Pressemitteilung zur Scoring-Studie des BMJV und BMI
(18. Dezember 2014)


Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) und das Bundesministerium des Innern (BMI) haben am 15.12.2014 die Studie „Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen“ veröffentlicht. Die unter Mitwirkung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein erstellte 200seitige Studie lag bis zu ihrer Veröffentlichung den zuständigen Aufsichtsbehörden für den Datenschutz nicht vor. Zwar wurde ich zur Erstellung der Studie zu ausgewählten Punkten befragt. Weder die Darstellung meiner Antworten, noch die Angaben anderer Aufsichtsbehörden oder die in der Studie enthaltenen Handlungsempfehlungen waren mir aber vor der Veröffentlichung der Studie durch das BMJV und das BMI bekannt. Eine detaillierte Prüfung der Studie durch die Aufsichtsbehörden für den Datenschutz hat deshalb noch nicht stattgefunden.

Dies stellt keine Kritik an dem Vorhaben an sich dar. Eine umfassende Untersuchung des Scorings und die Veröffentlichung der Ergebnisse werden auch von mir begrüßt. Insbesondere die starken wirtschaftlichen Auswirkungen von ermittelten Scorewerten und die wachsende Bedeutung des Scorings für Kreditvergaben und geschäftliche Entscheidungen gegenüber Verbrauchern machen das Scoring zu einem wesentlichen Tätigkeitschwerpunkt der Aufsichtsbehörden für den Datenschutz. Eine Fortführung der derzeit bestehenden Regulierung des Scorings halte ich auch im Rahmen einer Europäischen Regelung zur Vermeidung von Diskriminierungen für dringend erforderlich.

Die Ergebnisse der Studie decken sich nach einer kursorischen Prüfung teilweise auch mit meinen Erfahrungen. Die starke Abhängigkeit der Qualität von ermittelten Scorewerten vom Umfang und der Qualität der verwendeten Daten lässt sich aus der Praxis der Beschwerdebearbeitung eindeutig bestätigen. Eine Erweiterung der Datenbasis würde in der Tat die Scoringergebnisse verbessern. Dies darf jedoch nicht zu erweiterten Rechten zur Datenerhebung oder einem mittelbaren Zwang zur Offenlegung von Daten durch Verbraucher gegenüber Auskunfteien führen. Die in der Studie enthaltenen Handlungsempfehlungen beinhalten demgegenüber die Gefahr einer Überregulierung und damit einer Verringerung der Scorequalität. Die von mir im Rahmen meiner Aufsichtstätigkeit überprüften Scorewerte wurden ausnahmslos entsprechend den gesetzlichen Regelungen ermittelt. Sie waren zudem auch inhaltlich plausibel und nicht zu widerlegen. Auch die verwendeten statistischen Methoden waren nicht zu beanstanden. Insbesondere wurden ausschließlich Merkmale zur Scorewertermittlung verwendet, die für die Bonitätsbeurteilung nachweislich bedeutend waren. Die in der Studie enthaltenen Handlungsempfehlungen können die Qualität der Scorewertberechnung daher nicht verbessern. Stattdessen halte ich eine erweiterte Transparenz der Scoringverfahren für sinnvoll. Verbraucher müssen wissen, welches Unternehmen Scorewerte berechnet, anhand welcher Daten dies erfolgt und wer diese Scorewerte bezieht. Sobald Scorewerte eine wichtige Entscheidung beeinflussen, sollte auch die Verwendung der Scorewerte transparent sein. Nur dadurch wird dem Verbraucher und dem Bezieher von Scorewerten die Möglichkeit gegeben, den möglichweise fehlerhaften Scorewert oder die zugrunde liegenden Daten zu korrigieren.

Als vorläufiges Fazit ist festzuhalten, dass die Studie in ihrem analytischen Teil für die weitere Rechtsentwicklung hilfreich, in ihren Handlungsempfehlungen aber nicht zielführend ist.


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 18.12.2014

 
 

Pressemitteilung zum Betrugspräventionssystem SCHUFA FraudPool
(16. Oktober 2014)


Die SCHUFA Holding AG (SCHUFA) bietet seit dem 01.07.2014 mit dem SCHUFA FraudPool ein neues Produkt zur Betrugsprävention an. In dieser neuen Datenbank werden Hinweise zu Auffälligkeiten bei Bankgeschäften gespeichert. In der Regel handelt es sich dabei um nachweislich gefälschte Unterlagen oder Ausweispapiere. Die Speicherung soll den betroffenen Kreditinstituten eine gegenseitige Kontaktaufnahme und das Treffen von Vorsichtsmaßnahmen ermöglichen.

Als zuständige Aufsichtsbehörde hat der Hessische Datenschutzbeauftragte mit der SCHUFA zu diesem Produkt bereits seit einigen Jahren diverse Gespräche geführt, in denen die SCHUFA ihre Planungen, Konzepte und Verträge präsentiert hat. Zusätzlich wurde der SCHUFA FraudPool vor Ort in den Räumen der SCHUFA geprüft. Im Rahmen der geführten Gespräche und durchgeführten Prüfungen hat der Hessische Datenschutzbeauftragte vielfältige Änderungen an dem SCHUFA FraudPool angeregt und gefordert.

Die SCHUFA hat die Anregungen und Anforderungen des Hessischen Datenschutzbeauftragten nahezu vollständig übernommen und in dem nun angebotenen SCHUFA FraudPool umgesetzt. Das Produkt befindet sich nach wie vor in der Entwicklung. Zu Einzelheiten wird deshalb auch noch geprüft, ob weitere Anforderungen an das Produkt gestellt werden müssen. Insgesamt sieht der Hessische Datenschutzbeauftragte derzeit weder einen Grund noch Veranlassung, den Betrieb des SCHUFA FraudPools zu unterbinden.

Mit Rücksicht auf die bundesweite Nutzung des Produktes wurden die Aufsichtsbehörden anderer Bundesländer und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit durch den Hessischen Datenschutzbeauftragten über den Prozess und die Ergebnisse umfassend informiert. Der Hessische Datenschutzbeauftragte war zudem jederzeit zur Beantwortung von Nachfragen bereit.

Soweit sich dies bisher beurteilen lässt, erfüllt der SCHUFA FraudPool die datenschutzrechtlichen Anforderungen vor allem durch rigide Kriterien für die Speicherung von personenbezogenen Daten und Merkmalen und eine restriktive Handhabung der Zugriffsrechte auf die gespeicherten Daten. Der Zugriff auf die Daten des SCHUFA FraudPools erfordert außerdem die glaubhafte Darlegung eines berechtigten Interesses im Sinne von § 29 Abs. 2 Satz 1 Nr. 1 BDSG. Die Abfrage von Daten des FraudPools erfolgt ausschließlich im Rahmen einer Bonitätsanfrage bei der SCHUFA, für die ebenfalls ein berechtigtes Interesse vorliegen muss. Damit ist die datenschutzrechtlich zulässige Nutzung des SCHUFA FraudPools ausreichend sicher gestellt.


