Das Datenschutz-Blog

Herr Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, fordert schärfere Regeln für Internet-Unternehmen, sofern diese Daten sammeln. Er bezieht sich dabei auf das Bundesverfassungsgericht, welches die derzeitige Vorratsdatenspeicherung für unzulässig erklärte.

Beitrag weiterlesen »

Die elektronische Gesundheitskarte befindet sich derzeit in der Testphase. Sie soll gemäß § 291a SGB V die Krankenversicherungskarte ersetzen. Nach dem momentanen Stand soll die Gesundheitskarte bis Ende 2010 bundesweit eingesetzt werden können. Mit der elektronischen Gesundheitskarte könnten Ärzte zukünftig alle relevanten medizinischen Daten unmittelbar abrufen. Neben den Vorteilen für die Gesundheitsversorgung birgt diese Art der Datenerfassung und –speicherung aber auch Sicherheitsrisiken, nicht zuletzt im datenschutzrechtlichen Bereich.

Beitrag weiterlesen »

Erhalten Beschäftigte von ihrem Arbeitgeber betriebliche Kommunikationsmittel (z.B. Telefon, PC, Internet, E-Mail, Mobiltelefon etc.) stellt sich die Frage, auf welcher gesetzlichen Grundlage die dabei entstehenden Daten vom Arbeitgeber überwacht werden können. Im Grundsatz ist hier zwischen privater und dienstlicher Nutzung zu unterscheiden. Konsequenz einer vom Arbeitgeber (stillschweigend) gestatteten Privatnutzung ist ein weitgehender Verlust von Kontrollmöglichkeiten über den Datenverkehr der betrieblichen Telekommunikation.

Beitrag weiterlesen »

Das SWIFT-Abkommen zwischen der EU und den USA ist vom EU-Parlament nicht ratifiziert worden. Mängel im Datenschutz wurden als Begründung angegeben.

Das EU Parlament nutzte erstmals seine Möglichkeiten, die ihm durch den Lissabon-Vertrag zugefallen sind und lässt damit einen bereits abgeschlossenen Vertrag zwischen der EU-Kommission und den USA nachträglich durchfallen.

Beitrag weiterlesen »

Die Datenschutz-Aufsichtsbehörden haben die Möglichkeit, von Unternehmen die Abberufung des Datenschutzbeauftragten zu verlangen, wenn dieser die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. Der folgende Beitrag erläutert Details, Voraussetzungen und Rechtsfolgen eines solchen Abberufungsverlangens.

Beitrag weiterlesen »

Der Arbeitnehmerdatenschutz ist in Deutschland nicht übersichtlich in einem eigenen Arbeitnehmerdatenschutzgesetz geregelt, auch wenn dies verfassungs- und europarechtlich an sich gefordert wäre. Vielmehr ergeben sich die gesetzlichen Rahmenbedingungen aus der Anwendung des allgemeinen Bundesdatenschutzgesetzes (BDSG) und einer Reihe bereichspezifischer Vorschriften.

Beitrag weiterlesen »

Der BGH hat im Juli diesen Jahres die strafrechtlich relevante Garantenpflicht eines Leiters der Innenrevision einer Anstalt des öffentlichen Rechts bejaht und die Verurteilung zur Betrugsbehilfe durch Unterlassen bestätigt (Az. 5 StR 394/08). Zugleich hat der BGH ausgeführt, dass vergleichbare Maßstäbe auch für „Compliance Officer“ in Unternehmen anwendbar seien. In diesem Beitrag soll geklärt werden, ob die strafrechtlichen Überlegungen des BGH auch auf die Stellung des Datenschutzbeauftragten im Betrieb übertragen werden müssen.

Beitrag weiterlesen »

Daten über die eigene Gesundheit sind sensibel zu handhaben. Dies spiegelt sich von jeher wider in der ärztlichen Schweigepflicht. Im Rahmen der Möglichkeiten elektronischer Datenverarbeitung drängt sich von Patientenseite her immer mehr das Bedürfnis auf, die eigenen Patientendaten besonders zu schützen. Niedergelassene Ärzte in Deutschland müssen generell die Bestimmungen des Bundesdatenschutzgesetzes für den nicht-öffentlichen Bereich beachten. Im Folgenden wird die Frage untersucht, inwieweit in Arztpraxen die Ernennung eines eigenen Datenschutzbeauftragten erforderlich ist.

