News zum Datenschutz (12/2008)
28.07.2008
Wieder gesammlte News rund um den Datenschutz, diesmal mit: Gerling, der Telekom, der finnischen Polizei und munterem Austausch biometrischer Daten in GB.
T-Mobile geht gegen Verkäufer von vorregistrierten SIM-Karten vor
Norbert Auler […] betreibt […] mit simonym.com einen kleinen Online-Shop, in dem er bis vor Kurzem bereits freigeschaltete SIM-Karten für das T-Mobile-Mobilfunknetz anbot. Dieser kleine Trick ist T-Mobile offenbar ein Dorn im Auge. Der Konzern hat Auler nun abgemahnt und fordert von ihm, derlei Verkäufe von freigeschalteten SIM-Karten zu unterlassen. T-Mobile begründet die Forderung mit einem Verstoß gegen die Allgemeinen Geschäftsbedinungen (AGB) für den Kauf von Prepaid-SIM-Karten. Die Käufer seien demnach verpflichtet, Änderungen der persönlichen Daten des Inhabers “unverzüglich anzuzeigen”. (Quelle: Heise)
Anmerkung: Gewagte Argumentations seitens der Telekom – so schliessen die AGB einen Weiterverkauf ja gerade nicht aus, sonst wäre die zitierte Passage überflüssig. Vielmehr könnte man auf dem Standpunkt stehen, dass es Aufgabe des späteren Käufers ist, seine (dann neuen) Daten mitzuteilen.
Finnische Polizei will zentralen Fingerprint-Speicher
Der Chef der finnischen Polizei hat sich für die systematische Erfassung und Speicherung der Fingerabdrücke aller Finnen ausgesprochen. […] Finnland beginnt, ebenso wie andere EU-Staaten, im Rahmen der neuen Regeln für Reisepässe im kommenden Jahr mit dem Sammeln der Fingerabdrücke von Staatsbürgern. Das Helsinkier Innenministerium will Mitte August einen Gesetzesvorschlag präsentieren, in dem unter anderem geregelt werden soll, was mit den für die Speicherung in den biometrischen Chips der Reisepässe abgegebenen Fingerabdrücken in der Folge geschieht und welche Behörden wie lange Zugriff darauf erhalten. (Quelle: ORF)
Anmerkung: Ein Ausblick auf Deutschland in Zukunft?
Grüne wollen Datenschutz ins Grundgesetz aufnehmen
Um einen besseren Schutz der Grundrechte der Bürger angesichts des rasanten technischen Fortschritts bei den Informations- und Kommunikationstechnologien zu erreichen, fordert die Fraktion Bündnis 90/Die Grünen in einem Gesetzentwurf (16/9607) Änderungen im Grundgesetz. So soll die bisher nur einfachgesetzlich verbürgte Informationsfreiheit grundrechtlich abgesichert werden. Dadurch sei zu erwarten, dass etwa bei der Abgrenzung zu den Betriebs- und Geschäftsgeheimnissen Dritter die verpflichteten öffentlichen Stellen dem Recht auf Informationsfreiheit eine höhere Bedeutung zukommen lassen, als dies gegenwärtig der Fall sei, schreiben die Grünen. (Quelle: HIB)
Bundesdatenschutzbeauftragter zu Payback-Urteil
Nach dem heutigen Urteil des Bundesgerichtshofs (BGH) zu Payback muss nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Peter Schaar nun der Gesetzgeber handeln. Nicht nur bei der Einwilligung in die Werbung per E-Mail oder SMS sollte eine ausdrückliche Handlung des Betroffenen erforderlich sein, sondern auch in sonstigen Fällen. (Quelle: PM)
Bundesdatenschutzbeauftragter zu Google Street View
In diesen Tagen hat Google auch in deutschen Städten damit begonnen, jedes Haus digital zu fotografieren und die Bilder in seine riesige Datenbank zu integrieren. […] Sehr kritisch steht dem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar gegenüber. Er fordert gesetzliche Begrenzungen: “Geodaten sollten nur nach vorheriger Einwilligung des Betroffenen genutzt werden dürfen. Der Bundestag hat die Chance, dies bei den ohnehin im Herbst anstehenden Beratungen über verbesserte Datenschutzregeln zu berücksichtigen.”
