen­ab­schät­zung (DSFA). Mitt­ler­wei­le haben sich hier gefühlt zwei Lager gebil­det, SDM vs. PIA. Ob man mit einer ande­ren Vor­ge­hens­wei­se aus Sicht der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de alles rich­tig macht, wird die Zeit zeigen.

Ande­rer­seits hat und kennt man durch die dezen­tra­le Struk­tur sei­ne Ansprech­part­ner, die bei Anfra­gen oft zeit­nah und kom­pe­tent reagie­ren. Im Zuge einer Zen­tra­li­sie­rung müss­te durch aus­rei­chen­de per­so­nel­le Beset­zung die­se Bera­tungs­funk­ti­on auch zukünf­tig sicher­ge­stellt sein. Was einer­seits ein Nach­teil sein kann (unter­schied­li­che bis gegen­sätz­li­che Mei­nun­gen der Lan­des­da­ten­schutz­be­hör­den), stellt im Hin­blick auf Mei­nungs­viel­falt und Ideen für Umset­zungs­mög­lich­kei­ten ande­rer­seits durch­aus auch einen Vor­teil dar. Im Zuge einer Zen­tra­li­sie­rung wür­de dies ent­fal­len. Dann gibt es nur noch die eine Sicht­wei­se der zen­tra­len Instanz. Auch dies wäre dann erst mal eine Mei­nung, die ande­re Vor­ge­hens­wei­sen nicht zwin­gend aus­schlie­ßen wür­de, aber der Pool zur Aus­wahl oder Ent­wick­lung ande­rer Umset­zungs­mög­lich­kei­ten wäre stark redu­ziert bzw. nicht mehr vorhanden.

So haben bei­de Lösun­gen ein Für und Wider. Man darf auf die heu­ti­gen Dis­kus­sio­nen im Rah­men der Ver­an­stal­tung und im Hin­blick auf die wei­te­re Ent­wick­lung sehr gespannt sein. Schau­en Sie rein: https://​www​.bvd​net​.de/​a​u​f​s​i​c​h​t​-​l​i​ve/ Start 15 Uhr.

 

 

Gesund­heits­da­ten gehen an die Polizei

Nun auch Sach­sen-Anhalt — das Innen­mi­nis­te­ri­um wies die Gesund­heits­äm­ter an, per­so­nen­be­zo­ge­ne /​ Gesund­heits­da­ten aller Per­so­nen in Qua­ran­tä­ne den Poli­zei­be­hör­den zur Ver­fü­gung zu stel­len. Die Poli­zei erhielt somit per­so­nen­be­zo­ge­ne Daten über Coro­na-Infi­zier­te und Kontaktpersonen. 

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge 

Aus den Rei­hen des Land­tags wur­de am 22.04.2020 die Ent­hül­lung bekannt, dass der Lan­des­in­nen­mi­nis­ter vom 27. bis 31.03.2020 eine Ver­pflich­tung zur Bereit­stel­lung der Daten für alle Per­so­nen in Qua­ran­tä­ne des Bun­des­lan­des ver­fügt habe. Seit­dem wür­den Gesund­heits­äm­ter „nach eige­nem Ermes­sen und im Ein­zel­fall“ Daten von Per­so­nen in Qua­ran­tä­ne an die Poli­zei über­mit­teln. Bis 09.04.2020 über 800 Fäl­le in Sach­sen-Anhalt — heißt es wei­ter in den zuge­hö­ri­gen Posts auf Twit­ter. Eine öffent­li­che Infor­ma­ti­on über die Maß­nah­me durch das Innen­mi­nis­te­ri­um zur Erfül­lung der DSGVO-gesetz­li­chen Trans­pa­renz­pflicht war lan­ge Zeit nicht erfolgt. Die kom­mu­ni­zier­ten Daten hät­ten Namen, Anschrif­ten, Geburts­da­ten, Wohn­or­te, Natio­na­li­tä­ten, Geschlech­ter sowie Beginn und Ende der behörd­lich defi­nier­ten Qua­ran­tä­ne umfasst. Die Über­mitt­lung, Ver­ar­bei­tung und Spei­che­rung auf Poli­zei­da­ten­ban­ken von Gesund­heits­da­ten sei „recht­lich pro­ble­ma­tisch“ und der Lan­des­be­auf­trag­te für den Daten­schutz sei the­ma­tisch zu invol­vie­ren. Wei­te­re ~130 sol­cher Über­mitt­lun­gen in Hal­le wur­den zunächst laut Anga­be der Stadt­ver­wal­tung wohl gar nicht erst gezählt. 

