Nun sind seit dem 25. Mai 2018 also dem Inkrafttreten (oder besser der Anwendbarkeit) der DSGVO knapp 150 Tage verstrichen. In diesem immer aktuell gehaltenen Beitrag berichten wir täglich über Fragen und Diskussionen zum Thema Datenschutz und DSGVO. Wenn Sie sich also up-to-date halten wollen, schauen Sie  regelmäßig in diesen Beitrag.

Datenschutz, Fernunterricht und Corona - FAQ aus Hamburg

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Caspar hat eine lesenswerte FAQ zum Thema Datenschutz in Zeiten von Corona veröffentlicht. Darin wird auch das aktuell sehr heiße Thema:  Fern-Kommunikationsmittel zu schulischen Zwecken angerissen und nachvollziehbar ausgeführt: 

"Tools, die im Schulzusammenhang genutzt werden sollen, müssen zum Schutz der personenbezogenen Daten der Schülerinnen und Schüler die Anforderungen aus Art. 32 DSGVO an die Datensicherheit erfüllen. Insbesondere sind in diesem Kontext die Vertraulichkeit und Integrität der Daten zu gewährleisten [...]

Es ist datenschutzrechtlich grundsätzlich möglich, angesichts der gegebenen Umstände nicht die gleichen Anforderungen an technische und organisatorische Maßnahmen zu stellen, wie unter normalen Bedingungen. Dennoch sollte die aktuelle Situation keine Beschaffung von langfristig einzusetzender IT rechtfertigen, deren Nutzung im Nachgang der Corona-Krise als nicht datenschutzkonform zu bewerten wäre. Gerade der Einsatz in Schulen, über den sich zunächst die Schulbehörde mit den Schulen zu verständigen hat und nicht der Hamburgische Beauftragten für Datenschutz und Informationsfreiheit eine Grundsatz- und Auswahlentscheidung treffen kann, muss sich daran orientieren. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit steht hier beratend zur Verfügung und muss im Übrigen im Beschwerdefall tätig werden. Die Entscheidung für oder gegen ein bestimmtes digitales Kommunikationstool, ist in erheblicher Weise insbesondere von der Zahl der Teilnehmer, dem Inhalt der Kommunikation und der Zeit der Nutzungsdauer abhängig und sollte daher für jeden Einsatzbereich individuell entschieden werden."

Die angebliche Untersagung Hamburgs obersten Datenschützers Unterricht per Skype durchzuführen war eine Ente

Datenschutz im Lehrerzimmer

Eine unglaubliche Geschichte berichtet News4teachers, danach soll ein stellvertretender Schulleiter eines Gymnasiums in Cottbus in mehreren Räumen der Schulleitung und des Lehrerrats Abhörvorrichtungen versteckt haben.

Ein solches Verhalten ist strafrechtlich relevant und nach § 201 Abs. 3 StGB mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. Darüber hinaus kann eine Verurteilung aber zu erheblichen weiteren Probleme wie dem Verlust des Beamtenstatus und damit auch einer erheblich geringeren Rente führen.

§ 24 Beamtenstatusgesetz: Verlust der Beamtenrechte

(1) Wenn eine Beamtin oder ein Beamter im ordentlichen Strafverfahren durch das Urteil eines deutschen Gerichts
1. wegen einer vorsätzlichen Tat zu einer Freiheitsstrafe von mindestens einem Jahr oder
2. wegen einer vorsätzlichen Tat, die nach den Vorschriften über Friedensverrat, Hochverrat und Gefährdung des demokratischen Rechtsstaates, Landesverrat und Gefährdung der äußeren Sicherheit oder, soweit sich die Tat auf eine Diensthandlung im Hauptamt bezieht, Bestechlichkeit, strafbar ist, zu einer Freiheitsstrafe von mindestens sechs Monaten verurteilt wird, endet das Beamtenverhältnis mit der Rechtskraft des Urteils. Entsprechendes gilt, wenn die Fähigkeit zur Bekleidung öffentlicher Ämter aberkannt wird oder wenn die Beamtin oder der Beamte aufgrund einer Entscheidung des Bundesverfassungsgerichts nach Artikel 18 des Grundgesetzes ein Grundrecht verwirkt hat.

Aus diesem Grund lauten Verurteilungen von Lehrern häufig auf 11 Monate, weil die Folgen ansonsten erheblich sind. Das gilt auch, wenn die Strafe auf Bewährung ausgesetzt wird. Das Abhören ist - so verwerflich es auch sein mag - nicht zu den Delikten zu zählen, bei denen bereits nach sechs Monaten Verurteilung die oben genannten Folgen eintreten - das ist vor allem bei Taten mit Sexualbezug denkbar. Gleichwohl sollte der Lehrer - soweit schuldig - um eine Verurteilung zu einer Geldstrafe oder einer geringen Freiheitsstrafe kämpfen. Das ist im konkreten Fall auch realistisch.

Twitter im Sturm

Der amerikanische Präsident tut es, unsere Kanzlerin lässt es tun, viele Anwälte tun es, unsere Stars und Sternchen tun es und unzählige Unternehmen tun es: Twittern. Und nun kommen die Spielverderber (Datenschützer) und wollen das einschränken oder gar verbieten? 

Warum kann es problematisch sein Twitter zu nutzen?

Der EuGH (große Kammer) hatte bereits am 5. Juni 2018 zum Aktenzeichen C-210/16 entschieden, dass Betreiber von Facebook Seiten (Fanpages) für die Erhebung der Daten ihrer Besucher durch Facebook mitverantwortlich sind  05.06.2018 – C-210/16 „Wirtschaftsakademie”). Am 29. Juli 2019 bekräftigte die zweite Kammer des EuGH zum Aktenzeichen C- 40/17 diese Rechtsprechung mit Blick auf Social Plugins, die auf Webseiten eingebunden werden. Der Betreiber eines Twitter Profils ist damit für die Erhebung und Verarbeitung der Daten durch Twitter mitverantwortlich. Twitter und der Nutzer sind gemeinsam Verantwortliche im Sinne der DSGVO. Daher müsste Twitter also mit dem Nutzer einen Vertrag entsprechend Art. 26 DSGVO schließen, welcher die Verantwortlichkeiten regelt. Übrigens Facebook bietet einen solchen Vertrag mittlerweile an, aber eben nicht Twitter.

Was ist die Folge?

Baden Würtenbergs oberster Datenschützer Stefan Brink hat sich daher von Twitter zurückgezogen und fordert Behörden und Unternehmen auf, es ihm gleichzutun. Ferner möchte er Druck auf die Unternehmen ausüben, damit diese Twitter unter Druck setzen ein datenschutzkonformes Angebot aufzusetzen.

 

Fotografieren bei der Schulaufführung - Verboten durch die DSGVO?

Der Tätigkeitsbericht Datenschutz 2019 des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit setzte sich auch mit dem (angeblichen Fotografierverbot) in Schulen und Kitas auseinander und wies darauf hin, dass wenn die Bilder nicht in sozialen Netzwerken veröffentlicht werden, noch nicht einmal der Schutzbereich der DSGVO eröffnet ist.  

 (2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

      (c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten..

Dies wird im Erwägungsgrund 18 der DSGVO weiter konkretisiert:

"Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten [...]"

Danach greift die DSGVO nicht, wenn Eltern die eigenen und/oder Dritte Kinder filmen/fotografieren soweit diese Bilder auch nur privat genutzt werden. Im Tätigkeitsbericht Datenschutz 2019 S, 135 wird dies wie folgt erläutert:

"Soweit das Foto in einem sozialen Netzwerk nur innerhalb einer geschlossenen Gruppe, die auf einen fest definierten Kreis von Personen aus dem sozialen Umfeld des Fotografierenden begrenzt ist, und zum Zweck der rein privaten Freundschaftspflege veröffentlicht wird, ist noch von einer persönlichen oder familiären Tätigkeit in diesem Sinne auszugehen. Wird das Foto hingegen zum Zweck einer auch beruflichen Kontaktpflege mit einer geschlossenen Gruppe geteilt, ist die Anwendungsausnahme des Art. 2 Absatz 2 lit. c DSGVO demgegenüber nicht mehr eröffnet." 
 

