- Anzeigen -

Sie sind hier: Home » Recht » Datenschutz und Compliance

Neue Herausforderungen beim Datenschutz


Datenschutz am Beginn einer neuen Zeitrechnung
Johannes Caspar: "Datenschutz ist kein Selbstzweck zur Aufblähung von Behördenstrukturen, sondern dient direkt dem Schutz der Privatsphäre von Bürgerinnen und Bürgern"

- Anzeigen -





Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit legt seinen 26. Tätigkeitsbericht Datenschutz für die Jahre 2016/2017 vor Im Vorfeld der ab Mai 2018 europaweit geltenden Datenschutzgrundverordnung (DSGVO) werfen die gesetzlichen Neuerungen längst ihre Schatten voraus. Datenschutzaufsichtsbehörden, aber auch die gesamte öffentliche Verwaltung sowie die Unternehmen in Europa stellen sich intensiv auf diesen Wandel ein. Diese Umstellung und Neujustierung war auch für die Behörde des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) in den letzten beiden Jahren ein bestimmender Faktor.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
"Im Datenschutz bleibt in 2018 kein Stein auf dem anderen. Ob und inwieweit es Unternehmen, aber auch Aufsichtsbehörden gelingt, die neuen Regelungen und die daraus erwachsenden Aufgaben und Pflichten zeitgerecht umzusetzen, wird sich zeigen. In Hamburg bleibt die Situation der Aufsichtsbehörde auch weiterhin sehr angespannt. Nach einem erneuten Anstieg der Eingabenzahlen in 2017 auf ein neues Jahreshoch wird es sehr schwer werden, die mit der DSGVO verbundenen Aufgaben zeitgerecht zu bewältigen. Das alles darf aber nicht von der positiven Tatsache ablenken, dass mit Geltung der neuen Regelungen im Datenschutz auf EU-Ebene eine neue Zeitrechnung beginnt.

Datenschutz ist kein Selbstzweck zur Aufblähung von Behördenstrukturen, sondern dient direkt dem Schutz der Privatsphäre von Bürgerinnen und Bürgern. Dass dieser immer schwerere und komplexere Anforderungen stellt, zeigen die vielen Baustellen der letzten beiden Jahre: Die Durchsetzung der Anforderungen der Datensicherheit in den Behörden, die Kontrolle der rechtmäßigen Datenhaltung der Polizei oder zahlreiche gerichtliche Verfahren mit Beteiligung von internationalen Konzernen, die ihren Hauptsitz in der Hansestadt haben – Datenschutz ist längst zu einem Mega-Thema in Staat und Gesellschaft geworden, das unser aller Zukunft betrifft."

Nicht zuletzt um den neuen Herausforderungen Rechnung zu tragen, wurde auch das Konzept des Tätigkeitsberichts des HmbBfDI erneuert. Der vorliegende 26. Tätigkeitsbericht stellt die Arbeit der Hamburger Datenschutzaufsichtsbehörde nun nach rein output-orientierten Kriterien vor. So bilden Prüfungen, Berichte, rechtsverbindliche Anordnungen und Bußgelder, Beratungen und Datenschutzkommunikation sowie Informationen zur Behörde (u.a. Statistiken) die Hauptkapitel.

Nachstehend einige ausgewählte Themen des aktuellen Tätigkeitsberichts:

Polizei und G20-Gipfel (S. 22ff):
Die Überprüfungen von Datenspeicherungen bei der Polizei Hamburg haben ergeben, dass häufig die rechtlichen Anforderungen für die Speicherung personenbezogener Daten nicht erfüllt waren. So musste bei den Speicherungen sowohl in landeseigenen Dateien als auch in Verbunddateien u.a. festgestellt werden, dass es an der Erforderlichkeit bzw. einer notwendigen Negativprognose fehlte, dass nachfolgende Erkenntnisse wie z.B. Strafverfahrensausgänge nicht oder nicht zeitnah berücksichtigt wurden und dass Daten nicht rechtzeitig gelöscht wurden. In einer der geprüften Dateien führte die Löschung von 3.794 Datensätzen bzw. von 87 Prozent des Datenbestandes zu einem datenschutzkonformen Zustand.

