Nun sind seit dem 25. Mai 2018 also dem Inkrafttreten (oder besser der Anwendbarkeit) der DSGVO knapp 150 Tage verstrichen. In diesem immer aktuell gehaltenen Beitrag berichten wir täglich über Fragen und Diskussionen zum Thema Datenschutz und DSGVO. Wenn Sie sich also up-to-date halten wollen, schauen Sie  regelmäßig in diesen Beitrag.

Die Bahn in Not, wegen des Tweets zu Greta Thunberg

Die Bahn hatte auf einen Tweet der minderjährigen Klima Aktivistin Greta Thunberg geantwortet, dass diese mit einem bestimmten Zug in der ersten Klasse gereist ist. Das rief den Berliner Datenschutzbeauftragten auf den Plan, die Bahn zu erinnern mit den personenbezogenen Daten zurückhaltender zu sein. 

Die Auseinandersetzung kann man hier nachlesen. Spannend finde ich, dass die DSGVO sich nicht so wirklich mit den social media Mechanism verträgt; danach muss schnell agiert werden, keine Zeit für zu viel Recherche oder falsche Zurückhaltung. Wer zögert, verpasst das kurze Zeitfenster der Aufmerksamkeit. Ärgerlich, wen als Folge einer social media Twitterei sich der Berliner Datenschutzbeauftragte einlädt, den Umgang mit den Daten der Fahrgäste einmal zu diskutieren.

Ich finde es erfreulich, dass die DSGVO die  Bahn zu mehr Verschwiegenheit anhält und der social media Lärm etwa gedämpft wird. 

Arbeitszeiterfassung ohne Einwilligung über Fingerprintverfahren nicht datenschutzkonform

Das Arbeitsgericht Berlin AZ 29 Ca 5451/19 hat am 16.10.2019 entschieden, dass "die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerprint [...] nicht erforderlich im Sonne von § 26 Abs. 1 BDSG und damit ohne Einwilligung der betroffenen Person nicht zulässig" ist.

Zum Sachverhalt führte das AG Berlin aaO aus:

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden. Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“

Hintergrund war, dass ein Arbeitnehmer sich weigerte ein Zeiterfassungssytem über Fingerprint zu nutzen und er auch keine Einwilligung erteilt hatte. dafür erhielt er mehrere Abmahnungen, die nach dem Urteil des Arbeitsgericht Berlin aaO wieder aus der Personalakte gelöscht werden mussten. 

Das AG Berlin,aaO führt aus:

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG). Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können. Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Wer kein Geld hat zahlt mit... Daten

Die SZ weist in einem aktuellen Artikel auf das (nicht neue) Problem hin, dass wirtschaftlich schwächere oftmals Produkte erwerben, um dann die Ersparnis mit eigenen Daten zu zahlen. 

Das ist nach meiner Meinung sogar durchaus hinzunehmen, weil es der Privatautonomie entspricht. Schließlich sollte die DSGVO zumindest die EU Bürger grundsätzlich vor zu datenhungrigen Unternehmen schützen, das kann Sie aber nicht umfassend gewährleisten. Insbesondere was das Thema Tracking im Internet angeht, sollte hier die ePrivacy Verordnung unterstützen. Diese ist aber erst einmal vom Tisch.

Daher ist es zu befürchten, dass die Privatsphäre im Internet bald die Verhältnisse beim Lebensmittelkauf im realen Leben wiederspiegelt. Es gibt einige (wenige), die sich teure Bio Ware leisten können, einige die ab und zu mal auf dem Markt kaufen und den Rest der Bevölkerung. Bon appétit.

Versandhändler Zalando lässt Mitarbeiter mit Software bewerten

Verkürzt dargestellt nutzt Zalando eine Software namens Zonar, mit der Mitarbeiter und Führungskräfte sich gegenseitig bewerten, wobei die Ergebnisse Einfluss auf die Beförderungsmöglichkeiten und das Gehalt nehmen. Zalando beschreibt die Software nach einem Artikel in der "Zeit" als eine "nicht ungewöhnliche Form des sogenannten 360-Grad-Feedbacks. Die Gewerkschaft Verdi spricht unter Hinweis auf eine Untersuchung der Hans Böckler Stiftung und anonyme Angestellte von "Stasi-Methoden".

Die Berliner Datenschutzbehörde hat hinsichtlich der Nutzung der Software Bedenken und hat ein Prüfung der Vereinbarkeit mit der DSGVO eingeleitet.