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 16.10.2014

 
 

Pressemitteilung zur 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (09. Oktober 2014)


Am 8. und 9. Oktober 2014 hat unter Vorsitz des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder in Hamburg getagt.

Der Hessische Datenschutzbeauftragte, Prof. Dr. Michael  Ronellenfitsch, der ebenfalls an der Konferenz teilgenommen hat,  möchte Sie über die wichtigsten Ergebnisse der Konferenz informieren.

Es wurden Entschließungen zu folgenden Themen gefasst:

  • Effektive Kontrolle von Nachrichtendiensten herstellen!
  • Marktmacht und informationelle Selbstbestimmung
  • Unabhängige und effektive Datenschutzaufsicht für Grundrechtsschutz unabdingbar
  • Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen
  • Datenschutz im Kraftfahrzeug – Automobilindustrie ist gefordert

Den Text der einzelnen Entschließungen können sie auf der Homepage des Hessischen Datenschutzbeauftragten nachlesen.

Den Konferenzvorsitz im Jahr 2015 wird turnusmäßig der Hessische Datenschutzbeauftragte Prof. Dr. Michael Ronellenfitsch übernehmen.


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 09.10.2014

 
 

Internationale Aktion zur Prüfung des Datenschutzniveaus bei Apps zeigt erhebliche Defizite (11. September 2014)


Apps auf dem Smartphone sind für den Großteil der Bevölkerung längst selbstverständlicher Teil des Alltags geworden. Obwohl sie häufig eine Vielzahl von (teilweise sehr sensiblen) personenbezogenen Daten erheben und online an den Anbieter der App oder sogar an Dritte versenden, erläutern nur wenige Apps ihren Nutzern, wie genau und wozu dies geschieht.

Um der Frage auf den Grund zu gehen, wie transparent Apps beim Thema Datenschutz wirklich sind, hat der Hessische Datenschutzbeauftragte gemeinsam mit 25 anderen Datenschutzbehörden aus weltweit 19 Ländern auch dieses Jahr wieder am internationalen GPEN Privacy Sweep teilgenommen. Dabei handelt es sich um eine Aktion des Global Privacy Enforcement Networks (GPEN), einem informellen Zusammenschluss von Datenschutzaufsichtsbehörden aus der ganzen Welt. Beim diesjährigen Sweep wurden weltweit über 1200 Apps daraufhin überprüft, ob die Nutzer in ausreichendem Maße über die Datenerhebung und -verarbeitung durch die Apps informiert werden. In diesem Rahmen haben Mitarbeiter des Hessischen Datenschutzbeauftragten eine repräsentative Auswahl von Apps hessischer Anbieter und Entwickler für die gängigsten Smartphone-Betriebssysteme iOS und Android im hauseigenenTestlabor untersucht.

Im Gegensatz zum letztjährigen GPEN Sweep, in dessen Rahmen Datenschutzerklärungen von klassischen Webseiten analysiert wurden, fielen die Ergebnisse der diesjährigen Überprüfung von Apps leider ernüchternd aus. Sie zeigten, dass viele App-Anbieter und Entwickler die datenschutzrechtlichen Anforderungen scheinbar nicht kennen. Mit Ausnahme weniger positiver Beispiele - häufig bei Apps größerer Unternehmen oder staatlicher Stellen - hatten die meisten untersuchten Apps erhebliche Defizite beim Inhalt der Datenschutzerklärung, sofern es eine solche überhaupt gab. Damit entsprach das Ergebnis aus Hessen leider auch den Erfahrungen, die die anderen teilnehmenden Datenschutzbehörden weltweit mit den dort untersuchten Apps gemacht haben.
So war insbesondere häufig zu beobachten, dass notwendige Informationen erst nach der Installation bzw. Nutzung der App und damit zu spät bereitgestellt wurden. Auch waren die zur Verfügung gestellten Informationen häufig unvollständig. So erfordern beispielsweise fast alle Apps den Zugriff auf Systemberechtigungen zur Nutzung bestimmter Daten und Sensoren, ohne jedoch zu erläutern wozu dies jeweils notwenig ist.

Nach dem Telemediengesetz sind die Anbieter von Apps, genauso wie die von Webseiten oder sonstigen Online-Angeboten, jedoch dazu verpflichtet, die Nutzer in allgemein verständlicher Form darüber zu informieren, welche Daten in welchem Umfang und zu welchen Zwecken durch die jeweiligen Dienste erhoben werden.

Der Hessische Datenschutzbeauftragte wird bei der Nachbereitung der Aktion an die Anbieter und Entwickler der negativ aufgefallenen Apps herantreten und darauf hinwirken, dass die Verstöße abgestellt werden und die Datenverarbeitung durch die Apps für die Nutzer transparenter wird.

Nur wenn die Nutzer von Apps ausreichend über die Verarbeitung ihrer Daten informiert werden, können sie sich bewusst für oder gegen die Nutzung einer App bzw. bestimmter Funktionen einer App entscheiden. Da nicht wenige Smartphone-Nutzer großen Wert auf einen sparsamen und seriösen Umgang mit ihren Daten legen, ist eine transparente und umfassende Information der Nutzer zudem nicht nur eine gesetzliche Pflicht, sondern gleichzeitig auch ein Wettbewerbsvorteil für den Anbieter der App. Dagegen sind viele Nutzer zu Recht misstrauisch gegenüber Anbietern solcher Apps, die verschiedene Systemberechtigungen anfordern, ohne zu erläutern, wozu diese jeweils erforderlich sind.
(zu diesem Thema s.a. Aufgabe für App-Anbieter - Transparenz für Android App-Nutzer herstellen!)


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 11.09.2014

 
 

Nokia nimmt Straßenansichten in Hessen auf (18. Juni 2014)


Nachdem bereits Google (street view) und Microsoft (bing maps streetside) hessische Straßen mit Kamerafahrzeugen befahren und verfilmt haben, plant nun auch die in Finnland ansässige Firma Nokia Corporation eine derartige Verfilmung in Hessen.

Die Befahrung wird von Fahrzeugen der niederländischen Nokia-Tochter HERE Europe B.V. durchgeführt. Welche Routen jeweils geplant sind, hat HERE auf ihrer Internetseite http://here.com/legal/driveschedule für die jeweils zwei folgenden Monate veröffentlicht. Danach stehen für den Monat Juli die Verfilmung der Städte Darmstadt, Frankfurt, Hanau, Kassel, Offenbach und Wiesbaden auf dem Programm.

Die Fahrzeuge, auf denen die Kameras installiert sind, sind mit dem Logo der Firma HERE gekennzeichnet.

Vor Einstellung der aufgenommenen Bilder ins Internet werden nach Angaben der Firma Nokia Personen und KFZ-Kennzeichen unkenntlich gemacht.

