P r e s s e m i t t e i l u n g vom 5. November 2019

Am 30.Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen. Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf

Mehrere tausend Patientendaten sind offen im Internet abrufbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde über diesen Sachverhalt von IT-Sicherheitsforschern informiert und hat daraufhin die betroffenen medizinischen Einrichtungen anhand der ihm vorliegenden IP-Adressen in Kenntnis gesetzt. In drei Fällen konnte das BSI die Einrichtungen direkt kontaktieren, in 14 weiteren Fällen wurden die jeweiligen Internet-Service-Provider gebeten, ihre Kunden anhand der IP-Adressen zu identifizieren und zu informieren. Zudem hat das BSI 46 internationale Partnerorganisationen über den Sachverhalt informiert. Das BSI darf nach derzeitiger Rechtslage diese Daten nicht abrufen oder analysieren, auch nicht um die Betreiber der ungesicherten Webserver zu identifizieren. Nach Einschätzung des BSI sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Dem BSI liegen keine Informationen vor, dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind.

Dazu äußert sich BSI-Präsident Arne Schönbohm wie folgt:
„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein.“

Zur Stellungnahme: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Patientendaten_im_Internet_170919.html

Sensible Daten sollten nicht in die Hände Unbefugter geraten. Deshalb hat es sich das BSI als nationale Cyber-Sicherheitsbehörde zur Aufgabe gemacht, Standards für den digitalen Verbraucherschutz zu etablieren: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/digitaler_Verbraucherschutz/digitaler_Verbrauscherschutz_node.html

Auch interessant: Kryptografische Verfahren im Gesundheitswesen – die elektronische Gesundheitskarte: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/Verschluesseltkommunizieren/Gesundheitskarte/elektronische_gesundheitskarte_node.html

Zur Meldung von faz.net: Röntgenbilder waren wohl ungeschützt online einsehbar: https://www.faz.net/aktuell/wirtschaft/diginomics/datenleck-roentgenbilder-waren-wohl-ungeschuetzt-online-einsehbar-16388646.html

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 30.07.2019

Bereits das Urteil des Europäischen Gerichtshofs (EuGH) zum (Weiter-)Betrieb von Facebook-Fanpages vom 5. Juni 2018 bestätigte die langjährige Rechtsauffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). In ihrem Beschluss vom 5. September 2018 wies die DSK darauf hin, dass Fanpage-Betreiber gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich sind. Die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DS-GVO müssen Fan-Pagebetreiber zusammen mit Facebook nachweisen können. In seinem gestrigen Urteil entschied der EuGH nun, dass die Betreiber, die einen „Gefällt-mir“- Knopf (Like-Button) auf ihrer Webseite einbinden, für die damit verknüpfte Datenübertragung mitverantwortlich sind. Allein der Aufruf einer Webseite, die diese Schaltfläche hat, macht es möglich, Ihr Surfverhalten an Facebook zu übertragen, selbst dann, wenn Sie kein Facebook-Konto besitzen. Das ist gefährlich! Insbesondere deshalb, weil anhand nur weniger Likes ein Persönlichkeitsprofil und Ihr Verhalten prognostiziert werden kann. Allein zehn Likes genügen dafür, dass Facebook Sie besser kennt als Ihre Arbeitskollegen. Und derartige Profile werden auch gern gekauft – von wem und zu welchem Zweck auch immer. Künftig müssen Sie als Nutzer sogenannter Like-Buttons nun zuvor Social-Media-Dienste explizit mit einem weiteren Button aktivieren und damit zustimmen, dass Daten an die Betreiber der sozialen Netzwerke übertragen werden. Dr. Lutz Hasse meint dazu: „Natürlich ist die explizite Aktivierung nervig – soll auch so sein! Denn jetzt müssen Sie bewusst entscheiden, ob Sie Ihre Privatsphäre von Facebook verhökern lassen wollen.“

Die Pressemitteilungen des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Bundestag beschließt 2. DSAnpUG und ändert damit die Bestellpflicht betrieblicher Datenschutzbeauftragter gemäß § 38 BDSG

Nach der 2017 beschlossenen Novellierung des Bundesdatenschutzgesetzes (BDSG) hat der Bundestag nun auch das bereichsspezifische Datenschutzrecht des Bundes an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) angepasst.

