Nun sind seit dem 25. Mai 2018 also dem Inkrafttreten (oder besser der Anwendbarkeit) der DSGVO knapp 150 Tage verstrichen. In diesem immer aktuell gehaltenen Beitrag berichten wir täglich über Fragen und Diskussionen zum Thema Datenschutz und DSGVO. Wenn Sie sich also up-to-date halten wollen, schauen Sie  regelmäßig in diesen Beitrag.

Fotografierverbot bei Einschulungen der Kinder?

Immer wieder stellt sich die Frage, ob und wie auf  Schulveranstaltungen fotografiert werden darf. Nun beschäftigt sich ein lesenswerter Artikel auf MDR Aktuell mit genau dieser Frage: Dürfen auf einer Einschulung die Eltern fotografieren? Der Thüringer Datenschutzbeauftragter Lutz Hasse bejaht dies. Hier sollen seine Ausführungen ein wenig  erläutert werden. Die Rechtmäßigkeit der Verarbeitung  erkennt er offenbar in Art. 6 DSGVO Abs. 1 lit f):

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[...]
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zur Auslegung dieser Norm ist der Erwägungsgrund 47 hinzuzuziehen, wo es heißt:

[,,,] Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann [...].

Mit anderen Worten die Abwägung aus Art. 6 Abs. 1 f. DSGVO wird davon beeinflusst, wenn die Betroffenen damit rechnen müssen fotografiert zu werden. Das - so der Thüringer Datenschutzbeauftragte - sei der Fall bei einer Einschulung, als jeder damit rechne dort fotografiert zu werden.

 

Kammergericht Berlin leidet immer noch am Hackerangriff

Das Kammergericht Berlin wurde nun schon einige Tage durch einen Hackerangriff lahmgelegt. Wie läuft so etwas in der Praxis ab? Oftmals beginnt es mit einer E-Mail. Aber nicht von irgendwem sondern von einer Person, mit der man kommuniziert hat. Es ist scheinbar eine Antwort E-Mail. Diese lautet etwa Guten Tag - automatische individuelle Anrede habe ich noch nicht gesehen, gibt es aber wahrscheinlich auch - in der Anlage mein Schreiben als Antwort. Dieses ist in einer RAR Datei als Attachement beigefügt. Für das Archiv gibt es ein Passwort. Das Passwort ist gleich in der E-Mail mit beigefügt (sicher nicht sinnvoll, aber nun ja). Nachdem man die Datei öffnet, öffnet sich "Word" und dort steht dann, man solle die Makros aktivieren, damit die ältere "Word" Version gelesen werden kann. Wenn letztgenanntes erfolgt, ist es zu spät. Dann wird der Rechner verseucht.

Welche Warn-Signale gab es:

  • 1. Keine individuelle Anrede

  • 2. Anhang "RAR-Datei"

  • 3. Passwort in derselben E-Mail

  • 4. Ältere Word Version nicht lesbar - das ist nicht korrekt, Word ist abwärtskompabtibel

  • 5. Aktiviere Makros (letzt genanntes ist tödlich!)

Seien Sie vorsichtig, dann können Sie weiterhin E-Mails empfangen und sind nicht über Monate eingeschränkt wie das Kammergericht Berlin.

 

 

 

 

 

Europäischer Datenschutztag - falsche Schlagzeilen

Gestern war der Europäische Datenschutztag. Leider war die Berichterstattung auch auf guten Nachrichtenseiten wie Heise eher reisserisch: Höhere Strafen sollen zumindest nach den Überschriften das Ergebnis sein. Ich habe schon mehrfach angemerkt, dass Datenschutz auch ohne das ständige Mantra der hohen Strafen a) sinnvoll und b) positiver wahrgenommen wird. Ich finde es ärgerlich, dass der Datenschutz und die Aufsichtsbehörden so immer nur auf die Geldbußen reduziert werden.

Ganz angenehm zu lesen, fand ich dagegen die "Statements zum Europäischen Datenschutztag"  in der Funkschau und die dort dargestellten  Branchen-Zitate.