Außerdem bietet das Unternehmen das Unkenntlichmachen von Hausfassaden an. Der Hessische Datenschutzbeauftragte empfiehlt deshalb den Bürgerinnen und Bürger, die keine Veröffentlichung von Bildern ihrer Häuser wünschen, frühzeitig Widerspruch einzulegen. Sie können sich in deutscher Sprache per e-mail an privacy@here.com oder per Briefpost an Nokia Corporation, c/o Privacy, Karakaari 7, 02610 Espoo, Finnland wenden.


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 18.06.2014

 
 

Rede im Plenum des Hessischen Landtags zum 41. Tätigkeitsbericht (21.05.14)


Herr Präsident, meine sehr geehrten Damen und Herren,

wie üblich, äußere ich mich zu meinem Tätigkeitsbericht, heute für das Jahr 2012, sowie zur Stellungnahme der Landesregierung.

Der Tätigkeitsbericht betrifft vorwiegend Datenschutzrecht. Rechtliche Ausführungen sind für Nichtjuristen regelmäßig langweilig. Datenschutzrecht wiederum langweilt selbst Juristen und, um das Fass voll zu machen: Berichte über Vorfälle, die schon Jahre zurückliegen, sind auch nicht gerade fesselnd.

Ich habe es mir daher zur Gewohnheit gemacht, die Berichte mit Anleihen aus der Unterhaltungs-Branche aufzulockern, liefern doch umgekehrt die Datenschutzskandale immer mehr Stoff für Film und Fernsehen.

An der Spitze der Kernpunkte des Tätigkeitsberichts steht die europäische Entwicklung des Datenschutzes. Hierzu finden sich vor allem kompetenzrechtliche Bedenken gegen die geplante Datenschutz-Grundverordnung: Stand 2012. Skeptisch bin ich immer noch. Das hat mit Europaskeptizismus nichts zu tun. Die Datenschutz-Grundverordnung wurde als Anliegen propagiert, das europäische Datenschutz-Niveau auf das deutsche Level zu bringen. Euphorischen Enthusiasmus löste dies bei den anderen EU-Mitgliedstaaten nicht aus. Wir müssen also damit rechnen, dass unsere Datenschutzkultur nicht die ihr gebührende Anerkennung findet. Es kann ge-hen, wie beim European Song Contest. Man hofft auf Punkte, und dann wird Sieger bzw. Siegerin jemand, der oder die datenschutzrechtliche Probleme hinsichtlich der Verwendbarkeit biometrischer Daten zur Geschlechtsbestimmung hervorruft. Den Österreichern mag das Wurst sein. Europäische Vollharmonisierungsfanatiker sehen hier vermutlich Regelungsbedarf. Dass Big Data und Globalisierung europäische Regelungen erfordern, versteht sich von selbst. Es kommt darauf an, die richtige Mischung zwischen Einheit und Vielfalt zu finden. Die Ländervertreter sollten hellhörig werden, wenn nunmehr vom Bundesinnenministerium die Vollharmonisierung des europäischen Datenschutzrechts angemahnt wird. Das alles betrifft die Regulierung des Datenschutzes, nicht die Kontrolle der Einhaltung der Regulierung, die wegen der Synergie-Effekte im praktischen Vollzug unter Wahrung der föderalen Vielfalt in einer Hand liegen sollte. Dies ist in Hessen der Fall und muss auch so bleiben. Im Rückgriff auf das alte ius supremae inspectionis kann man mit dem Nr.1 Hit von den Atomic Kitten vom 22.5.2001 sagen „Whole again".

Was die US Einstellung zur EU angeht, hielt sich Assistant Secretary of State Victoria Nuland an den Hit von Eamon vom 22.5.2004 („fuck it“) und erklärte „fuck the EU“. Ich interpretiere das als nicht sonderlich geschmackvoll umschriebene Aufforderung zur Wahlbeteiligung am kommenden Sonntag.

Heute vor 10 Jahren belegte Marriah Carey Nr.1 der Hitparade mit „Without you“, was datenschutzrechtlich als Appell interpretiert werden müsste, soziale Netzwerke nicht oder nur mit Vorsicht zu nutzen. Der Staat jedenfalls kann soziale Netzwerke allenfalls beanspruchen, um durch ergänzende Mitteilungen Personen anzusprechen, die sonst nicht zu erreichen wären. Eine originäre Facebook-Fahndung kommt natürlich nicht in Betracht. Damit ist ein weiterer Kernpunkt abgehakt.

Zu einer wahren Plage entwickelte sich, um noch einen Kernpunkt aufzugreifen, die Videoüberwachung im öffentlichen und nicht-öffentlichen Bereich. Hierzu brauchen wir keine Anleihe bei der Unterhaltungsbranche. Die Videoüberwachung macht jeden zu seinem eigenen Regisseur. Die Videoüberwachung ist im Übrigen der einzige Punkt, in dem die Landesregierung dem Tätigkeitsbericht dezidiert widerspricht. Es geht aber nur um die Randfrage, wie die Videoüberwachung durch defekte Kameras oder Attrappen zu behandeln ist. Ich habe eingangs die juristische Arbeitsweise als langweilig für Nichtjuristen bezeichnet. Gestatten Sie mir trotzdem, näher auf die Kontroverse einzugehen. Folgende Situation, wie sie praktisch alltäglich vorkommt: Ein Beschäftigter bei einer Bäckerei wandte sich an mich und rügte‚ dass sein Arbeitsplatz ständig videoüberwacht werde, um Diebstahl durch Kunden und Personal zu verhindern. Meine Mitarbeiter suchten daraufhin die Bäckerei auf und stellten fest, dass tatsächlich mehrere Videokameras angebracht waren. Der Geschäftsinhaber machte geltend, dies sei unerheblich, da ein Teil der Kameras defekt sei und es sich bei den anderen Kameras um Attrappen handele. Ich ordnete daraufhin die Beseitigung der Kameras an und begründete das mit einem Verstoß gegen datenschutzrechtliche Vorschriften. So ist nach § 6 b BDSG die Videoüberwachung Dritter nur unter bestimmten Voraussetzungen zulässig. Bei der Videoüberwachung handelt es sich allerdings um die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen. Attrappen von Videokameras sind schon keine optisch-elektronischen Einrichtungen. Es findet ferner keine Beobachtung statt. Daraus schließt die Landesregierung messerscharf, dass der Wortlaut von § 6 b BDSG nicht erfüllt sei. Das bestreite ich auch gar nicht. ln Betracht kommt jedoch eine analoge Anwendung der Vorschrift, wenn eine planwidrige Regelungslücke vorliegt. Nach der Rechtsprechung des Bundesverfassungsgerichts besteht bei hoheitlichen Eingriffen in die Rechte Privater indessen ein Analogieverbot. Ob das auch bei Eingriffen zum Schutz anderer Privater gilt, ist aber fraglich. Trotzdem: Der Punkt geht an die Landesregierung. Das Anbringen von Attrappen verstößt aber gegen sonstige Vorschriften des Datenschutzes. Zu den Vorschriften über den Datenschutz zählen auch die geschriebenen und ungeschriebenen Grundrechte, namentlich, die informationelle  Selbstbestimmung. Das Bundesverfassungsgericht misst dem Gefühl des ständigen Überwachtwerdens hohe datenschutzrechtliche Relevanz zu. Dieses Gefühl wird insbesondere durch die Videoüberwachung vermittelt und besteht auch dann, wenn der Anschein einer realen Überwachung durch Attrappen geweckt wird. Strukturell ist die Verwendung von Attrappen mit einer polizeilichen Anscheinsgefahr vergleichbar. Nach der im Polizeirecht überwiegend vertretenen Meinung ist eine Anscheinsgefahr eine echte Gefahr. Entsprechend liegt in der "Beobachtung" durch eine nicht als solche erkennbare Attrappe ein Eingriff.

