Zum Inhalt springen

Landesdatenschutzbeauftragter

Daten­schutz­auf­sicht: Zen­tral oder dezentral?

Unser Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­land (BvD) e.V. rich­tet heu­te, am 17.09.2020 eine sehr inter­es­san­te Ver­an­stal­tung aus mit dem Titel “Föde­ral oder zen­tral – Wie sieht die Zukunft der Daten­schutz­auf­sicht aus?”. Auf­grund der aktu­el­len Gege­ben­hei­ten rund um Coro­na kann die Ver­an­stal­tung mit­tels Live-Stream mit­ver­folgt wer­den und zwar unter der URL https://​www​.bvd​net​.de/​a​u​f​s​i​c​h​t​-​l​i​ve/

Vor dem Hin­ter­grund der Eva­lu­ie­rung des Bun­des­da­ten­schutz­ge­set­zes steht der Vor­schlag im Raum, die Daten­schutz­auf­sicht für Unter­neh­men zukünf­tig in eine zen­tra­le Hand zu legen statt auf 17 Auf­sichts­be­hör­den (16 Land, 1 Bund) wei­ter ver­teilt zu lassen.

Start ist um 15 Uhr und beson­ders inter­es­sant wird es bei den Bei­trä­gen ab 15:25 Uhr. “Stand­punk­te: Pro und Kon­tra Zen­tra­li­sie­rung” und “Erfah­run­gen aus der Daten­schutz­pra­xis”. Rein­schau­en bzw. Rein­hö­ren lohnt sich auf jeden Fall, wenn Ver­tre­ter der Lan­des­da­ten­schutz­be­hör­den auf Daten­schutz-Anwäl­te und Prak­ti­ker aus der Wirt­schaft tref­fen, um die Vor- und Nach­tei­le der aktu­ell facet­ten­rei­chen DSGVO Aus­le­gun­gen und Mei­nun­gen in den ver­schie­de­nen Bun­des­län­dern zu diskutieren.

Vor- und Nachteile

Wer wie wir auf­grund der Kun­den­struk­tur mit eigent­lich allen Lan­des­da­ten­schutz­be­hör­den zu tun hat, kann den Wunsch nach einer Zen­tra­li­sie­rung bzw. Ver­ein­heit­li­chung durch­aus nach­voll­zie­hen. Die nicht sel­te­ne weit gefä­cher­te und diver­gie­ren­de Aus­le­gung der DSGVO macht es nicht unbe­dingt leich­ter. Und selbst wenn es gemein­sa­me Stel­lung­nah­men z.B. im Zuge der DSK (Daten­schutz­kon­fe­renz) gibt, sind die­se gele­gent­lich so vage, dass die Bedeu­tung für die Umset­zungs­pra­xis durch­aus gegen Null stre­ben kann. Eine ein­heit­li­che Sicht­wei­se wäre hier durch­aus auch gegen­über Kun­den sehr hilf­reich. Es ist nicht immer leicht zu argu­men­tie­ren, war­um etwas in einem Bun­des­land ok ist, in einem ande­ren Bun­des­land von der Auf­sicht nicht ger­ne gese­hen wird. Ein pro­mi­nen­tes Bei­spiel sind die doch sehr abwei­chen­den Sicht­wei­sen zur Art und Wei­se der Durch­füh­rung einer Daten­schutz­fol­gen­ab­schät­zung (DSFA). Mitt­ler­wei­le haben sich hier gefühlt zwei Lager gebil­det, SDM vs. PIA. Ob man mit einer ande­ren Vor­ge­hens­wei­se aus Sicht der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de alles rich­tig macht, wird die Zeit zeigen.

Ande­rer­seits hat und kennt man durch die dezen­tra­le Struk­tur sei­ne Ansprech­part­ner, die bei Anfra­gen oft zeit­nah und kom­pe­tent reagie­ren. Im Zuge einer Zen­tra­li­sie­rung müss­te durch aus­rei­chen­de per­so­nel­le Beset­zung die­se Bera­tungs­funk­ti­on auch zukünf­tig sicher­ge­stellt sein. Was einer­seits ein Nach­teil sein kann (unter­schied­li­che bis gegen­sätz­li­che Mei­nun­gen der Lan­des­da­ten­schutz­be­hör­den), stellt im Hin­blick auf Mei­nungs­viel­falt und Ideen für Umset­zungs­mög­lich­kei­ten ande­rer­seits durch­aus auch einen Vor­teil dar. Im Zuge einer Zen­tra­li­sie­rung wür­de dies ent­fal­len. Dann gibt es nur noch die eine Sicht­wei­se der zen­tra­len Instanz. Auch dies wäre dann erst mal eine Mei­nung, die ande­re Vor­ge­hens­wei­sen nicht zwin­gend aus­schlie­ßen wür­de, aber der Pool zur Aus­wahl oder Ent­wick­lung ande­rer Umset­zungs­mög­lich­kei­ten wäre stark redu­ziert bzw. nicht mehr vorhanden.

