Datenschutz & DSGVO - Newsticker

Gesundheitsdaten und die Cloud: Achtung vor den Kraken

Es gibt wohl kein Unternehmen, welches sich nicht mit der "Cloud" beschäftigen muss. Microsoft Office 365 kennen Endverbraucher und auch kleine mittelständische Unternehmen stehen aktuell vor dem Problem, ob sie einen neuen Server anschaffen oder auf die Software aus dem Hause Microsoft zurückgreifen, die eben Daten auch auf Servern von Microsoft vorhält. "Hoffentlich" bleiben die Daten auf Servern in Europa, aber kontrollieren kann das wohl niemand. Das Gleiche gilt für die Amazon Webservice (besser bekannt als AWS), viele mittelständische Unternehmen greifen auf deren Services zurück. Versprochen wird, dass die Daten in Servern in Europa gehostet werden, aber wer kann das wirklich prüfen? Natürlich bietet auch "google" entsprechende Dienstleistungen an, und auch hier - wirklich sicher ist man nicht.

Nicht zu beneiden sind Ärzte, Krankenkassen oder Abrechnungsstellen, die nun alle auch auf Dienstleistungen unserer global Player zurückgreifen (müssen), in Amerika werden die Kraken-Arme schon weit ausgestreckt und zwar gerade bei Gesundheitsdaten. Es steht zu befürchten, dass wenn entsprechende Bedürfnisse der Daten-Kraken geweckt werden, diese sich auch Möglichkeiten genauer ansehen werden, um auf europäische Gesundheitsdaten zuzugreifen. 

Microsoft wertete Gespräche in China aus - Hätten Sie das gedacht?

Microsoft wertete Skype Gespräche und Anfragen an Cortana zur besseren Spracherkennung in China aus. Mit datenschutzrechtlichen Anforderungen belastete sich Microsoft bzw. deren Dienstleister in China dabei nicht wie DERSTANDARD berichtet.

Natürlich ist die erste Reaktion nun von Kritikern des Datenschutzes ein lautes "Siehste, das war doch klar". Zugegeben es ist jetzt nicht wirklich überraschend, sollte aber nun nicht dazu führen, dass wir als Europäer nun den Datenschutz in Frage stellen. Nach dem Motto: Wir trennen den Müll und dann wird es doch auf der Müllkippe wieder alles in einen Topf geworfen und verbrannt. Das wäre zu kurz gesprungen. Datenschutz wird eine Herkules-Aufgabe.

Nach meiner Meinung ist die Verteidigung von Microsoft, ihre Verfehlungen seien abgestellt, eher Schutzbehauptungen. Fakt ist, dass niemand das wirklich überprüfen kann. Daten sind ein erhebliches Wirtschaftsgut und von vielen großen Unternehmen - wenn auch nicht zwingend von Microsoft - die Geschäftsgrundlage. Solange es Unternehmen wie Facebook und Google gibt, werden Daten im großen Stil kommerziell ausgewertet und um diese Unternehmen bildet sich eine Industrie.

Der Staat kann hier unterstützen, aber letztlich muss der Verbraucher bereit sein, auf per se hilfreiche Dienste wie "Skype" und "Cortana" zu verzichten, wenn er seine Datenhoheit zurückgewinnen wird, bis dahin ist nach dem Datenskandal vor dem Datenskandal. 

Datenschutzbeauftragter ab 20 Personen: O Captain! My Captain!

Der Gesetzgeber hatte im letzten Jahr kleine und mittelständische Unternehmen entlastet. Unternehmen, die nicht im Sinne des Art. 37 Abs. 1 lit b) und c) DSGVO entweder als Kerntätigkeit schwerpunktmäßig personenbezogene Daten umfangreich verarbeiten oder umfangreich besondere Kategorien von Daten verarbeiten, müssen nur noch dann einen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 20 Personen (zuvor waren es 10) Personen mit personenbezogenen Daten arbeiten. Das steht in § 38 BDSG. Es gibt zwar noch eine weitere Unterausnahme, aber davon sind wohl vergleichsweise wenige Unternehmen betroffen. 

