Datenschutz & DSGVO - Newsticker

Datenschutz bei den Ortenauer Gemeindewebseiten

Auf der Seite des Stadtanzeigers Ortenau findet sich eine kurze Untersuchung ob und wen ja welche Gemeindewebseiten automatisch und ohne Einwilligung mit externen Seiten wie Google, Facebook oder Twitter kommunizieren, Der kurze Beitrag ist hier lesbar. Wer es vor Spannung nicht aushält: Nur die Seiten der Gemeinden Kehl, Kippenheim, Ortenberg und Seebach haben Seiten aufgesetzt, die keine unerwünschte Kommunikation tätigen. Die meisten Gemeinden haben schlecht abgeschnitten. Eine ganz schlechte Leistung zeigt die Gemeinde Lahr,  deren Seite ist sehr geschwätzig und gibt Daten an Google, Facebook und Twitter weiter, ohne darauf hinzuweisen.

Wieder hohes Bußgeld wegen DSGVO Verstoß

Diesmal hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zugeschlagen und hat wegen insgesamt drei Verstößen eine Strafe von 105.000,00 EUR verhängt wie u.a. die Ärzte Zeitung berichtet. Eine Patientenverwechselung bei der Aufnahme hatte eine falsche Rechnungszustellung zur Folge. Gesundheitsdaten fallen unter die in Art. 9 DSGVO geregelten besonderen Kategorien personenbezogener Daten.

Ist das angemessen?

Fairerweise muss man festhalten, dass nie die gesamten Umstände eines Falls in der Öffentlichkeit diskutiert werden. Aus den Stellungnahmen ist zu schließen, dass durch Verstöße grundlegende Probleme der Umsetzung  der DSGVO wie den technisch organisatorischen Maßnahmen (32 DSGVO) offenbart wurden. Ferner soll wohl gerade bei Kliniken Problembewusstsein weiter geschaffen werden - so kann die Strafe durchaus auch als Weckruf verstanden werden. In unserer Beratungspraxis stoßen wir auch gerade im Gesundheitswesen immer wieder auf eine gewisse Zurückhaltung sich mit dem Thema vertiefter beschäftigen zu wollen; vielleicht werden so die Sinne der Beteiligten geschärft.

Ein kleiner Fehler soll 9,6 Million EUR Strafe kosten

1&1 soll mit einem Bußgeld in Höhe von fast 10 Million Euro belegt worden sein. Nach den Berichterstattungen soll eine Ex Freundin (Stalker) die Nummer Ihres ehemaligen Partners von der Auskunft von 1&1 ergaunert haben. Angeblich soll sogar zunächst ein deutlich höheres Bußgeld im Raum gestanden haben, aber aufgrund der großen Kooperation wurde dann nur die genannte Summe verhängt.

Wenn das tatsächlich so stimmt, wie berichtet wird, ist der Datenschutz auf dem besten Wege sich selber abzuschaffen. Wenn ein Fehler eines Mitarbeiters eine derart hohe Strafe auslösen kann, führt das dazu, dass Unternehmen durch den Datenschutz entweder paralisiert werden oder diesen gleich ignorieren.

Datenschutz ist wichtig, Datenschutz wird sogar ein Standardvorteil für Europa sein, aber die Strafen dürfen nicht drakonsich hoch und kaum vermeidbar wirken. Wenn der Datenschutz nur den Mund aufmacht um zu beißen und nicht um zu lächeln, wird er so auch von den Beteiligten wahrgenommen werden. Das können wir besser.

Datenschutz in China TikTok

Die App TikTok spricht vor allem Menschen an, denen Instagram und Facebook zu alt und langweilig sind.