Letztlich werden die Verwaltungsgerichte zu entscheiden haben. Ich meinerseits hoffe, zweierlei nachgewiesen zu haben: Erstens: juristische Auseinandersetzungen sind mühsam und für Dritte möglicherweise langweilig, aber rational nachvollziehbar. Zweitens: Ich bin durchaus in der Lage, auch langweilige Kontroversen auszutragen.

Das erlaubt mir abschließend eine Aussage, die nichts mit dem Berichtszeitraum zu tun hat. Ich habe mich mit Äußerungen zur NSA-Affäre weitgehend zurückgehalten, weil es sich vorwiegend um eine politische Angelegenheit handelt, für die ich nicht zuständig bin. Was mich aber erstaunt, ist, dass die rechtliche Dimension der Affäre praktisch überhaupt nicht thematisiert wird. Spionage ist völkerrechtlich erlaubt. Das macht aber Spione nicht zu Kombattanten und rechtfertigt nicht deren Verstöße gegen die jeweils nationale Rechtsordnung. Es ist somit weniger bedeutsam, dass uns fremde Geheimdienste ausspioniert haben und ausspionieren, auch wenn die nahezu vollständige Erfassung der deutschen Bevölkerung einen unfreundlichen, gerade-zu beleidigenden Akt darstellt. Entscheidend ist, wozu die erhobenen Daten verwendet werden. Die Weitergabe von Betriebs- und Geschäftsgeheimnissen wäre beispielsweise ein Rechtsbruch, der mit Mitteln des internationalen Rechts geahndet werden könnte. Über die Abhörfolgen ist somit eine rechtliche Diskussion zu führen, bei der datenschutzrechtliche Gesichtspunkte mit zu berücksichtigen sind. An dieser Diskussion möchte ich mich beteiligen und würde mich freuen, wenn ich dabei auf Ihre Unterstützung zählen dürfte. Ich danke für Ihre Aufmerksamkeit.


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 22.05.2014

 
 

Verlassenes Krankenhaus, zurückgelassene Daten:
Schutz der Patientendaten jetzt sichergestellt!


Wiesbaden, den 6. Mai 2014

Verlassenes Krankenhaus, zurückgelassene Daten:
Schutz der Patientendaten jetzt sichergestellt!

Am 22. April erfuhr der Hessische Datenschutzbeauftragte, dass im Asklepios-Krankenhaus in Homberg, das nicht mehr als Krankenhaus genutzt wird, eine Vielzahl von Patientenakten lagern, die offenbar nicht ordnungsgemäß untergebracht waren.

Mitarbeiter des Hessischen Datenschutzbeauftragten machten sich daraufhin umgehend vor Ort ein Bild und dokumentierten das Vorgefundene fotografisch und schriftlich. Das Ergebnis dieser ersten Begehung war, dass die Patientendaten nicht ordnungsgemäß gesichert waren. Beispielhaft seien hier folgende Mängel benannt:

  • keine Eingangstür und kein Fenster war gegen Einbruch geschützt
  • die in verschiedenen Räumen vorgefundenen medizinischen Unterlagen (Akten, Festplatten, Röntgenbilder) wurden zum Teil in unverschlossenen Schränken aufbewahrt
  • zwei Archivräume im Keller hatten keine Einbruchs hemmenden Türen
Der Hessische Datenschutzbeauftragte schlug deshalb folgende Sofortmaßnahmen zur Sicherung der Daten vor:

  • Verbringung der zusammengetragenen Akten, Festplatten und Röntgenbilder, die noch einer Aufbewahrungspflicht unterliegen, in Archivräumen im leerstehenden Gebäude
  • Sicherung der Türen und Fenster dieser Räume mittels besonderer Vorrichtungen
  • Ordnungsgemäße Vernichtung der Daten, die bereits einer Vernichtung zuzuführen sind
Zudem hat er die Erstellung eines  umfassenden Gesamtsicherheitskonzepts gefordert.


Ein etwaiger Verdacht, dass das in Homberg Vorgefundene auf Mängel in den anderen Krankenhäusern der Asklepios-Schwalm-Eder-Kliniken GmbH schließen lässt, hat sich nicht erhärtet. Dies haben Mitarbeiter des Hessischen Datenschutzbeauftragten bei einer Überprüfung am 5. Mai in der ebenfalls zum Asklepios-Verbund gehörenden Klinik in Schwalmstadt festgestellt.

Da die Klinik die Umsetzung der für das Krankenhaus Homberg geforderten Sofortmaßnahmen mit Schreiben vom 2. Mai bestätigt hatte, wurde auch dies am 5. Mai vor Ort überprüft. Dabei wurde festgestellt, dass alle Forderungen und Vorschläge des Hessischen Datenschutzbeauftragten, die dieser nach seiner ersten Begehung am 24. April formuliert hatte, umgesetzt worden sind.

Der Hessische Datenschutzbeauftragte wird darauf dringen, dass ihm das zugesicherte Gesamtsicherheitskonzept zeitnah vorgelegt wird.

Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.05.2014

 
 

Der Hessische Datenschutzbeauftragte zum Urteil des EuGH zur Vorratsdatenspeicherung


Wiesbaden, den 8. April 2014

Der Hessische Datenschutzbeauftragte zum Urteil des EuGH zur Vorratsdatenspeicherung

Datenschutzrecht ist Abwägungsrecht. Auch die europäischen Grundrechte gelten nicht schrankenlos und haben den Belangen der öffentlichen Sicherheit Rechnung zu tragen. Aber dabei ist den Abwägungsbelangen des Datenschutzrechts das gebührende Gewicht einzuräumen. Unter diesem Aspekt stellt das Urteil des EuGH zur Vorratsdatenspeicherung nach Ansicht des Hessischen Datenschutzbeauftragten einen Meilenstein in der Entwicklung des europäischen Datenschutzrechts dar. Die Vorratsdatenspeicherung ist nicht per se unzulässig. Aber für andere Zwecke erhobene Verkehrsdaten dürfen nur als ultima ratio für höherrangige Güter des Gemeinwohls verwendet werden. Die Erforderlichkeit der Zweckänderung und die Bedeutung des Gemeinwohlgutes hat der Gesetzgeber nachzuweisen. Dies war ihm mit der Richtlinie 2006/24/EG nicht gelungen.

