Der Hessische Datenschutzbeauftragte legte den 43. Tätigkeitsbericht vor

Der Datenschutz hatte auch 2014 Konjunktur, so Prof. Ronellenfitsch bei der Vorstellung seines 43. Tätigkeitsberichts.

Die nachrichtendienstlichen Tätigkeiten insbesondere der USA, europäische Vollharmonisierungsambitionen beim Datenschutzrecht und spektakuläre Gerichtsentscheidungen, wie etwa die "Googleentscheidung" des Europäischen Gerichtshofs führten dazu, dass der Datenschutz große Aufmerksamkeit auf sich lenkte. Dies führte allerdings nicht zu einem sensibleren Umgang mit den eigenen personenbezogenen Daten. Vielmehr musste der Hessische Datenschutzbeauftragte beobachten, dass ein Gutteil der Bevölkerung recht sorglos mit den eigenen Daten umgeht. Dies betrifft insbesondere die Nutzung sozialer Netzwerke. Davon abgesehen, blieb die Zahl der Eingaben und Beratungen im Berichtszeitraum im Vergleich zum Vorjahr mit 7143 dokumentierten Fällen gleichbleibend hoch. Die mit Abstand meisten Eingaben betreffen die Bereiche Auskunfteien / Inkassounternehmen, Videoüberwachung und elektronische Kommunikation und Internet.

Scoring der SCHUFA

Da dem Hessischen Datenschutzbeauftragten zur Ermittlung von Scorewerten durch die SCHUFA zahlreiche Beschwerden vorlagen, ist das Scoring erneut verstärkt betrachtet worden. Alle Beschwerden wurden daraufhin überprüft, ob der Scorewert entsprechend den gesetzlichen Regelungen ermittelt wurde. Ob der Scorewert inhaltlich richtig ist und den Betroffenen zutreffend beschreibt, kann nicht überprüft werden. Bei Beschwerden über die Erheblichkeit der verwendeten Daten wurde die SCHUFA um Offenlegung der Gründe für den Scorewert gebeten. In allen überprüften Fällen hatte die SCHUFA die gesetzlichen Vorgaben eingehalten.
In Bezug auf das Auskunftsverhalten der SCHUFA gegenüber den Betroffenen war jedoch Kritik angebracht. Die SCHUFA ist verpflichtet, Betroffenen auf Aufforderung umfassend Auskunft über die zu ihrer Person gespeicherten Daten zu erteilen. Eine Überprüfung ergab jedoch, dass das Speicherdatum von Merkmalen für Zwecke des Scorings zwar verwendet wird, aber nicht in der Auskunft enthalten ist. Aufgrund meiner Intervention wurde die Auskunft um dieses Datenfeld erweitert.

Dauerbrenner Wildkameras

Bereits in seinen beiden letzten Tätigkeitsberichten hatte Prof. Ronellenfitsch Ausführungen zur Zulässigkeit von Wildkameras gemacht. Das Problem der verdeckt angebrachten Wildbeobachtungskameras im für jedermann frei zugänglichen Wald besteht jedoch nach wie vor. Der Hessische Datenschutzbeauftragte weist deshalb nochmals ausdrücklich darauf hin, dass an jagd- oder forstwirtschaftlichen Gebieten (sog. Kirrungen), in denen eine Beobachtung der Tiere durch Kameras zulässig ist, eine eindeutige Kennzeichnung erfolgen muss. Ansonsten wäre für den Waldbesucher, der sich grundsätzlich frei im Wald bewegen darf, nicht erkennbar, wann er sich in jagd- oder forstwirtschaftlichen Gebieten, die vom Betretungsrecht ausgenommen sind, bewegt.

Googleurteil

Nach dem "Googleurteil" des Europäischen Gerichtshofs sind Suchmaschinenbetreiber nunmehr verpflichtet, die Verlinkung zu einer rechtmäßigen Veröffentlichung im Internet zu entfernen, wenn "die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiben nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen". Mit seiner Entscheidung verdeutlicht der EuGH, dass das Recht des Einzelnen, im Internet nicht mehr gefunden zu werden - vielfach irreführend als Recht auf Vergessen oder "Recht auf Vergessen werden" bezeichnet -, Vorrang haben müsse vor den wirtschaftlichen Interessen der Suchmaschinenbetreiber und vor dem Interesse der breiten Öffentlichkeit am Zugang zu der Information.

Geschlossenes Krankenhaus - was geschieht mit den Patientenakten?