Beweislast bei Schadensersatzansprüchen nach DSGVO

Leider gibt es noch wenig Rechtsprechung in Deutschland zur DSGVO insbesondere zu den Schadensersatzansprüchen nach Art. 82 DSGVO, aber hier lohnt der Blick zu unseren Freunden nach Österreich. Dort hatte sich nämlich der Oberste Gerichtshof in Österreich (OGH) v. 27.1..2019 - AZ: 6 Ob217/19h zu den Beweislastregeln beim Schadensersatzbegehren von Betroffenen geäußert. In dem zugrundeliegenden Sachverhalt ging es um die Klage eines Betroffenen gegen eine Auskunftei, die falsche Informationen zum Schuldenstand lieferte, wodurch er - nach eigenem Vortrag nur eine ungünstigere Finanzierung erhalten hatte  Neben diesem materiellen Schaden begehrte er noch Ersatz seines immateriellen Schadens. Die Vorinstanz hatte den immateriellen Schaden in Höhe von 2.000,00 EUR zugesprochen, aber den Ersatz des materiellen Schadens verwehrt. Das hat das OGH, aaO bestätigt - der Kläger konnte nicht beweisen, dass ihm ein materieller Schaden entstanden war. Die Beweislast hatte der OGH sowohl hinsichtlich der Kausalität zwischen Datenschutzverstoß und Schaden als auch hinsichtlich des Eintritt des Schadens beim betroffenen Kläger verortet.

Der digitale Nachlass

Gestern hatte ich den Datenschutz nach dem Tod thematisiert und heute stoße ich auf das sehr lesenswerte Gutachten: Der digital Nachlass - Eine Untersuchung aus rechtlicher und technischer Hinsicht. Interessant fand ich den Ansatz einer Vorsorgevollmacht für digitale Angelegenheiten; bedenkenswert ist der Ansatz die Vorsorgevollmacht möglichst offen zu formulieren und nicht einzelne Dienste aufzunehmen, um keine Regelungslücken entstehen zu lassen, wenn ein neuer Dienst hinzukommt oder nicht bedacht wird. Andererseits stellt sich die Frage wie der Bevollmächtigte von einem Dienst erfahren will, wenn dieser nicht irgendwo in einer Liste aufgeführt ist. Es bestehen sicher erbliche Probleme in der Praxis wenn der Bevollmächtigte den Betreiber von Dropbox anschreibt, um zu erfahren ob der Bevollmächtigte dort ein Konto hat, zumal der Bevollmächtigte bei vielen Diensten auch nicht zwingend seine (vollständigen) zutreffenden Daten angegeben hat. 

Datenschutz nach dem Tod

Was geschieht mit Ihren Daten nach ihrem Tod? Wer hat überhaupt Zugriff auf diese? Wollen Sie, dass Ihr Facebook Account weiterbesteht? Haben Sie vielleicht einen Blog, von dem Sie wünschen, dass dieser in einer bestimmten Art und Weise weitergeführt wird. Was passiert mit Fotos in der Amazon Photo Cloud? 
Zunächst sollte eine Bestandsaufnahme erfolgen und Sie sollten schauen wo Sie überall Kontos haben. Zur ersten Orientierung kann folgende Liste dienen

  • 1. E-Mail Dienste und Kommunikationsdienste zum Beispiel ein Google Mail Konto, Gmx Konto oder auch WhatsApp
  • 2 .Soziale Netzwerke
    • a.    privat z.B. Facebook, Twitch, Youtube, Twitter
    • b.    beruflich z.B, Xing, Youtube, Twitch
  • 3.    Cloud Dienste wie Amazon Photos, Wetransferm Dropbox, Microssoft One Drive; Google Drive, Samsung Cloud
  • 4.    Verkaufsplattformen z.B. Amazon, Ebay, Otto
  • 5.    Streaming Dienste wie Netflix, Amazon Prime

Dann sollten Sie Ihre Passwörter und Zugänge in dieser Liste vermerken sowie was mit den Diensten und den dort vorhandenen Inhalten geschehen soll. Diese Liste fügen Sie Ihrem Testament bei, welches Sie durch einen Notar beglaubigen lassen und dort hinterlegen. Dann müssen Sie nichts handschriftlich erstellen. Wenn Sie dabei sind, erstellen Sie gleich noch eine Patientenverfügung.

Damit ersparen Sie Ihren Erben eine Menge Stress.
 

Datenschutz und Arbeitsrecht

Der Datenschutz ist in der Praxis und besonders am Arbeitsplatz nicht immer optimal einzusetzen. Jeder Datenschutzbeauftragte wird wohl die verdrehten Augen der Mandanten erlebt haben, wenn einmal dargestellt wird, was alles erforderlich ist, um den Arbeitsplatz wirklich datenschutzkonform darzustellen.

Grund für die neue Aufregung kommt diesmal vom EuGH, nachdem nicht nur Überstunden erfasst werden soll, sondern die gesamte Arbeitszeit. Das stellt dann einige Probleme. Kommt nun die Totalüberwachung? Müssen Toilettenbesuche, der Gang zur Kaffeemaschine und Raucherpausen nun protokolliert werden? Und ist das mit dem Datenschutz vereinbar. Das Problem ist nach meiner Meinung ein Scheinproblem:

  • Toilettengänge sind grundsätzlich keine Arbeitszeitpausen, und müssen damit auch nicht dokumentiert werden. Und selbst eine halbe Stunde Aufenthalt auf der Toilette rechtfertigt keine Gehaltskürzung.
  • Zumindest der Gang zur Küche und zurück, um sich einen Kaffee zu holen ist keine Unterbrechung der Arbeitszeit

Nur die Raucherpause ist eine Pause während der Arbeitszeit, die als solche genehmigt werden muss. Wenn der Arbeitgeber aber ohnehin diese Pausen als Arbeitszeit verschenkt, dann besteht nach meinem Verständnis keine Notwendigkeit eine Unterbrechung der Arbeitszeit zu dokumentieren. Anders als viel andere Kommentatoren denke ich, dass der EuGH samt dem darauf fußenden noch zu verabschiedenden Gesetz bei der Arbeit im Betrieb wenig bis nichts ändert. Anders mag dies bei der Heimarbeitszeit aussehen.

DRK erstattet nach Sicherheitslücke Strafanzeige

Die Märkische Allgemeine berichtet, dass das Deutsche Kreuz (DRK) nach Bekanntwerden einer Sicherheitslücke auf der eigenen Webseite Strafanzeige erstattet hat. Gegen unbekannt natürlich. Mir stellt sich die Frage: Warum?

Nach den Medienberichten hatte die Internetseite eine Sicherheitslücke, die es Dritten ermöglichte mehr als 110.000 Einsatzdaten von Krankentransporten einzusehen. Mit derselben Logik könnte ein Hausbesitzer, der vergessen hat ein Fenster im Garten zu schließen, Strafanzeige gegen unbekannt stellen. Noch sonderbarer wird es, wenn man sich vorstellt, dass der Hausbesitzer damit herauszufinden sucht, ob jemand eingebrochen ist. Genauso wenig wird das LKA dem DRK dabei helfen, ob jemand Zugriff auf die Daten hatte.

Fotografierverbot bei Einschulungen der Kinder?

Immer wieder stellt sich die Frage, ob und wie auf  Schulveranstaltungen fotografiert werden darf. Nun beschäftigt sich ein lesenswerter Artikel auf MDR Aktuell mit genau dieser Frage: Dürfen auf einer Einschulung die Eltern fotografieren? Der Thüringer Datenschutzbeauftragter Lutz Hasse bejaht dies. Hier sollen seine Ausführungen ein wenig  erläutert werden. Die Rechtmäßigkeit der Verarbeitung  erkennt er offenbar in Art. 6 DSGVO Abs. 1 lit f):

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[...]
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zur Auslegung dieser Norm ist der Erwägungsgrund 47 hinzuzuziehen, wo es heißt:

[,,,] Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann [...].

Mit anderen Worten die Abwägung aus Art. 6 Abs. 1 f. DSGVO wird davon beeinflusst, wenn die Betroffenen damit rechnen müssen fotografiert zu werden. Das - so der Thüringer Datenschutzbeauftragte - sei der Fall bei einer Einschulung, als jeder damit rechne dort fotografiert zu werden.

 

Kammergericht Berlin leidet immer noch am Hackerangriff

Das Kammergericht Berlin wurde nun schon einige Tage durch einen Hackerangriff lahmgelegt. Wie läuft so etwas in der Praxis ab? Oftmals beginnt es mit einer E-Mail. Aber nicht von irgendwem sondern von einer Person, mit der man kommuniziert hat. Es ist scheinbar eine Antwort E-Mail. Diese lautet etwa Guten Tag - automatische individuelle Anrede habe ich noch nicht gesehen, gibt es aber wahrscheinlich auch - in der Anlage mein Schreiben als Antwort. Dieses ist in einer RAR Datei als Attachement beigefügt. Für das Archiv gibt es ein Passwort. Das Passwort ist gleich in der E-Mail mit beigefügt (sicher nicht sinnvoll, aber nun ja). Nachdem man die Datei öffnet, öffnet sich "Word" und dort steht dann, man solle die Makros aktivieren, damit die ältere "Word" Version gelesen werden kann. Wenn letztgenanntes erfolgt, ist es zu spät. Dann wird der Rechner verseucht.