So haben bei­de Lösun­gen ein Für und Wider. Man darf auf die heu­ti­gen Dis­kus­sio­nen im Rah­men der Ver­an­stal­tung und im Hin­blick auf die wei­te­re Ent­wick­lung sehr gespannt sein. Schau­en Sie rein: https://​www​.bvd​net​.de/​a​u​f​s​i​c​h​t​-​l​i​ve/ Start 15 Uhr.

 

 

Gesund­heits­da­ten gehen an die Polizei

Nun auch Sach­sen-Anhalt — das Innen­mi­nis­te­ri­um wies die Gesund­heits­äm­ter an, per­so­nen­be­zo­ge­ne /​ Gesund­heits­da­ten aller Per­so­nen in Qua­ran­tä­ne den Poli­zei­be­hör­den zur Ver­fü­gung zu stel­len. Die Poli­zei erhielt somit per­so­nen­be­zo­ge­ne Daten über Coro­na-Infi­zier­te und Kontaktpersonen. 

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge 

Aus den Rei­hen des Land­tags wur­de am 22.04.2020 die Ent­hül­lung bekannt, dass der Lan­des­in­nen­mi­nis­ter vom 27. bis 31.03.2020 eine Ver­pflich­tung zur Bereit­stel­lung der Daten für alle Per­so­nen in Qua­ran­tä­ne des Bun­des­lan­des ver­fügt habe. Seit­dem wür­den Gesund­heits­äm­ter „nach eige­nem Ermes­sen und im Ein­zel­fall“ Daten von Per­so­nen in Qua­ran­tä­ne an die Poli­zei über­mit­teln. Bis 09.04.2020 über 800 Fäl­le in Sach­sen-Anhalt — heißt es wei­ter in den zuge­hö­ri­gen Posts auf Twit­ter. Eine öffent­li­che Infor­ma­ti­on über die Maß­nah­me durch das Innen­mi­nis­te­ri­um zur Erfül­lung der DSGVO-gesetz­li­chen Trans­pa­renz­pflicht war lan­ge Zeit nicht erfolgt. Die kom­mu­ni­zier­ten Daten hät­ten Namen, Anschrif­ten, Geburts­da­ten, Wohn­or­te, Natio­na­li­tä­ten, Geschlech­ter sowie Beginn und Ende der behörd­lich defi­nier­ten Qua­ran­tä­ne umfasst. Die Über­mitt­lung, Ver­ar­bei­tung und Spei­che­rung auf Poli­zei­da­ten­ban­ken von Gesund­heits­da­ten sei „recht­lich pro­ble­ma­tisch“ und der Lan­des­be­auf­trag­te für den Daten­schutz sei the­ma­tisch zu invol­vie­ren. Wei­te­re ~130 sol­cher Über­mitt­lun­gen in Hal­le wur­den zunächst laut Anga­be der Stadt­ver­wal­tung wohl gar nicht erst gezählt. 

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten 

Auf Anfra­ge hat­te das Lan­des­in­nen­mi­nis­te­ri­um gegen­über netz​po​li​tik​.org geleug­net, dass es der­lei Gesund­heits­da­ten­über­mitt­lun­gen an die Poli­zei gege­ben hat­te. Spä­ter wur­de bekannt, dass Gesund­heits- /​ per­so­nen­be­zo­ge­ne Daten auf der Fahn­dungs­da­ten­bank des Lan­des­kri­mi­nal­amts gespei­chert wur­den. Zu direk­ten Anfra­gen von netz​po​li​tik​.org sei sei­tens der Poli­zei nicht Stel­lung genom­men wor­den. Der Erlass sei dem Lan­des­da­ten­schutz­be­auf­trag­tes Sach­sen-Anhalts erst auf Nach­fra­ge zur Ver­fü­gung gestellt wor­den, den die­ser am 31.03.2020 für rechts­wid­rig erklärt habe. In sei­ner Haut möch­te man jetzt eher nicht ste­cken. Aus DSB-Sicht stellt sich aller­dings die Fra­ge, aus wel­chem Grund kei­ne Vor­ab­in­for­ma­ti­on erfolg­te und kei­ne Daten­schutz­fol­ge­ab­schät­zung in fach­li­cher Abstim­mung mit dem Lan­des-DSB durch­ge­führt wor­den ist. l 