 

Deutsche Gesellschaft für Cybersicherheit zum Buchbinder Skandal

Die Deutsche Gesellschaft für Cybersicherheit hatte Buchbinder offenbar bereits Anfang Dezember 2019 auf Schwachstellen hingewiesen, diese sollen aber ignoriert worden sein. Die Stellungnahme zur causa Buchbinder der Deutschen Gesellschaft für Cybersicherheit aus Flensburg finden Sie hier.

Das ist für Buchbinder in mehrfacher Hinsicht problematisch: Zum Einen war das Datenleck damit deutlich länger online als "nötig" und das wird sich auch in der Höhe der Entschädigung der betroffenen Kunden und sonstigen Personen widerspiegeln. Aber auch die Aufsichtsbehörden werden dies sicherlich bei der Höhe des Bußgelds zu berücksichtigen wissen. Zum Anderen hätte mit einer angemessenen Reaktion zumindest auf die E-Mail der Deutschen Gesellschaft für Cybersicherheit, der Fall nicht durch die Presse an die Öffentlichkeit getragen, was nicht nur besser ausgesehen hätte.

Man kommt nicht umhin, (auch) ein wenig Mitleid mit Buchbinder zu haben. Hier ist wirklich alles schiefgelaufen. Das von Buchbinder veröffentlichte Statement scheint auch nicht der große Wurf.

 

 

 

Massenklagen nach DSGVO

Aktuell ist die fünfseitige Untersuchung der Kollegen von DLA Piper, die hier abgerufen werden kann, in aller Munde. Während die Untersuchung aufmerksamen Beobachtern nicht wirklich viel neues präsentiert, bin ich über eine Passage am Schluss doch gestolpert, dort heißt es auf Seite 4 nach den möglichen Sanktionen durch die Behörden:

There is also an increased risk of “follow-on”
compensation claims, including group litigation which
follow a regulatory finding of liability. Litigation funders have
billions of Euros available to fund claims and – where local
civil procedure rules permit – are becoming increasingly
active pursuing group litigation claims for large groups
of affected individuals on the basis of alleged breaches of
GDPR and data protection laws. Recent UK group litigation
claims based on data protection law infringements would be
very familiar to US class action lawyers.

Sinngemäß wird darauf hingewiesen, dass nach möglichen Datenschutzverletzungen Sammelklagen drohen könnten. Das ist auch in Deutschland nicht mehr auszuschließen. Ob nun eine Musterfeststellungsklage wie gegen VW oder ob neue Abtretungsmodelle (wie Myright) oder sonstige LegalTech Modelle - sobald Betroffene von Gerichten bei Datenschutzverstößen Entschädigungen (Schmerzensgeld) in nennenswerter Höhe zusprechen - ist mit Aufruhr zu rechnen.

Wie wahrscheinlich sind hohe Schmerzensgelder für Betroffene wegen DSGVO Verstößen?

Ich erhalte in der Woche drei bis vier Anfragen von Betroffenen, ob sich dieser oder jener Datenschutzverstoß wirtschaftlich auswerten lasse - "kann ich da Geld bekommen?" In den meisten Fällen rate ich zumindest von einer Klage ab, weil ich (im Moment noch) keine Bereitschaft sehe, dass Gerichte Schmerzensgeld zusprechen werden. Nur in Ausnahmefällen übernehme ich das Mandat und klage dann auch. Wir führen aktuell ein Verfahren in der zweiten Instanz, in dem es um einen erheblichen Datenschutzverstoß geht und begehren in diesem  auch Schmerzensgeld. Die erste Instanz war eher zurückhaltend. So wie mir geht es vielen Kollegen, es dauert einfach bis genug Entscheidungen zu dieser Frage vorliegen. ich rechne damit, dass wir erst in den nächsten ein bis zwei Jahren von diversen Obergerichten Antworten bekommen. 

Tinder und der Datenschutz

Die ZEIT ONLINE berichtet über den Verdacht, dass u.a. Tinder Nutzerdaten gewerblich ausgewertet haben soll. Das würde mich jedenfalls wenig überraschen. Schließlich haben diese Unternehmen zumindest bis vor der DSGVO von einer umfassenden Auswertung der von Nutzern zur Verfügung gestellten Daten gelebt.