Bei TikTok geht es darum, kurze Videos vornehmlich zu Playback-Songs aufzunehmen, die dann von anderen Nutzern bewertet werden.  Der chinesische Entwickler Bytedance zeichnet sich für die App verantwortlich, in der im Sommer 2018 die Anwendung musical.ly aufging.Die überwiegende Anzahl der Nutzer wird unter 30 sein und sehr viele davon unter 18 Jahren. Ein sehr interessanter Beitrag zu dem Netzwerk  ist  auf netzpolitik.org im Podcast anzuhören.  Die App ist ab 13 Jahren freigegeben, unter 18-Jährige brauchen laut den Geschäftsbedingungen eine Erlaubnis der Eltern. Geprüft wird das soweit ersichtlich aber nicht. Die Möglichkeit sich gegenseitig kostenpflichtige Geschenke zu machen und der Umstand, dass die Nutzung der auch von Kindern generierten personenbezogenen Daten, nicht klar nachvollziehabr sind, hat sowohl Verbraucherschützer als auch Datenschützer aufmerksam gemacht.

Der Vizechef der Grünen-Bundestagsfraktion, Konstantin von Notz, fordert ein umfassendes Verbot für die Nutzung der persönlichen Daten von Kindern und Jugendlichen für Werbung und die Bildung von Persönlichkeits- oder Nutzerprofilen. Es würde mich sehr überraschen, wenn in diesem Zusammenhang TikTok nicht in den Mittelpunkt der Diskussion gelangte.

Verbraucherzentrale rügt die DSGVO

Die Verbraucherzentrale Bundesverband rügt in einer Bewertung der DSGVO einige vage Bestimmungen und hat auch ein durchaus lesenswertes Rechtsgutachten veröffentlicht, in dem Kritikpunkte aus Verbrauchersicht dargestellt werden.

Ist die Kritik berechtigt?

Ohne zusehr in das Detail gehen zu wollen, schießt die Verbraucherzentrale Bundesverband zu scharf. Mir scheint das Gutachten an einigen Stellen davon auszugehen, dass ohnehin nicht alles umgesetzt wird und daher mehr gefordert wird als realistisch ist, um damit Verhandlungsmasse zu schaffen.

Exemplarisch seien die Ausführungen umd die Kritik an Verwendung des Begriffs "Treu und Glauben" in Art. 5 Abs. 1 a DSGVO, genannt, wobei gefordert wird diesen durch den Begriff  "Fairness" zu ersetzen und damit einen Auffangtatbestand zu haben, "wenn eine Verarbeitung zwar formell und materiell rechtmäßig erfolgt, dies aber in einem bestimmten Fall als unbillig erscheint, etwa weil das Machtgefälle zwischen Anbieter und Verbraucher "unfair" zum Nachteil des Verbrauchers ausgenutzt wurde".

Das halte ich für deutlich zu weitgehend, und zeugt von einem antiquierten Verbraucherbild eines unmündigen Bürgers, der konsequent geschützt werden muss.

Andere Punkte insesondere was den Kinderschutz ( etwa Aufnahme einer Verpflichtung zu besonderem Schutz der Grundrechte und Interessen von Kindern) angeht, halte ich für deutlich angebrachter, als hier nmM schutzwürdigere Interessen bestehen.

Gesundheitsdaten fließen trotz Datenschutz durch das Netz

„Gesundheitsdaten“ definiert die DSGVO als personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Deren Verarbeitung ist nach Art. 9 DSGVO nur eingeschränkt gestattet. 

Gleichwohl gibt es in unserer Beratungspraxis von Arztpraxen nicht selten Probleme mit genau diesen Daten. In der Hektik des Alltags geschehen Fehler, das ist zwar menschlich sollte aber nach Kräften vermieden werden.

Und auch die Medien berichten in regelmäßigen Abständen wie hier der Bayerische Rundfunk über Datenschutzpannen mit genau diesen Daten. So wurden 7000 Datensätze von Patienten aus Bayern und Umgebung auf Servern  gespeichert, die nicht ordnungsgemäß geschützt waren; und damit über das Internet für jedermann abrufbar war. Wer also schon immer mal wissen wollte, ob der Nachbar in Ingolstadt gesund war, der konnte das mit ein wenig Glück bequem vom Sofa aus in Erfahrung bringen.

Was tun bei Datenschutzverstößen? 

Wenn ein Krankenhaus oder ein Arzt Kenntnis erhält, dass Gesundheitsdaten im Internet abrufbar sind, dann muss dies der zuständigen Aufsichtsbehörde gemeldet werden.

