Mal sehen, was der Kollege so verdient — Datenpanne bei der Telekom

Ver­geb­li­che Mühe

Seit Jah­ren bemüht sich die Deut­sche Tele­kom um Ver­bes­se­run­gen im Umgang mit per­so­nen­be­zo­ge­nen Daten, nicht nur auf­grund zahl­rei­cher Skan­dale. Wie zahl­rei­che Medien wie n-tv nun berich­ten, hat es beim Beschäf­ti­gen­da­ten­schutz nicht ganz gereicht.

120.000 Mit­ar­bei­ter betroffen

Eine interne Daten­bank mit Anga­ben zu fast allen Mit­ar­bei­tern des Unter­neh­mens samt Name, Anschrift und Gehalt stand einem grö­ße­ren Mit­ar­bei­ter­kreis zur Ein­sicht zur Ver­fü­gung, als eigent­lich zuläs­sig gewe­sen wäre. Die ursprüng­lich vor­ge­se­hene Anony­mi­sie­rung war nicht erfolgt.

Seit 2002 soll die Daten­bank in die­ser Form ver­füg­bar gewe­sen sein. Mitt­ler­weile wurde sie vom Netz genom­men. Ein exter­ner Wirt­schafts­prü­fer soll die Ursa­chen und Fol­gen nun ermit­teln. Der Betriebs­rat läßt die Unter­su­chung durch einen eige­nen Anwalt begleiten.

Nach Unter­neh­mens­an­ga­ben hat man von einem Miß­brauch der Daten bis­her keine Kenntnis.

 

 

Weiterlesen »

Apothekenrechenzentrum verkauft Patientendaten an Marktforschungsunternehmen mit unzureichender Verschlüsselung

Warum in die Ferne schwei­fen, wo die Daten­panne liegt so nah …

Wer braucht schon einen NSA Abhör­skan­dal aus den USA, wenn vor der eige­nen Haus­tür laut Thilo Wei­chert, Lei­ter des Unab­hän­gi­gen Lan­des­zen­trums für Daten­schutz Schleswig-Holstein (ULD), “einer der größ­ten Daten­skan­dale der Nach­kriegs­zeit” stattfindet.

Was ist passiert?

Das betrof­fene Apo­the­ken­re­chen­zen­trum ver­kauf seine Daten u.a. an das US Unter­neh­men IMS Health.Dieser Kon­zern ver­folgt nach Anga­ben von Spie­gel Online die Krank­hei­ten welt­weit von mehr als 300 Mil­lio­nen Pati­en­ten und von circa 42 Mil­lio­nen gesetz­lich Kran­ken­ver­si­cher­ten aus Deutsch­land. Einge der soge­nann­ten “Pati­en­ten­kar­rie­ren” sind bis 1992 zurück verfolgbar.

Ist das über­haupt zulässig?

Gene­rell ist die Wei­ter­gabe von Rezept­da­ten in aus­rei­chend ver­schlüs­sel­ter Form (also ohne Rück­führ­bar­keit auf den betrof­fe­nen Pati­en­ten) zuläs­sig. Für ankau­fende Phar­ma­un­ter­neh­men sind diese Infor­ma­tio­nen auch in anony­mi­sier­ter Form noch aus­sa­ge­kräf­tig genug.

Die Beto­nung liegt auf “aus­rei­chend verschlüsselt”

Im kon­kre­ten Fall ist die­ser Schlüs­sel ledig­lich 64-stellig und läßt sich, wie Spie­gel Online berich­tet, nach vor­lie­gen­den Doku­men­ten rela­tiv ein­fach auf die ursprüng­li­che Ver­si­cher­ten­num­mer zurück­rech­nen. Zusätz­lich wer­den noch Alter und Geschlecht über­tra­gen. Die unzu­rei­chende Ver­schlüs­se­lung birgt das Risiko einer Zurück­ver­fol­gung bis hin zu der Infor­ma­tion, wel­che Arzt­pra­xis wel­chem Pati­en­ten wel­ches Medi­ka­ment ver­ord­net hat. Das Ver­triebs­con­trol­ling von Phar­ma­un­ter­neh­men würde dies freuen. Ließe sich doch so sehr kon­kret nach­voll­zie­hen, ob die ste­ti­gen Außen­dienst­be­su­che den behan­deln­den Arzt auch zum häu­fi­ge­ren Ver­schrei­ben der ange­prie­se­nen, eige­nen Pro­dukte verleiten.

Thilo Wei­chert hofft nun, daß die Apo­the­ken Ihren Dienst­leis­ter auch ohne Gerichts­ver­fah­ren zur aus­rei­chen­den Ver­trau­lich­keit motivieren.

Wie geben Sie im Unter­neh­men eigent­lich Ihre Daten wei­ter? Ihr Daten­schutz­be­auf­trag­ter prüft die recht­li­che Zuläs­sig­keit und emp­fiehlt die pas­sende Lösung. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie uns an. Mög­li­cher­weise unter­lie­gen Sie sogar der gesetz­li­chen Bestellpflicht.

