Nun sind seit dem 25. Mai 2018 also dem Inkrafttreten (oder besser der Anwendbarkeit) der DSGVO knapp 150 Tage verstrichen. In diesem immer aktuell gehaltenen Beitrag berichten wir täglich über Fragen und Diskussionen zum Thema Datenschutz und DSGVO. Wenn Sie sich also up-to-date halten wollen, schauen Sie  regelmäßig in diesen Beitrag.

Fotografieren bei der Schulaufführung - Verboten durch die DSGVO?

Der Tätigkeitsbericht Datenschutz 2019 des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit setzte sich auch mit dem (angeblichen Fotografierverbot) in Schulen und Kitas auseinander und wies darauf hin, dass wenn die Bilder nicht in sozialen Netzwerken veröffentlicht werden, noch nicht einmal der Schutzbereich der DSGVO eröffnet ist.  

 (2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

      (c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten..

Dies wird im Erwägungsgrund 18 der DSGVO weiter konkretisiert:

"Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten [...]"

Danach greift die DSGVO nicht, wenn Eltern die eigenen und/oder Dritte Kinder filmen/fotografieren soweit diese Bilder auch nur privat genutzt werden. Im Tätigkeitsbericht Datenschutz 2019 S, 135 wird dies wie folgt erläutert:

"Soweit das Foto in einem sozialen Netzwerk nur innerhalb einer geschlossenen Gruppe, die auf einen fest definierten Kreis von Personen aus dem sozialen Umfeld des Fotografierenden begrenzt ist, und zum Zweck der rein privaten Freundschaftspflege veröffentlicht wird, ist noch von einer persönlichen oder familiären Tätigkeit in diesem Sinne auszugehen. Wird das Foto hingegen zum Zweck einer auch beruflichen Kontaktpflege mit einer geschlossenen Gruppe geteilt, ist die Anwendungsausnahme des Art. 2 Absatz 2 lit. c DSGVO demgegenüber nicht mehr eröffnet." 
 

Beweislast bei Schadensersatzansprüchen nach DSGVO

Leider gibt es noch wenig Rechtsprechung in Deutschland zur DSGVO insbesondere zu den Schadensersatzansprüchen nach Art. 82 DSGVO, aber hier lohnt der Blick zu unseren Freunden nach Österreich. Dort hatte sich nämlich der Oberste Gerichtshof in Österreich (OGH) v. 27.1..2019 - AZ: 6 Ob217/19h zu den Beweislastregeln beim Schadensersatzbegehren von Betroffenen geäußert. In dem zugrundeliegenden Sachverhalt ging es um die Klage eines Betroffenen gegen eine Auskunftei, die falsche Informationen zum Schuldenstand lieferte, wodurch er - nach eigenem Vortrag nur eine ungünstigere Finanzierung erhalten hatte  Neben diesem materiellen Schaden begehrte er noch Ersatz seines immateriellen Schadens. Die Vorinstanz hatte den immateriellen Schaden in Höhe von 2.000,00 EUR zugesprochen, aber den Ersatz des materiellen Schadens verwehrt. Das hat das OGH, aaO bestätigt - der Kläger konnte nicht beweisen, dass ihm ein materieller Schaden entstanden war. Die Beweislast hatte der OGH sowohl hinsichtlich der Kausalität zwischen Datenschutzverstoß und Schaden als auch hinsichtlich des Eintritt des Schadens beim betroffenen Kläger verortet.

Der digitale Nachlass

Gestern hatte ich den Datenschutz nach dem Tod thematisiert und heute stoße ich auf das sehr lesenswerte Gutachten: Der digital Nachlass - Eine Untersuchung aus rechtlicher und technischer Hinsicht. Interessant fand ich den Ansatz einer Vorsorgevollmacht für digitale Angelegenheiten; bedenkenswert ist der Ansatz die Vorsorgevollmacht möglichst offen zu formulieren und nicht einzelne Dienste aufzunehmen, um keine Regelungslücken entstehen zu lassen, wenn ein neuer Dienst hinzukommt oder nicht bedacht wird. Andererseits stellt sich die Frage wie der Bevollmächtigte von einem Dienst erfahren will, wenn dieser nicht irgendwo in einer Liste aufgeführt ist. Es bestehen sicher erbliche Probleme in der Praxis wenn der Bevollmächtigte den Betreiber von Dropbox anschreibt, um zu erfahren ob der Bevollmächtigte dort ein Konto hat, zumal der Bevollmächtigte bei vielen Diensten auch nicht zwingend seine (vollständigen) zutreffenden Daten angegeben hat. 