Welche Warn-Signale gab es:

  • 1. Keine individuelle Anrede

  • 2. Anhang "RAR-Datei"

  • 3. Passwort in derselben E-Mail

  • 4. Ältere Word Version nicht lesbar - das ist nicht korrekt, Word ist abwärtskompabtibel

  • 5. Aktiviere Makros (letzt genanntes ist tödlich!)

Seien Sie vorsichtig, dann können Sie weiterhin E-Mails empfangen und sind nicht über Monate eingeschränkt wie das Kammergericht Berlin.

 

 

 

 

 

Europäischer Datenschutztag - falsche Schlagzeilen

Gestern war der Europäische Datenschutztag. Leider war die Berichterstattung auch auf guten Nachrichtenseiten wie Heise eher reisserisch: Höhere Strafen sollen zumindest nach den Überschriften das Ergebnis sein. Ich habe schon mehrfach angemerkt, dass Datenschutz auch ohne das ständige Mantra der hohen Strafen a) sinnvoll und b) positiver wahrgenommen wird. Ich finde es ärgerlich, dass der Datenschutz und die Aufsichtsbehörden so immer nur auf die Geldbußen reduziert werden.

Ganz angenehm zu lesen, fand ich dagegen die "Statements zum Europäischen Datenschutztag"  in der Funkschau und die dort dargestellten  Branchen-Zitate.

 

Deutsche Gesellschaft für Cybersicherheit zum Buchbinder Skandal

Die Deutsche Gesellschaft für Cybersicherheit hatte Buchbinder offenbar bereits Anfang Dezember 2019 auf Schwachstellen hingewiesen, diese sollen aber ignoriert worden sein. Die Stellungnahme zur causa Buchbinder der Deutschen Gesellschaft für Cybersicherheit aus Flensburg finden Sie hier.

Das ist für Buchbinder in mehrfacher Hinsicht problematisch: Zum Einen war das Datenleck damit deutlich länger online als "nötig" und das wird sich auch in der Höhe der Entschädigung der betroffenen Kunden und sonstigen Personen widerspiegeln. Aber auch die Aufsichtsbehörden werden dies sicherlich bei der Höhe des Bußgelds zu berücksichtigen wissen. Zum Anderen hätte mit einer angemessenen Reaktion zumindest auf die E-Mail der Deutschen Gesellschaft für Cybersicherheit, der Fall nicht durch die Presse an die Öffentlichkeit getragen, was nicht nur besser ausgesehen hätte.

Man kommt nicht umhin, (auch) ein wenig Mitleid mit Buchbinder zu haben. Hier ist wirklich alles schiefgelaufen. Das von Buchbinder veröffentlichte Statement scheint auch nicht der große Wurf.

 

 

 

Massenklagen nach DSGVO

Aktuell ist die fünfseitige Untersuchung der Kollegen von DLA Piper, die hier abgerufen werden kann, in aller Munde. Während die Untersuchung aufmerksamen Beobachtern nicht wirklich viel neues präsentiert, bin ich über eine Passage am Schluss doch gestolpert, dort heißt es auf Seite 4 nach den möglichen Sanktionen durch die Behörden:

There is also an increased risk of “follow-on”
compensation claims, including group litigation which
follow a regulatory finding of liability. Litigation funders have
billions of Euros available to fund claims and – where local
civil procedure rules permit – are becoming increasingly
active pursuing group litigation claims for large groups
of affected individuals on the basis of alleged breaches of
GDPR and data protection laws. Recent UK group litigation
claims based on data protection law infringements would be
very familiar to US class action lawyers.

Sinngemäß wird darauf hingewiesen, dass nach möglichen Datenschutzverletzungen Sammelklagen drohen könnten. Das ist auch in Deutschland nicht mehr auszuschließen. Ob nun eine Musterfeststellungsklage wie gegen VW oder ob neue Abtretungsmodelle (wie Myright) oder sonstige LegalTech Modelle - sobald Betroffene von Gerichten bei Datenschutzverstößen Entschädigungen (Schmerzensgeld) in nennenswerter Höhe zusprechen - ist mit Aufruhr zu rechnen.

Wie wahrscheinlich sind hohe Schmerzensgelder für Betroffene wegen DSGVO Verstößen?

Ich erhalte in der Woche drei bis vier Anfragen von Betroffenen, ob sich dieser oder jener Datenschutzverstoß wirtschaftlich auswerten lasse - "kann ich da Geld bekommen?" In den meisten Fällen rate ich zumindest von einer Klage ab, weil ich (im Moment noch) keine Bereitschaft sehe, dass Gerichte Schmerzensgeld zusprechen werden. Nur in Ausnahmefällen übernehme ich das Mandat und klage dann auch. Wir führen aktuell ein Verfahren in der zweiten Instanz, in dem es um einen erheblichen Datenschutzverstoß geht und begehren in diesem  auch Schmerzensgeld. Die erste Instanz war eher zurückhaltend. So wie mir geht es vielen Kollegen, es dauert einfach bis genug Entscheidungen zu dieser Frage vorliegen. ich rechne damit, dass wir erst in den nächsten ein bis zwei Jahren von diversen Obergerichten Antworten bekommen. 

Tinder und der Datenschutz

Die ZEIT ONLINE berichtet über den Verdacht, dass u.a. Tinder Nutzerdaten gewerblich ausgewertet haben soll. Das würde mich jedenfalls wenig überraschen. Schließlich haben diese Unternehmen zumindest bis vor der DSGVO von einer umfassenden Auswertung der von Nutzern zur Verfügung gestellten Daten gelebt.

Was mich aber tatsächlich überrascht hat, ist dass zumindest nach Gesprächen mit zwei Betroffenen, Tinder auch die Kooperationsbereitschaft hinsichtlich der Auskünfte über die von Betroffenen gespeicherten Daten zumindest nur zögerlich zu beantworten bereit ist. Ich konnte das nicht verifizieren, weil beide Betroffene sich letztlich gegen eine Beauftragung entschieden haben, um ihrer Betroffenenrechte durchzusetzen - mutmaßlich weil sie die Kosten einer anwaltlichen Vertretung abschreckte. 

Wer um kostenlose Dienstleistung zu nutzen zunächst seine Daten "verkauft", der darf sich nicht wundern, wenn er auch für die Prüfung und Durchsetzung seiner Rechte, nichts ausgeben will, keinen Datenschutz erhält. Ich habe den Betroffenen aber auch den Tip gegeben sich an den jeweiligen Datenschutzbeauftragten zu wenden. Aber ob und wie lange die Bearbeitung da dauert, weiß ich freilich nicht.

 

EU-Komission ohne Kenntnis über Höhe der Bußgelder: Echtes Problem?

Der Spiegel berichtet darüber, dass die EU-Kommission keine Kenntnis über die Höhe der verhängten Bußgelder habe; sowie über die Kritik daran, als es schwer sei die Effekte der DSGVO ohne diesen Faktor zu bewerten. 

Das halte ich tatsächlich nicht für zutreffend: 

Sicherlich müssen für eine umfassende Begutachtung auch alle Bußgelder einbezogen werden, die konkret verhängt werden. Ich propagiere aber schon länger die DSGVO endlich von der Last der Bußgelder zu befreien. Die Bußgelder sind nötig, um Unternehmen zu disziplinieren, welche beratungsresistent oder uneinsichtig sind. Die ständige Verknüpfung der DSGVO mit Bußgeldern in jeder Diskussion schadet nicht nur dem Ansehen der DSGVO sondern erschwert  sogar deren praktische Umsetzung: Die Bearbeitung von Betroffenen Anfragen- um ein Beispiel zu nennen - ist für viele Unternehmen ein Spießrutenlauf, weil immer die Sorge mit läuft eine Anfrage nicht ordentlich genug bearbeitet zu haben. Im Zweifel wird auch zu schnell gelöscht, obwohl die Identifikation des Betroffenen noch gar nicht sicher erfolgt ist, aber die Sorge vor einer Beschwerde des Betroffenen schürt das Tempo.