Beitrag weiterlesen »

Es war absehbar, dass der bereits einmal abgelehnte Nacktscanner bei der nächsten sich bietenden Gelegenheit wieder aus der Versenkung geholt werden würde. Erstaunlich war, wie schnell und umfangreich die Öffentlichkeit dieses Mal über seine technischen Verbesserungen informiert werden konnte.

Sicherheit ist ein hohes Gut. Allerdings stimmt auch: Wirklich umfassende Sicherheit ist erst dann erreichbar, wenn nichts mehr einer Überwachung entzogen sein wird.

Beitrag weiterlesen »

Ich stelle zur Zeit fest, dass viele glauben, ich bin der Auffassung, es muss Webmastern verboten sein, die IP-Adresse von Benutzern überhaupt in Logfiles zu speichern. Das ist falsch. Ein paar kurze Punkte, ohne Diskussionsinhalt, sondern nur um mich kurz selbst zu positionieren:

1. Ich bin der Auffassung, dass eine IP-Adresse (gleich ob dynamisch oder statisch) ein personenbezogenes Datum ist. Warum ich das so sehe, kann man hier nachlesen. Da es sich hier um einen Meinungsstreit dreht, gibt es da kein richtig oder falsch – man muss sich einfach entscheiden. Wer es anders sieht, sieht es anders.
2. Ich lese das TMG zur Zeit so, dass die Speicherung von IP-Adressen in Logfiles eine Grauzone ist. Auf den ersten Blick liest es sich so, als wäre es ausdrücklich verboten (so liest es z.B. Patrick Breyer), auf den zweiten Blick kann man aber über meine These nachdenken, die Privilegierung des §11 III TMG auf die Speicherung der IPs in Logfiles anzuwenden (Webserver-Dienst, nicht Webseite selber, ist dann durch §11 III TMG privilegiert).
3. Weil ich aber herauslese, dass es eine Grauzone ist, sehe ich die Gefahr, dass “kleine” Webmaster plötzlich mit Unterlassungsverfügungen konfrontiert werden. Wer sich wehrt, trägt das Prozesskostenrisiko – mein Interesse ist also im Ergebnis nicht, Webmaster zu Ärgern oder Arbeit zu produzieren, sondern gerade Problemen vorzubeugen.
4. Zu viele kennen immer noch nicht den Anspruch auf Einsicht in die Bestandsdaten entsprechend §14 II TMG. Der besteht übrigens nicht nur für Ermittlungsbehörden, sondern auch für Unternehmen, die Urheberrechte schützen wollen. Ich hoffe, wer das liest, bei dem klingelt es endlich: Hier liegt ein vollkommen unterschätztes Risiko für Webseiten-Betreiber, die IPs ohne Zwang speichern.
5. Ich bin persönlich sehr unglücklich mit der massenhaften Speicherung dezentralen Speicherung von IP-Adressen in Logfiles. Ich sehe hier einen weiteren Schritt zur “Lebens-Vorratsdatenspeicherung”, die die TK-Vorratsdatenspeicherung perfekt ergänzt. Wieder: Wer das anders sieht, mag es anders sehen. Aber der fordere dann bitte auch den Gesetzgeber auf, im TMG aufzuräumen und die nun mal vorhandene Grauzone durch klare und deutliche Regelungen abzuschaffen. Wer speichern will, der soll das nicht nur klar sagen, sondern sich auch überlegen was er zu welchem zweck speichern will – und vom Gesetzgeber verlangen, dass so umzusetzen. Die momentane rechtliche Lage ist schlicht unbrauchbar. Wer mich kritisiert, weil ich das anprangere, sollte sich nochmals damit beschäftigen, welches Risiko der deutsche Gesetzgeber für Webmaster aufrecht erhält. Auch wer es anders sieht muss auf eine Änderung des TMG pochen – das ist mein Fazit.

