Heute haben die europäischen Datenschutzbehörden dem
US-amerikanischen Unternehmen Google das Ergebnis ihrer Prüfung der
Datenschutzerklärung mitgeteilt, die das Unternehmen am 1. März 2012 in
Kraft gesetzt hatte. Die Prüfung wurde durch die französische
Datenschutzaufsichtsbehörde Commission Nationale de l'Informatique et
des Libertés (CNIL) durchgeführt.
Dazu erklärte der
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter
Schaar: Leider hat sich die Erwartung von mehr Transparenz und
Wahlmöglichkeit für die Nutzerinnen und Nutzer nicht erfüllt. Die
Zusammenfassung und Kürzung der Datenschutzerklärung führt nicht zu
einem dringend erforderlichen Informationsgewinn, sondern zu einem
Informationsverlust. Die Verknüpfung von Nutzerdaten aus verschiedenen
Google-Diensten zu einem umfassenden Metaprofil ist aus
datenschutzrechtlicher Sicht nicht akzeptabel. Die Nutzerinnen und
Nutzer wurden weder um Einwilligung gebeten, noch besitzen sie eine
Widerspruchsmöglichkeit, sofern sie den Dienst weiterhin nutzen wollen.
Am
1. März 2012 war die neue Datenschutzerklärung in Kraft getreten, mit
der die Datenschutzerklärungen der verschiedenen Google-Dienste auf eine
Haupterklärung und einige produktbezogene Erklärungen reduziert wurden.
Schon im Vorfeld sorgte die in jeder Hinsicht radikale Maßnahme für
viel Diskussionen und Kritik. Die europäischen Datenschutzbehörden
beschlossen daher, die Datenschutzerklärung einer detaillierten Prüfung
zu unterziehen.
Quelle: Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 16.10.2012
Dienstag, 16. Oktober 2012
Montag, 15. Oktober 2012
Datenpanne in zwei Kliniken
Gleich in zwei Kliniken in Baden-Württemberg sind im
September 2012 hochsensible Patientendaten verschwunden.
Anscheinend sind zur Archivierung vorgesehene
Sicherungsmedien von einer nicht bekannten Person entwendet worden.
Neben detaillierten Patientendaten, sind auch Befunde und
ärztliche Schriftwechsel davon betroffen.
Das Klinikum Mittelbaden hat den Datenverlust in der
Tageszeitung „Die Welt“, in der Ausgabe vom 12.10.2012 bekanntgegeben.
Ebenso wurde der Landesdatenschutzbeauftragte Baden-Württemberg
informiert.
Dieser geht davon aus, dass Datensätze im sechsstelligen
Bereich entwendet wurden.
Das
Bundesdatenschutzgesetz und die Informationspflicht bei Datenpannen:
Bei
gravierendem Datenverlust sieht der §42a BDSG (Bundesdatenschutzgesetz) eine „Informationspflicht
bei unrechtmäßiger Kenntniserlangung von Daten“ vor.
Die
Informationspflicht gilt unter anderem bei „Besonderen Arten von
personenbezogenen Daten“, zu diesen Daten zählen auch Gesundheitsdaten.
Neben den
Aufsichtsbehörden sind auch die Betroffenen über den Datenverlust zu
informieren.
Falls die
persönliche Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand
erfordert, etwa weil eine große Anzahl betroffen ist, muss stattdessen die
Öffentlichkeit informiert werden. Dies kann durch Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen
erfolgen, oder durch eine andere gleich geeignete Maßnahmen.
Anmerkung:
Dieser Fall
zeigt einmal wieder, wie wichtig technische und organisatorische Maßnahmen zur
Gewährleistung des Datenschutzes sind.
Diese Maßnahmen regeln unter anderem, wer wann und wo
Zutritt hat.
Durch eine solche Regelung kann der Personenkreis, der
zum Beispiel Zugang zu Serverräumen hat, stark eingeschränkt werden. Dies
erschwert dem Angreifer das Entwenden, denn er gerät dann sofort in den Kreis
der verdächtigen Personen.
Michael Bätzler
TÜV Datenschutz Auditor und externer
Datenschutzbeauftragter
Abonnieren
Posts (Atom)