Je mehr wir die DSGVO von dem Schwert der Sanktionen trennen, desto eher werden auch die guten Seiten der DSGVO, als neuer Gold-Standard für den Umgang mit personenbezogenen Daten, offenbar.

Piraten wettern gegen WhatsApp: Wer meldet den Müll?

Die Piratenpartei Deutschland hat eine Presseerklärung herausgegeben, in welcher die Nutzung von WhatsApp durch die Gemeinde Wadgassen zur Kommunikation mit der Bevölkerung gerügt wird. Im Detail geht es darum, dass Bürger über WhatsApp Missstände wie Falschparken und illegale Müllablagen die Gemeinde informieren können. Immerhin 1000 Mal haben sich Bürger bemüssigt gefühlt, genau das zu tun. 

Klar ist, dass WhatsApp als zu Facebook gehörendes Unternehmen sehr kritisch anzusehen ist, wenn es um den Datenschutz geht. Die Kritik an der Gemeinde ist insoweit nicht von der Hand zu weisen, andererseits ist die Vorgehensweise zumindest effektiv. Jeder hat WhatsApp ein eigener Mängelmelder wie von der Piratenpartei gefordert würde immense Mittel verschlingen und letztlich so bedienunfreundlich sein, dass er nicht genutzt würde.

ich persönlich halte die Nutzung zumindest solange keine Personen und Kennzeichen fotografiert werden sondern Schlaglöcher und illegale Müllablagen für einen vertretbaren Kompromiss, wenn auch die besseren Gründe dafür sprechen, dass die Verwaltung generell auf die Nutzung von WhatsApp verzichten sollte oder gar müsste. Dann müssen Missstände eben wieder durch das Ordnungsamt aufgedeckt werden. Ich kann damit auch gut leben,

Gesundheitsdaten und die Cloud: Achtung vor den Kraken

Es gibt wohl kein Unternehmen, welches sich nicht mit der "Cloud" beschäftigen muss. Microsoft Office 365 kennen Endverbraucher und auch kleine mittelständische Unternehmen stehen aktuell vor dem Problem, ob sie einen neuen Server anschaffen oder auf die Software aus dem Hause Microsoft zurückgreifen, die eben Daten auch auf Servern von Microsoft vorhält. "Hoffentlich" bleiben die Daten auf Servern in Europa, aber kontrollieren kann das wohl niemand. Das Gleiche gilt für die Amazon Webservice (besser bekannt als AWS), viele mittelständische Unternehmen greifen auf deren Services zurück. Versprochen wird, dass die Daten in Servern in Europa gehostet werden, aber wer kann das wirklich prüfen? Natürlich bietet auch "google" entsprechende Dienstleistungen an, und auch hier - wirklich sicher ist man nicht.

Nicht zu beneiden sind Ärzte, Krankenkassen oder Abrechnungsstellen, die nun alle auch auf Dienstleistungen unserer global Player zurückgreifen (müssen), in Amerika werden die Kraken-Arme schon weit ausgestreckt und zwar gerade bei Gesundheitsdaten. Es steht zu befürchten, dass wenn entsprechende Bedürfnisse der Daten-Kraken geweckt werden, diese sich auch Möglichkeiten genauer ansehen werden, um auf europäische Gesundheitsdaten zuzugreifen. 

 

Microsoft wertete Gespräche in China aus - Hätten Sie das gedacht?

Microsoft wertete Skype Gespräche und Anfragen an Cortana zur besseren Spracherkennung in China aus. Mit datenschutzrechtlichen Anforderungen belastete sich Microsoft bzw. deren Dienstleister in China dabei nicht wie DERSTANDARD berichtet.

Natürlich ist die erste Reaktion nun von Kritikern des Datenschutzes ein lautes "Siehste, das war doch klar". Zugegeben es ist jetzt nicht wirklich überraschend, sollte aber nun nicht dazu führen, dass wir als Europäer nun den Datenschutz in Frage stellen. Nach dem Motto: Wir trennen den Müll und dann wird es doch auf der Müllkippe wieder alles in einen Topf geworfen und verbrannt. Das wäre zu kurz gesprungen. Datenschutz wird eine Herkules-Aufgabe.

Nach meiner Meinung ist die Verteidigung von Microsoft, ihre Verfehlungen seien abgestellt, eher Schutzbehauptungen. Fakt ist, dass niemand das wirklich überprüfen kann. Daten sind ein erhebliches Wirtschaftsgut und von vielen großen Unternehmen - wenn auch nicht zwingend von Microsoft - die Geschäftsgrundlage. Solange es Unternehmen wie Facebook und Google gibt, werden Daten im großen Stil kommerziell ausgewertet und um diese Unternehmen bildet sich eine Industrie.

Der Staat kann hier unterstützen, aber letztlich muss der Verbraucher bereit sein, auf per se hilfreiche Dienste wie "Skype" und "Cortana" zu verzichten, wenn er seine Datenhoheit zurückgewinnen wird, bis dahin ist nach dem Datenskandal vor dem Datenskandal. 

 

Datenschutzbeauftragter ab 20 Personen: O Captain! My Captain!

Der Gesetzgeber hatte im letzten Jahr kleine und mittelständische Unternehmen entlastet. Unternehmen, die nicht im Sinne des Art. 37 Abs. 1 lit b) und c) DSGVO entweder als Kerntätigkeit schwerpunktmäßig personenbezogene Daten umfangreich verarbeiten oder umfangreich besondere Kategorien von Daten verarbeiten, müssen nur noch dann einen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 20 Personen (zuvor waren es 10) Personen mit personenbezogenen Daten arbeiten. Das steht in § 38 BDSG. Es gibt zwar noch eine weitere Unterausnahme, aber davon sind wohl vergleichsweise wenige Unternehmen betroffen. 

Kritik an der neuen Regelung von allen Seiten

Viele Berater kritisieren die Gesetzesänderung, weil sie ja nicht die Pflicht zur Achtung der DSGVO mindert, sondern einfach nur, dass eine Person sich dieser Aufgabe  dezidiert  widmet.  Ich sehe dass gelassener, wenn die grundsätzlichen Hausaufgaben gemacht wurden. Ene kurze Checkliste wäre wie folgt: Wenn das Unternehmen eine aktuelle Datenschutzerklärung sowie ein Verarbeitungsverzeichnis samt TOMs hat und im Unternehmen bereits ein grundsätzliches Verständnis für den Datenschutz entwickelt wurde, sollte man den Unternehmen mal ein wenig Ruhe gönnen. Gefährlich ist es nur, wenn die Unternehmen sich bisher um nichts gekümmert haben und nun denkt, dass bisschen Datenschutz erledigt sich von selbst. Nur weil niemand den Ausguck besetzt, verhindert das keinen Sturm. 

Wenn dieser Sturm kommt, wird es sehr teuer und zwar für den Kapitän. Bei Vereinen kann der Vorstand und bei Unternehmen die Geschäftsführung für Versäumnisse im Datenschutz in die persönliche  Haftung genommen werden. 

Bonpflicht im Zeiten des Datenschutzes

Viele Mitbürger sind schon mit der "Bonpflicht" in  Kontakt gekommen. Diese stellt aber gerade Apotheken vor einige weitere Schwierigkeiten, wenn auf dem Bon Name des Kunden und/oder gar das verschriebene Medikament vermerkt sind. Diei dann gegebenenfalls von den Kunden zurückgelassenen Bons müssen angemessen vernichtet werden und können nicht einfach in den Müll geworfen werden. In diesem Fall geht also der Umweltschutz leer aus.

 

 

lukrativer Datenschutz für unseriöse Anbieter?

Das Handelsblatt berichtet über das lukrative Geschäftsmodell Datenschutz von Anwälten und unseriösen Beratern. Danach würden Unternehmen erhebliche Summen aufbringen, um sich datenschutzrechtlich beraten zu lassen, es gebe aber eine Vielzahl schwarzer Schafe, die ohne hinreichende Expertise und ohne echten Mehrwert für das Unternehmen mitverdienen. Das ist in der Sache wenig überraschend, schwarze Schafe gibt es bekanntlich immer. Wenn im Beitrag dann noch mitgeteilt wird, dass viele Berater mit Halbwissen glänzen und dutzende oder gar hunderte Unternehmen beraten ohne sich wirklich vom Unternehmen ein Bild gemacht zu haben, ist das sicherlich zu bedauern. Das liegt aber nicht allein an den schwarzen Schafen. 