Bei der Schließung von Krankenhäusern, insbesondere in Fällen von Insolvenz, besteht ein hohes Risiko, dass die Patientenakten nicht sicher verwahrt oder vernichtet werden. Auch der zeitnahe Zugriff auf die Behandlungsdokumentation kann sich schwierig gestalten, sollte dieser später im Rahmen der Weiterbehandlung des Patienten erforderlich sein. Aktuelle Fälle im vergangenen Jahr haben gezeigt, dass sich letztlich niemand für die Patientenakten verantwortlich fühlt, wenn Personal und Patienten das Krankenhaus verlassen haben. Der Hessische Datenschutzbeauftragte ist deshalb an das Hessische Ministerium für Soziales und Integration mit dem Ziel herangetreten, gemeinsam mit der Landesärztekammer Hessen, der Hessischen Krankenhausgesellschaft, dem Verband der Insolvenzverwalter Deutschlands e.V. und weiteren Stellen zu erörtern, in welchem Umfang hier ein Regelungsbedarf besteht und wie diese Regelungen aussehen könnten.

Zugriffsberechtigungen in Krankenhausinformationssystemen

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat im Jahr 2014 die Orientierungshilfe für Krankenhausinformationssysteme aktualisiert. Der Hessische Datenschutzbeauftragte hat seine Prüfungen der Systeme vor Ort fortgesetzt. Dabei wurde positiv festgestellt, dass bei den im letzten Jahr geprüften Krankenhäusern ein großer Teil der Orientierungshilfe umgesetzt wurde. So haben die geprüften Krankenhäuser inzwischen alle ein differenziertes Rollen- und Berechtigungskonzept erstellt. In dem Berechtigungskonzept wird nach Benutzergruppen differenziert. Auch die bisher benutzten Sammelkennungen wurden in der Regel nicht mehr eingesetzt.

Probleme gab es jedoch nach wie vor hinsichtlich der verbindlichen Festlegung der Abläufe bei der Protokollierung und deren Umsetzung. Grundsätzlich ist die Protokollierung im Gesamtzusammenhang mit der Ausgestaltung der Zugriffsberechtigungen zu sehen. Je weitreichender die Zugriffsberechtigungen, umso wichtiger sind die Protokolle und deren regelmäßige Auswertung. Deren Etablierung wird Datenschutzverstößen präventiv entgegenwirken.

Scheidungsurteile und Dissertationsurkunden haben nichts in den Akten der Einwohnermeldeämter zu suchen

Immer wieder stellt der Hessische Datenschutzbeauftragte fest, dass Behörden bei der Überprüfung der Richtigkeit der Angaben von Antrag stellenden Bürgern über das Ziel hinausschießen. So führte die Beantragung beim Einwohnermeldeamt, den Eintrag zum Familienstand in "geschieden" zu ändern, zu der Aufforderung, zum Nachweis das gesamte Scheidungsurteil vorzulegen. Beim Antrag, den Doktortitel in das Einwohnermelderegister eintragen zu lassen, verlangte eine andere Meldebehörde eine Kopie der Dissertationsurkunde. Im ersten Fall reicht die Vorlage des Tenors des Scheidungsurteils zum Nachweis der Scheidung, im zweiten die Vorlage der Dissertationsurkunde aus. Zum Nachweis der Richtigkeit der Daten genügt ein Vermerk darüber, dass die entsprechende Urkunde oder das Dokument vorgelegen haben. Kopien für die Akten des Einwohnermeldeamtes sind keinesfalls erforderlich.

Datenschutz im Kraftfahrzeug

Die Zeiten, in denen das KFZ-Kennzeichen das einzige personenbeziehbare Datum des Autos war, sind lange vorbei.

Bis zu 80 Steuergeräte verarbeiten im modernen Auto die durch das Verhalten des Fahrers verursachten Daten. Neuere Fahrzeuge senden die auf diese Weise anfallenden Daten auch an die Automobilhersteller. Diese Daten können personenbezogen Auskunft über Fahrverhalten und Aufenthaltsort liefern und sind geeignet für die Bildung von Persönlichkeitsprofilen. Prof. Ronellenfitsch hat deshalb in einer Entschließung mit den anderen Datenschutzbeauftragten des Bundes und der Länder von der Automobilindustrie insbesondere Folgendes gefordert:

  • Bereits bei der Entwicklung von Angeboten für Kommunikation und Teledienste die Grundsätze von privacy by design bzw. privacy by default zu verwirklichen.
  • Datenverarbeitungsvorgängen in und um das Auto müssen die Prinzipien der Datenvermeidung und der Datensparsamkeit zu Grunde liegen.
  • Datenverarbeitungen müssen entweder vertraglich vereinbart sein oder sich auf eine ausdrückliche Einwilligung stützen.
  • Für Fahrer, Halter und andere Nutzer von Fahrzeugen muss vollständige Transparenz gewährleistet sein.
Kontakt für Pressevertreter
Pressesprecher: Frau Ulrike Müller
Presse- und Öffentlichkeitsarbeit:
Telefon: +49 611 1408 142
Fax: +40 611 1408 900

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden