Hessischer Datenschutzbeauftragter veröffentlicht 44. Tätigkeitsbericht 2015

Der Hessische Datenschutzbeauftragte Professor Dr. Michael Ronellenfitsch hat am Montag, 11. Juli 2016 seinen Tätigkeitsbericht 2015 zum Datenschutz vorgelegt.

Schwerpunkthemen, die Ronellenfitsch in seinem Bericht anspricht, sind u.a.:

  • EU-Datenschutzgrundverordnung
  • Umgang mit kostenlosen digitalen Haushaltsbüchern (Datenhaltung in der Cloud)
  • Erforderlichkeit von neuen Instrumentarien nach dem Wegfall des Safe-Harbor-Abkommens
  • Einsatz von Body-Cams, Dashcams
  • datenschutzgerechte, elektronische Antragstellung durch Einsatz des neuen Personalausweises über die integrierte eID-Funktion
  • E-Post-Brief der Deutschen Post AG
  • Videoüberwachung
  • Smart-TV
  • Auskunfteien und Bedingungen zum Umgang mit Daten
  • Einwilligungerklärungen

Der Bericht kann auf der Website des Hessischen Landesdatenschutzbeauftragten https://www.datenschutz.hessen.de/taetigkeitsberichte.htm heruntergeladen werden und sei zur Lektüre empfohlen.

Einblick in fremde Konten

Viele Kunden der Direktbank Comdirect staunten nicht schlecht, als sie sich nach mehreren Versuchen auf ihrem Konto einloggten. Statt ihren Kontostand sehen zu können, landeten sie auf fremden Konten und konnten sogar in das fremde Postfach schauen. Wie viele Nutzer der Bank durch dieses Versehen betroffen waren, ist bisher nicht bekannt. Laut Comdirect entstand der Fauxpas durch eine routinemäßige Einspielung neuer Software, wobei der Fehler zunächst nicht aufgefallen war. Am Montagabend, 18. Juli 2016, teilte die Bank mit, dass die Datenpanne beseitigt sei und nur einige Tausend Nutzer davon betroffen waren.

Mehr zum Thema finden Sie hier:
http://www.heise.de/newsticker/meldung/Blick-in-fremde-Konten-Massive-Probleme-beim-Onlinebanking-von-Comdirect-3269325.html

Erfolg für den Datenschutz

Der Software-Riese Microsoft hat vor einem amerikanischen Gericht einen großen Erfolg für seine Kunden erzielen können. Ein US-Berufungsgericht hat entschieden, dass Ermittlungsbehörden keinen Zugriff auf gespeicherte Kundendaten erhalten dürfen, wenn sich die Server außerhalb der USA befinden. Damit stellten die Richter fest, dass Daten den Gesetzen des jeweiligen Landes unterliegen, in dem diese physisch gespeichert sind. Dies gilt auch, wenn die betreffende Firma eine Tochter eines US-Konzerns ist.

Mehr zum Thema lesen Sie hier:
http://www.handelsblatt.com/technik/it-internet/e-mail-zugriff-microsoft-erringt-grossen-sieg-fuer-datenschutz/13880458.html

Grobe Sicherheitslücke bei Helpling

Bei dem Putzhilfe-Vermittlungsportal Helpling konnten womöglich über Wochen Rechnungen von Kunden und Daten zu den Putzkräften eingesehen werden. Adressen und Stockwerke der Kunden sowie Steuernummern der Putzhilfen und weitere Einzelheiten waren über einen einfachen Trick abrufbar. Das Einsehen der Daten war allerdings nur möglich, wenn man sich als Kunde am Portal angemeldet hat. Nach Angaben des Unternehmens entstand dieser gravierende Fehler durch eine Umstellung auf eine neue Plattform, wobei die bestehende Sicherheitslücke zunächst nicht erkannt wurde. Das Portal hat seine Kunden über die Fehler informiert und die Lücke geschlossen.