Die Abwägung ist jedoch eine permanente Aufgabe des europäischen  und nationalen Gesetzgebers. Die Vorratsdatenspeicherung ist mit dem heutigen Urteil nicht endgültig vom Tisch. Eine weitergehende Interpretation der EuGH-Entscheidung wäre realitätsblind, so Prof. Ronellenfitsch.

Der Hessische Datenschutzbeauftragte wird darauf achten, dass dem Datenschutz in der künftigen Abwägung das ihm zukommende Gewicht beigemessen wird.

Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.04.2014

 
 

Der Hessische Datenschutzbeauftragte legte den 42. Tätigkeitsbericht vor (08. April 2014)


Wie auch in den vergangenen Jahren nahm der Hessische Datenschutzbeauftragte zu aktuellen Gesetzesvorhaben Stellung, begleitete die Einführung neuer DV-Verfahren und stand für die mit der Zusammenlegung des öffentlichen und privaten Bereichs verbundene anschwellende Flut von Bürgeranfragen und -beschwerden zur Verfügung.zum 42. Tätigkeitsbericht
Die datenschutzrechtliche Debatte des Berichtsjahres war allerdings vor allem geprägt durch das massenhafte Ausspähen der Kommunikation durch ausländische Nachrichtendienste.


Abhöraktivitäten ausländischer Nachrichtendienste

Nach den bisher vorliegenden Erkenntnissen muss davon ausgegangen werden, dass us-amerikanische und britische Nachrichtendienste ohne konkreten Anlass massenhaft Telekommunikationsverkehre auch in Hessen überwacht haben. Dies ist nach deutschem Recht unzulässig. Selbstverständlich ist auch bei der Telekommunikationsüberwachung befreundeter Dienste in Deutschland deutsches Recht anwendbar. Der Hessische Datenschutzbeauftragte hat für den Fall eklatanter Verstöße gegen deutsches Recht auf die Möglichkeit hingewiesen, bei den seiner Kontrolle unter-liegenden Datentransfers in die USA die erleichterte Datenübermittlung nach dem Safe Harbor Abkommen auszusetzen.


Datenschutzgrundverordnung

Bereits im letzten Tätigkeitsbericht hatte Prof. Dr. Ronellenfitsch über die geplanten Neuregelungen im Datenschutzrecht auf europäischer Ebene berichtet. Obwohl er eine Fortentwicklung des europäischen Datenschutzrechts für dringend erforderlich hält, rechtfertigt die unionsrechtliche Vereinheitlichung aus seiner Sicht keine Beschneidung der Fortentwicklungsmöglichkeiten des deutschen Datenschutzrechts. Er hält deshalb seine schon wiederholt geäußerten verfassungsrechtlichen Bedenken ausdrücklich aufrecht.


Videoüberwachung

Das Thema Videoüberwachung ist und bleibt ein Dauerbrenner! Die Zahl der Anfra-gen beim Hessischen Datenschutzbeauftragten steigt ständig; denn sowohl im öffentlichen als auch im privaten Bereich werden immer mehr Überwachungskameras installiert. Betroffen sind Bäckereien, Friseursalons, Sauna- und Umkleidebereiche, Stadthallen, denkmalgeschützte Einrichtungen und sogar der hessische Wald. Auch vor Schulen und Kindergärten machen die Kameras nicht halt, wie der Hessische Datenschutzbeauftragte im vergangenen Jahr feststellen musste. Anders als im Bundesdatenschutzgesetz fehlt im Hessischen Datenschutzgesetz eine Rechtsgrundlage für die Videoüberwachung durch öffentliche Stellen zur Ausübung ihres Hausrechts. Eine Ausnahme bilden hier nur besonders gefährdete öffentliche Einrichtungen. Hier sieht Prof. Ronellenfitsch den Gesetzgeber in der Pflicht.

Ein Novum bei den Eingaben zur Videoüberwachung sind die Beschwerden über Flugdrohnen mit HD-Kamera. Deren Einsatz ist dann problematisch, wenn die Auf-nahmen einen Personenbezug erkennen lassen oder aber gezielt öffentlich zugängliche Bereiche aufgenommen werden. Leider kann die verantwortliche Stelle oder Per-son in den meisten Fällen nicht ausfindig gemacht werden, da die die Flugdrohnen steuernden Personen oftmals weit entfernt stehen und nicht identifiziert werden können.


Ungesicherte Krankenakten im Universitätsklinikum
Durch eine Eingabe wurde der Hessische Datenschutzbeauftragte darauf aufmerksam, dass die Lagerung von Krankenakten in einzelnen Archivräumen des Klinikums der Goethe-Universität Frankfurt a. M. nicht den datenschutzrechtlichen Bestimmungen entsprach. Die Patientenunterlagen wurden in Stehordnern, unverschlossenen Aktenschränken und Umzugskisten in Räumen aufbewahrt, durch die man auch zu technischen Anlagen und Räumen mit anderen Funktionen gelangte. Damit hatte ein unbefugter Personenkreis Zugang zu Patientendaten. Aufgrund der Vorgaben des Hessischen Datenschutzbeauftragten hat das Klinikum zeitnah reagiert und durch bauliche Maßnahmen eine datenschutzkonforme Archivierung der sensiblen Patientenunterlagen realisiert. Der Hessische Datenschutzbeauftragte hat sich mittels Nachkontrollen ein Bild von der ordnungsgemäßen Umsetzung gemacht. Prof. Ronellenfitsch betont, dass es wichtig ist, darauf zu achten, dass Gesundheitsdaten sensibel gehandhabt werden.  Auch die Datensicherheit gewährleistet sein.


Unzulässige Übermittlung von Sozialdaten an Vermieter

Immer wieder erreichen den Hessischen Datenschutzbeauftragten Beschwerden von Sozialleistungsempfängern, die monieren, dass das Jobcenter zur Feststellung der Kosten für Unterkunft und Heizung sowohl die komplette Vorlage des Mietvertrages und Unterlagen zu Nebenkosten als auch eine Mietbescheinigung des Vermieters verlangt. Diese Bescheinigung erfolgt meist auf einem Formular, das die empfangende Behörde erkennen lässt. Diese parallele Vorgehensweise hält Prof. Ronellenfitsch für datenschutzrechtlich unzulässig. Weder die komplette Vorlage des Mietvertrages ist rechtlich geboten, noch geht es den Vermieter etwas an, dass sein Mieter Sozialleistungen bezieht. Die Mitwirkungspflicht des Leistungsempfängers ist erfüllt, wenn er z.B. durch Kontoauszüge, das letzte Mieterhöhungsschreiben bzw. Betriebskostenabrechnung die tatsächlich geleisteten Mietzahlungen nachweist.