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern 

Auch in ande­ren Bun­des­län­dern wur­den Daten­über­mitt­lun­gen von Infi­zier­ten und Kon­takt­per­so­nen ein­ge­führt. Offi­zi­ell sei Ziel der Maß­nah­me die Über­wa­chung der Ein­hal­tung der Qua­ran­tä­ne und Schutz der Polizeibeamten. 

Nach uns vor­lie­gen­den Infor­ma­tio­nen erklär­te auch die nie­der­säch­si­sche Daten­schutz­be­auf­trag­te Bar­ba­ra Thiel die Maß­nah­me für ihr Bun­des­land als rechts­wid­rig. Aller­dings hielt die Lan­des­re­gie­rung an den Daten­über­mitt­lun­gen fest. 

Die umstrit­te­ne Pra­xis wur­de auch in wei­te­ren Bun­des­län­dern ein­ge­führt. In Fol­ge vehe­men­ter Pro­tes­te wur­de die­se in Bre­men auf­ge­ho­ben. In Baden-Würt­tem­berg wird eine DSGVO kon­for­me Ver­ord­nung zur Daten­über­mitt­lung posi­tiv erwar­tet. In Meck­len­burg-Vor­pom­mern wur­de das Pro­ce­de­re modi­fi­ziert. Hier wird bei der Über­mitt­lung der Gesund­heits­da­ten nun auf den Bedarfs­fall abge­stellt. Fer­ner soll nun die Vor­ga­be sein, die Daten anony­mi­siert und ver­schlüs­selt an einen defi­nier­ten Per­so­nen­kreis im Poli­zei­dienst zu über­mit­teln. Es ist begrü­ßens­wert, dass die tra­gen­den Stan­dards in der Infor­ma­ti­ons­si­cher­heit neben den Daten­schutz­an­for­de­run­gen auch bei die­sem The­ma suk­zes­si­ve Berück­sich­ti­gung finden. 

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten 

Es besteht ein gro­ßes Span­nungs­feld zwi­schen Daten­schutz /​ Grund­rech­ten und einer effek­ti­ven Pan­de­mie­be­kämp­fung. Dass Men­schen und Pfle­ge­per­so­nal, der öffent­li­che Dienst und ande­re Arbeits­kräf­te mit not­wen­di­gem Publi­kums­kon­takt des Schut­zes bedür­fen, steht völ­lig außer Fra­ge. Aller­dings kann als auf­fäl­lig bezeich­net wer­den, dass gera­de in sol­chen grenz­wer­ti­gen Maß­nah­men der Dia­log mit den Daten­schutz­be­hör­den und auch den behörd­li­chen Daten­schutz­be­auf­trag­ten aktiv ver­mie­den wird. Gera­de in sol­chen Zei­ten darf erwar­tet wer­den, dass man sich zwecks ganz­heit­li­cher Kri­sen­be­wäl­ti­gung bereichs­über­grei­fend abstimmt. So kann dafür Sor­ge getra­gen wer­den, dass die Ver­ar­bei­tun­gen und Über­mitt­lun­gen der Behör­den den zwin­gend erfor­der­li­chen, zeit­ge­mä­ßen Vor­ga­ben des Daten­schut­zes sowie der Infor­ma­ti­ons­si­cher­heit /​ IT-Sicher­heit genügen. 

Etap­pen­sieg für Face­book: Klar­na­men­pflicht bleibt bestehen

Das Ver­wal­tungs­ge­richt Schles­wig hat ent­schie­den: die Klar­na­men­pflicht für Face­book-Nut­zer aus Deutsch­land bleibt (vor­erst) bestehen! Das Unab­hän­gi­ge Lan­des­da­ten­schutz­zen­trum Schles­wig-Hol­stein (ULD)  hat­te gegen die­se Ver­pflich­tung geklagt.  Dem­nach wäre eine Pseud­ony­mi­sie­rung der Nut­zer­na­men auf­grund deut­scher Rechts­vor­schrif­ten not­wen­dig. Deut­sches Recht sei anzu­wen­den, da Face­book eine GmbH mit Sitz in Ham­burg habe.