Was mich aber tatsächlich überrascht hat, ist dass zumindest nach Gesprächen mit zwei Betroffenen, Tinder auch die Kooperationsbereitschaft hinsichtlich der Auskünfte über die von Betroffenen gespeicherten Daten zumindest nur zögerlich zu beantworten bereit ist. Ich konnte das nicht verifizieren, weil beide Betroffene sich letztlich gegen eine Beauftragung entschieden haben, um ihrer Betroffenenrechte durchzusetzen - mutmaßlich weil sie die Kosten einer anwaltlichen Vertretung abschreckte. 

Wer um kostenlose Dienstleistung zu nutzen zunächst seine Daten "verkauft", der darf sich nicht wundern, wenn er auch für die Prüfung und Durchsetzung seiner Rechte, nichts ausgeben will, keinen Datenschutz erhält. Ich habe den Betroffenen aber auch den Tip gegeben sich an den jeweiligen Datenschutzbeauftragten zu wenden. Aber ob und wie lange die Bearbeitung da dauert, weiß ich freilich nicht.

 

EU-Komission ohne Kenntnis über Höhe der Bußgelder: Echtes Problem?

Der Spiegel berichtet darüber, dass die EU-Kommission keine Kenntnis über die Höhe der verhängten Bußgelder habe; sowie über die Kritik daran, als es schwer sei die Effekte der DSGVO ohne diesen Faktor zu bewerten. 

Das halte ich tatsächlich nicht für zutreffend: 

Sicherlich müssen für eine umfassende Begutachtung auch alle Bußgelder einbezogen werden, die konkret verhängt werden. Ich propagiere aber schon länger die DSGVO endlich von der Last der Bußgelder zu befreien. Die Bußgelder sind nötig, um Unternehmen zu disziplinieren, welche beratungsresistent oder uneinsichtig sind. Die ständige Verknüpfung der DSGVO mit Bußgeldern in jeder Diskussion schadet nicht nur dem Ansehen der DSGVO sondern erschwert  sogar deren praktische Umsetzung: Die Bearbeitung von Betroffenen Anfragen- um ein Beispiel zu nennen - ist für viele Unternehmen ein Spießrutenlauf, weil immer die Sorge mit läuft eine Anfrage nicht ordentlich genug bearbeitet zu haben. Im Zweifel wird auch zu schnell gelöscht, obwohl die Identifikation des Betroffenen noch gar nicht sicher erfolgt ist, aber die Sorge vor einer Beschwerde des Betroffenen schürt das Tempo.

Je mehr wir die DSGVO von dem Schwert der Sanktionen trennen, desto eher werden auch die guten Seiten der DSGVO, als neuer Gold-Standard für den Umgang mit personenbezogenen Daten, offenbar.

Piraten wettern gegen WhatsApp: Wer meldet den Müll?

Die Piratenpartei Deutschland hat eine Presseerklärung herausgegeben, in welcher die Nutzung von WhatsApp durch die Gemeinde Wadgassen zur Kommunikation mit der Bevölkerung gerügt wird. Im Detail geht es darum, dass Bürger über WhatsApp Missstände wie Falschparken und illegale Müllablagen die Gemeinde informieren können. Immerhin 1000 Mal haben sich Bürger bemüssigt gefühlt, genau das zu tun. 