Datenschutz nach dem Tod

Was geschieht mit Ihren Daten nach ihrem Tod? Wer hat überhaupt Zugriff auf diese? Wollen Sie, dass Ihr Facebook Account weiterbesteht? Haben Sie vielleicht einen Blog, von dem Sie wünschen, dass dieser in einer bestimmten Art und Weise weitergeführt wird. Was passiert mit Fotos in der Amazon Photo Cloud? 
Zunächst sollte eine Bestandsaufnahme erfolgen und Sie sollten schauen wo Sie überall Kontos haben. Zur ersten Orientierung kann folgende Liste dienen

  • 1. E-Mail Dienste und Kommunikationsdienste zum Beispiel ein Google Mail Konto, Gmx Konto oder auch WhatsApp
  • 2 .Soziale Netzwerke
    • a.    privat z.B. Facebook, Twitch, Youtube, Twitter
    • b.    beruflich z.B, Xing, Youtube, Twitch
  • 3.    Cloud Dienste wie Amazon Photos, Wetransferm Dropbox, Microssoft One Drive; Google Drive, Samsung Cloud
  • 4.    Verkaufsplattformen z.B. Amazon, Ebay, Otto
  • 5.    Streaming Dienste wie Netflix, Amazon Prime

Dann sollten Sie Ihre Passwörter und Zugänge in dieser Liste vermerken sowie was mit den Diensten und den dort vorhandenen Inhalten geschehen soll. Diese Liste fügen Sie Ihrem Testament bei, welches Sie durch einen Notar beglaubigen lassen und dort hinterlegen. Dann müssen Sie nichts handschriftlich erstellen. Wenn Sie dabei sind, erstellen Sie gleich noch eine Patientenverfügung.

Damit ersparen Sie Ihren Erben eine Menge Stress.
 

Datenschutz und Arbeitsrecht

Der Datenschutz ist in der Praxis und besonders am Arbeitsplatz nicht immer optimal einzusetzen. Jeder Datenschutzbeauftragte wird wohl die verdrehten Augen der Mandanten erlebt haben, wenn einmal dargestellt wird, was alles erforderlich ist, um den Arbeitsplatz wirklich datenschutzkonform darzustellen.

Grund für die neue Aufregung kommt diesmal vom EuGH, nachdem nicht nur Überstunden erfasst werden soll, sondern die gesamte Arbeitszeit. Das stellt dann einige Probleme. Kommt nun die Totalüberwachung? Müssen Toilettenbesuche, der Gang zur Kaffeemaschine und Raucherpausen nun protokolliert werden? Und ist das mit dem Datenschutz vereinbar. Das Problem ist nach meiner Meinung ein Scheinproblem:

  • Toilettengänge sind grundsätzlich keine Arbeitszeitpausen, und müssen damit auch nicht dokumentiert werden. Und selbst eine halbe Stunde Aufenthalt auf der Toilette rechtfertigt keine Gehaltskürzung.
  • Zumindest der Gang zur Küche und zurück, um sich einen Kaffee zu holen ist keine Unterbrechung der Arbeitszeit

Nur die Raucherpause ist eine Pause während der Arbeitszeit, die als solche genehmigt werden muss. Wenn der Arbeitgeber aber ohnehin diese Pausen als Arbeitszeit verschenkt, dann besteht nach meinem Verständnis keine Notwendigkeit eine Unterbrechung der Arbeitszeit zu dokumentieren. Anders als viel andere Kommentatoren denke ich, dass der EuGH samt dem darauf fußenden noch zu verabschiedenden Gesetz bei der Arbeit im Betrieb wenig bis nichts ändert. Anders mag dies bei der Heimarbeitszeit aussehen.

DRK erstattet nach Sicherheitslücke Strafanzeige

Die Märkische Allgemeine berichtet, dass das Deutsche Kreuz (DRK) nach Bekanntwerden einer Sicherheitslücke auf der eigenen Webseite Strafanzeige erstattet hat. Gegen unbekannt natürlich. Mir stellt sich die Frage: Warum?

Nach den Medienberichten hatte die Internetseite eine Sicherheitslücke, die es Dritten ermöglichte mehr als 110.000 Einsatzdaten von Krankentransporten einzusehen. Mit derselben Logik könnte ein Hausbesitzer, der vergessen hat ein Fenster im Garten zu schließen, Strafanzeige gegen unbekannt stellen. Noch sonderbarer wird es, wenn man sich vorstellt, dass der Hausbesitzer damit herauszufinden sucht, ob jemand eingebrochen ist. Genauso wenig wird das LKA dem DRK dabei helfen, ob jemand Zugriff auf die Daten hatte.

Fotografierverbot bei Einschulungen der Kinder?

Immer wieder stellt sich die Frage, ob und wie auf  Schulveranstaltungen fotografiert werden darf. Nun beschäftigt sich ein lesenswerter Artikel auf MDR Aktuell mit genau dieser Frage: Dürfen auf einer Einschulung die Eltern fotografieren? Der Thüringer Datenschutzbeauftragter Lutz Hasse bejaht dies. Hier sollen seine Ausführungen ein wenig  erläutert werden. Die Rechtmäßigkeit der Verarbeitung  erkennt er offenbar in Art. 6 DSGVO Abs. 1 lit f):

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[...]
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zur Auslegung dieser Norm ist der Erwägungsgrund 47 hinzuzuziehen, wo es heißt:

[,,,] Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann [...].