Viele Unternehmen können/wollen sich eine umfassende Beratung im Datenschutz gar nicht leisten. Sie sind froh von erfahrenen Vertrieblern geködert zu werden, um das Thema irgendwie abzuhaken und nicht mehr ständig wegen der Furcht vor drohenden hohen Bußgeldern von der Arbeit abgehalten zu werden.

Das Thema Datenschutz wurde und wird mit dem Schwert der drohenden Bußgelder in die Unternehmen getragen. Die Aufsichtsbehörden werden - zu Unrecht - als Drohgespenst wahrgenommen, welches nur - für die meisten Unternehmen ruinös - sanktionieren will. Die Aufsichtsbehörden haben aber keine hinreichende Ausstattung, um die spärliche Zeit  auch erzieherisch etwa mit datenschutzrechtlichen Anordnungen zu nutzen. 

In einem solchen Klima kann das Unkraut schlechter Beratung einfach besser gedeihen. 

 

"Datenschutz" vor Suchmaschinen

Das neue Jahr hat begonnen und die FAZ hat einen schönen Artikel über das Spannungsfeld zwischen Meinungsfreiheit und dem Recht auf Vergessen veröffentlicht, der hier nachgelesen werden kann.

In unserer täglichen Arbeitspraxis ist tatsächlich eine große Frage wie wird das Persönlichkeitsrecht eines einzelnen nicht unendlich für Verfehlungen identifiziert zu werden in Einklang gebracht mit der Möglichkeit alles und jeden über Suchmaschinen zu finden bzw. dem Interesse von Presseverlagen über Suchmaschinen umfassend gefunden zu werden. Insbesondere als auch die Archive von Online Auftritten über Google durchsucht werden können, gibt es faktisch kein Vergessen. Das Bundesverfassungsgericht hat nun im Beschluss zum AZ 1 BvR 16/13 vom 6. November 2019 - "Recht auf Vergessen I" sich  dahingehend geäußert, dass  Online Pressearchive zu Schutzvorkehrungen gegen die zeitlich unbegrenzte Verbreitung personenbezogenen Berichte durch  Suchmaschinen verpflichtet sein können.

 

Die Bahn in Not, wegen des Tweets zu Greta Thunberg

Die Bahn hatte auf einen Tweet der minderjährigen Klima Aktivistin Greta Thunberg geantwortet, dass diese mit einem bestimmten Zug in der ersten Klasse gereist ist. Das rief den Berliner Datenschutzbeauftragten auf den Plan, die Bahn zu erinnern mit den personenbezogenen Daten zurückhaltender zu sein. 

Die Auseinandersetzung kann man hier nachlesen. Spannend finde ich, dass die DSGVO sich nicht so wirklich mit den social media Mechanism verträgt; danach muss schnell agiert werden, keine Zeit für zu viel Recherche oder falsche Zurückhaltung. Wer zögert, verpasst das kurze Zeitfenster der Aufmerksamkeit. Ärgerlich, wen als Folge einer social media Twitterei sich der Berliner Datenschutzbeauftragte einlädt, den Umgang mit den Daten der Fahrgäste einmal zu diskutieren.

Ich finde es erfreulich, dass die DSGVO die  Bahn zu mehr Verschwiegenheit anhält und der social media Lärm etwa gedämpft wird. 

Arbeitszeiterfassung ohne Einwilligung über Fingerprintverfahren nicht datenschutzkonform

Das Arbeitsgericht Berlin AZ 29 Ca 5451/19 hat am 16.10.2019 entschieden, dass "die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerprint [...] nicht erforderlich im Sonne von § 26 Abs. 1 BDSG und damit ohne Einwilligung der betroffenen Person nicht zulässig" ist.

Zum Sachverhalt führte das AG Berlin aaO aus:

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden. Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“

Hintergrund war, dass ein Arbeitnehmer sich weigerte ein Zeiterfassungssytem über Fingerprint zu nutzen und er auch keine Einwilligung erteilt hatte. dafür erhielt er mehrere Abmahnungen, die nach dem Urteil des Arbeitsgericht Berlin aaO wieder aus der Personalakte gelöscht werden mussten. 

Das AG Berlin,aaO führt aus:

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG). Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können. Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Wer kein Geld hat zahlt mit... Daten

Die SZ weist in einem aktuellen Artikel auf das (nicht neue) Problem hin, dass wirtschaftlich schwächere oftmals Produkte erwerben, um dann die Ersparnis mit eigenen Daten zu zahlen. 

Das ist nach meiner Meinung sogar durchaus hinzunehmen, weil es der Privatautonomie entspricht. Schließlich sollte die DSGVO zumindest die EU Bürger grundsätzlich vor zu datenhungrigen Unternehmen schützen, das kann Sie aber nicht umfassend gewährleisten. Insbesondere was das Thema Tracking im Internet angeht, sollte hier die ePrivacy Verordnung unterstützen. Diese ist aber erst einmal vom Tisch.

Daher ist es zu befürchten, dass die Privatsphäre im Internet bald die Verhältnisse beim Lebensmittelkauf im realen Leben wiederspiegelt. Es gibt einige (wenige), die sich teure Bio Ware leisten können, einige die ab und zu mal auf dem Markt kaufen und den Rest der Bevölkerung. Bon appétit.

Versandhändler Zalando lässt Mitarbeiter mit Software bewerten

Verkürzt dargestellt nutzt Zalando eine Software namens Zonar, mit der Mitarbeiter und Führungskräfte sich gegenseitig bewerten, wobei die Ergebnisse Einfluss auf die Beförderungsmöglichkeiten und das Gehalt nehmen. Zalando beschreibt die Software nach einem Artikel in der "Zeit" als eine "nicht ungewöhnliche Form des sogenannten 360-Grad-Feedbacks. Die Gewerkschaft Verdi spricht unter Hinweis auf eine Untersuchung der Hans Böckler Stiftung und anonyme Angestellte von "Stasi-Methoden".

Die Berliner Datenschutzbehörde hat hinsichtlich der Nutzung der Software Bedenken und hat ein Prüfung der Vereinbarkeit mit der DSGVO eingeleitet.

Datenschutz bei den Ortenauer Gemeindewebseiten

Auf der Seite des Stadtanzeigers Ortenau findet sich eine kurze Untersuchung ob und wen ja welche Gemeindewebseiten automatisch und ohne Einwilligung mit externen Seiten wie Google, Facebook oder Twitter kommunizieren, Der kurze Beitrag ist hier lesbar. Wer es vor Spannung nicht aushält: Nur die Seiten der Gemeinden Kehl, Kippenheim, Ortenberg und Seebach haben Seiten aufgesetzt, die keine unerwünschte Kommunikation tätigen. Die meisten Gemeinden haben schlecht abgeschnitten. Eine ganz schlechte Leistung zeigt die Gemeinde Lahr,  deren Seite ist sehr geschwätzig und gibt Daten an Google, Facebook und Twitter weiter, ohne darauf hinzuweisen.

Wieder hohes Bußgeld wegen DSGVO Verstoß

Diesmal hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zugeschlagen und hat wegen insgesamt drei Verstößen eine Strafe von 105.000,00 EUR verhängt wie u.a. die Ärzte Zeitung berichtet. Eine Patientenverwechselung bei der Aufnahme hatte eine falsche Rechnungszustellung zur Folge. Gesundheitsdaten fallen unter die in Art. 9 DSGVO geregelten besonderen Kategorien personenbezogener Daten.

Ist das angemessen?

Fairerweise muss man festhalten, dass nie die gesamten Umstände eines Falls in der Öffentlichkeit diskutiert werden. Aus den Stellungnahmen ist zu schließen, dass durch Verstöße grundlegende Probleme der Umsetzung  der DSGVO wie den technisch organisatorischen Maßnahmen (32 DSGVO) offenbart wurden. Ferner soll wohl gerade bei Kliniken Problembewusstsein weiter geschaffen werden - so kann die Strafe durchaus auch als Weckruf verstanden werden. In unserer Beratungspraxis stoßen wir auch gerade im Gesundheitswesen immer wieder auf eine gewisse Zurückhaltung sich mit dem Thema vertiefter beschäftigen zu wollen; vielleicht werden so die Sinne der Beteiligten geschärft.

 

Ein kleiner Fehler soll 9,6 Million EUR Strafe kosten

1&1 soll mit einem Bußgeld in Höhe von fast 10 Million Euro belegt worden sein. Nach den Berichterstattungen soll eine Ex Freundin (Stalker) die Nummer Ihres ehemaligen Partners von der Auskunft von 1&1 ergaunert haben. Angeblich soll sogar zunächst ein deutlich höheres Bußgeld im Raum gestanden haben, aber aufgrund der großen Kooperation wurde dann nur die genannte Summe verhängt.