Das Gericht ist der Argu­men­ta­ti­on des ULD nicht gefolgt. Nach des­sen Sicht­wei­se sei die euro­päi­sche Nie­der­las­sung in Irland aus­schlag­ge­bend und somit gel­te iri­sches Recht. Damit stell­te das Gericht gene­rell die Zustän­dig­keit deut­scher Daten­schutz­be­hör­den in Fra­ge. Das iri­sche Daten­schutz­recht kennt kein sol­ches Anrecht auf Pseudonyme.

Thi­lo Wei­chert, Lei­ter des ULD zeigt sich über­rascht: “Die Ent­schei­dun­gen sind mehr als ver­blüf­fend und gehen in der Argu­men­ta­ti­on über das Vor­brin­gen von Face­book hin­aus, das die Nicht­an­wend­bar­keit des deut­schen Daten­schutz­rech­tes damit begrün­de­te, Face­book Inc. in den USA sei nur der Auf­trags­da­ten­ver­ar­bei­ter der Face­book Ire­land Ltd. Sie sind in sich wider­sprüch­lich, wenn sie die feh­len­de recht­li­che Rele­vanz von Face­book Ger­ma­ny damit erklä­ren, dass dort kei­ne Daten ver­ar­bei­tet wür­den, zugleich aber das Unter­neh­men in Irland für zustän­dig erklä­ren, obwohl dort auch kei­ne Daten ver­ar­bei­tet wer­den.” Die Ent­schei­dung sei auch im Hin­blick auf das euro­päi­sche Daten­schutz­recht wenig nachvollziehbar.

Quel­le:

 

Sen­si­ble Pati­en­ten­da­ten in Kli­nik ver­schwun­den — Datenpanne

DIE WELT berich­tet heu­te nach­mit­tag online von einer Daten­pan­ne in zwei Kli­ni­ken in Baden-Württemberg:

 Siche­rungs­bän­der bei Ziga­ret­ten­pau­se verbummelt

Der zustän­di­ge IT-Mit­ar­bei­ter ist wie jeden Tag mit den Siche­rungs­bän­dern auf dem Weg vom Ser­ver­raum zum Tre­sor. Unter­wegs hält er an einer Ram­pe für eine kur­ze Rauch­pau­se an, legt die Bän­der auf einem Tisch ab. Nach der Pau­se ging er wie­der an sei­ne Arbeit, jedoch ohne die Siche­rungs­bän­der. Als er sei­nen Feh­ler nach eini­ger Zeit bemerk­te und an den Pau­sen-Ort zurück­kehr­te, waren die Siche­rungs­bän­der ver­schwun­den. Erschwe­rend kommt hin­zu, dass der Mit­ar­bei­ter den Vor­fall erst eine Woche spä­ter mel­de­te und auch das inter­ne Siche­rungs­kon­troll­sys­tem das Ver­schwin­den der Bän­der nicht auf­ge­deckt hat.

Sen­si­ble Pati­en­ten­da­ten betroffen

300.000 Daten­sät­ze sol­len die Bän­der umfasst haben. Dar­un­ter voll­stän­di­ge Pati­en­ten­ak­ten, Labor­da­ten, Befun­de, Arzt­brie­fe und Schrift­ver­kehr bis zurück ins Jahr 1996.

Daten­schutz­be­hör­de spricht von gra­vie­ren­dem Vorfall

Die Kli­nik­lei­tung beteu­ert, ledig­lich die Arzt­brie­fe kön­nen aus­ge­le­sen wer­den. Für alle wei­te­ren Daten sei spe­zi­el­le Hard- und Soft­ware not­wen­dig. Wei­te­re Aus­füh­run­gen über eine zusätz­li­che Ver­schlüs­se­lung wur­den nicht getä­tigt. Auf­grund der Sen­si­bi­li­tät der Daten und der erschre­ckend hohen Men­ge spricht der Lan­des­da­ten­schutz­be­auf­trag­te von Baden-Würt­tem­berg, Jörg Kling­beil von einem gra­vie­ren­den Vorfall.

§ 42a BDSG Infor­ma­ti­ons­pflicht bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung von Daten

Lt. Kling­beil hat die Kli­nik nicht gegen § 42a BDSG ver­sto­ßen. Die Daten­pan­ne, wur­de wenn auch ver­spä­tet, kor­rekt gemel­det und durch Anzei­gen in über­re­gio­na­len Zei­tun­gen bekannt gemacht. Dies geschah zwar mit Ver­zö­ge­rung, jedoch auf Bit­ten der Staats­an­walt­schaft, um die Ermitt­lun­gen zu die­sem Zeit­punkt nicht zu gefähr­den. Alles wei­te­re müs­se jetzt geklärt werden.