Wenn ein Betroffener Kenntnis erhält, dass seine Gesundheitsdaten im Internet landen, sollte er im Zweifel unverzüglich den Datenverarbeiter kontaktieren, damit die Verletzung sofort beendet werden kann. 

Stell Dir vor, es ist Datenschutz und Facebook macht nicht mit

Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen äußert Kritik an Konzernen wie Facebook Ignoranz bei der Umsetzung der DSGVO vor: „Am wenigsten Änderungsbereitschaft sehe ich bei denjenigen Unternehmen, deren Geschäftsmodell auf der Auswertung personenbezogener Daten basiert – also mit Tracking oder Erstellung von Persönlichkeitsprofilen“. Ferner äußert Sie gegenüber dem Handelsblatt: „Es zeigt sich, dass alle Appelle an Rechtskonformität gerade bei den globalen Playern ungehört verhallen.“ Die DSGVO sehe in solchen Fällen zwar hohe Bußgelder oder Anordnungen zur Änderung oder sogar zum Stopp der Datenverarbeitung vor. Frau Hansen beklagte die eigene dünne Personaldecke und die enormen Resourcen von Facebook.

Ist das Überraschend?

Natürlich ignoriert Facebook die Datenschutzvorschriften, was dazu führen wird, dass die Datenschützer sich an die Nutzer halten und diese in die Haftung nehmen, wenn sie Facebook entsprechend nutzen. Die haben keine Großkanzlei mit entsprechenden Mitteln und fechten nicht alles durch jede Instanz durch.

Ist das fair?

Wenn die Datenschützer die Unternehmen in Anspruch nehmen, welche Services von Facebook nutzen, ist das ein Einschlagen auf die kleinen. Das muss aber nicht der einzige Weg sein. Wenn die DSGVO Privatverbrauchern ermöglichen würde, Unterlassungsansprüche und schematisierte immaterielle Schäden (500,00 EUR pro Verletzung) geltend zu machen, wären die Kosten und der Aufwand für Facebook beachtenswerter. 30.000 Klagen mit entsprechenden Kostenerstattungsansprüchen, würde zumindest in Deutschland eine erhebliche Lästigkeit bedeuten.

Wenn dann noch der Irische Datenschutzbeauftragte seiner Arbeit nachgehen würde, hätte der Datenschutz bei Facebook sicher eine deutlich größere Bedeutung.

Whistleblower EU: Hinweisgeber Schutz

Die Richtlinie (EU) 2019/1937 zum Schutz von Hinweisgebern, die Verstöße gegen das Unionsrecht melden wurde nun im EU-Amtsblatt vom 26. November 2019 

Nach der Richtlinie, die von unserem Gesetzgeber bis zum 17. Dezember 2021 umgesetzt werden muss, müssen Unternehmen mit mehr als 50 Mitarbeitern und  Gemeinden mit mehr als 10.000  Einwohnern, sichere Kanäle einrichten, damit Hinweisgeber Misstände melden können ohne Gefahr vor Repressalien zu haben.

Die Richtlinie verbietet ausdrücklich Repressalien und führt Schutzmaßnahmen ein, damit Hinweisgeber nicht entlassen, degradiert, eingeschüchtert oder in anderer Weise angegriffen werden. Der Schutz erstreckt sich auch auf Personen, die Hinweisgeber unterstützen, wie zum Beispiel Mittelsmänner, Kollegen oder Verwandte.

Whistleblower wohin man sieht?

Nachdem auch der Datenschutz zu den Schutzobjekten gehört, wird es interessant, ob wir in den nächsten Jahren - die Richtlinie muss ja zunächst noch vom Gesetzgeber umgesetzt werden - im großen Umfang Verstöße gegen das Datenschutzrecht gemeldet werden.

Die bekanntesten Hinweisgeber (whistleblower) waren wohl aus Überzeugung oder Gründen der Selbstdarstellung oder beidem tätig. Bei anderen standen wirtschaftliche Vorteile im Vordergrund. Ob bürokratischer Schutz auch Personen außerhalb dieses doch eher engen Kreises auch dazu bewegen wird, Missststände anzuprangern darf bezweifelt werden, bleibt aber abzuwarten. 