Aufzeichnung von Telefonaten bei Kreditinstituten

Viele Kreditinstitute zeichnen bei ihnen eingehende Telefonate auf. Dagegen haben sich im Berichtszeitraum wiederholt Beschwerden gerichtet. Der Hessische Datenschutzbeauftragte weist darauf hin, dass eine Aufzeichnung von Gesprächen nur unter engen Voraussetzungen zulässig ist. Durch die Information des Gesprächspartners vor der Aufzeichnung ist eine ausreichende Transparenz zu schaffen. Das Recht auf informationelle Selbstbestimmung erfordert außerdem eine Zustimmung zur Aufzeichnung oder zumindest eine nicht genutzte Widerspruchsmöglichkeit dazu. Die Aufzeichnung darf sich auch nicht auf die gesamte telefonische Kommunikation mit einem Kunden erstrecken. Stattdessen ist es erforderlich, Möglichkeiten der telefonischen Kontaktaufnahme ohne Aufzeichnung zu schaffen. Schließlich sind die Aufzeichnungen zu löschen, wenn diese nicht mehr erforderlich sind.


Scoring von Handelsauskunfteien

Auch im vergangen Jahr gab es wieder zahlreiche Beschwerden und Anfragen über das Scoring von Handelsauskunfteien. Überwiegend wurde bemängelt, dass ein konkretes Scoring nicht den tatsächlichen Wahrscheinlichkeiten entspreche; hierbei wurde die Richtigkeit des aus den vorhandenen Daten errechneten Wahrscheinlichkeitswertes bestritten und die Nichteinbeziehung vorhandener Vermögenswerte bemängelt. Die Überprüfung der Fälle durch den Hessischen Datenschutzbeauftragten ergab, dass sich die Auskunfteien bei ihren Berechnungen ganz überwiegend an die gesetzlichen Vorgaben des § 28 b BDSG halten und ihre Vorgehensweise nicht zu beanstanden ist. Nur in einem geprüften Fall stellten die Mitarbeiter von Prof. Ronellenfitsch ein rechtlich unzulässiges Geoscoring fest. Die Auskunftei konnte von der Unzulässigkeit ihres Geschäftsmodells überzeugt werden.


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.04.2014

 
 

Rede von Prof. Ronellenfitsch anlässlich seiner Wiederwahl zum Hessischen Datenschutzbeauftragten (12. März 2014)


Herr Präsident, meine sehr geehrten Damen und Herren Abgeordnete! Vielen Dank für die durch meine Wiederwahl zum Ausdruck gebrachte Anerkennung der Leistung der Behörde des Hessischen Datenschutzbeauftragten – d. h. in erster Linie der Leistung meiner Mitarbeiterinnen und Mitarbeiter. Danke auch für die konstante Unterstützung durch Landtagspräsident Kartmann und den Direktor beim Landtag von Unruh, die zeigt, dass unionsrechtlich „völlig unabhängig“ auf Hessisch nicht „völlig losgelöst“ heißt. Mir ist klar: Das Wahlergebnis verdanke ich einem Wahlmodus, der mir die Konkurrenz mit dem Datenschutz Max Mustermann ersparte.

Ich hätte sonst keine Chance gehabt. Ein Musterdatenschützer war ich nicht, bin ich nicht und will ich auch nie sein. Ich sehe jedenfalls nicht alles durch die Brille des Datenschutzes. Der Datenschutz kann und soll gebotene wirtschaftliche, soziale, ökologische und technologische Entwicklungen nicht verhindern, aber er ist überall mit zu berücksichtigen und dies von Verfassungs wegen, und darauf werde ich weiterhin achten.

Das folgt aus meinem Rollenverständnis. Anlässlich meiner dritten Wahl habe ich mich zur Bedeutung der Zahl Drei in der hessischen Politik geäußert, heute ist die Zahl Vier dran. Beim Fußball ist hier die Nummer des Innenverteidigers bzw. Vorstoppers gemeint. Zentrale Aufgabe des Hessischen Datenschutzbeauftragten ist es, Verfassungsverstöße gegen den Datenschutz schon im Vorfeld abzuwehren und zu verhindern, dass wir überhaupt zum Bundesverfassungsgericht kommen.

Dabei gibt es ein kleines Problem: In der Hessischen Verfassung bzw. im Grundgesetz steht der Datenschutz gar nicht drin. Aber das Bundesverfassungsgericht hat es in seiner Allmacht für sinnvoll und zu Recht für nötig gehalten, den Datenschutz aus den Grundrechten abzuleiten und ihn zwischen der allgemeinen Handlungsfreiheit und der Menschenwürde anzusiedeln. Die Konkretisierung und genaue Lokalisierung ist den Parlamenten überlassen, also Ihnen, meine sehr verehrten Damen und Herren. Ich kann Ihnen da nur geringfügig Unterstützung anbieten. Ich maße es mir nicht an, Ihnen Ratschläge zu erteilen, obwohl ich das sehr häufig tue. Aber meine Aufgabe ist es, Sie über die Entwicklungen des Datenschutzes auf dem Laufenden zu halten. Dem dienen meine Tätigkeitsberichte, und diesen möchte ich nicht vorgreifen, zumal angesichts der vorgerückten Zeit.

Generell ist die vierte Wahl zum Hessischen Datenschutzbeauftragten ein Anlass, vier Punkte anzusprechen, auf die ich kurz eingehen möchte. Ich hoffe, Ihnen nicht allzu viel von Ihrer Zeit zu stehlen.

Praktisch als Trailer für meine nächsten Tätigkeitsbericht, um Ihnen den Mund wässrig zu machen, sich diesen Tätigkeitsbericht anzuhören und zur Kenntnis zu nehmen: Die sprunghafte Entwicklung der Informationstechnologie stellt den Datenschutz vor extrem hohe Anforderungen. Das Arbeitspensum in meiner Behörde ist immens gewachsen. Wir haben z. B. allein 7.000 Eingaben im vergangenen Jahr zu bearbeiten. Das hat dazu geführt, dass die Zusammenführung vom privaten und öffentlichen Bereich noch nicht in eine endgültige Konsolidierungsphase eingetreten ist. Wir müssen noch organisatorische Vorkehrungen treffen, um alles unter einem Dach unterzubringen. Ich hoffe da auf die Unterstützung des Haushaltsausschusses und des Finanzministers. Aber ich bin mir dessen gewiss, dass wir diese Unterstützung bekommen werden.

Das Arbeitspensum jedenfalls ist immens und von meinen Mitarbeiterinnen und Mitarbeitern bisher exzellent geleistet worden. In dieser Situation erklärte ich mich bereit, an Bord zu bleiben und nicht klammheimlich zu verschwinden. Das ist mir auch deswegen leichter gefallen, weil die Entwicklungen im Datenschutz positiver sind, als es medial zum Ausdruck gebracht wird.