Die Ankündigung der Polizei Hamburg, den gesamten Datenbestand von ca. 900.000 Datensätzen zu etwa 160.000 Personen zu bereinigen, ist daher zu begrüßen. Auch die aufwendige datenschutzrechtliche Aufarbeitung der polizeilichen Arbeit während des G20-Gipfels ergab, dass es hierbei ebenfalls organisatorischen Mängeln geschuldet war, dass unbefugte Dritte Kenntnis von denjenigen Namen von Journalisten erlangen konnten, die auf einer Liste zwecks Entziehung der Akkreditierung genannt waren. Insgesamt muss die Polizei ihre Anstrengungen verstärken, um in Zukunft die Datenhaltung und den Datenumgang datenschutzkonform auszugestalten.

E-Mail-Verschlüsselung bei Sozialdaten (S. 41 ff.):
Eine Prüfung im Jugendamt ergab, dass durchweg Sozialdaten per E-Mail ohne erforderliche Ende-zu-Ende-Verschlüsselung versendet werden, die die Kenntnisnahme der Inhalte durch Unbefugte ausschließt. Es ist zwingend erforderlich, dass den Jugendämtern die Möglichkeit der E-Mail-Kommunikation erhalten bleibt; anderenfalls würde gerade in Krisensituationen, in denen es auf eine schnelle Hilfegewährung ankommt, das Kindeswohl durch Zeitverlust zusätzlich gefährdet. Allerdings muss auch der hohe Schutzbedarf der Sozialdaten angemessen berücksichtigt werden. Ein Bruch der Vertraulichkeit würde insbesondere für die betroffenen Kinder und Jugendlichen zu einer erheblichen Beeinträchtigung ihrer gesellschaftlichen Stellung und ihres Ansehens führen.

Eine Transportverschlüsselung reicht hier nicht aus. Die Behörde für Arbeit, Soziales, Familie und Integration wurde gebeten, kurzfristig entsprechende Maßnahmen zu ergreifen, die dem Schutzbedarf der Daten der Kinder und Jugendlichen entsprechen. Zwischenzeitlich wurde mit der Erarbeitung eines erhöhten E-Mail-Schutzes begonnen.

Bußgelder bei unerlaubter Videoüberwachung (S. 71ff):
Im Berichtszeitraum wurde ein Bußgeldverfahren gegen das Betreiben mehrerer Video-Kameras in den Gasträumen eines Restaurants verhängt. Das AG Hamburg sieht die Videoüberwachung von Gasträumen ebenso wie die Datenschutzaufsicht grundsätzlich als unzulässig an und folgte unserer Begründung des Bußgeldbescheids im Wesentlichen. Die verantwortliche Stelle wurde wegen vorsätzlich unbefugter Erhebung und Verarbeitung personenbezogener Daten verurteilt. Zu unserem Bedauern – nicht aber zu unserer Überraschung - wurde das Bußgeld trotz einer jahrelangen rechtswidrigen Überwachungspraxis der Gäste und einer komfortablen Einkommenslage des Gastronomieunternehmens von ursprünglich 5000 Euro auf 1000 Euro herabgesetzt.

Leider ist dies kein Einzelfall. Mit der ab Mai 2018 geltenden Datenschutzgrundverordnung wird der Bußgeldrahmen bei vorsätzlichen Datenschutzverletzungen von 300.000,- Euro auf 20 Millionen Euro (oder 4 Prozent des weltweiten Jahreskonzernumsatzes) ganz wesentlich angehoben. Es ist zu erwarten, dass Datenschutzverletzungen künftig nicht mehr als Bagatellvergehen angesehen werden, die mit Bußgeldern belegt werden, von denen keinerlei Abschreckungseffekt ausgeht. Das gilt nicht für die Datenschutzaufsicht, sondern auch für die Gerichte.