Mit anderen Worten die Abwägung aus Art. 6 Abs. 1 f. DSGVO wird davon beeinflusst, wenn die Betroffenen damit rechnen müssen fotografiert zu werden. Das - so der Thüringer Datenschutzbeauftragte - sei der Fall bei einer Einschulung, als jeder damit rechne dort fotografiert zu werden.

 

Kammergericht Berlin leidet immer noch am Hackerangriff

Das Kammergericht Berlin wurde nun schon einige Tage durch einen Hackerangriff lahmgelegt. Wie läuft so etwas in der Praxis ab? Oftmals beginnt es mit einer E-Mail. Aber nicht von irgendwem sondern von einer Person, mit der man kommuniziert hat. Es ist scheinbar eine Antwort E-Mail. Diese lautet etwa Guten Tag - automatische individuelle Anrede habe ich noch nicht gesehen, gibt es aber wahrscheinlich auch - in der Anlage mein Schreiben als Antwort. Dieses ist in einer RAR Datei als Attachement beigefügt. Für das Archiv gibt es ein Passwort. Das Passwort ist gleich in der E-Mail mit beigefügt (sicher nicht sinnvoll, aber nun ja). Nachdem man die Datei öffnet, öffnet sich "Word" und dort steht dann, man solle die Makros aktivieren, damit die ältere "Word" Version gelesen werden kann. Wenn letztgenanntes erfolgt, ist es zu spät. Dann wird der Rechner verseucht.

Welche Warn-Signale gab es:

  • 1. Keine individuelle Anrede

  • 2. Anhang "RAR-Datei"

  • 3. Passwort in derselben E-Mail

  • 4. Ältere Word Version nicht lesbar - das ist nicht korrekt, Word ist abwärtskompabtibel

  • 5. Aktiviere Makros (letzt genanntes ist tödlich!)

Seien Sie vorsichtig, dann können Sie weiterhin E-Mails empfangen und sind nicht über Monate eingeschränkt wie das Kammergericht Berlin.

 

 

 

 

 

Europäischer Datenschutztag - falsche Schlagzeilen

Gestern war der Europäische Datenschutztag. Leider war die Berichterstattung auch auf guten Nachrichtenseiten wie Heise eher reisserisch: Höhere Strafen sollen zumindest nach den Überschriften das Ergebnis sein. Ich habe schon mehrfach angemerkt, dass Datenschutz auch ohne das ständige Mantra der hohen Strafen a) sinnvoll und b) positiver wahrgenommen wird. Ich finde es ärgerlich, dass der Datenschutz und die Aufsichtsbehörden so immer nur auf die Geldbußen reduziert werden.

Ganz angenehm zu lesen, fand ich dagegen die "Statements zum Europäischen Datenschutztag"  in der Funkschau und die dort dargestellten  Branchen-Zitate.

 

Deutsche Gesellschaft für Cybersicherheit zum Buchbinder Skandal

Die Deutsche Gesellschaft für Cybersicherheit hatte Buchbinder offenbar bereits Anfang Dezember 2019 auf Schwachstellen hingewiesen, diese sollen aber ignoriert worden sein. Die Stellungnahme zur causa Buchbinder der Deutschen Gesellschaft für Cybersicherheit aus Flensburg finden Sie hier.

Das ist für Buchbinder in mehrfacher Hinsicht problematisch: Zum Einen war das Datenleck damit deutlich länger online als "nötig" und das wird sich auch in der Höhe der Entschädigung der betroffenen Kunden und sonstigen Personen widerspiegeln. Aber auch die Aufsichtsbehörden werden dies sicherlich bei der Höhe des Bußgelds zu berücksichtigen wissen. Zum Anderen hätte mit einer angemessenen Reaktion zumindest auf die E-Mail der Deutschen Gesellschaft für Cybersicherheit, der Fall nicht durch die Presse an die Öffentlichkeit getragen, was nicht nur besser ausgesehen hätte.

Man kommt nicht umhin, (auch) ein wenig Mitleid mit Buchbinder zu haben. Hier ist wirklich alles schiefgelaufen. Das von Buchbinder veröffentlichte Statement scheint auch nicht der große Wurf.

 

 

 

Rufen Sie uns an!

040 411 881 570(Mo-Fr 8 - 19.30 Uhr & Sa 10 - 16 Uhr)
  • kostenlose Ersteinschätzung
  • kein Callcenter - Fachanwalt persönlich
  • bundesweit
Lassen Sie sich bequem zurückrufen
Bewertung: 5 Sterne von 3 Abstimmungen.