Die „Ich-habe-nichts-zu-verbergen-Mentalität“ klingt ab, sieht man von den Handyruhestörern im öffentlichen Personenverkehr ab, die informationelle Selbstbestimmung mit aufgedrängter Bereicherung verwechseln.

Die Medienkompetenz der Kinder und Jugendlichen nimmt dementsprechend zu, nicht nur in Rheinland-Pfalz, auch in Hessen, ohne extreme Anstrengungen. Die Erziehungsberechtigten ziehen allmählich nach: Einige können SMS schreiben, manche können sie sogar versenden.

Generell muss jedoch daran gearbeitet werden, in der Bevölkerung das Bewusstsein von der Notwendigkeit und dem Nutzen eines sorgsamen Umgangs mit den eigenen Daten zu verbreitern. Dieses Bewusstsein erlitt einen empfindlichen Rückschlag durch die Abhöraktivitäten ausländischer Nachrichtendienste, die Ohnmachtsgefühle auslösten. Dadurch gerieten andere Problembereiche des Datenschutzes in den Hintergrund, wie etwa die Unkontrollierbarkeit sozialer – besser gesagt: asozialer – Netzwerke und die zunehmende Bespitzelung privater Nachbarn mithilfe von Videokameras, Drohnen und dergleichen.

Zur Geheimdienstaffäre will ich mich nicht näher einlassen; das habe ich auch bisher nicht getan, allerdings mit zwei Ausnahmen: Ich ließ mich einmal im Juli 2013 bei einem Interview mit der „FAZ“ zu der Bemerkung hinreißen: „Ich weiß nicht mehr als die Bundeskanzlerin, also nichts.“

Das war rein spekulativ. Ich wusste wirklich nicht, dass zu diesem Zeitpunkt die NSA tatsächlich insgeheim das Handy der Kanzlerin abhörte. Dass dies geheim war, liegt in der Natur der Sache; denn ein Geheimdienst wird erfahrungsgemäß geheim handeln, sonst würde es ja Transparenzagentur heißen.

Zum anderen gab ich bei der IHK Frankfurt die Erklärung ab, ich würde künftig die sogenannte Safe-Harbor-Entscheidung der Kommission in dem Sinn auslegen, dass bei der Übermittlung personenbezogener Daten in die USA nicht automatisch von einem angemessenen Schutzniveau ausgegangen werden könnte. Ich behalte mir vor, Datentransfer in die Vereinigten Staaten die Genehmigung zu versagen, falls mir nicht ein adäquater Datenschutz nachgewiesen worden ist.

Zum Thema eine abschließende Bemerkung: Dass die nachrichtendienstlichen Tätigkeiten zu Irritationen geführt haben, beruht vor allem auf der mangelnden Akzeptanz und Kenntnis des jeweiligen Datenschutzverständnisses. In den USA hält man ersichtlich das deutsche Datenschutzverständnis für völlig überzogen und unangemessen. Von den USA darf man jedoch erwarten, dass sie zumindest diejenigen Datenschutzvorkehrungen akzeptieren, die auf ihren Einfluss zurückgehen. In der amerikanischen Besatzungszeit haben wir uns als gelehrige Schüler in der Bändigung von Staatsgewalt erwiesen. Zumindest dafür können wir Respekt der Vereinigten Staaten verlangen.

To respect ist ein Ausdruck, der nicht nur im Sprachgebrauch des Zusatzabkommens des NATO-Truppenstatuts auftaucht oder im Sprachgebrauch des früheren Bundeskanzlers Schröder, sondern eine Forderung, die den USA spätestens seit dem gleichnamigen Welthit von Aretha Franklin aus dem Jahr 1967 zum politischen Programmsatz geworden ist. Die Älteren von Ihnen kennen den Titel vielleicht noch: „R-E-S-P-E-C-T“ von Aretha Franklin. Die wirklichen Experten wissen, dass der Titel von Otis Redding stammt, der bekanntlich „Sitting on the dock of the bay“ sang. Da saß er und hat sich eingebildet, in einem sicheren Hafen zu sein – war er allerdings nicht.

So viel zum Musikalischen. Otis Redding bringt mich zu Viviane Reding; es fehlt nur ein d.

Das ist bekanntlich die Justizkommissarin der Europäischen Union, die die Novellierung des europäischen Datenschutzrechts mit großem Einsatz verfolgt hat. Das Anliegen, das europäische Datenschutzrecht zu modernisieren und auf deutsches Niveau zu bringen, hat enthusiastische Zustimmung bei meinen Kollegen ausgelöst, Begeisterung, dass wir Exportartikel europäisch verkaufen könnten. Allerdings gab es einen Kritiker. Das war leider Gottes ich. Meine Bedenken, dass die geplante Grundverordnung das deutsche Datenschutzniveau festschreibe, die Parlamente in den Mitgliedstaaten und das Bundesverfassungsgericht insoweit eliminiere und den Datenschutz letztlich nur zu einem Machtzuwachs der Kommission instrumentalisiere, stießen hierzulande auf offene Ohren. Von Hessen ging der Widerstand gegen die Grundverordnung in der geplanten Form aus, und es ist bisher gelungen, sie in der bestehenden Form zu verhindern. Ich hoffe, dass das weiterhin so der Fall sein wird.

Das trug uns Kritik ein. Dabei hat in Hessen niemand die Notwendigkeit einer Modernisierung des europäischen Datenschutzes bestritten. Hier in diesem Haus ist auch niemand Antieuropäer. Modernisierung des europäischen Datenschutzes ist geboten, aber auf die richtige Art und Weise, und dazu wollen wir unseren Beitrag leisten. Um zu demonstrieren, dass wir europäisch orientiert sind, habe ich im Auftrag des Europarats in Kiew ein rechtsstaatliches Datenschutzrechtseminar abgehalten. Ich maße mir aber nicht an, mir einzubilden, dass das einen Einfluss gehabt hat auf die spätere Entwicklung in der Ukraine. Aber jedenfalls haben wir uns schon rechtzeitig um diese Region bemüht.

Mit dem Präsidenten des Hessischen Landtags veranstaltete ich übrigens ein Wiesbadener Forum zum Thema Europa als datenschutzrechtliches Bollwerk. Das war, wohlgemerkt, vor Bekanntwerden des Nachrichtenskandals. Der Skandal wurde dann herangezogen, um die Notwendigkeit einer Europäisierung des Datenschutzes zu rechtfertigen. Dabei blieb die Tätigkeit des britischen Geheimdienstes völlig unberücksichtigt.

Für die Datensicherheit müssen zunächst einmal wir sorgen. Diese Haltung halte ich für sachgerecht und konsequent und weise die Kritik an dem Hessischen Landtag und an der hessischen Position zurück.