Datenschutz bei den Ortenauer Gemeindewebseiten

Auf der Seite des Stadtanzeigers Ortenau findet sich eine kurze Untersuchung ob und wen ja welche Gemeindewebseiten automatisch und ohne Einwilligung mit externen Seiten wie Google, Facebook oder Twitter kommunizieren, Der kurze Beitrag ist hier lesbar. Wer es vor Spannung nicht aushält: Nur die Seiten der Gemeinden Kehl, Kippenheim, Ortenberg und Seebach haben Seiten aufgesetzt, die keine unerwünschte Kommunikation tätigen. Die meisten Gemeinden haben schlecht abgeschnitten. Eine ganz schlechte Leistung zeigt die Gemeinde Lahr,  deren Seite ist sehr geschwätzig und gibt Daten an Google, Facebook und Twitter weiter, ohne darauf hinzuweisen.

Wieder hohes Bußgeld wegen DSGVO Verstoß

Diesmal hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zugeschlagen und hat wegen insgesamt drei Verstößen eine Strafe von 105.000,00 EUR verhängt wie u.a. die Ärzte Zeitung berichtet. Eine Patientenverwechselung bei der Aufnahme hatte eine falsche Rechnungszustellung zur Folge. Gesundheitsdaten fallen unter die in Art. 9 DSGVO geregelten besonderen Kategorien personenbezogener Daten.

Ist das angemessen?

Fairerweise muss man festhalten, dass nie die gesamten Umstände eines Falls in der Öffentlichkeit diskutiert werden. Aus den Stellungnahmen ist zu schließen, dass durch Verstöße grundlegende Probleme der Umsetzung  der DSGVO wie den technisch organisatorischen Maßnahmen (32 DSGVO) offenbart wurden. Ferner soll wohl gerade bei Kliniken Problembewusstsein weiter geschaffen werden - so kann die Strafe durchaus auch als Weckruf verstanden werden. In unserer Beratungspraxis stoßen wir auch gerade im Gesundheitswesen immer wieder auf eine gewisse Zurückhaltung sich mit dem Thema vertiefter beschäftigen zu wollen; vielleicht werden so die Sinne der Beteiligten geschärft.

 

Ein kleiner Fehler soll 9,6 Million EUR Strafe kosten

1&1 soll mit einem Bußgeld in Höhe von fast 10 Million Euro belegt worden sein. Nach den Berichterstattungen soll eine Ex Freundin (Stalker) die Nummer Ihres ehemaligen Partners von der Auskunft von 1&1 ergaunert haben. Angeblich soll sogar zunächst ein deutlich höheres Bußgeld im Raum gestanden haben, aber aufgrund der großen Kooperation wurde dann nur die genannte Summe verhängt.

Wenn das tatsächlich so stimmt, wie berichtet wird, ist der Datenschutz auf dem besten Wege sich selber abzuschaffen. Wenn ein Fehler eines Mitarbeiters eine derart hohe Strafe auslösen kann, führt das dazu, dass Unternehmen durch den Datenschutz entweder paralisiert werden oder diesen gleich ignorieren.

Datenschutz ist wichtig, Datenschutz wird sogar ein Standardvorteil für Europa sein, aber die Strafen dürfen nicht drakonsich hoch und kaum vermeidbar wirken. Wenn der Datenschutz nur den Mund aufmacht um zu beißen und nicht um zu lächeln, wird er so auch von den Beteiligten wahrgenommen werden. Das können wir besser.

Datenschutz in China TikTok

Die App TikTok spricht vor allem Menschen an, denen Instagram und Facebook zu alt und langweilig sind.

Bei TikTok geht es darum, kurze Videos vornehmlich zu Playback-Songs aufzunehmen, die dann von anderen Nutzern bewertet werden.  Der chinesische Entwickler Bytedance zeichnet sich für die App verantwortlich, in der im Sommer 2018 die Anwendung musical.ly aufging.Die überwiegende Anzahl der Nutzer wird unter 30 sein und sehr viele davon unter 18 Jahren. Ein sehr interessanter Beitrag zu dem Netzwerk  ist  auf netzpolitik.org im Podcast anzuhören.  Die App ist ab 13 Jahren freigegeben, unter 18-Jährige brauchen laut den Geschäftsbedingungen eine Erlaubnis der Eltern. Geprüft wird das soweit ersichtlich aber nicht. Die Möglichkeit sich gegenseitig kostenpflichtige Geschenke zu machen und der Umstand, dass die Nutzung der auch von Kindern generierten personenbezogenen Daten, nicht klar nachvollziehabr sind, hat sowohl Verbraucherschützer als auch Datenschützer aufmerksam gemacht.