Wenn das tatsächlich so stimmt, wie berichtet wird, ist der Datenschutz auf dem besten Wege sich selber abzuschaffen. Wenn ein Fehler eines Mitarbeiters eine derart hohe Strafe auslösen kann, führt das dazu, dass Unternehmen durch den Datenschutz entweder paralisiert werden oder diesen gleich ignorieren.

Datenschutz ist wichtig, Datenschutz wird sogar ein Standardvorteil für Europa sein, aber die Strafen dürfen nicht drakonsich hoch und kaum vermeidbar wirken. Wenn der Datenschutz nur den Mund aufmacht um zu beißen und nicht um zu lächeln, wird er so auch von den Beteiligten wahrgenommen werden. Das können wir besser.

Datenschutz in China TikTok

Die App TikTok spricht vor allem Menschen an, denen Instagram und Facebook zu alt und langweilig sind.

Bei TikTok geht es darum, kurze Videos vornehmlich zu Playback-Songs aufzunehmen, die dann von anderen Nutzern bewertet werden.  Der chinesische Entwickler Bytedance zeichnet sich für die App verantwortlich, in der im Sommer 2018 die Anwendung musical.ly aufging.Die überwiegende Anzahl der Nutzer wird unter 30 sein und sehr viele davon unter 18 Jahren. Ein sehr interessanter Beitrag zu dem Netzwerk  ist  auf netzpolitik.org im Podcast anzuhören.  Die App ist ab 13 Jahren freigegeben, unter 18-Jährige brauchen laut den Geschäftsbedingungen eine Erlaubnis der Eltern. Geprüft wird das soweit ersichtlich aber nicht. Die Möglichkeit sich gegenseitig kostenpflichtige Geschenke zu machen und der Umstand, dass die Nutzung der auch von Kindern generierten personenbezogenen Daten, nicht klar nachvollziehabr sind, hat sowohl Verbraucherschützer als auch Datenschützer aufmerksam gemacht.

Der Vizechef der Grünen-Bundestagsfraktion, Konstantin von Notz, fordert ein umfassendes Verbot für die Nutzung der persönlichen Daten von Kindern und Jugendlichen für Werbung und die Bildung von Persönlichkeits- oder Nutzerprofilen. Es würde mich sehr überraschen, wenn in diesem Zusammenhang TikTok nicht in den Mittelpunkt der Diskussion gelangte.

Verbraucherzentrale rügt die DSGVO

Die Verbraucherzentrale Bundesverband rügt in einer Bewertung der DSGVO einige vage Bestimmungen und hat auch ein durchaus lesenswertes Rechtsgutachten veröffentlicht, in dem Kritikpunkte aus Verbrauchersicht dargestellt werden.

Ist die Kritik berechtigt?

Ohne zusehr in das Detail gehen zu wollen, schießt die Verbraucherzentrale Bundesverband zu scharf. Mir scheint das Gutachten an einigen Stellen davon auszugehen, dass ohnehin nicht alles umgesetzt wird und daher mehr gefordert wird als realistisch ist, um damit Verhandlungsmasse zu schaffen.

Exemplarisch seien die Ausführungen umd die Kritik an Verwendung des Begriffs "Treu und Glauben" in Art. 5 Abs. 1 a DSGVO, genannt, wobei gefordert wird diesen durch den Begriff  "Fairness" zu ersetzen und damit einen Auffangtatbestand zu haben, "wenn eine Verarbeitung zwar formell und materiell rechtmäßig erfolgt, dies aber in einem bestimmten Fall als unbillig erscheint, etwa weil das Machtgefälle zwischen Anbieter und Verbraucher "unfair" zum Nachteil des Verbrauchers ausgenutzt wurde".

Das halte ich für deutlich zu weitgehend, und zeugt von einem antiquierten Verbraucherbild eines unmündigen Bürgers, der konsequent geschützt werden muss.

Andere Punkte insesondere was den Kinderschutz ( etwa Aufnahme einer Verpflichtung zu besonderem Schutz der Grundrechte und Interessen von Kindern) angeht, halte ich für deutlich angebrachter, als hier nmM schutzwürdigere Interessen bestehen.

 

 

 

Gesundheitsdaten fließen trotz Datenschutz durch das Netz

„Gesundheitsdaten“ definiert die DSGVO als personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Deren Verarbeitung ist nach Art. 9 DSGVO nur eingeschränkt gestattet. 

Gleichwohl gibt es in unserer Beratungspraxis von Arztpraxen nicht selten Probleme mit genau diesen Daten. In der Hektik des Alltags geschehen Fehler, das ist zwar menschlich sollte aber nach Kräften vermieden werden.

Und auch die Medien berichten in regelmäßigen Abständen wie hier der Bayerische Rundfunk über Datenschutzpannen mit genau diesen Daten. So wurden 7000 Datensätze von Patienten aus Bayern und Umgebung auf Servern  gespeichert, die nicht ordnungsgemäß geschützt waren; und damit über das Internet für jedermann abrufbar war. Wer also schon immer mal wissen wollte, ob der Nachbar in Ingolstadt gesund war, der konnte das mit ein wenig Glück bequem vom Sofa aus in Erfahrung bringen.

Was tun bei Datenschutzverstößen? 

Wenn ein Krankenhaus oder ein Arzt Kenntnis erhält, dass Gesundheitsdaten im Internet abrufbar sind, dann muss dies der zuständigen Aufsichtsbehörde gemeldet werden.

Wenn ein Betroffener Kenntnis erhält, dass seine Gesundheitsdaten im Internet landen, sollte er im Zweifel unverzüglich den Datenverarbeiter kontaktieren, damit die Verletzung sofort beendet werden kann. 

 

Stell Dir vor, es ist Datenschutz und Facebook macht nicht mit

Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen äußert Kritik an Konzernen wie Facebook Ignoranz bei der Umsetzung der DSGVO vor: „Am wenigsten Änderungsbereitschaft sehe ich bei denjenigen Unternehmen, deren Geschäftsmodell auf der Auswertung personenbezogener Daten basiert – also mit Tracking oder Erstellung von Persönlichkeitsprofilen“. Ferner äußert Sie gegenüber dem Handelsblatt: „Es zeigt sich, dass alle Appelle an Rechtskonformität gerade bei den globalen Playern ungehört verhallen.“ Die DSGVO sehe in solchen Fällen zwar hohe Bußgelder oder Anordnungen zur Änderung oder sogar zum Stopp der Datenverarbeitung vor. Frau Hansen beklagte die eigene dünne Personaldecke und die enormen Resourcen von Facebook.

Ist das Überraschend?

Natürlich ignoriert Facebook die Datenschutzvorschriften, was dazu führen wird, dass die Datenschützer sich an die Nutzer halten und diese in die Haftung nehmen, wenn sie Facebook entsprechend nutzen. Die haben keine Großkanzlei mit entsprechenden Mitteln und fechten nicht alles durch jede Instanz durch.

Ist das fair?

Wenn die Datenschützer die Unternehmen in Anspruch nehmen, welche Services von Facebook nutzen, ist das ein Einschlagen auf die kleinen. Das muss aber nicht der einzige Weg sein. Wenn die DSGVO Privatverbrauchern ermöglichen würde, Unterlassungsansprüche und schematisierte immaterielle Schäden (500,00 EUR pro Verletzung) geltend zu machen, wären die Kosten und der Aufwand für Facebook beachtenswerter. 30.000 Klagen mit entsprechenden Kostenerstattungsansprüchen, würde zumindest in Deutschland eine erhebliche Lästigkeit bedeuten.

Wenn dann noch der Irische Datenschutzbeauftragte seiner Arbeit nachgehen würde, hätte der Datenschutz bei Facebook sicher eine deutlich größere Bedeutung.

Whistleblower EU: Hinweisgeber Schutz

Die Richtlinie (EU) 2019/1937 zum Schutz von Hinweisgebern, die Verstöße gegen das Unionsrecht melden wurde nun im EU-Amtsblatt vom 26. November 2019 

Nach der Richtlinie, die von unserem Gesetzgeber bis zum 17. Dezember 2021 umgesetzt werden muss, müssen Unternehmen mit mehr als 50 Mitarbeitern und  Gemeinden mit mehr als 10.000  Einwohnern, sichere Kanäle einrichten, damit Hinweisgeber Misstände melden können ohne Gefahr vor Repressalien zu haben.