Mehr zum Thema finden Sie hier:
https://netzpolitik.org/2016/gravierende-sicherheitsluecke-monatelang-kundendaten-von-putzvermittler-helpling-abrufbar/

Europäische Kommission verabschiedet Privacy Shield

Die Europäische Kommission hat das Privacy Shield Framework am Dienstag, 12. Juli 2016 verabschiedet. Demnach können Empfänger von personenbezogenen Daten in den USA beim US-Handelsministerium durch Vorlage einer Zertifizierung nach den Vorgaben des Privacy Shield ein angemessenes Datenschutzniveau, das nach § 4b BDSG gefordert ist, gewährleisten.

Damit wurde eine Rechtsunsicherheit beseitigt, die für Datenübertragung in die USA durch das Urteil des EUGH in Sachen Safe Harbor entstanden war.
Das Übertragen von personenbezogenen Daten in die USA sollte damit auch ohne Vorliegen besonderer Vereinbarung wie z. B. den EU-Standardvertragsklauseln wieder möglich sein.

Ab 1. August 2016 können Datenverarbeiter mit Sitz in den USA beim US-Handelsministerium die Zertifizierung beantragen.

Alle verantwortlichen Stellen in Europa sollten ab 1. August 2016 prüfen, ob für die betroffenen Dienstleistungsfirmen (Datenverarbeiter) eine solche Zertifizierung vorliegt.

Bei der Prüfung zur Datenübermittlung in die USA müssen zwei Prüfstufen durchlaufen werden:
1) Prüfung auf Zulässigkeit der Datenübermittlung
2) Prüfung auf Angemessenheit des Datenschutzniveaus im Empfangsland.

Dienstleistungsunternehmen in den USA, die eine Zertifizierung nach Vorlage des Privacy Shield nachweisen können, weisen ein angemessenes Datenschutzniveau auf. Die erste Prüfstufe bleibt jedoch – unabhängig von der zweiten – weiterhin für die verantwortlichen Stellen bestehen.

Es wird empfohlen, die weiteren aktuellen Entwicklungen und Stellungnahmen der Aufsichtsbehörden zum Datenschutz zu verfolgen. Ob sich das neue Abkommen als dauerhaft erweisen wird, bleibt abzuwarten. Von verschiedenen Seiten wird erhebliche Kritik am Privacy Shield geübt, sodass eine erneute Beschäftigung des EUGH mit diesem Thema möglich ist.

Vorsicht bei kostenlosen cloudbasierten Haushaltsbüchern

Im Tätigkeitskeitsbericht für 2015 warnt der hessische Datenschutzbeauftragte Michael Ronellenfitsch vor kostenlosen Ein- und Ausgabenlisten in der Cloud. Banken und andere Kreditinstitute bieten ihren Kunden cloudbasierte Haushaltsbücher an, mit denen sensibles Zahlungsverhalten ausgewertet werden können. Überweisungen an Ärzte oder Krankenhäuser könnten dabei zum Beispiel Rückschlüsse auf Erkrankungen ermöglichen.

Mehr zum Thema finden Sie hier:
http://www.heise.de/newsticker/meldung/Datenschuetzer-warnt-vor-cloudbasierten-Gratis-Haushaltsbuechern-3263715.html

Kein separater Telefon- und Internetanschluss für den Betriebsrat

Das Bundesarbeitsgericht(BAG) hat mit Beschluss vom 20.04.2016 entschieden, dass dem Betriebsrat kein von seiner Telefonanlage unabhängiger Telefonanschluss, sowie keinen von seinem Netzwerk unabhängigen Internetanschluss zur Verfügung stellen muss.
Die nach § 40 Abs. 2 Betriebsverfassungsgesetz dem Betriebsrat grundsätzlich zustehende Kommunikationstechnik kann der Arbeitgeber dadurch erfüllen, dass er dem Betriebsrat, die im Rahmen des Betriebes bestehende Informations- und Kommunikationssysteme zur Verfügung stellt.

Die Anträge des Betriebsrates auf Einrichtung eines vom Proxy-Server unabhängigen Internetzugangs sowie auf einen von der betrieblichen Telefonanlage unabhängigen Telefonanschluss wurden abgewiesen.

Der Betriebsrat begründete sein Ansinnen damit, dass der Internetverkehr über den Proxyserver überwacht werden kann und E-Mails von Administratoren gelesen werden können. Damit sei der Vertraulichkeit der Betriebsratsarbeit gefährdet.

