Dienstag, 16. Oktober 2012

Europäische Datenschutzbehörden kritisieren neue Datenschutzerklärung von google

Heute haben die europäischen Datenschutzbehörden dem US-amerikanischen Unternehmen Google das Ergebnis ihrer Prüfung der Datenschutzerklärung mitgeteilt, die das Unternehmen am 1. März 2012 in Kraft gesetzt hatte. Die Prüfung wurde durch die französische Datenschutzaufsichtsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) durchgeführt.

Dazu erklärte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar: Leider hat sich die Erwartung von mehr Transparenz und Wahlmöglichkeit für die Nutzerinnen und Nutzer nicht erfüllt. Die Zusammenfassung und Kürzung der Datenschutzerklärung führt nicht zu einem dringend erforderlichen Informationsgewinn, sondern zu einem Informationsverlust. Die Verknüpfung von Nutzerdaten aus verschiedenen Google-Diensten zu einem umfassenden Metaprofil ist aus datenschutzrechtlicher Sicht nicht akzeptabel. Die Nutzerinnen und Nutzer wurden weder um Einwilligung gebeten, noch besitzen sie eine Widerspruchsmöglichkeit, sofern sie den Dienst weiterhin nutzen wollen.

Am 1. März 2012 war die neue Datenschutzerklärung in Kraft getreten, mit der die Datenschutzerklärungen der verschiedenen Google-Dienste auf eine Haupterklärung und einige produktbezogene Erklärungen reduziert wurden. Schon im Vorfeld sorgte die in jeder Hinsicht radikale Maßnahme für viel Diskussionen und Kritik. Die europäischen Datenschutzbehörden beschlossen daher, die Datenschutzerklärung einer detaillierten Prüfung zu unterziehen.

Quelle: Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 16.10.2012

Montag, 15. Oktober 2012

Datenpanne in zwei Kliniken



Gleich in zwei Kliniken in Baden-Württemberg sind im September 2012 hochsensible Patientendaten verschwunden.

Anscheinend sind zur Archivierung vorgesehene Sicherungsmedien von einer nicht bekannten Person entwendet worden.

Neben detaillierten Patientendaten, sind auch Befunde und ärztliche Schriftwechsel davon betroffen.

Das Klinikum Mittelbaden hat den Datenverlust in der Tageszeitung „Die Welt“, in der Ausgabe vom 12.10.2012 bekanntgegeben.
Ebenso wurde der Landesdatenschutzbeauftragte Baden-Württemberg informiert.

Dieser geht davon aus, dass Datensätze im sechsstelligen Bereich entwendet wurden.


Das Bundesdatenschutzgesetz und die Informationspflicht bei Datenpannen:

Bei gravierendem Datenverlust sieht der §42a BDSG (Bundesdatenschutzgesetz) eine „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ vor. 
Die Informationspflicht gilt unter anderem bei „Besonderen Arten von personenbezogenen Daten“, zu diesen Daten zählen auch Gesundheitsdaten.
Neben den Aufsichtsbehörden sind auch die Betroffenen über den Datenverlust zu informieren. 
Falls die persönliche Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordert, etwa weil eine große Anzahl betroffen ist, muss stattdessen die Öffentlichkeit informiert werden. Dies kann durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen, oder durch eine andere gleich geeignete Maßnahmen.

Anmerkung:

Dieser Fall zeigt einmal wieder, wie wichtig technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes sind.

Diese Maßnahmen regeln unter anderem, wer wann und wo Zutritt hat.
Durch eine solche Regelung kann der Personenkreis, der zum Beispiel Zugang zu Serverräumen hat, stark eingeschränkt werden. Dies erschwert dem Angreifer das Entwenden, denn er gerät dann sofort in den Kreis der verdächtigen Personen.

Michael Bätzler
TÜV Datenschutz Auditor und externer Datenschutzbeauftragter