Die Richtlinie verbietet ausdrücklich Repressalien und führt Schutzmaßnahmen ein, damit Hinweisgeber nicht entlassen, degradiert, eingeschüchtert oder in anderer Weise angegriffen werden. Der Schutz erstreckt sich auch auf Personen, die Hinweisgeber unterstützen, wie zum Beispiel Mittelsmänner, Kollegen oder Verwandte.

Whistleblower wohin man sieht?

Nachdem auch der Datenschutz zu den Schutzobjekten gehört, wird es interessant, ob wir in den nächsten Jahren - die Richtlinie muss ja zunächst noch vom Gesetzgeber umgesetzt werden - im großen Umfang Verstöße gegen das Datenschutzrecht gemeldet werden.

Die bekanntesten Hinweisgeber (whistleblower) waren wohl aus Überzeugung oder Gründen der Selbstdarstellung oder beidem tätig. Bei anderen standen wirtschaftliche Vorteile im Vordergrund. Ob bürokratischer Schutz auch Personen außerhalb dieses doch eher engen Kreises auch dazu bewegen wird, Missststände anzuprangern darf bezweifelt werden, bleibt aber abzuwarten. 

Keine Haftung eines Elektronikmarkts für Sicherungslücken bei Smartphones

Das Thema Datenschutz trifft uns in den unterschiedlichsten Formen und Farben. Interessant ist die Frage, wer eigentlich alles auf mögliche Sicherheitslücken hinweisen muss. Was ist zum Beispiel mit einem Internethändler oder einem großen Elektromarkt. Dazu hatte sich zuletzt das OLG Köln  Urteil vom 30.10.2019 - 6 U 100/19 geäußert.

Wie kam es dazu?

Der  klagende  Verbraucherverband  hatte  bei  dem  beklagten  Elektronikmarkt Testkäufe durchgeführt und die erworbenen Smartphones von Ex-perten des Bundesamtsfür Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen lassen. Eines der Geräte wies 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine Sicherheitslücke, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebs-systems Androidwerksseitig  aufgespielt  war. Hintergrund  ist,  dass  das Betriebssystemvom jeweiligen Hersteller auf das jeweilige Smartphone-Modell  angepasst wird  und  auch  neue  Versionen  des  Betriebssystems erst genutzt werden können, wenn die neue Version des Betriebssystems zuvor für das jeweilige Modell des Smartphones angepasst wurde.

Wie wurde entschieden?

Das OLG Köln hielt - wie auch die Vorinstanz den Elektronikmarkt nicht verantwortlich. Der Händler könnte die Informationen oft nicht vorhalten, weil sie ihm zum Verkaufszeitpunkt nicht bekannt seien. Ferner sei der Händler auf Recherhe bei Hersteller angewiesen und all dies sei unverhältnismäßig und nicht mehr dem Händler zumutbar.

Konsequenz?

Die Verbraucher müssen sich weiter selber informieren, nicht ganz uninteressant könnte es aber für Händler sein - sozusagen als Mehrwert Informationen zu dem Thema bereitzuhalten, oder Produkte besonders hervorzuheben, welche aktuellen Sicherheitsanforderungen genügt. Der Rest liegt dann beim Verbraucher.

16. Oktober 2019

Cookie-Grundsatzurteil des EuGH bringt neue Pflichten – Was gilt es künftig zu beachten?

Mit Urteil vom 01. Oktober 2019 (Az. C-673/17) hat der EuGH entschieden, dass Datenverarbeitungen durch Cookies oder vergleichbare Technologien nur nach aktiver vorheriger Einwilligung des Betroffenen zulässig sind. Dies gilt laut EuGH sogar auch dann, wenn hierbei überhaupt keine personenbezogenen Daten verarbeitet werden. Ausgenommen von diesem Einwilligungserfordernis sind laut EuGH lediglich Cookies, die für den Betrieb einer Webseite technisch notwendig sind.

Das bloße Einblenden eines Cookie-Banner, das sich durch Bestätigung eines „OK“-Buttons wegklicken lässt, ist daher künftig unzulässig. Vielmehr muss je nach Cookie eine differenzierte Einwilligung vor dem Ablegen oder dem Zugriff auf den Browser des Betroffenen erfolgen.

Generaleinwilligungen für alle auf einer Website verwendeten Cookies sind laut EuGH nicht wirksam. Eine wirksame Einwilligung des Betroffenen erfordert vielmehr, dass dieser für jedes Cookie durch eine aktive Handlung seine Einwilligung erteilen kann. Eine solche aktive Handlung kann zum Beispiel das Setzen eines Häkchens sein. Hierbei ist zu beachten, dass bei der Auswahlmöglichkeit keine bereits gesetzten Häkchen oder voreingestellten Ankreuzkästchen verwendet werden dürfen.

Darüber hinaus muss der Betroffene bereits bei der Einwilligungserteilung in klarer und verständlicher Weise über die Funktionsweise jedes Cookies, insbesondere über die Funktionsdauer und mögliche Zugriffe durch Dritte, umfänglich informiert werden. Ferner muss der Betroffene die Möglichkeit haben, seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen zu können. Hierbei ist zu beachten, dass der Widerruf der Einwilligung grundsätzlich so einfach sein muss wie deren Erteilung.

Wenn Sie zu diesem Thema weitergehende Fragen haben oder Beratung bezüglich der Umsetzung der aktuellen EuGH Rechtsprechung benötigen, stehen wir Ihnen hierzu jederzeit gerne zur Verfügung.

18. Februar 2019

5000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

Die Hamburger Datenschutzbehörde verhängt ein Bußgeld in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren wegen des Fehlens eines Auftragsverarbeitungsvertrags mit einem spanischen Dienstleister des Unternehmens. Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Das an der Größe des Unternehmens gemessen vergleichsweise empfindliche Bußgeld hängt auch damit zusammen, dass  sich das Unternehmen zudem höchst unkooperativ gezeigt hatte.

Dies verdeutlicht zum einen, dass sich ein kooperatives Verhalten gegenüber den Datenschutzbehörden durchaus  strafmildernd auswirken kann. Zum anderen verdeutlicht dieser  Fall aber zudem auch , dass die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages nach Ansicht der Datenschgutzbehörden sowohl den Verarbeiter als auch den Verantwortlichen trifft.

Unternehmen sollen und müssen deshalb selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter übermitteln falls der Dienstleister von sich aus keine eigene Vereibarung zur Verfügung stellt um sich nicht dem Risiko eines empfindlichen Bußgeldes auszusetzen.

31. Januar 2019

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss erlassen. Damit erkennt die EU das Datenschutzniveau in Japan als adäquat an. Danach herrscht in Japan ein angemessenes Datenschutzniveau. Auf Basis dieses Beschlusses können nun personenbezogene Daten ungehindert zwischen der EU und Japan ausgetauscht werden.

Die offizielle Pressemitteilung der Europäische Kommission mit weiteren Informationen finden Sie hier.

23. Januar 2019

Französische Datenschutzbehörde CNIL verhängt wegen Verstößen gegen die DSGVO gegen Google ein Bußgeld von 50 Millionen Euro

Die Behörde begründete den Schritt mit mangelnder Transparenz von Google im Umgang mit persönlichen Informationen der Nutzer.

In der Pressemitteilung der CNIL heißt es: „Wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, sind zu sehr auf mehrere Dokumente verteilt, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen.“

Außedem sei der Zweck der Datenerhebung nicht ausreichend beschrieben. Zudem könne Google keine wirksame Einwilligung der Nutzerinnen für die Nutzung ihrer Daten zu Werbezwecken vorweisen und ermögliche grundsätzlich keinen Widerspruch zur Datensammlung.

Google erklärte, man prüfe nun die nächsten Schritte.

Die vollständige Pressemitteilung des CNIL finden Sie hier.

22. Januar 2019

Der Landesdatenschutzbeauftragte Niedersachsen (LfD Niedersachsen) hat ein Merkblatt zur  Nutzung von „WhatsApp“ in Unternehmen veröffentlich. Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass nach seiner Ansicht der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt. Insbesondere dürften keine Kontaktdaten von Nicht-Whats-App-Nutzern an das US-Unternehmen übermittelt werden.

Das vollständige Merkblatt finden Sie hier.

15. Januar 2019

LfDI Baden-Württemberg verhängt Bußgeld von 80.000,00 €

Wie heute bekannt wurde, hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) das nunmehr bereits zweite Bußgeld deutschlandweit auf Basis der DSGVO verhängt. Die Höhe des Bußgeldes beträgt diesmal 80.000,00 €. Der Anlass für dieses Bußgeld waren versehentlich ins Internet gelangte Gesundheitsdaten.