Ich selbst diskutiere seit 2002 über die Frage, ob eine IP-Adresse ein personenbezogenes Datum ist. Seit mindestens 1,5 Jahren drehen wir uns aber im Kreis: Argumente sind ausgetauscht, neues kommt nicht dazu. Zwar wird es jetzt zunehmend Publik, weil die Datenschutzbehörden anfangen, das Thema stärker zu verfolgen – für mich ist es aber ein Uralter Hut. Momentan stehe ich auf dem Standpunkt, dass immer die gleichen Diskussionen uns nicht weiterhelfen: Es wird Zeit für brauchbare Rechtsprechung. Und bis dahin beteilige ich mich an keiner Diskussion mehr zum Thema, denn wie gesagt: Die Fronten sind geklärt, die Argumente stehen.

Link:

• Ist die IP-Adresse personenbezogen? Eine Darstellung.

Zunehmend wird ELENA bekannt, erwartungsgemäß werden mehr Daten gespeichert, als ursprünglich geplant: Nun sollen auch Streiks erfasst und Personen zugeordnet werden.

Was mich persönlich stört ist, dass man sich zwar zu Recht über die Streik-Erfassung aufregt, aber weder das System insgesamt nochmals kritisiert noch offen erklärt, dass die lebenslang einmalige Steuer-ID hier ebenfalls erfasst wird. Durch die Steuer-ID im ELENA-Verfahren wird die ID endgültig zur Personenkennziffer des Alltags und es zeigt sich ihre wahre Bedeutung: Sie ist das zukünftige Identifikationsmerkmal der Bürger in diesem Land.

Artikel dazu:

• Bericht bei der ZEIT zum Thema Elena & Streik
• Bericht bei FR-Online
• Steuer-ID wird im Bundesmelderegister gespeichert
• Warnung: ELENA-Berichterstattung
• Einblick in ELENA

_______________________________

Update am 10. Januar 2010:

• Dix zu ELENA: “Ich hoffe sehr, dass das Bundesverfassungsgericht Gelegenheit erhalten wird, dieses Gesetz zu überprüfen”

Einmal jährlich mache ich mir Gedanken über die Zukunft des Datenschutzes und orakle ein wenig. Nicht mit dem ernsthaften Anspruch, die genaue Zukunft vorherzusagen, sondern vielmehr um mit tendenziellen Hinweisen Tipps zu geben.

Eine Entwicklung, die ich inzwischen fest erwarte in den nächsten Jahren ist die Vernetzung und vergesellschaftlichung von Auskunfteien. Klingt Abstrakt, kann aber schnell vereinfacht werden: Ich denke an eine Zukunft, in der ich als Arbeitgeber oder Vermieter nicht mehr einfach einen Auszug des polizeilichen Führungszeugnisses verlange oder einen Schufa-Auszug. Vielmehr gibt es eine “Meta-Auskunftei”, die auf Grund von Schufa-Daten und weiteren Quellen ein Profil erstellt. Dabei denke ich z.B. gezielt an ebay: Die Bewertungen hier sind, was das alltägliche Zahl- und Verkaufsverhalten angeht, sehr viel direkter und für den Alltag sicherlich höchst nützlich. Gleichsam ist es sicherlich interessant und als Referenz interessant, wen man bei XING & Co. als direkten Kontakt angelegt hat. Die jetzigen “Personen-Suchmaschinen” sind da bestenfalls ein Anfang, ich könnte mir vorstellen, dass die in einem Premium-Dienst anbieten, Profile von Menschen anzulegen, wobei dann eben auch etablierte Datenbanken wie die Schufa abgefragt werden.

Inwiefern Portale wie Spickmich.de (und spätere Portale für Anwälte, Ärzte etc.) hiervon betroffen sind, mag ich mir noch nicht ausmahlen: Jedenfalls liegt in diesem Bereich ein interessanter geldwerter Vorteil, wenn man die Bewertungen einzelner Personen/Unternehmen verkauft.

Beitrag weiterlesen »

Ich hatte vor kurzem eine kleine Diskussion losgetreten, als ich erklärt hatte, das TMG wäre ein Spezialgesetz gegenüber dem BDSG, das zwar ausdrücklich die Rechte des Betroffenen im Rahmend es BDSG anerkennt, aber eben nicht die Privilegierungen, etwa den §28 BDSG. Es gab herben Widerspruch, aber auch ein wenig Anerkennung zu meiner Diskussionslinie. Der Artikel ist hier zu finden, wer das vertiefen möchte, sollte bitte meinen sehr langen Kommentar darunter noch lesen.