Das Verfahren HERAKLES der Kasse.Hamburg (S. 39f):
Im Februar 2016 war es rund 6.600 Beschäftigten der Behörden und Ämter möglich, mittels freier Suche im Buchhaltungsprogramm HERAKLES der Stadt Hamburg auf über 2 Millionen Kontenstammdatensätze der Kasse.Hamburg zuzugreifen. Somit waren u.a. personenbezogene Daten wie Name, Anschrift und Kontoverbindungen aufgrund des unzureichenden Zugriffsberechtigungskonzepts frei zugänglich. Bereits 2015 wurde die verantwortliche Finanzbehörde vom HmbBfDI auf die mangelhaften Zugriffsregelungen hingewiesen (vgl. 25. TB, VIII 2.2). Dennoch ist es dem HmbBfDI erst nach fast drei Jahren gelungen, angemessene Zugriffsberechtigungen zu vereinbaren, die jedoch aufgrund fehlender Funktionen wie u.a. Protokollierungen noch immer nicht vollumfänglich zufrieden stellen können.

Verschlüsselung von Funkdaten bei der Feuerwehr (S. 36ff):
Das Digitale Alarmierungssystem der Feuerwehren in der Stadt überträgt die Daten unverschlüsselt, wodurch deren Inhalte mitgeschnitten werden können, obwohl seit den 2000er Jahren grundsätzlich die technischen Voraussetzungen für eine Verschlüsselung erfüllt sind. Nachdem wir im September 2016 über diese Missstände informiert worden sind, sah die Feuerwehr keinerlei Handlungsbedarf, ihr System anzupassen. Erst nachdem Angaben zu Einsätzen (z.B. Anschriften, Namen, Diagnosen) im Frühjahr 2017 mehrmals illegal im Internet veröffentlicht wurden, erkannte die Polizei die Problematik und arbeitet seitdem mit den Herstellern der Geräte an einer Lösung. Unter anderem sollen so bis Mitte 2018 neue Geräte beschafft werden, die auch mit dem nachfolgenden Alarmierungssystem TETRA-BOS-Digitalfunk kompatibel sind.

Smart Meter Rollout in Hamburg (S. 107ff):
Die Digitalisierung der Energiewende erreicht in den kommenden Jahren jeden Hamburger Haushalt. Mit dem Messstellenbetriebsgesetz hat der Gesetzgeber die Weichen für ein intelligentes Stromnetz gestellt. Ziel ist die Harmonisierung des zunehmenden Anteils erneuerbarer Energien mit der Stromnachfrage. Dazu ersetzen ‚intelligente Messsysteme‘ und ‚moderne Messeinrichtungen‘ bis 2032 die derzeit verwendeten analogen Messgeräte. Das Grundrecht auf informationelle Selbstbestimmung wird insbesondere durch die selbstständig kommunizierenden intelligenten Messsysteme auf die Probe gestellt. Denn aus Verbrauchsmenge und -zeitpunkt können Rückschlüsse auf die private Lebensführung gezogen werden. Zwar hat der Gesetzgeber die Gefahren weitgehend erkannt und ein enges Maßnahmenkorsett normiert. Ob dieses ausreichend sein wird, muss in den kommenden Jahren kritisch beobachtet werden. Diesem Auftrag wir der Hamburgische Beauftragte nachkommen.

Digitale Stadt (S. 93ff):
Der Senat der FHH treibt Hamburgs Rolle als "Digitale Stadt" voran. Mit diesem Stichwort verbunden sind weitreichende Planungen und Visionen für eine Stadt von morgen, in der Bürger ihre Behördengänge online erledigen oder sich gänzlich ersparen können (antraglose Verwaltung), in der E-Government die Regel und Papier die Ausnahme ist, in der Sensoren im Straßenraum energie- und zeitsparend den automatisierten öffentlichen Verkehr lenken. Solche Visionen sind wichtig und für den Fortschritt unerlässlich. Gleichzeitig werfen sie viele Datenschutzfragen auf, die beantwortet werden müssen, damit solche Vorhaben rechtskonform aufgestellt werden und am Ende auch gelingen können. Wir sind auf verschiedenen Ebenen mit den beteiligten Behörden im Gespräch.