Easy­cash GmbH zahlt 60000 Euro Bußgeld

Die Easy­cash GmbH zahl­te für die unbe­rech­tig­te Wei­ter­ga­be von Kon­to­da­ten — sie­he “Easy­cash sam­melt Daten von EC-Kar­ten­in­ha­bern zwecks Bewer­tung der Zah­lungs­fä­hig­keit” und “Ham­bur­ger Daten­schüt­zer stellt Straf­an­trag gegen easy­cash Loyal­ty Solu­ti­ons” — ein Buß­geld in Höhe von 60.000 Euro.

Der zustän­di­ge Daten­schutz­be­auf­trag­te von Nord­rhein-West­fa­len, Ulrich Lep­per kom­men­tiert sein Vor­ge­hen: “Wer Zah­lungs­vor­gän­ge qua­si als Treu­hän­der für Ein­zel­han­dels­un­ter­neh­men abwi­ckelt, muss beson­ders sorg­fäl­tig mit die­sen Daten umge­hen. Er darf so sen­si­ble Daten über Zah­lungs­ver­hal­ten und Kon­to­ver­bin­dun­gen, die durch­aus auch Pro­fil­bil­dun­gen erlau­ben wür­den, nicht für ande­re Zwe­cke an Drit­te über­mit­teln. Des­we­gen muss­te ich hier einschreiten.”

Die Daten hat­te Easy­cash an die in Ham­burg ansäs­sige Fir­ma easy­cash Loy­alty Solu­ti­ons als Schwes­ter­un­ter­neh­men ver­mit­telt, das Kun­den- und Bonus­pro­gram­me anbie­tet, und die Daten sta­tis­tisch aus­wer­te­te. Easy­cash wickelt im Auf­trag von Ein­zel­händ­lern EC-Kar­ten­zah­lun­gen ab und ver­fügt dar­aus über zahl­rei­che Daten­sät­ze über Kar­ten­zah­lungs­vor­gän­ge. An das Schwes­ter­un­ter­neh­men gab Easy­cash die Daten von rund 400.000 Zah­lungs­vor­gän­gen weiter.

Nach Anga­ben von Lep­per zeig­te sich Easy­cash ein­sich­tig und koope­ra­tiv. Das Buß­geld sei bereits bezahlt.

Quel­len:

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Hes­sen kün­digt ver­stärk­te Daten­schutz­kon­trol­len an

Erwei­ter­ter Zuständigkeitsbereich

Seit die­sem Monat ist der hes­si­sche Daten­schutz­be­auf­trag­te nicht mehr nur für die Daten­schutz­kon­trol­le in den Behör­den des Bun­des­lan­des zustän­dig. Sei­ne Befug­nis­se wur­den erwei­tert und auf die nicht-öffent­li­chen Berei­che, also Unter­neh­men ausgeweitet.

Viel Feind’, viel Ehr’

Dies nahm er zum Anlaß, um bereits im Juni 2011 ver­stärk­te Kon­trol­len gegen Strom­ver­sor­ger, Ban­ken und Dro­ge­rie­ket­ten anzu­kün­di­gen. Intel­li­gen­te Strom­zäh­ler, die Bespit­ze­lung von Mit­ar­bei­tern und der Umgang mit Kun­den­da­ten — gera­de bei Ban­ken und der SCHUFA — ste­hen auf sei­ner Prüf­lis­te. Ver­stö­ße will er ahn­den, “mit Sank­tio­nen bis hin zu Buß­geld­be­schei­den”.

Eigen­ver­ant­wor­tung tut Not

In der letz­ten Zeit meh­ren sich die Stim­men, daß Ver­brau­cher auf­grund ihres Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung auch die Ver­pflich­tung haben, selbst auf­Ih­re Daten zu ach­ten und wem sie die­se anver­trau­en. Er stößt in das sel­be Horn und äußert z.B. zu Kun­den­kar­ten wie PAYBACK: “[…] die Daten der Kun­den wer­den ver­kauft. Doch die Gefahr ist den Men­schen nicht bewusst.”

Sor­ge berei­te ihm eben­falls der sorg­lo­se Umgang von Kin­dern und Jugend­li­chen mit ihren Daten. “Die wis­sen nicht, was sie anrich­ten, und das Inter­net ver­gisst nichts, des­halb muss man sie schützen.” 