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten 

Auf Anfra­ge hat­te das Lan­des­in­nen­mi­nis­te­ri­um gegen­über netz​po​li​tik​.org geleug­net, dass es der­lei Gesund­heits­da­ten­über­mitt­lun­gen an die Poli­zei gege­ben hat­te. Spä­ter wur­de bekannt, dass Gesund­heits- /​ per­so­nen­be­zo­ge­ne Daten auf der Fahn­dungs­da­ten­bank des Lan­des­kri­mi­nal­amts gespei­chert wur­den. Zu direk­ten Anfra­gen von netz​po​li​tik​.org sei sei­tens der Poli­zei nicht Stel­lung genom­men wor­den. Der Erlass sei dem Lan­des­da­ten­schutz­be­auf­trag­tes Sach­sen-Anhalts erst auf Nach­fra­ge zur Ver­fü­gung gestellt wor­den, den die­ser am 31.03.2020 für rechts­wid­rig erklärt habe. In sei­ner Haut möch­te man jetzt eher nicht ste­cken. Aus DSB-Sicht stellt sich aller­dings die Fra­ge, aus wel­chem Grund kei­ne Vor­ab­infor­ma­ti­on erfolg­te und kei­ne Daten­schutz­fol­ge­ab­schät­zung in fach­li­cher Abstim­mung mit dem Lan­des-DSB durch­ge­führt wor­den ist. l 

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern 

Auch in ande­ren Bun­des­län­dern wur­den Daten­über­mitt­lun­gen von Infi­zier­ten und Kon­takt­per­so­nen ein­ge­führt. Offi­zi­ell sei Ziel der Maß­nah­me die Über­wa­chung der Ein­hal­tung der Qua­ran­tä­ne und Schutz der Polizeibeamten. 

Nach uns vor­lie­gen­den Infor­ma­tio­nen erklär­te auch die nie­der­säch­si­sche Daten­schutz­be­auf­trag­te Bar­ba­ra Thiel die Maß­nah­me für ihr Bun­des­land als rechts­wid­rig. Aller­dings hielt die Lan­des­re­gie­rung an den Daten­über­mitt­lun­gen fest. 

Die umstrit­te­ne Pra­xis wur­de auch in wei­te­ren Bun­des­län­dern ein­ge­führt. In Fol­ge vehe­men­ter Pro­tes­te wur­de die­se in Bre­men auf­ge­ho­ben. In Baden-Würt­tem­berg wird eine DSGVO kon­for­me Ver­ord­nung zur Daten­über­mitt­lung posi­tiv erwar­tet. In Meck­len­burg-Vor­pom­mern wur­de das Pro­ce­de­re modi­fi­ziert. Hier wird bei der Über­mitt­lung der Gesund­heits­da­ten nun auf den Bedarfs­fall abge­stellt. Fer­ner soll nun die Vor­ga­be sein, die Daten anony­mi­siert und ver­schlüs­selt an einen defi­nier­ten Per­so­nen­kreis im Poli­zei­dienst zu über­mit­teln. Es ist begrü­ßens­wert, dass die tra­gen­den Stan­dards in der Infor­ma­ti­ons­si­cher­heit neben den Daten­schutz­an­for­de­run­gen auch bei die­sem The­ma suk­zes­si­ve Berück­sich­ti­gung finden. 