Der Vizechef der Grünen-Bundestagsfraktion, Konstantin von Notz, fordert ein umfassendes Verbot für die Nutzung der persönlichen Daten von Kindern und Jugendlichen für Werbung und die Bildung von Persönlichkeits- oder Nutzerprofilen. Es würde mich sehr überraschen, wenn in diesem Zusammenhang TikTok nicht in den Mittelpunkt der Diskussion gelangte.

Verbraucherzentrale rügt die DSGVO

Die Verbraucherzentrale Bundesverband rügt in einer Bewertung der DSGVO einige vage Bestimmungen und hat auch ein durchaus lesenswertes Rechtsgutachten veröffentlicht, in dem Kritikpunkte aus Verbrauchersicht dargestellt werden.

Ist die Kritik berechtigt?

Ohne zusehr in das Detail gehen zu wollen, schießt die Verbraucherzentrale Bundesverband zu scharf. Mir scheint das Gutachten an einigen Stellen davon auszugehen, dass ohnehin nicht alles umgesetzt wird und daher mehr gefordert wird als realistisch ist, um damit Verhandlungsmasse zu schaffen.

Exemplarisch seien die Ausführungen umd die Kritik an Verwendung des Begriffs "Treu und Glauben" in Art. 5 Abs. 1 a DSGVO, genannt, wobei gefordert wird diesen durch den Begriff  "Fairness" zu ersetzen und damit einen Auffangtatbestand zu haben, "wenn eine Verarbeitung zwar formell und materiell rechtmäßig erfolgt, dies aber in einem bestimmten Fall als unbillig erscheint, etwa weil das Machtgefälle zwischen Anbieter und Verbraucher "unfair" zum Nachteil des Verbrauchers ausgenutzt wurde".

Das halte ich für deutlich zu weitgehend, und zeugt von einem antiquierten Verbraucherbild eines unmündigen Bürgers, der konsequent geschützt werden muss.

Andere Punkte insesondere was den Kinderschutz ( etwa Aufnahme einer Verpflichtung zu besonderem Schutz der Grundrechte und Interessen von Kindern) angeht, halte ich für deutlich angebrachter, als hier nmM schutzwürdigere Interessen bestehen.

 

 

 

Gesundheitsdaten fließen trotz Datenschutz durch das Netz

„Gesundheitsdaten“ definiert die DSGVO als personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Deren Verarbeitung ist nach Art. 9 DSGVO nur eingeschränkt gestattet. 

Gleichwohl gibt es in unserer Beratungspraxis von Arztpraxen nicht selten Probleme mit genau diesen Daten. In der Hektik des Alltags geschehen Fehler, das ist zwar menschlich sollte aber nach Kräften vermieden werden.

Und auch die Medien berichten in regelmäßigen Abständen wie hier der Bayerische Rundfunk über Datenschutzpannen mit genau diesen Daten. So wurden 7000 Datensätze von Patienten aus Bayern und Umgebung auf Servern  gespeichert, die nicht ordnungsgemäß geschützt waren; und damit über das Internet für jedermann abrufbar war. Wer also schon immer mal wissen wollte, ob der Nachbar in Ingolstadt gesund war, der konnte das mit ein wenig Glück bequem vom Sofa aus in Erfahrung bringen.

Was tun bei Datenschutzverstößen? 

Wenn ein Krankenhaus oder ein Arzt Kenntnis erhält, dass Gesundheitsdaten im Internet abrufbar sind, dann muss dies der zuständigen Aufsichtsbehörde gemeldet werden.

Wenn ein Betroffener Kenntnis erhält, dass seine Gesundheitsdaten im Internet landen, sollte er im Zweifel unverzüglich den Datenverarbeiter kontaktieren, damit die Verletzung sofort beendet werden kann. 

 

Rufen Sie uns an!

040 411 881 570(Mo-Fr 8 - 19.30 Uhr & Sa 10 - 16 Uhr)
  • kostenlose Ersteinschätzung
  • kein Callcenter - Fachanwalt persönlich
  • bundesweit
Lassen Sie sich bequem zurückrufen
Bewertung: 5 Sterne von 3 Abstimmungen.