Neben vielen praktischen Fragen der technischen Konzeptionierung und Umsetzung zeigt sich, dass auch das Recht weiterentwickelt werden muss, um solche neuen Konzepte möglich zu machen. Gerade hier tut sich Hamburg allerdings schwer. Noch immer wird vom Senat offenbar kein Bedarf gesehen, durch ein E-Government-Gesetz den rechtlichen Rahmen für die Digitalisierung von Verwaltungsverfahren zu schaffen, wie dies im Bund und in den meisten anderen Ländern bereits erfolgt ist. Wir werden weiter auf entsprechende Regelungen drängen.

Google-Suchergebnisse – "Recht auf Vergessenwerden" (S. 82):
Nach wie vor erreichen uns viele Beschwerden über die Praxis von Google im Zusammenhang mit Anträgen von Betroffenen, Suchergebnisse sperren zu lassen, die bei der Eingabe ihres Namens in die Google-Suchmaschine angezeigt werden. Häufig können wir den Betroffenen zur Durchsetzung ihrer Rechte verhelfen, allerdings besteht auch aus unserer Sicht nach Abwägung der Umstände nicht immer ein Anspruch auf Sperrung der unerwünschten Ergebnisse. In einzelnen Fällen haben sich Betroffene, die mit unserer Entscheidung nicht zufrieden waren, an das Verwaltungsgericht gewandt, um ein entsprechendes Vorgehen gegen Google durch uns zu erzwingen. Dies hat das VG allerdings abgelehnt und Ansprüche der Betroffenen, die über die Entgegennahme, Prüfung und Ergebnismitteilung ihrer Beschwerde hinausgehen, verneint. In zwei Fällen wird sich das Verfahren beim OVG fortsetzen.

Safe Harbor und Privacy Shield (S. 75ff):
Nachdem der Europäische Gerichtshof das Safe Harbor-Abkommen zwischen der EU und den USA für ungültig erklärt hatte, hat der HmbBfDI etliche Unternehmen zunächst darauf aufmerksam gemacht. Damit hatten diese die Gelegenheit, ihre Datenübermittlungen in die USA der veränderten Rechtslage anzupassen. Das überprüfte der HmbBfDI einige Monate später bei mehr als 30 großen Unternehmen. Lediglich in drei Fällen mussten wegen Datenschutzverstößen in diesem Bereich Bußgelder verhängt werden. Nach Inkrafttreten des Privacy Shield prüfte der HmbBfDI gleichzeitig mit 9 anderen Bundesländern die Datenübermittlungen in Drittländer in Hamburg erneut. Hierzu wurden 11 sehr unterschiedliche Unternehmen ausgesucht, die einen Fragenkatalog zu beantworten hatten. Keines der Unternehmen hatte sich datenschutzwidrig verhalten, so dass auf weitere Maßnahmen verzichtet werden konnte.
(HmbBfDI: ra)

eingetragen: 25.02.18
Newsletterlauf: 19.04.18

HmbBfDI: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Anordnung des HmbBfDI hat Bestand