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten 

Es besteht ein gro­ßes Span­nungs­feld zwi­schen Daten­schutz /​ Grund­rech­ten und einer effek­ti­ven Pan­de­mie­be­kämp­fung. Dass Men­schen und Pfle­ge­per­so­nal, der öffent­li­che Dienst und ande­re Arbeits­kräf­te mit not­wen­di­gem Publi­kums­kon­takt des Schut­zes bedür­fen, steht völ­lig außer Fra­ge. Aller­dings kann als auf­fäl­lig bezeich­net wer­den, dass gera­de in sol­chen grenz­wer­ti­gen Maß­nah­men der Dia­log mit den Daten­schutz­be­hör­den und auch den behörd­li­chen Daten­schutz­be­auf­trag­ten aktiv ver­mie­den wird. Gera­de in sol­chen Zei­ten darf erwar­tet wer­den, dass man sich zwecks ganz­heit­li­cher Kri­sen­be­wäl­ti­gung bereichs­über­grei­fend abstimmt. So kann dafür Sor­ge getra­gen wer­den, dass die Ver­ar­bei­tun­gen und Über­mitt­lun­gen der Behör­den den zwin­gend erfor­der­li­chen, zeit­ge­mä­ßen Vor­ga­ben des Daten­schut­zes sowie der Infor­ma­ti­ons­si­cher­heit /​ IT-Sicher­heit genügen. 

Etap­pen­sieg für Face­book: Klar­na­men­pflicht bleibt bestehen

Das Ver­wal­tungs­ge­richt Schles­wig hat ent­schie­den: die Klar­na­men­pflicht für Face­book-Nut­zer aus Deutsch­land bleibt (vor­erst) bestehen! Das Unab­hän­gi­ge Lan­des­da­ten­schutz­zen­trum Schles­wig-Hol­stein (ULD)  hat­te gegen die­se Ver­pflich­tung geklagt.  Dem­nach wäre eine Pseud­ony­mi­sie­rung der Nut­zer­na­men auf­grund deut­scher Rechts­vor­schrif­ten not­wen­dig. Deut­sches Recht sei anzu­wen­den, da Face­book eine GmbH mit Sitz in Ham­burg habe.

Das Gericht ist der Argu­men­ta­ti­on des ULD nicht gefolgt. Nach des­sen Sicht­wei­se sei die euro­päi­sche Nie­der­las­sung in Irland aus­schlag­ge­bend und somit gel­te iri­sches Recht. Damit stell­te das Gericht gene­rell die Zustän­dig­keit deut­scher Daten­schutz­be­hör­den in Fra­ge. Das iri­sche Daten­schutz­recht kennt kein sol­ches Anrecht auf Pseudonyme.

Thi­lo Wei­chert, Lei­ter des ULD zeigt sich über­rascht: “Die Ent­schei­dun­gen sind mehr als ver­blüf­fend und gehen in der Argu­men­ta­ti­on über das Vor­brin­gen von Face­book hin­aus, das die Nicht­an­wend­bar­keit des deut­schen Daten­schutz­rech­tes damit begrün­de­te, Face­book Inc. in den USA sei nur der Auf­trags­da­ten­ver­ar­bei­ter der Face­book Ire­land Ltd. Sie sind in sich wider­sprüch­lich, wenn sie die feh­len­de recht­li­che Rele­vanz von Face­book Ger­ma­ny damit erklä­ren, dass dort kei­ne Daten ver­ar­bei­tet wür­den, zugleich aber das Unter­neh­men in Irland für zustän­dig erklä­ren, obwohl dort auch kei­ne Daten ver­ar­bei­tet wer­den.” Die Ent­schei­dung sei auch im Hin­blick auf das euro­päi­sche Daten­schutz­recht wenig nachvollziehbar.

Quel­le:

 

Sen­si­ble Pati­en­ten­da­ten in Kli­nik ver­schwun­den — Datenpanne

DIE WELT berich­tet heu­te nach­mit­tag online von einer Daten­pan­ne in zwei Kli­ni­ken in Baden-Württemberg:

 Siche­rungs­bän­der bei Ziga­ret­ten­pau­se verbummelt

Der zustän­di­ge IT-Mit­ar­bei­ter ist wie jeden Tag mit den Siche­rungs­bän­dern auf dem Weg vom Ser­ver­raum zum Tre­sor. Unter­wegs hält er an einer Ram­pe für eine kur­ze Rauch­pau­se an, legt die Bän­der auf einem Tisch ab. Nach der Pau­se ging er wie­der an sei­ne Arbeit, jedoch ohne die Siche­rungs­bän­der. Als er sei­nen Feh­ler nach eini­ger Zeit bemerk­te und an den Pau­sen-Ort zurück­kehr­te, waren die Siche­rungs­bän­der ver­schwun­den. Erschwe­rend kommt hin­zu, dass der Mit­ar­bei­ter den Vor­fall erst eine Woche spä­ter mel­de­te und auch das inter­ne Siche­rungs­kon­troll­sys­tem das Ver­schwin­den der Bän­der nicht auf­ge­deckt hat.