Schaar fragt: “Müssen wir etwa damit rechnen, mit Werbung von Unternehmen überschüttet zu werden, die den Zustand unserer Häuser und Wohnungen über das Internet begutachtet haben und uns ihre Dienste z.B. für Renovierungsmaßnahmen anbieten? Werden Kriminelle den Dienst nutzen, um interessante Objekte auszuspähen? Wie werden eigentlich besonders sensible Einrichtungen wie Frauenhäuser vor Ausforschung geschützt? Brisant wäre es auch, wenn die Bilder für Bonitätsbewertungen herangezogen würden und negative Konsequenzen bei der Kreditvergabe oder bei sonstigen Geschäftsabschlüssen hätten.” (Quelle: PM)
Telekom sieht keine Mängel beim Datenschutz
Empfehlung zum Nichtstun: Die Deutsche Telekom sieht keine Notwendigkeit, Konsequenzen aus der Spitzelaffäre zu ziehen. Nach Informationen des Handelsblatts aus Branchenkreisen weist die Konzernführung in einem Bericht alle Mängel am eigenen Datenschutzsystem zurück. Branchenverbände und Politik wollen sich damit aber nicht zufrieden geben. (Quelle: Handelsblatt)
Gerling bespitzelte Mitarbeiter?
Jetzt auch die Versicherungsbranche: Der Kölner Konzern Gerling hat Telefon- und E-Mail-Zieldaten eigener Mitarbeiter ausspioniert. Ziel war es, eine undichte Stelle in dem Versicherungskonzern zu finden. Interne Unterlagen aus dem Konzern waren zuvor an die Presse gelangt. Entsprechende Informationen der FTD aus Versicherungskreisen bestätigte der Talanx-Konzern, der Gerling 2006 übernommen hatte. Talanx selbst ist von diesen Vorfällen nicht betroffen. […] Damals gab es zahlreiche Presseberichte, die auch auf Quellen innerhalb des Gerling-Konzerns beruhten. Deshalb ordnete die Konzernleitung offenbar Rechercheaktionen an […]
Weiter heißt es: “Mit dem Ziel, eine erneute Weitergabe streng vertraulicher Betriebsinterna zu unterbinden, ließ die Konzernrevision der Gerling Konzern Beteiligungs-AG eine Überprüfung des dienstlichen Telefon- und E-Mail-Verkehrs für den Zeitraum vom 26. Januar 2004 bis zum 4. Februar 2004 durchführen.” Dabei sei der Telefon- und E-Mail-Verkehr nach Zieltelefonnummern und E-Mail-Adressen durchsucht worden. Inhalte seien nicht betroffen gewesen. (Quelle: Financial Times)
Individualwerbung aus dem Plasmaschirm
Der japanische NEC-Konzern hat eine neue elektronische Werbetafel vorgestellt, die Geschlecht und Alter der davor stehenden Person erkennt und daraufhin die passende Werbung zeigt.
Das 50-Zoll-Plasmadisplay [127 Zentimeter] ist mit einer Kamera ausgestattet, die in Echtzeit erkennt, welche Werbung zu welcher Zielgruppe passt. (Quelle: ORF Futurezone)
Elektronische Gesundheitskarte: Gematik veröffentlicht Datenschutzkonzept
Als Erstveröffentlichung enthält das Datenschutzkonzept noch Lücken, etwa bei der Definition von “Mehrwertdiensten” durch Dritte, beim Umgang mit dem “Patientenfach” auf der Gesundheitskarte und dem Einsatz der Karte mit einem Lesegerät am heimischen PC. Dennoch ist das Bemühen unverkennbar, den eGK-Kritikern zu zeigen, dass der Gedanke des Datenschutzes und der Patientenhoheit die Technik prägt. […] Das nunmehr veröffentlichte Datenschutzkonzept dürfte auf Kritik stoßen, besonders in den Punkten, in denen Soll-Annahmen an die Stelle der normativen Muss-Bestimmungen treten. Misstrauisch machen dann Absichtserklärungen wie die zur Nutzung der Krankenversicherungsnummer (KVNR) auf der eGK als allgemeines Personenkennzeichen. (Quelle: Heise)
Britische Internetprovider werden zur Netzpolizei
Sechs der größten britischen Internetprovider werden künftig für die Musikindustrie als Netzpolizei agieren, berichtet die BBC. Bei vermuteten Urheberrechtsverletzungen sollen die Kunden schriftlich verwarnt werden. […] Das Verfahren sieht vor, dass die BPI Tauschbörsen überwacht und IP-Adressen ermittelt, über die mutmaßlich illegal urheberrechtlich geschützte Inhalte verbreitet werden. Die Internetprovider müssen dann den Kunden, denen sie die IP-Adressen zuordnen können, schriftliche Verwarnungen schicken. (Quelle: iRights)
Einfacher sozialer netzwerken mittels Austausch?