Die Hoff­nung stirbt zuletzt

Für die Zukunft hofft er, daß sich Daten­schutz zu einem Wirt­schafts­fak­tor ent­wi­ckelt. “Sobald es sich wirt­schaft­lich aus­zahlt, dass man sei­nen Kun­den Ver­trau­lich­keit zusi­chern kann, ist der Daten­schutz auf dem bes­ten Weg, auch in den pri­va­ten Bereich Ein­zug zu halten.”

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Behör­den mischen mit: Daten­pan­ne bei Kfz-Steu­er in Baden-Württemberg

Nur nicht drän­geln, jeder darf ein Mal

Das Behör­den vor Daten­schutz­pan­nen nicht gefeit sind, zeigt das Land Baden-Würt­tem­berg und bringt etwas Abwechs­lung in die Lis­te aktu­el­ler Ver­ur­sa­cher von Datenpannen.

Der Lan­des­da­ten­schutz­be­auf­trag­te nahm dazu heu­te öffent­lich auf sei­ner Web­sei­te Stel­lung.

Frei­zü­gig­keit? Nicht bei der Steu­er­be­mes­sung, jedoch bei der Datenübermittlung

Kfz-Steu­er­pflich­ti­ge Bür­ger trau­ten ihren Augen nicht. Der Abbu­chungs­text der fäl­li­gen Kfz-Steu­er auf dem Kon­to­aus­zug ent­hielt neben den übli­chen Anga­ben wie Namen des Steu­er­pflich­ti­gen, Kfz-Kenn­zei­chen und Steu­er­sum­me noch wei­te­re Details parat: Anga­ben zu Steu­er­num­mern und Umsatz­steu­er ande­rer Bür­ger und Unter­neh­men sowie zur Religionszugehörigkeit.

Feh­len­de Rechtsgrundlage

Kei­ne noch so wohl­wol­len­de Bewer­tung des Vor­gangs wird eine recht­li­che Legi­ti­ma­ti­on die­ser umfas­sen­den Daten­über­mitt­lung an die mit dem Last­schrift­ver­fah­ren beauf­trag­ten Kre­dit­in­sti­tu­te her­vor­brin­gen. Die Über­mitt­lung fand in der Zeit vom 17. Juni bis 20. Juni 2011 statt. Das Last­schrift­ver­fah­ren wur­de umge­hend gestoppt.

Die Soft­ware ist schuld

Der Übel­tä­ter war schnell gefun­den. Nach dem Update der genutz­ten Soft­ware ist der Feh­ler auf­ge­tre­ten. Im Umkehr­schluß bedeu­tet dies jedoch, die Ver­ant­wort­li­chen haben Ihre Kon­troll­funk­ti­on nicht rich­tig wahr­ge­nom­men. Soft­ware­ak­tua­li­sie­run­gen sind vor dem Ein­spie­len in Pro­duk­tiv­sys­te­me aus­führ­lich und gewis­sen­haft zu tes­ten. Einer­seits wer­den dadurch Sicher­heits­ri­si­ken für die Sys­te­me sowie Daten­ver­lust und letzt­end­lich auch sol­che Daten­pan­nen ver­mie­den. Sys­te­me mit sen­si­blen Daten soll­ten stets  nach dem Mehr-Augen-Sys­tem geprüft werden.

Ver­meid­bar?

Feh­ler kön­nen jedem pas­sie­ren, alle Betei­lig­ten sind auch nur Men­schen. Von daher sind sol­che Pan­nen nie aus­zu­schlie­ßen. Jedoch kann das Risi­ko aktiv mini­miert wer­den. Wie? Das erklärt Ihnen ger­ne Ihr Daten­schutz­be­auf­trag­ter. Sie haben kei­nen? Dann spre­chen Sie uns an, bevor Sie bei einer mög­li­chen Bestell­pflicht auch ganz ohne Daten­pan­nen einem berächt­li­chen Buß­geld­ri­si­ko aus­ge­setzt sind.

Update

Zu die­sem Bei­trag erreich­te uns eine Email-Anfra­ge, die wir ger­ne öffent­lich ohne Nen­nung des Anfra­gen­den beant­wor­ten. Die Fra­ge lau­te­te knapp: “Wie­so müs­sen Behör­den kei­ne Buß­gel­der bezah­len, wenn gegen Daten­schutz­be­stim­mun­gen ver­sto­ßen wird?”