10. Januar 2019

Laut neuer Studie teilen viele Apps weiter Daten mit Facebook ohne Zustimmung der Nutzer – trotz DSGVO

Laut Analyse der Organisation Privacy International teilen zahlreiche beliebte Android-Apps Daten mit Facebook, ohne eine ausdrückliche Zustimmung der Nutzer einzuholen. Demnach sollen 61 Prozent der untersuchten Apps bestimmte Informationen direkt nach dem Öffnen an das soziale Netzwerk weitergeben, ohne allerdings eine ausdrückliche Zustimmung eingeholt zu haben. Dies passiere unabhängig davon, ob jemand im sozialen Netzwerk eingeloggt ist oder nicht und ebenso ob man einen Facebook-Account hat oder nicht.

Gemäß der seit Ende Mai geltenden DSGVO müssen App-Anbieter jedoch die explizite Zustimmung ihrer Nutzer einholen, bevor sie persönliche Daten abgreifen und weiterleiten.

Die vollständige Studie finden Sie hier.

21. Dezember 2018

Datenpanne bei Amazon

Wie Heise Online berichtet, übermittelte Amazon offenbar die intimen Sprachaufzeichnungen eines Nutzers an einen Dritten.

Anlass war eine Auskunftsanfrage eines Kunden von Amazon Daten nach Art. 15 DSGVO. Als Antwort erhielt er unter anderem zahlreiche transkribierte Sprachdaten und Audiodateien eines anderen Nutzers zugeschickt die offensichtlich von Amazons Sprachassistenten Alexa aufgenommen wurden. Wie berichtet wird, stammen diese Sprachaufzeichnungen aus dem inneren Kern des Lebensbereichs dieses weiteren Nutzer, sodass dessen Intimsphäre durch die Weitergabe der Daten an Unbefugte betroffen ist.

Amazon erklärte mitterlweile, dieser Fall sei die Folge eines menschlichen Fehlers und ein isolierter Einzelfall gewesen. Zudem habe Amazon auch vorsorglich in Kontakt mit den zuständigen Behörden gestanden.

Den vollständigen Bericht finden Sie hier.

20. Dezember 2018

EuGH entscheidet über Facebook Like Button

Der Gerichtshof der Europäischen Union (EuGH) befasst sich derzeit mit der Frage der datenschutzrechtlichen Zulässigkeit des Facebook Like Buttons. Zuvor hatte das Oberlandesgericht (OLG) Düsseldorf dem EuGH entsprechende Fragen vorgelegt. Somit könnte der EuGH in dieser Frage endlich Rechtsklarheit geben. Da die Social Plugins von anderen Anbietern nach dem gleichen Prinzip funktionieren, wird die Entscheidung weitreichende Auswirkungen haben.

Nun liegen die Schlussanträge des EuGH-Generalanwalts vor (EuGH, Rechtssache C-39/17). Nach Auffassung des EuGH-Generalanwalts sind Webseiten-Betreiber gemeinsam mit Facebook für die Verarbeitung von Nutzerdaten verantwortlich. Daher müssen Webseiten-Betreiber zumindest für diesen konkreten Fall des Facebook Like Buttons zuvor die Einwilligung der Nutzer einholen. Eine Verarbeitung könne ausnahmsweise dann zulässig sein, wenn ein berechtigtes Interesse der Verantwortlichen besteht. Hier müsse stets eine Abwägung der entgegenstehenden Interessen des Nutzers und der Unternehmen vorgenommen werden.

Derzeit raten wir aufgrund der unsicheren Rechtslage davon ab, den Facebook Like Button unmittelbar bei sich einzubinden. Unternehmen, die den Like Button trotzdem nutzen wollen, sollten daher entweder die sogenannte Zwei-Klick-Lösung oder alternativ die Shariff -Lösung verwenden. Darüber hinaus ist eine Anpassung der Datenschutzerklärung empfehlenswert.

Zudem empfehlen wir, den Facebook Like Button nicht zu benutzten, sondern von der Unternehmenswebseite lediglich auf die Facebook Fan Page verlinken.

17. Dezember 2018

Datenpanne bei Facebook – Fast 7 Millionen Menschen sollen betroffen sein.

Wie die FAZ online berichtet, hat Facebook- hat eine weitere Datenpanne gemeldet. Aufgrund dieser Datenpanne hatten Hunderte Apps im September mehrere Tage lang zu weitreichenden Zugriff auf Fotos von bis zu 6,8 Millionen Mitgliedern des Online-Netzwerks gehabt.

Den vollständigen Bericht finden Sie hier.

Update: Wie Blomberg berichtet, will sich nun die irische Datenschutz-Aufsichtsbehörde einschalten und prüfen, ob eine mögliche Verletzung der Datenschutz-Grundverordnung vorliegt.

12. Dezember 2018

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) setzt sich in einer aktuellen und äußerst lesenswerten Stellungnahme mit den Hinweispflichten bei Videoüberwachung durch nicht-öffentliche Stellen unter der Geltung der DS-GVO auseinander.

Die Behörde erkennt die Problematik in Hinblick auf die zusätzlichen Informationen und erlaubt daher bei der Information ausdrücklich einen Medienbruch. Damit wählt das BayLDA einen sehr praktikablen Ansatz.

Die vollständige Stellungnahme finden Sie hier.

10. Dezember 2018

Facebook muss 10 Millionen Euro Strafe zahlen

Facebook kommt zur Zeit nicht aus den Schlagzeilen heraus. Die italienische Wettbewerbsbehörde AGCM hat gegen Facebook zwei Bußgelder in Höhe von zusammen 10 Millionen Euro verhängt. Die Behörde wirft Facebook vor den Nutzer in die Irre zu führen, da vor der Kontoeröffnung vor allem darauf hingewiesen werde, dass die Nutzung kostenlos ist. Dass die Daten des Nutzers im Gegenzug für kommerzielle Zwecke gesammelt werden, sei dagegen nicht so klar ersichtlich. Würden die Nutzer vor der Kontoeröffnung ausreichend auf diese Nutzung für kommerzielle Zwecke hingewiesen, sei zu befürchten, dass Nutzer sich anders entscheiden würden. Die Behörde bemängelte weiter die Weitergabe von Nutzerdaten bei der Anmeldung mit einem Facebook-Account bei anderen Websites und Apps.

Die vollständige Presseerklärung der AGCM finden Sie hier.

7. Dezember 2018

Facebook sorgt wieder für Schlagzeilen

Wie das Handelsblatt jüngst auf seiner Webseite berichtete, bot Facebook Werbekunden gegen Bezahlung einen Zugang zu Nutzerdaten und -aktivitäten an. Dies wurde zuvor von Facebook stets abgestritten. Zu diesem Ergebnis kamen britische Untersuchungen im Rahmen der Ermittlungen wegen des sog. Cambridge Analytica Datenschutz-Skandals im Vorfeld der US-Wahlen 2016.

Facebook hat internen Dokumenten zufolge einigen Unternehmen wie Netflix 2015 speziellen Zugang zu bestimmten Daten seiner Nutzer gewährt. Neben dem Streaming-Dienst seien unter anderem auch die Wohnungsplattform Airbnb von Facebook bevorzugt mit Daten versorgt worden, heißt es in den am von dem britischen Abgeordneten Damian Collins veröffentlichten Unterlage

Den vollständigen Artikel finden Sie hier.

4. Dezember 2018

Das Amtsgericht (AG) München hat entschieden, dass Überwachungskameras in der Nachbarschaft nicht gegen gesetzliche Regelungen verstoßen, sofern sie nur das eigene Grundstück und nicht auch das des Nachbarn filmen. (Urt. V. 22.11.2018, Az. 213 C 15498/18) Die bloße Möglichkeit, von Überwachungskameras des Nachbarn erfasst zu werden, kann im konkreten Einzelfall noch zumutbar sein.

Die offizielle Pressemitteilung des Amtsgerichts München vom 30.11.2018 finden Sie hier.

Rufen Sie uns an!

040 411 881 570(Mo-Fr 8 - 19.30 Uhr & Sa 10 - 16 Uhr)
  • kostenlose Ersteinschätzung
  • kein Callcenter - Fachanwalt persönlich
  • bundesweit
Lassen Sie sich bequem zurückrufen
Bewertung: 5 Sterne von 3 Abstimmungen.