Zu dem Beschluss liegt bis jetzt lediglich eine Pressemitteilung des Bundesarbeitsgerichts vor. Die Vorinstanz, dass Landesarbeitsgericht Niedersachsen, hat jedoch zu diesem Punkt die Auffassung vertreten, dass sich der Betriebsrat durch entsprechende Vereinbarungen mit dem Arbeitgeber absichern kann, dass Verkehrsdaten seines Nebenstellenanschlusses unterdrückt und die Auswertung verboten wird bzw. eine Kontrolle des E-Mailverkehrs des Betriebsrates nicht erfolgt. Zu einer entsprechenden Vereinbarung wäre der Arbeitgeber in dem zu entscheidenden Fall wohl auch bereit gewesen. Im übrigen sei es ein berechtigtes Interesse des Arbeitgebers den Zugriff auf strafbare und/oder sittenwidrige Seiten durch entsprechende Firewalls auf dem Proxyserver zu unterbinden. Das Gericht sah es daher auch als zulässig an, dass bestimmte Seiten durch den Arbeitgeber gesperrt werden konnten, wobei der Betriebsrat bei einem berechtigten Interesse eine separate Freischaltung beantragen kann.

Beschluss des Bundesarbeitsgerichts vom 20.04.2016 -7 ABR 50/14-
Vorinstanz: Landesarbeitsgericht Niedersachsen, Beschluss v. 30.07.2014 – 16 TaBV 92/13-

Millionenschäden durch Geschäftsführer-Betrugs-Masche

Durch eine neue Betrugsmasche (CEO-Fraud), bei denen deutsche Firmen seit einigen Monaten im Mittelpunkt stehen, geben sich gut vorbereitete Täter als Geschäftsführer oder weisungsbefugte Entscheidungsträger eines Unternehmens aus. Dabei geben die Betrüger an, eine dringende und geheime Überweisung müsse schnell und diskret durchgeführt werden. Der per E-Mail oder Telefon kontaktierte Mitarbeiter wird zur absoluten Diskretion angehalten und durch mehrfache Anrufe unter Druck gesetzt, bis die Zahlung erfolgt ist. Nach Angaben der Polizei NRW entstand allein bei einem Unternehmen durch diese Bebtrugsmasche ein Schaden in Höhe von zwölf Millionen Euro.

Einen ausführlichen Bericht finden Sie hier:
http://www.polizei.nrw.de/lka/artikel__14015.html

Android-Verschlüsselung mit Lücken

Wer ein Mobiltelefon mit dem Android-System von Google besitzt, konnte sich bisher sicher sein, das durch die Verschlüsselung alle Nutzerdaten geschützt sind. Nun hat ein Sicherheits-Forscher an Hand eines konkreten Beispiel-Codes demonstriert, wie einfach ein Gerät mit einem Qualcomm-Prozessor zu knacken ist. Google sowie der Prozessorhersteller Qualcomm haben nach diesem Hinweis bereits ein Update bereitgestellt, doch bis dieses bei den Geräten ankommt, kann noch etwas Zeit vergehen.

Mehr zum Thema finden Sie hier:
http://www.heise.de/security/meldung/Heftiger-Schlag-fuer-Android-Verschluesselung-3254136.html

Patientenakten in geschlossener Klinik gefunden

Auf dem Gelände einer ehemaligen Klinik in Münsig am Starnberger See wurden zahlreiche Krankenakten entdeckt. Unter den Akten sind auch Befunde prominenter Schauspieler zu finden. Die Klinik ist zwar seit 10 Jahren geschlossen, doch das Gebäude ist für jeden frei zugänglich und somit müssen bereits die Akten für jeden einsehbar gewesen sein. Patientenakten sind „sensibles Material“, erklärte Thomas Petri, der bayerische Datenschutzbeauftragte, und die Anforderungen an den Schutz seien besonders hoch. „Leider müssen wir immer wieder Mängel feststellen“, fügte er an.

Einen ausführlichen Bericht finden Sie hier:
http://www.spiegel.de/panorama/leute/klausjuergen-wussow-krankenakten-am-starnberger-see-gefunden-a-1100670.html