Als Nachtrag noch ein Argument, das meine These untermauern soll: Inzwischen gilt im TMG der neue §15a TMG, der wiedermals ausdrücklich auf eine Regelung des BDSG (§42a BDSG) verweist. Würde das BDSG so selbstverständlich neben dem TMG zur Anwendung kommen, wie viele glauben, wäre der §15a TMG schlicht überflüssig. Dabei nochmals der Hinweis, dass ich den §12 III TMG so lese, dass nur die den Betroffenen schützenden Vorschriften des BDSG zur Anwendung kommen, aber nicht die den Verarbeiter privilegierenden Vorschriften.

Bei der FR-Online habe ich einen Beitrag zu einem erneuten Fall gelesen, in dem Facebook-Fotos zu Problemen im echten Leben geführt habe. Der Sachverhalt ist kurz: Frau wird sehr lange krank geschrieben wegen Depressionen, Krankenversicherer zahlt Krankengeld, Frau geht zu Männer-Strip-Show und veröffentlicht Fotos vom Besuch bei Facebook, Krankenversicherer zahlt unter Hinweis auf diese Fotos kein Krankengeld mehr. Nun liest man bei der FR am Ende das hier:

Wie die Versicherung an die Fotos kam, sei ihr nicht klar – ihr Profil sei nur für bestätigte Freunde zugänglich.

Ein wenig denkt man inzwischen schon automatisch darüber nach, ob die Dame vielleicht doch etwas falsch eingestellt hat, ob es eine Lücke gegeben hat – aber diese Gedanken sind vielleicht zu kompliziert. Denn es ist nicht fernliegend, dass ein “Freund” bei Facebook, der selber beim gleichen Arbeitgeber arbeitet und aus welchen persönlichen Gründen auch immer die Fotos kopiert und weitergeleitet hat.

Zu oft, wenn wir in diesen Tagen von Medienkompetenz sprechen, vergessen wir nämlich die soziale Kompetenz, die man immer braucht: Nicht nur, aber eben auch im Internet. Und speziell auch bei so genannten sozialen Diensten/Netzwerken. Es ist fraglich, warum jeder Kontakt bei Facebook als “Freund” betitelt sein muss. Auch ist fraglich, warum man nicht zwingend eine Nachricht eingeben muss, wenn man dort einen Kontakt hinzufügt – ebenso sollte sich jeder fragen, ob man jeden X-beliebigen ohne Nachfrage als Kontakt bestätigen sollte, den man zwar nicht kennt, der aber eine “Freundschaftsanfrage” gesendet hat.

Das muss nicht unbedingt Kritik an Facebook sein, auf jeden Fall ist es aber eine Kritik an der sozialen Kompetenz derjenigen, die das in dieser Form so nutzen, glauben alleine mit “Privatsphäre”-Optionen alles sichern zu können, und sich dann hinterher wundern, wenn ein “Freund” querschlägt.

Drei Stellungnahmen zum Datenschutz sind zur Zeit zu finden, die durchaus lesenswert sind:

1. Frau Leutheuser-Schnarrenberger profiliert sich weiter als Bürgerrechtlering. Ich selbst bleiber leider beim Ende hängen: Da steht nämlich, das man erstmal auf Karlsruhe wartet. Da kann man vorher noch so viel reden – anders als die bisherige Politik ist das für mich auch nicht.
2. Der Bundesdatenschutzbeauftragte Peter Schaar fordert eine radikale Reform des Datesnchutzrechtes – seine Idee, dass man einen direkten Zugang zu allen gespeicherten Daten haben sollte ist sicherlich ein interessanter Ansatz, der danach verlangt, direkt mit dem “wer soll das bezahlen”-Aufschrei garniert zu werden.
3. Was mir und anderen Bürgerrechtlern nicht gelingt, schafft ein Günther Jauch in 5 Minuten: Plötzlich redet jeder über die Empfehlen-Funktion von Amazon. (Hinweis: Hier der alte Artikel von mir dazu)