Ohne auf recht­li­che Hin­ter­grün­de ein­ge­hen zu wol­len, wer­fen wir einen Blick auf das Rech­te-Tasche-Lin­ke-Tasche-Prin­zip. Eine Behör­de als öffent­li­che Ein­rich­tung  wür­de das Buß­geld aus der Staats- oder Lan­des­kas­se (je nach Ebe­ne) in die Staats- oder Lan­des­kas­se bezah­len. Wo wür­de da der ange­dach­te Straf­cha­rak­ter bleiben?

Ham­bur­ger Unter­neh­men wei­ter unter Druck in Sachen Daten­schutz — der Lan­des­da­ten­schutz­be­auf­trag­te prüft nach

Im April letz­ten Jah­res hat der Ham­bur­ger Lan­des­da­ten­schutz­be­auf­trag­te Johan­nes Cas­par ver­stärk­te Daten­schutz­kon­trol­len bei Unter­neh­men ange­kün­digt und dies auch in die Tat umge­setzt. Über 700 Unter­neh­men aus den Berei­chen Spe­di­ti­on, Immo­bi­li­en, Arbeits­ver­mitt­lung, Pfle­ge­diens­te und Arzt­pra­xen stan­den auf der Prüf­lis­te. Die Ergeb­nis­se einer ers­ten Befra­gung lie­gen nun vor.

Wäh­rend Logis­tik- und Pfle­ge­un­ter­neh­men so gut wie kei­nen Grund zur Bean­stan­dung gaben, ist wohl jedes zehn­te Immo­bi­li­en­un­ter­neh­men der Ver­pflich­tung zur Bestel­lung eines Daten­schutz­be­auf­trag­ten nicht nachgekommen.

Cas­par sieht dies posi­tiv, denn er wer­tet die Beach­tung der Bestell­pflicht als Zei­chen, daß sich der Umgang mit dem The­ma Daten­schutz in den Unter­neh­men ver­bes­sert hat. Er schränkt dies jedoch sogleich wie­der ein und kün­digt Vor-Ort-Über­prü­fun­gen an. Zwei­fel über­kom­men ihn bei man­chen Anga­ben, wie die von Unter­neh­men mit mehr als hun­dert Mit­ar­bei­tern, von denen ledig­lich zwei (2!) mit per­so­nen­be­zo­ge­nen Daten gem. Bun­des­da­ten­schutz­ge­setz in Kon­takt kom­men. Die Zwei­fel schei­nen berech­tigt. Zusätz­lich wer­den die Über­prü­fun­gen nun auf wei­te­re Bran­chen ausgeweitet.

Im Kon­flikt mit der ECE-Grup­pe um all­zu über­mä­ßig ein­ge­setz­te Video­über­wa­chung in einem Ham­bur­ger Ein­kaufs­zen­trum hat Cas­par einn Erfolg vor­zu­wei­sen. 24 Kame­ras, die all­zu frei­zü­gig auf­zeich­ne­ten, wur­den auf Druck sei­ner Behör­de mitt­ler­wei­le ent­fernt. Ein deut­li­ches Signal an alle Unter­neh­men, die es mit der Legi­ti­ma­ti­on und dem Umfang die­ses durch­aus pro­ba­ten und zuläs­si­gen Mit­tels nicht sehr genau nehmen.

Hat Ihr Unter­neh­men eigent­lich einen Daten­schutz­be­auf­trag­ten? Liegt eine Bestell­pflicht vor? Unwis­sen­heit schützt vor Stra­fe nicht, Buß­gel­der dro­hen! Spre­chen Sie mich an oder for­dern Sie gleich ein pas­sen­des Ange­bot an.

Baye­ri­sche Lan­des­da­ten­schutz­be­hör­de hat viel zu tun — Zunah­me der Ein­ga­ben um 80 Pro­zent in 2010

Ja ja ja, jetzt wird wie­der in die Hän­de gespuckt …

Tho­mas Kra­nig, Amts­lei­ter des Baye­ri­schen Lan­des­amts für Daten­schutz mit Sitz in Ans­bach hat am Mon­tag den Tätig­keits­be­richt für die Jah­re 2009 und 2010 in Mün­chen vor­ge­stellt. Bei der Daten­schutz­be­hör­de gingen3.256 Anfra­gen und Beschwer­den von Bür­gern und Unter­neh­men ein. Das sind 80% mehr als noch fünf Jah­re zuvor. Kra­nig führt dies auf eine deut­lich gestie­ge­ne Sen­si­bi­li­tät für die Siche­rung der Pri­vat­sphä­re bei den Betrof­fe­nen zurück. Was in Anbe­tracht der medi­al auf­be­rei­te­ten Skan­da­le bei der Deut­schen Tele­kom, der Deut­schen Bahn, dem Lebens­mit­tel­dis­coun­ter Lidl und in ver­schie­de­nen Call-Cen­tern auch nicht wei­ter verwundert.