    Das Klageverfahren der Google LLC vor dem Verwaltungsgericht Hamburg gegen die bereits 2014 durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) erlassene Anordnung auf Beachtung des Datenschutzes bei der Verarbeitung der Nutzerdaten wurde nunmehr durch Gerichtsbeschluss eingestellt. Dadurch konnte ein europaweit koordiniertes Verfahren zu einem für die Betroffenen guten Ausgang gebracht werden. Aus Anlass der Neuformulierung der Datenschutzerklärung durch Google im Jahr 2012 beauftragte die europäische Art.-29-Datenschutzgruppe eine Task-Force unter Leitung der Französischen Datenschutzaufsichtsbehörde CNIL. Diese hatte die Aufgabe, die Rechtmäßigkeit der Datenverarbeitung durch das Unternehmen zu untersuchen und die datenschutzrechtlichen Anforderungen nach Maßgabe der jeweiligen nationalen Gesetze durchzusetzen. An dieser Task- Force war neben den Aufsichtsbehörden Großbritanniens, Italiens, der Niederlande und Spaniens auch der HmbBfDI beteiligt, da Google ihren deutschen Sitz in Hamburg hat.

  • Schutz der Privatsphäre

    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bemängelt eine veröffentlichte Studie zu den hypothetischen Auswirkungen der geplanten E-Privacy-Verordnung. Die Studie des WIK Instituts konzentriert sich einseitig auf die vermeintlich negativen Folgen für das Online-Werbegeschäft und ignoriert dabei potenzielle Chancen, die sich für die Branche aufgrund der Änderungen ergeben könnten.

  • Fünf Jahre Transparenzgesetz

    Mehr als fünf Jahre nach Inkrafttreten des Hamburgischen Transparenzgesetzes stellt dieses auch heute noch ein Gesetzeswerk mit Strahlkraft für andere Bundesländer dar, mitunter sogar für andere Mitgliedstaaten der EU. Auch die Bundesregelung zum Informationsfreiheitsgesetz, die mehr als zehn Jahre nach Erlass kaum noch zeitgemäß erscheint, könnte vom hamburgischen Regelwerk durchaus weiterführende Impulse erhalten. Hierzu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: "Dass das Hamburgische Transparenzgesetz bundesweit Maßstäbe gesetzt hat, ist sehr erfreulich. Das Gesetz hat aber bereits seit Inkrafttreten verschiedene Schwachstellen und ist natürlich nur so gut wie seine Umsetzung. Optimierungsbedarf besteht daher sowohl im legislativen als auch im Vollzugsbereich."

  • Überprüfung der Privacy Shield-Entscheidung

    Die Artikel 29-Gruppe der europäischen Datenschutzbehörden hat von der EU-Kommission Nachbesserungen am Privacy Shield für die Übermittlung von personenbezogenen Daten in die USA gefordert. Derzeit hält es die Artikel 29-Gruppe für fraglich, ob Daten von EU-Bürgern in den USA so gut geschützt werden wie in der EU. Die europäischen Datenschutzbehörden haben die Europäische Kommission aufgefordert, in Nachverhandlungen mit der US-Regierung entscheidende Verbesserungen des Privacy Shield-Mechanismus zu erzielen. Die Datenschutzbehörden halten es nach der ersten gemeinsamen Überprüfung des Privacy Shield weiterhin für fraglich, ob das vom Privacy Shield geschaffene Datenschutzniveau in den USA tatsächlich der Sache nach gleichwertig mit dem Datenschutzniveau in der EU ist. Dies hatte der Europäische Gerichtshof (EuGH) im sogenannten Schrems-Urteil gefordert, durch das die Vorgängerregelung Safe Harbor gekippt wurde.

  • Strengere Regeln für das Tracking

    Anlässlich des Weltinternettages wies die Bundesdatenschutzbeauftragte Andrea Voßhoff auf die wachsende Bedeutung des digitalen Datenschutzes hin. Gemeinsam mit den Datenschutzbeauftragten der Länder hat sie Herausforderungen für die neue Legislaturperiode benannt. Vor 48 Jahren, am 29. Oktober 1969, wurde von einem kalifornischen Universitätscomputer aus die erste Botschaft über das Internet versendet. Zum Jahrestag dieser bahnbrechenden Neuerung verweist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, auf die Bedeutung des Internets für Freiheit und informationelle Selbstbestimmung.