Kritik an der neuen Regelung von allen Seiten

Viele Berater kritisieren die Gesetzesänderung, weil sie ja nicht die Pflicht zur Achtung der DSGVO mindert, sondern einfach nur, dass eine Person sich dieser Aufgabe  dezidiert  widmet.  Ich sehe dass gelassener, wenn die grundsätzlichen Hausaufgaben gemacht wurden. Ene kurze Checkliste wäre wie folgt: Wenn das Unternehmen eine aktuelle Datenschutzerklärung sowie ein Verarbeitungsverzeichnis samt TOMs hat und im Unternehmen bereits ein grundsätzliches Verständnis für den Datenschutz entwickelt wurde, sollte man den Unternehmen mal ein wenig Ruhe gönnen. Gefährlich ist es nur, wenn die Unternehmen sich bisher um nichts gekümmert haben und nun denkt, dass bisschen Datenschutz erledigt sich von selbst. Nur weil niemand den Ausguck besetzt, verhindert das keinen Sturm. 

Wenn dieser Sturm kommt, wird es sehr teuer und zwar für den Kapitän. Bei Vereinen kann der Vorstand und bei Unternehmen die Geschäftsführung für Versäumnisse im Datenschutz in die persönliche  Haftung genommen werden. 

Bonpflicht im Zeiten des Datenschutzes

Viele Mitbürger sind schon mit der "Bonpflicht" in  Kontakt gekommen. Diese stellt aber gerade Apotheken vor einige weitere Schwierigkeiten, wenn auf dem Bon Name des Kunden und/oder gar das verschriebene Medikament vermerkt sind. Diei dann gegebenenfalls von den Kunden zurückgelassenen Bons müssen angemessen vernichtet werden und können nicht einfach in den Müll geworfen werden. In diesem Fall geht also der Umweltschutz leer aus.

lukrativer Datenschutz für unseriöse Anbieter?

Das Handelsblatt berichtet über das lukrative Geschäftsmodell Datenschutz von Anwälten und unseriösen Beratern. Danach würden Unternehmen erhebliche Summen aufbringen, um sich datenschutzrechtlich beraten zu lassen, es gebe aber eine Vielzahl schwarzer Schafe, die ohne hinreichende Expertise und ohne echten Mehrwert für das Unternehmen mitverdienen. Das ist in der Sache wenig überraschend, schwarze Schafe gibt es bekanntlich immer. Wenn im Beitrag dann noch mitgeteilt wird, dass viele Berater mit Halbwissen glänzen und dutzende oder gar hunderte Unternehmen beraten ohne sich wirklich vom Unternehmen ein Bild gemacht zu haben, ist das sicherlich zu bedauern. Das liegt aber nicht allein an den schwarzen Schafen. 

Viele Unternehmen können/wollen sich eine umfassende Beratung im Datenschutz gar nicht leisten. Sie sind froh von erfahrenen Vertrieblern geködert zu werden, um das Thema irgendwie abzuhaken und nicht mehr ständig wegen der Furcht vor drohenden hohen Bußgeldern von der Arbeit abgehalten zu werden.

Das Thema Datenschutz wurde und wird mit dem Schwert der drohenden Bußgelder in die Unternehmen getragen. Die Aufsichtsbehörden werden - zu Unrecht - als Drohgespenst wahrgenommen, welches nur - für die meisten Unternehmen ruinös - sanktionieren will. Die Aufsichtsbehörden haben aber keine hinreichende Ausstattung, um die spärliche Zeit  auch erzieherisch etwa mit datenschutzrechtlichen Anordnungen zu nutzen. 

In einem solchen Klima kann das Unkraut schlechter Beratung einfach besser gedeihen. 

"Datenschutz" vor Suchmaschinen

Das neue Jahr hat begonnen und die FAZ hat einen schönen Artikel über das Spannungsfeld zwischen Meinungsfreiheit und dem Recht auf Vergessen veröffentlicht, der hier nachgelesen werden kann.

In unserer täglichen Arbeitspraxis ist tatsächlich eine große Frage wie wird das Persönlichkeitsrecht eines einzelnen nicht unendlich für Verfehlungen identifiziert zu werden in Einklang gebracht mit der Möglichkeit alles und jeden über Suchmaschinen zu finden bzw. dem Interesse von Presseverlagen über Suchmaschinen umfassend gefunden zu werden. Insbesondere als auch die Archive von Online Auftritten über Google durchsucht werden können, gibt es faktisch kein Vergessen. Das Bundesverfassungsgericht hat nun im Beschluss zum AZ 1 BvR 16/13 vom 6. November 2019 - "Recht auf Vergessen I" sich  dahingehend geäußert, dass  Online Pressearchive zu Schutzvorkehrungen gegen die zeitlich unbegrenzte Verbreitung personenbezogenen Berichte durch  Suchmaschinen verpflichtet sein können.