Soziale Netzwerke im Internet sind geschlossene Gesellschaften: Wer nicht angemeldet ist, kommt nicht rein. Wenn Nutzer in mehreren Portalen aktiv sind, brauchen sie für jedes eine eigene Clubkarte. […] Die großen Anbieter Facebook, MySpace und Google haben unabhängig voneinander angekündigt, dass ihre Mitglieder künftig ihr Profil samt Kontakten auch in anderen Online-Diensten benutzen können. Datenschützer sind skeptisch. (Quelle: SZ)
DGB fordert härtere Strafen bei Missbrauch
Als Konsequenz aus den jüngsten Skandalen etwa bei Lidl und der Deutschen Telekom fordert der Deutsche Gewerkschaftsbund (DGB) härtere Strafen für den Missbrauch von Daten. “Die Verletzung des Datenschutzes muss gravierende Strafen zur Folge haben”, heißt es in einem Positionspapier der DGB-Justitiare. Die jetzigen Höchststrafen seien zu gering. Es dürfe nicht sein, dass Firmen “die Bußgelder aus der Portokasse bezahlen können”. Sanktionen müssten spürbar sein, um Nachlässigkeiten oder bewusste Verstöße zu verhindern. (Quelle: FR-Online)
Privatfirmen erhielten Zugriff auf alle DNA-Profile der britischen nationalen Gendatendank
Bislang enthält die nationale Datenbank DNA-Profile von über 4 Millionen Personen, darunter auch von 1,8 Millionen Kindern und Jugendlichen. […] Durch ein Gesuch nach dem Informationsfreiheitsgesetz hat die Abgeordnete Jenny Willott der oppositionellen Liberalen Dokumente erhalten, die zeigen, dass zumindest bei fünf Gelegenheiten seit 2004 DNA-Profile an private Firmen “ausgeliehen” wurden. Sie hatten gebeten, die Datenbank nutzen zu dürfen, um Computerprogramme zu entwickeln. Die Profile seien, so ein Sprecher der National Policing Improvement Agency, anonymisiert gewesen, die Forschung der Firmen würde auch der Polizei zugute kommen. (Quelle: Heise)
Anmerkung: Wie kann man den biometrische Daten so anonymisieren, dass Sie noch von Bedeutung für eine Forschung sind? Biometrische Daten haben ja gerade die Eigenschaft, auch ohne weitere Angaben einer Person zuordbar sein zu können. Das heisst man müsste die Daten wenn, dann direkt verfälschen. Ich bin skeptisch.
Vorsicht bei internetbasierten Gesundheitsakten!
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, weist auf Risiken von Internet-Gesundheitsakten hin, die von verschiedenen kommerziellen ausländischen Anbietern angeboten werden. Es dürfte nur eine Frage der Zeit sein, bis diese Angebote auch in Deutschland verfügbar sind.
Schaar sagte: “Gesundheitsdaten werden bei uns besonders geschützt. Ihre Verwendung ist gesetzlich strikt geregelt. Jede Nutzung für andere Zwecke ist ausgeschlossen. Wer dagegen verstößt, macht sich strafbar. Selbst Strafverfolgungsbehörden dürfen die Daten bei Ärzten nicht beschlagnahmen. Weltweit gibt es einen derartigen Schutz aber nicht.”
Wenn Unternehmen damit argumentieren, die “Web-Patientenakte” sei für Ärzte jederzeit verfügbar, z.B. um bei einem Unfall zeit- und ortsunabhängig auf die erforderlichen medizinischen Daten zugreifen zu können, stellt sich die Frage, wie ein Missbrauch wirksam ausgeschlossen werden kann.
Die Web-Gesundheitsakten dürfen nicht mit der elektronischen Patientenakte verwechselt werden, die mit der elektronischen Gesundheitskarte (eGK) ermöglicht werden soll und den strikten Vorgaben des deutschen Rechts unterliegen wird. Der Zugriff wird dabei nur möglich sein, wenn der Patient seine eGK vorlegt und mit seinem Geheimcode freischaltet, und zugleich der elektronische Heilberufsausweis aktiviert wird. Bis diese Planungen umgesetzt sind, dürfte aber noch einige Zeit vergehen. (Quelle: PM)
Malte S.
Interessant finde ich, dass Gerling sich wohl offenbar durch § 100 Abs. 3 TKG gerechtfertigt sieht.
Man kann sich ja schon die Frage stellen, ob der Versicherungskonzern Diensteanbieter i.S.d. TKG ist. Aber bei der rechtswidrigen Inanspruchnahme hört es für mich auf.
Da § 100 III TKG eine Ausnahmevorschrift darstellt, ist grundsätzlich eng auszulegen. Auch die zwei aufgezählten Typen: Erschleichen von Leistungen und rechtswidrige Inanspruchnahme deuten darauf hin, dass § 100 III TKG lediglich die Ermittlung dem Grunde nach nicht zugelassenen Nutzungen gestatten soll.
Thomas
Verstehe ich § 100 III TKG richtig, dass in einem solchen Fall Bundesnetzagentur und Bundesdatenschutzbeauftragter benachrichtigt werden müssen? Wäre interessant zu wissen, ob das hier passiert ist...
Ebenfalls interessant fände ich zu wissen, wann genau der Zugriff auf die Daten stattgefunden hat. Laut FTD wurde auf Daten aus dem Zeitraum Januar/Februar 2004 zugegriffen. Die Neufassung des TKG (und damit auch § 100) ist aber erst Ende Juni 2004 in Kraft getreten...