Mit dem in den frühen Morgenstrunden des 28.06.2019 vom Bundestag verabschiedeten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) werden zahlreiche Gesetze mit den Vorgaben der DS-GVO in Einklang gebracht. Das Gesetz nimmt in 154 Fachgesetzen fast aller Ressorts Änderungen vor. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten.

Zudem schafft das verabschiedete Gesetz auch Änderungen im BDSG. Mit dem Argument des Bürokratieabbaus hatte die Unionsfraktionen die Forderung in die Gesetzesberatung eingebracht, die Grenze der Bestellpflicht für einen betrieblichen Datenschutzbeauftragten (§ 38) auf 50 Personen zu erhöhen. Im Rahmen eines Kompromisses haben sich die Koalitionsfraktionen aber schlussendlich doch auf eine Erhöhung von 10 auf 20 Personen, die ständig personenbezogene Daten verarbeiten, verständigt. Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat die über ein Jahr andauernde Diskussion rund um das 2. DSAnpUG fortlaufend begleitet und dabei vor allem warnend auf die Entscheidungsträger in den Koalitionsfraktionen eingewirkt, dass eine im Raum stehende Veränderung der Formulierung („Personen, die überwiegend mit der Datenverarbeitung befasst sind“) die Bestellpflicht erheblich aufweichen könnte. Gerade über den kontinuierlich betriebenen Kontakt zu den zuständigen Berichterstattern für Datenschutz konnten wir überzeugend darlegen, dass die überlegte Änderung der Formulierung dazu führen würde, dass ein Beschäftigter dann mehr als 50 Prozent seiner Arbeitszeit für die Datenverarbeitung aufwenden müsste, um „überwiegend“ mit der Datenverarbeitung befasst zu sein. Diese Voraussetzung würden nur die wenigsten Mitarbeiter in Unternehmen erfüllen.

Die Befreiung von der Bestellpflicht eines Datenschutzbeauftragten im Betrieb führt jedoch nicht zu einem Wegfall anderer datenschutzrechtlicher Pflichten. Am Ende wird mit dem Wegfall eines Datenschutzbeauftragten nicht Bürokratie, sondern Kompetenz und Sachverstand abgebaut. Auch ohne gesetzliche Bestellpflicht sind Unternehmen und Einrichtung gut beraten, einen betrieblichen Datenschutzbeauftragten zu benennen.

Neben technischen Änderungen am BDSG und dem Hinzufügen des § 86 BDSG (Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen) wird auch der für die Praxis so bedeutsame § 26 BDSG an einer Stelle verändert. In § 26 Abs. 2 Satz 3 BDSG entfällt das Schriftformerfordernis für die Einwilligung im Beschäftigtenverhältnis und wird durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.

Neben dem verabschiedeten Gesetz fordert die Große Koalition die Bundesregierung zudem auf, Art. 85 DS-GVO (Verarbeitung zu journalistischen Zwecken) auch für die Bereiche auszugestalten, die nicht Gegenstand der Mediengesetze der Länder sind. Damit etwa Blogger und andere freie Journalisten rechtssicher arbeiten können, soll diese Regelungslücke zeitnah geschlossen werden. Angesichts der Bedeutung und Komplexität des Vorhabens wird dies nun aber im Rahmen eines separaten Gesetzgebungsverfahrens erfolgen, um das ansonsten sehr technische Anpassungsgesetz mit seinen zahlreichen Änderungsartikeln nicht zu überfrachten.

Das 2. DSAnpUG ist von Seiten des Bundesrates zustimmungsbedürftig und tritt am Tag nach der Verkündung im Bundesgesetzblatt in Kraft.

Siehe hierzu:
https://www.bundestag.de/dokumente/textarchiv/2019/kw26-de-datenschutz-649218

Seitdem die Datenschutzgrundverordnung (DS-GVO) vergangenen Mai EU-weit zur Anwendung kam, sind bei den zuständigen Behörden knapp 150.000 Beschwerden über Verstöße gegen die neuen Datenschutzregeln eingegangen.

Beitrag auf spiegel-online: https://www.spiegel.de/netzwelt/netzpolitik/dsgvo-jahresbilanz-fast-150-000-beschwerden-wegen-datenschutzverstoessen-a-1268745.html