Drah di net um, schau schau, der Kom­mis­sar geht um …

Für den nicht-öffent­li­chen Bereich, also für Unter­neh­men, lis­tet der Tätig­keits­be­richt auf über 100 Sei­ten Daten­schutz­ver­feh­lun­gen auf. Dabei ging es um Ver­stö­ße im Bereich der Video­über­wa­chung, den wenig sen­si­blen Umgang mit Bewer­ber­da­ten und vie­lem mehr. Im Berichts­zeit­raum lei­te­te die Schutz­be­hör­de 22 Ver­fah­ren wegen Ord­nungs­wid­rig­kei­ten gegen Unter­neh­men wegen “nach­hal­ti­ger daten­schutz­recht­li­cher Ver­stö­ße” ein und stell­te sogar zwei Straf­an­trä­ge. Sta­tis­tisch gese­hen, lag jeder zwei­ten Anfra­ge ein Ver­stoß gegen daten­schutz­recht­li­che Bestim­mun­gen zu Grunde.

Mitt­ler­wei­le ver­fügt die Behör­de für den nicht-öffent­li­chen Bereich über 12 Mit­ar­bei­ter, die für Kon­troll- und Bera­tungs­tä­tig­kei­ten bereit­ste­hen. Das Risi­ko einer zufäl­li­gen Über­prü­fung im Rah­men einer Stich­pro­be nimmt für Unter­neh­men in Bay­ern (aber auch bun­des­weit) ste­tig zu.

Wir fahr’n fahr’n fahr’n auf der Autobahn …

Eine Par­al­le­le zwi­schen Stra­ßen­ver­kehr und Daten­ver­kehr zie­hend, mahn­te der baye­ri­sche Innen­mi­nis­ter Joa­chim Herr­mann zur Vor­sicht bei der Preis­ga­be per­sön­li­cher Daten auf dem Daten­high­way. Dies auch im Hin­blick auf die von immer mehr Betrof­fe­nen genutz­ten sozia­len Netz­wer­ke. Nicht nur, daß hier das Risi­ko der über­bor­den­den Frei­ga­be der eige­nen Daten besteht. Auch Tex­te, Bil­der und Vide­os Drit­ter, die einen selbst betref­fen, stel­len eine immer grö­ße­re daten­schutz­recht­li­che Her­aus­for­de­rung dar.

Irgend­wie, irgend­wo, irgendwann …

Den Titel die­ses Hits der Neu­en Deut­schen Wel­le soll­ten Sie sich nicht zum Vor­bild neh­men, wenn es um die Ein­füh­rung aktu­el­ler Kon­zep­te für Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men geht. Erst recht nicht, wenn even­tu­ell bereits eine Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten besteht — denn die feh­len­de, ver­spä­te­te oder nicht kor­rek­te Bestel­lung eines geeig­ne­ten Daten­schutz­be­auf­trag­ten ist buß­geld­be­wehrt. Unsi­cher? Dann spre­chen Sie mich an.

 

Der Baye­ri­sche Lan­des­da­ten­schutz­be­auf­trag­te Tho­mas Petri legt Tätig­keits­be­richt für 2010 vor

Auf den Web­sei­ten des baye­ri­schen Lan­des­da­ten­schutz­be­auf­trag­ten steht der Tätig­keits­be­richt für 2010 zur Ver­fü­gung. Dar­in moniert Tho­mas Petri das mitt­ler­wei­le in die Jah­re gekom­me­ne Lan­des­da­ten­schutz­ge­setz. Gera­de im Hin­blick auf den Umgang mit per­so­nen­be­zo­ge­nen Daten im Inter­net bestün­de Aktua­li­sie­rungs­be­darf. Wei­ter­hin betrach­tet er die Bün­de­lung der IT-Res­sour­cen des Frei­staats an weni­gen zen­tra­li­sier­ten Stel­len kri­tisch unter Daten­schutz­ge­sichts­punk­ten. Bei dem The­ma Cloud-Com­pu­ting für Behör­den mahnt er Zurück­hal­tung an.

Der voll­stän­di­ge Bericht kann auf www​.daten​schutz​-bay​ern​.de online ein­ge­se­hen oder als PDF abge­ru­fen werden.

Die mobile Version verlassen