Weiterlesen »

Notariat in Ostfildern (Baden-Württemberg) entsorgt Unterlagen im normalen Altpapierbehälter

Einem Notar soll­ten die The­men Schwei­ge­pflicht und Daten­schutz nicht unbe­kannt sein. Doch nicht nur auf­grund zahl­rei­cher gesetz­li­cher Vor­schrif­ten, son­dern auch auf­grund des gesun­den Men­schen­ver­stands sollte klar sein, das nota­ri­elle Akten und Unter­la­gen nichts im nor­ma­len Papier­ab­fall zu suchen haben.

In Ost­fil­dern im Kreis Ess­lin­gen, unweit von Stutt­gart, sah man dies wohl anders. Anwoh­ner eines Büro– und Wohn­haus­kom­ple­xes staun­ten nicht schlecht über ihren Fund. Sta­pel­weise Doku­mente eines vor Ort ansäs­si­gen staat­li­chen Nota­ri­ats lagen in einem öffent­lich zugäng­li­chen Papier­müll­be­häl­ter, so mel­det es der Schwarz­wäl­der Bote in sei­ner Online-Ausgabe am 07.08.2013. Nach­lass­un­ter­la­gen, Tes­ta­mente, Grund­buch­aus­züge und Erb­ver­träge in Kopie oder als Aus­druck für jeder­mann zugreif­bar. Als Höhe­punkt befand sich dar­un­ter eine beglau­bigte Abschrift einer Nach­lass­an­ge­le­gen­heit mit offi­zi­el­lem Siegel.

Das Nota­riat schiebt den schwar­zen Peter auf die Stadt. Diese sei schließ­lich für die daten­schutz­kon­forme Ent­sor­gung zustän­dig. Das weist deren Spre­che­rin ent­schie­den zurück. Man stelle zwar die Räum­lich­kei­ten, wie es das Lan­des­ge­setz vor­sähe, sei aber defi­ni­tiv nicht für die Ver­nich­tung von Akten des Nota­ri­ats zuständig.

Unab­hän­gig davon, was nun davon stimmt, bleibt die Vor­ge­hens­weise des Nota­ri­ats zu hin­ter­fra­gen, die Akten an einem frei zugäng­li­chen öffent­li­chen Ort zu “lagern”. Ver­lie­rer im Kom­pe­tenz­ge­ran­gel sind mal wie­der Daten­schutz und die Betrof­fe­nen, trotz ein­schlä­gi­ger Vorschriften.

Übri­gens: Ihr Daten­schutz­be­auf­trag­ter kann Sie bei der Pla­nung und Umset­zung rechts­kon­for­mer Ent­sor­gungs– und Lösch­ver­fah­ren unter­stüt­zen. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Wir infor­mie­ren Sie gerne.

 

 

Weiterlesen »

Datenschutz geht zur Schule” heute in Erlangen

Logo Datenschutz geht zur SchuleHeute sind wir mit unse­rer Initia­tive “Daten­schutz geht zur Schule” am Fri­de­ri­ca­num Gym­na­sium in Erlan­gen.
Letz­tes Jahr durf­ten wir hier sehr neu­gie­rige Schü­le­rin­nen und Schü­ler der 6. Klas­sen für das Thema Inter­net und Soziale Netz­werke begeis­tern und sensibilisieren.

Wird die­ses Jahr sicher wie­der eine tolle Veranstaltung

Zur Web­seite der Initiative

Weiterlesen »

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

Datenpanne (c) Sascha KuhrauSchon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­tige Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Verteiler-Liste genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der seine Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­name und Email-Adresse. Übli­cher­weise macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hatte weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, nette Geste. Jedoch lei­der stan­den vor dem eigent­li­chen Text (halbe DIN A4 Seite) über neun (9) Sei­ten Email-Adressen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wurde an die zustän­dige baye­ri­sche Lan­des­da­ten­schutz­be­hörde weitergeleitet.

Fotolia_37944046_XS_roundedDer ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayLDA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adresse sind per­so­nen­be­zo­gene Daten im Sinne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fene (also der eigent­li­che Email-Inhaber) expli­zit in die Über­mitt­lung an Dritte schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­lage vor­liegt. Bei­des ist im Falle einer sol­chen Panne sicher nicht der Fall.

Die Ver­wen­dung des offe­nen Email-Verteilers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Menge der betrof­fe­nen Email-Adressen sah das BayLDA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wurde ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wurde das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayLDA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kürze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das Thema sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Verteiler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­siko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses Thema sen­si­bi­li­sie­ren. Gerne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayLDA vom 28.06.2013.

Weiterlesen »

Datenschutz ist bezahlbar

Trans­pa­rente, nach­voll­zieh­bare Kos­ten statt der sprich­wört­li­chen “Katze im Sack” — selbst­ver­ständ­lich mit a.s.k. Datenschutz.

Aus der Praxis für die Praxis



Pra­xis­taug­li­che und recht­lich belast­bare Lösun­gen statt sei­ten­lan­ger Rechts­ab­hand­lun­gen — Ihr Tages­ge­schäft steht im Vordergrund.