Please activate JavaScript!
Please install Adobe Flash Player, click here for download

Bericht Datenschutz und Datensicherheit 2010

Als Spiegelbild der Regelungen zum Scorewert wurde das Auskunftsrecht des Betroffenen nach § 34 BDSG erweitert, um dem Transparenzgebot Rechnung zu tragen: Der Betroffene darf Auskunft verlangen über die innerhalb der vergangenen sechs Monate (bei Auskunfteien innerhalb der vergangenen 12 Monate) erhobenen bzw. genutzten Scorewerte und darü­ ber, welche Datenarten für die Berechnung verwendet wurden. Des Weite­ ren hat der Betroffene einen Anspruch darauf, dass ihm nachvollziehbar in allgemein verständlicher Form erklärt wird, wie der Scorewert zustande kam und welche Bedeutung er hat. Aus Transparenzgründen wurde auch § 6 a BDSG erweitert, der nun vorschreibt, dass dem Betroffenen auf Nach­ frage bei einer belastenden automatisierten Einzelentscheidung die der Entscheidung zugrunde liegenden wesentlichen Gründe erläutert werden. Die Deutsche Telekom hat sich hinsichtlich dieser zusätzlichen Auskunfts­ rechte vorbereitet. Sofern ein Kunde beispielsweise fragt, warum sein Auf­ trag abgelehnt wurde, wird er vom allgemeinen Kundenservice zu eigens eingerichteten Teams verwiesen, die diese Nachfragen bearbeiten. Diese Mitarbeiter verfügen nun zusätzlich über die erforderlichen Informationen, um dem anfragenden Kunden den wesentlichen Ablehnungsgrund darle­ gen zu können. Auf diese Weise wird dem Auskunftsrecht Rechnung getragen, gleichzeitig kann aber nur eine eng begrenzte Anzahl speziell geschulter Service­Mitarbeiter auf die teilweise sensiblen Informationen zugreifen. Weitere Gesetzgebungsverfahren laufen zur Umsetzung der Vorgaben der im Dezember 2009 auf europäischer Ebene in Kraft getretenen Richt­ linien für den Kommunikationssektor. Diese europäischen Vorgaben müssen in deutsches Recht umgesetzt werden. Teil dieses Richtlinien­ paketes ist die so genannte ePrivacy­Richtlinie (Datenschutzrichtlinie für elektronische Kommunikation). Sie erfordert einige Anpassungen des deutschen Datenschutzrechts. Kernelemente dieser erforderlichen Anpassung sind: – Ausweitung der Pflicht zur Information über Datenpannen speziell für Anbieter von Kommunikationsdiensten. Die europäischen Vorgaben sehen eine Pflicht zur unverzüglichen Benachrichtigung der Aufsichts­ behörde und des Betroffenen im Fall einer Verletzung des Schutzes personenbezogener Daten vor, beispielsweise durch unberechtigte Ver­ wendung seiner Daten. Darüber hinaus wird die Informationspflicht auch auf interne Vorgänge wie zum Beispiel Entwendung von Daten ausgedehnt – Verschärfung der Anforderungen an die Einwilligung des Betroffenen in die Verarbeitung personenbezogener Daten. Dies betrifft die Ausdeh­ nung der so genannten Opt­In­Lösung etwa auf Cookies in Brow­ sern zum Surfen im Internet oder bei ähnlichen technischen Lösungen, mit denen ein Internetnutzer wiedererkannt werden kann. Dabei sind in erster Linie die Anbieter von Browsern adressiert: Der Internetnutzer soll besser über den Umgang mit seinen personenbezogenen Daten informiert werden und mehr Einfluss auf den Umgang mit seinen Daten beim Einsatz von Cookies haben, als es das deutsche Datenschutzrecht bisher vorsieht. Bei der Umsetzung dieser Vorgaben geht es beispiels­ weise um die Frage, ob der Nutzer jeden Cookie separat akzeptieren können muss oder ob es ausreicht, einmal in den Einstellungen seines Internetbrowsers wählen zu können, welchen Sicherheitsstandard er wünscht, verbunden mit der Möglichkeit, diese Einstellungen jederzeit ändern zu können. Die Deutsche Telekom begrüßt die Verbesserungen des Schutzes perso­ nenbezogener Daten und bringt ihre Ideen hierzu im Gesetzgebungs­ verfahren zur Umsetzung der ePrivacy­Richtlinie ein. Sie hält es im Sinne eines umfassenden Schutzes allerdings für angebracht, die Anpassungen nicht nur auf Anbieter von Kommunikationsdiensten zu beschränken, sondern auf alle Branchen auszudehnen. Denn etwa auch in der Gesund­ heitsbranche wird mit sensiblen, personenbezogenen Daten umgegangen, die ein gleiches Maß an Schutz erhalten sollten. Ein solches Schutzniveau kann über die derzeit stattfindende Diskussion über eine Novellierung der europäischen Datenschutzrichtlinie von 1995 erreicht werden (siehe hierzu Seite 28). Darüber hinaus sollen weitere Vorschriften im Telekommunikations­ gesetz angepasst werden. Kernelemente aus datenschutzrechtlicher Sicht sind: – Anpassung von Vorschriften, um etwa eine Wartung von Systemen nach dem „Follow­the­Sun­Prinzip“ zu ermöglichen. Beispielsweise kann dann ein Wartungsvorgang morgens in Deutschland begonnen, nach Betriebsschluss in den USA fortgesetzt und nach dortigem Arbeitsende in Indien beendet werden. Dabei gilt es, die Einhaltung datenschutz­ rechtlicher Regelungen sicherzustellen – Überarbeitung der datenschutzrechtlichen Regelungen für die Nutzung von Standortdaten im Rahmen von so genannten Lokalisierungs­ diensten (Location Based Services ) Opt­In, Opt­Out. Opt­In bezeichnet einen Vorgang zur Nutzung von Kundendaten: Bei diesem Verfahren müssen Unternehmen für jede Nutzung von Daten die Zustimmung der Kunden erfragen. Sie dürfen die Daten nur dann nutzen, wenn der jeweilige Kunde explizit zugestimmt hat, etwa per E­Mail, Telefon oder SMS. Bei der Opt­Out­Lösung nutzen Unternehmen die Kundendaten so lange, bis der jeweilige Kunde der Nutzung widerspricht. Über die Art und Weise der Nutzung müssen die Kunden in den Datenschutzhinweisen informiert werden. 17Entwicklung in einzelnen Bereichen