Sen­si­ble Pati­en­ten­da­ten betroffen

300.000 Daten­sät­ze sol­len die Bän­der umfasst haben. Dar­un­ter voll­stän­di­ge Pati­en­ten­ak­ten, Laborda­ten, Befun­de, Arzt­brie­fe und Schrift­ver­kehr bis zurück ins Jahr 1996.

Daten­schutz­be­hör­de spricht von gra­vie­ren­dem Vorfall

Die Kli­nik­lei­tung beteu­ert, ledig­lich die Arzt­brie­fe kön­nen aus­ge­le­sen wer­den. Für alle wei­te­ren Daten sei spe­zi­el­le Hard- und Soft­ware not­wen­dig. Wei­te­re Aus­füh­run­gen über eine zusätz­li­che Ver­schlüs­se­lung wur­den nicht getä­tigt. Auf­grund der Sen­si­bi­li­tät der Daten und der erschre­ckend hohen Men­ge spricht der Lan­des­da­ten­schutz­be­auf­trag­te von Baden-Würt­tem­berg, Jörg Kling­beil von einem gra­vie­ren­den Vorfall.

§ 42a BDSG Infor­ma­ti­ons­pflicht bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung von Daten

Lt. Kling­beil hat die Kli­nik nicht gegen § 42a BDSG ver­sto­ßen. Die Daten­pan­ne, wur­de wenn auch ver­spä­tet, kor­rekt gemel­det und durch Anzei­gen in über­re­gio­na­len Zei­tun­gen bekannt gemacht. Dies geschah zwar mit Ver­zö­ge­rung, jedoch auf Bit­ten der Staats­an­walt­schaft, um die Ermitt­lun­gen zu die­sem Zeit­punkt nicht zu gefähr­den. Alles wei­te­re müs­se jetzt geklärt werden.

Easy­cash GmbH zahlt 60000 Euro Bußgeld

Die Easy­cash GmbH zahl­te für die unbe­rech­tig­te Wei­ter­ga­be von Kon­to­da­ten — sie­he “Easy­cash sam­melt Daten von EC-Kar­ten­in­ha­bern zwecks Bewer­tung der Zah­lungs­fä­hig­keit” und “Ham­bur­ger Daten­schüt­zer stellt Straf­an­trag gegen easy­cash Loyal­ty Solu­ti­ons” — ein Buß­geld in Höhe von 60.000 Euro.

Der zustän­di­ge Daten­schutz­be­auf­trag­te von Nord­rhein-West­fa­len, Ulrich Lep­per kom­men­tiert sein Vor­ge­hen: “Wer Zah­lungs­vor­gän­ge qua­si als Treu­hän­der für Ein­zel­han­dels­un­ter­neh­men abwi­ckelt, muss beson­ders sorg­fäl­tig mit die­sen Daten umge­hen. Er darf so sen­si­ble Daten über Zah­lungs­ver­hal­ten und Kon­to­ver­bin­dun­gen, die durch­aus auch Pro­fil­bil­dun­gen erlau­ben wür­den, nicht für ande­re Zwe­cke an Drit­te über­mit­teln. Des­we­gen muss­te ich hier einschreiten.”

Die Daten hat­te Easy­cash an die in Ham­burg ansäs­sige Fir­ma easy­cash Loy­alty Solu­ti­ons als Schwes­ter­un­ter­neh­men ver­mit­telt, das Kun­den- und Bonus­pro­gram­me anbie­tet, und die Daten sta­tis­tisch aus­wer­te­te. Easy­cash wickelt im Auf­trag von Ein­zel­händ­lern EC-Kar­ten­zah­lun­gen ab und ver­fügt dar­aus über zahl­rei­che Daten­sät­ze über Kar­ten­zah­lungs­vor­gän­ge. An das Schwes­ter­un­ter­neh­men gab Easy­cash die Daten von rund 400.000 Zah­lungs­vor­gän­gen weiter.

Nach Anga­ben von Lep­per zeig­te sich Easy­cash ein­sich­tig und koope­ra­tiv. Das Buß­geld sei bereits bezahlt.

Quel­len:

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.
Die mobile Version verlassen