Viertens und letztens. Schmackhaft gemacht werden sollte die europäische Grundverordnung auch durch das dort geregelte Recht auf Vergessen. Gemeint ist das Recht, vergessen zu werden. Diese Fragestellung liegt dem Bundesverfassungsgericht zur Entscheidung vor. Es geht darum, dass ein Straftäter nach Verbüßung seiner Haftstrafe die Löschung aller in einem Onlinearchiv vorhandenen Daten, aus denen er identifiziert werden könnte, erreichen will, Stichwort: Resozialisierung. Das Bundesverfassungsgericht hat die Datenschutzbeauftragten gezielt um Stellungnahme gebeten, ob und wie der Zugriff von Suchmaschinen auf solche Daten verhindert werden könnte. Die Antwort ist noch offen.

Ich muss Ihnen offen sagen: Ich werde darauf nicht antworten. Mir ist die Fragestellung zu eng. Ich betrachte mich zwar als Vorstopper vor dem Bundesverfassungsgericht, gehe aber auch auf Fragen ein, die das Bundesverfassungsgericht nicht stellt oder nicht stellen will. Wer erwartet, dass ich mich pauschal gegen Onlinearchive ausspreche – Motto: Das Internet vergisst nichts – täuscht sich. Ich sehe auch hier den Datenschutz ambivalent. Es gibt meines Erachtens ein Recht, nicht vergessen zu werden. Jedenfalls die Opfer spektakulärer Gewaltverbrechen – Stichwort: NSU, Mauerschützen und dergleichen – haben einen Anspruch auf historische Wahrheit, und dazu gehört die Nennung von Ross und Reiter.

Danach wurde ich nicht gefragt. Ich werde aber weiterhin ungefragt zu Streitpunkten des Datenschutzes Äußerungen abgeben und Antworten geben, die ein Musterdatenschützer so nicht geben würde. Das wussten Sie. Sie haben mich trotzdem gewählt. Sie tragen damit Mitverantwortung für dieses Konzept des Datenschutzes. Um es marktschreierisch, einem Trailer entsprechend, zu formulieren:
Hessischer Datenschutz bedeutet Datenschutz effektiv durch Augenmaß. Dafür stehe ich, dafür werbe ich, dafür bitte ich um Ihre Unterstützung, und dafür bedanke ich mich bereits im Vorfeld. – Vielen Dank für Ihre Aufmerksamkeit.


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 17.03.2014

 
 

Pressemitteilung zur Entscheidung des BGH über den Umfang einer von der SCHUFA zu erteilenden Auskunft


Wiesbaden, den 30. Januar 2014

Pressemitteilung


Der Hessische Datenschutzbeauftragte, Prof. Michael Ronellenfitsch, begrüßt die Entscheidung des Bundesgerichtshofs vom 28. Januar zur Auskunftspflicht der SCHUFA.

Die Entscheidung des Bundesgerichtshofs bestätigt die bisherige Aufsichtspraxis des für die Aufsicht der SCHUFA zuständigen Hessischen Datenschutzbeauftragten. Die Struktur der von der SCHUFA erteilten Selbstauskünfte wurde bisher nicht bemängelt. Diese enthalten neben den von der SCHUFA gespeicherten Daten auch umfangreiche Informationen zu den von der SCHUFA an Dritte übermittelten Scorewerten und den darin verarbeiteten Datenarten. Gemeinsam mit den allgemeinen Informationen der SCHUFA zu dem von ihr verwendeten Scoringverfahren ist dieses für Betroffene nach Auffassung von Prof. Ronellenfitsch ausreichend transparent und vermittelt die im jeweiligen Scorewert verarbeiteten Daten.

Eine noch größere Transparenz der Bedeutung einzelner Merkmale für den Scorewert könnte zwar weitere Unsicherheiten im Umgang mit Scoringverfahren reduzieren. Das anerkennenswerte Interesse der SCHUFA an der Geheimhaltung von Details des Scoringverfahrens und der sich aus den gespeicherten Daten ermittelten statistischen Bedeutung für die Bonität Betroffener stehen dem jedoch entgegen. Angesichts der vielfältigen das Scoring beeinflussenden Faktoren und der sich daraus ergebenden begrenzten Bedeutung der im Verfahren vor dem Bundesgerichtshof verhandelten Gewichtung einzelner Merkmale ist die damit einhergehende Reduzierung der Transparenz aus Sicht des Hessischen Datenschutzbeauftragten gerechtfertigt.


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 30.01.2014

 
 

Zum Tod von Winfried Hassemer
Hessischer Datenschutzbeauftragter von 1991 – 1996


Winfried Hassemer wurde am 22.10.1991 einstimmig vom Hessischen Landtag zum dritten Hessischen Datenschutzbeauftragten als Nachfolger von Spiros Simitis gewählt, der das Amt zuvor 16 Jahre inne hatte.
Hassemer gab dem Amt des Hessischen Datenschutzbeauftragten als Strafrechtler und Rechtssoziologe eine eigene Prägung. Dies zeigte sich insbesondere in den Themen des von ihm initiierten „Forum Datenschutz“. Gemeinsam mit dem damaligen Präsidenten des Hessischen Landtags, Karl Starzacher, hat er mit dieser Veranstaltungsreihe aktuelle Datenschutzthemen in das Bewusstsein vieler getragen. Exemplarisch genannt sei hier das Forum "Organisierte Kriminalität – geschützt vom Datenschutz?"
Der große Erfolg dieser Initiative hat Hassemers Nachfolger bewogen, die Veranstaltungsreihe als hessisches Markenzeichen fortzusetzen. Bis heute ist diese von Hassemer begründete Veranstaltungsreihe stets gut besucht und bundesweit beachtet.

Auch nachdem Winfried Hassemer 1996 zum Richter am Bundesverfassungsgericht ernannt wurde, hat er sich immer wieder zu datenschutzrechtlichen Fragestellungen zu Wort gemeldet. Er warnte vor der zunehmenden Gefährdung der informationellen Selbstbestimmung durch die Datenverarbeitung in privater Hand, sah aber durchaus auch weiterhin eine Gefährdung der Persönlichkeitsrechte durch den Daten verarbeitenden Staat:  „Dazu ist die Obrigkeit auf zu vielen Feldern mit zu vielen Eingriffsinstrumenten noch bedrohlich präsent“.

In einem FAZ-Interview im Jahr 2008 bemerkte Hassemer – ganz im Sinne des derzeitigen Amtsinhabers: „Es steht wirklich nicht gut um den Datenschutz heute. Der Datenschutz hat eine glorreiche Vergangenheit, eine bedrohte Gegenwart und eine offene Zukunft“.

Die jüngsten Erkenntnisse über die Tätigkeiten der Geheimdienste oder auch der sozialen Netzwerke bestätigen seinen Skeptizismus.

Der kritische Geist von Winfried Hassemer wird den Menschen, die einzuschätzen wissen, was Schutz der Privatheit bedeutet, sehr fehlen.


Zurück zur Übersicht der Pressemitteilungen 2014

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 15.01.2014