Klar ist, dass WhatsApp als zu Facebook gehörendes Unternehmen sehr kritisch anzusehen ist, wenn es um den Datenschutz geht. Die Kritik an der Gemeinde ist insoweit nicht von der Hand zu weisen, andererseits ist die Vorgehensweise zumindest effektiv. Jeder hat WhatsApp ein eigener Mängelmelder wie von der Piratenpartei gefordert würde immense Mittel verschlingen und letztlich so bedienunfreundlich sein, dass er nicht genutzt würde.

ich persönlich halte die Nutzung zumindest solange keine Personen und Kennzeichen fotografiert werden sondern Schlaglöcher und illegale Müllablagen für einen vertretbaren Kompromiss, wenn auch die besseren Gründe dafür sprechen, dass die Verwaltung generell auf die Nutzung von WhatsApp verzichten sollte oder gar müsste. Dann müssen Missstände eben wieder durch das Ordnungsamt aufgedeckt werden. Ich kann damit auch gut leben,

Gesundheitsdaten und die Cloud: Achtung vor den Kraken

Es gibt wohl kein Unternehmen, welches sich nicht mit der "Cloud" beschäftigen muss. Microsoft Office 365 kennen Endverbraucher und auch kleine mittelständische Unternehmen stehen aktuell vor dem Problem, ob sie einen neuen Server anschaffen oder auf die Software aus dem Hause Microsoft zurückgreifen, die eben Daten auch auf Servern von Microsoft vorhält. "Hoffentlich" bleiben die Daten auf Servern in Europa, aber kontrollieren kann das wohl niemand. Das Gleiche gilt für die Amazon Webservice (besser bekannt als AWS), viele mittelständische Unternehmen greifen auf deren Services zurück. Versprochen wird, dass die Daten in Servern in Europa gehostet werden, aber wer kann das wirklich prüfen? Natürlich bietet auch "google" entsprechende Dienstleistungen an, und auch hier - wirklich sicher ist man nicht.

Nicht zu beneiden sind Ärzte, Krankenkassen oder Abrechnungsstellen, die nun alle auch auf Dienstleistungen unserer global Player zurückgreifen (müssen), in Amerika werden die Kraken-Arme schon weit ausgestreckt und zwar gerade bei Gesundheitsdaten. Es steht zu befürchten, dass wenn entsprechende Bedürfnisse der Daten-Kraken geweckt werden, diese sich auch Möglichkeiten genauer ansehen werden, um auf europäische Gesundheitsdaten zuzugreifen. 

 

Microsoft wertete Gespräche in China aus - Hätten Sie das gedacht?

Microsoft wertete Skype Gespräche und Anfragen an Cortana zur besseren Spracherkennung in China aus. Mit datenschutzrechtlichen Anforderungen belastete sich Microsoft bzw. deren Dienstleister in China dabei nicht wie DERSTANDARD berichtet.

Natürlich ist die erste Reaktion nun von Kritikern des Datenschutzes ein lautes "Siehste, das war doch klar". Zugegeben es ist jetzt nicht wirklich überraschend, sollte aber nun nicht dazu führen, dass wir als Europäer nun den Datenschutz in Frage stellen. Nach dem Motto: Wir trennen den Müll und dann wird es doch auf der Müllkippe wieder alles in einen Topf geworfen und verbrannt. Das wäre zu kurz gesprungen. Datenschutz wird eine Herkules-Aufgabe.

Nach meiner Meinung ist die Verteidigung von Microsoft, ihre Verfehlungen seien abgestellt, eher Schutzbehauptungen. Fakt ist, dass niemand das wirklich überprüfen kann. Daten sind ein erhebliches Wirtschaftsgut und von vielen großen Unternehmen - wenn auch nicht zwingend von Microsoft - die Geschäftsgrundlage. Solange es Unternehmen wie Facebook und Google gibt, werden Daten im großen Stil kommerziell ausgewertet und um diese Unternehmen bildet sich eine Industrie.

Der Staat kann hier unterstützen, aber letztlich muss der Verbraucher bereit sein, auf per se hilfreiche Dienste wie "Skype" und "Cortana" zu verzichten, wenn er seine Datenhoheit zurückgewinnen wird, bis dahin ist nach dem Datenskandal vor dem Datenskandal. 

 

Rufen Sie uns an!

040 411 881 570(Mo-Fr 8 - 19.30 Uhr & Sa 10 - 16 Uhr)
  • kostenlose Ersteinschätzung
  • kein Callcenter - Fachanwalt persönlich
  • bundesweit
Lassen Sie sich bequem zurückrufen
Bewertung: 5 Sterne von 5 Abstimmungen.