Die Bahn in Not, wegen des Tweets zu Greta Thunberg

Die Bahn hatte auf einen Tweet der minderjährigen Klima Aktivistin Greta Thunberg geantwortet, dass diese mit einem bestimmten Zug in der ersten Klasse gereist ist. Das rief den Berliner Datenschutzbeauftragten auf den Plan, die Bahn zu erinnern mit den personenbezogenen Daten zurückhaltender zu sein. 

Die Auseinandersetzung kann man hier nachlesen. Spannend finde ich, dass die DSGVO sich nicht so wirklich mit den social media Mechanism verträgt; danach muss schnell agiert werden, keine Zeit für zu viel Recherche oder falsche Zurückhaltung. Wer zögert, verpasst das kurze Zeitfenster der Aufmerksamkeit. Ärgerlich, wen als Folge einer social media Twitterei sich der Berliner Datenschutzbeauftragte einlädt, den Umgang mit den Daten der Fahrgäste einmal zu diskutieren.

Ich finde es erfreulich, dass die DSGVO die  Bahn zu mehr Verschwiegenheit anhält und der social media Lärm etwa gedämpft wird. 

Arbeitszeiterfassung ohne Einwilligung über Fingerprintverfahren nicht datenschutzkonform

Das Arbeitsgericht Berlin AZ 29 Ca 5451/19 hat am 16.10.2019 entschieden, dass "die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerprint [...] nicht erforderlich im Sonne von § 26 Abs. 1 BDSG und damit ohne Einwilligung der betroffenen Person nicht zulässig" ist.

Zum Sachverhalt führte das AG Berlin aaO aus:

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden. Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“

Hintergrund war, dass ein Arbeitnehmer sich weigerte ein Zeiterfassungssytem über Fingerprint zu nutzen und er auch keine Einwilligung erteilt hatte. dafür erhielt er mehrere Abmahnungen, die nach dem Urteil des Arbeitsgericht Berlin aaO wieder aus der Personalakte gelöscht werden mussten. 

Das AG Berlin,aaO führt aus:

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG). Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können. Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Wer kein Geld hat zahlt mit... Daten

Die SZ weist in einem aktuellen Artikel auf das (nicht neue) Problem hin, dass wirtschaftlich schwächere oftmals Produkte erwerben, um dann die Ersparnis mit eigenen Daten zu zahlen. 

Das ist nach meiner Meinung sogar durchaus hinzunehmen, weil es der Privatautonomie entspricht. Schließlich sollte die DSGVO zumindest die EU Bürger grundsätzlich vor zu datenhungrigen Unternehmen schützen, das kann Sie aber nicht umfassend gewährleisten. Insbesondere was das Thema Tracking im Internet angeht, sollte hier die ePrivacy Verordnung unterstützen. Diese ist aber erst einmal vom Tisch.

Daher ist es zu befürchten, dass die Privatsphäre im Internet bald die Verhältnisse beim Lebensmittelkauf im realen Leben wiederspiegelt. Es gibt einige (wenige), die sich teure Bio Ware leisten können, einige die ab und zu mal auf dem Markt kaufen und den Rest der Bevölkerung. Bon appétit.

Versandhändler Zalando lässt Mitarbeiter mit Software bewerten

Verkürzt dargestellt nutzt Zalando eine Software namens Zonar, mit der Mitarbeiter und Führungskräfte sich gegenseitig bewerten, wobei die Ergebnisse Einfluss auf die Beförderungsmöglichkeiten und das Gehalt nehmen. Zalando beschreibt die Software nach einem Artikel in der "Zeit" als eine "nicht ungewöhnliche Form des sogenannten 360-Grad-Feedbacks. Die Gewerkschaft Verdi spricht unter Hinweis auf eine Untersuchung der Hans Böckler Stiftung und anonyme Angestellte von "Stasi-Methoden".

Die Berliner Datenschutzbehörde hat hinsichtlich der Nutzung der Software Bedenken und hat ein Prüfung der Vereinbarkeit mit der DSGVO eingeleitet.