Keine Haftung eines Elektronikmarkts für Sicherungslücken bei Smartphones

Das Thema Datenschutz trifft uns in den unterschiedlichsten Formen und Farben. Interessant ist die Frage, wer eigentlich alles auf mögliche Sicherheitslücken hinweisen muss. Was ist zum Beispiel mit einem Internethändler oder einem großen Elektromarkt. Dazu hatte sich zuletzt das OLG Köln  Urteil vom 30.10.2019 - 6 U 100/19 geäußert.

Wie kam es dazu?

Der  klagende  Verbraucherverband  hatte  bei  dem  beklagten  Elektronikmarkt Testkäufe durchgeführt und die erworbenen Smartphones von Ex-perten des Bundesamtsfür Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen lassen. Eines der Geräte wies 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine Sicherheitslücke, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebs-systems Androidwerksseitig  aufgespielt  war. Hintergrund  ist,  dass  das Betriebssystemvom jeweiligen Hersteller auf das jeweilige Smartphone-Modell  angepasst wird  und  auch  neue  Versionen  des  Betriebssystems erst genutzt werden können, wenn die neue Version des Betriebssystems zuvor für das jeweilige Modell des Smartphones angepasst wurde.

Wie wurde entschieden?

Das OLG Köln hielt - wie auch die Vorinstanz den Elektronikmarkt nicht verantwortlich. Der Händler könnte die Informationen oft nicht vorhalten, weil sie ihm zum Verkaufszeitpunkt nicht bekannt seien. Ferner sei der Händler auf Recherhe bei Hersteller angewiesen und all dies sei unverhältnismäßig und nicht mehr dem Händler zumutbar.

Konsequenz?

Die Verbraucher müssen sich weiter selber informieren, nicht ganz uninteressant könnte es aber für Händler sein - sozusagen als Mehrwert Informationen zu dem Thema bereitzuhalten, oder Produkte besonders hervorzuheben, welche aktuellen Sicherheitsanforderungen genügt. Der Rest liegt dann beim Verbraucher.

16. Oktober 2019

Cookie-Grundsatzurteil des EuGH bringt neue Pflichten – Was gilt es künftig zu beachten?

Mit Urteil vom 01. Oktober 2019 (Az. C-673/17) hat der EuGH entschieden, dass Datenverarbeitungen durch Cookies oder vergleichbare Technologien nur nach aktiver vorheriger Einwilligung des Betroffenen zulässig sind. Dies gilt laut EuGH sogar auch dann, wenn hierbei überhaupt keine personenbezogenen Daten verarbeitet werden. Ausgenommen von diesem Einwilligungserfordernis sind laut EuGH lediglich Cookies, die für den Betrieb einer Webseite technisch notwendig sind.

Das bloße Einblenden eines Cookie-Banner, das sich durch Bestätigung eines „OK“-Buttons wegklicken lässt, ist daher künftig unzulässig. Vielmehr muss je nach Cookie eine differenzierte Einwilligung vor dem Ablegen oder dem Zugriff auf den Browser des Betroffenen erfolgen.

Generaleinwilligungen für alle auf einer Website verwendeten Cookies sind laut EuGH nicht wirksam. Eine wirksame Einwilligung des Betroffenen erfordert vielmehr, dass dieser für jedes Cookie durch eine aktive Handlung seine Einwilligung erteilen kann. Eine solche aktive Handlung kann zum Beispiel das Setzen eines Häkchens sein. Hierbei ist zu beachten, dass bei der Auswahlmöglichkeit keine bereits gesetzten Häkchen oder voreingestellten Ankreuzkästchen verwendet werden dürfen.

Darüber hinaus muss der Betroffene bereits bei der Einwilligungserteilung in klarer und verständlicher Weise über die Funktionsweise jedes Cookies, insbesondere über die Funktionsdauer und mögliche Zugriffe durch Dritte, umfänglich informiert werden. Ferner muss der Betroffene die Möglichkeit haben, seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen zu können. Hierbei ist zu beachten, dass der Widerruf der Einwilligung grundsätzlich so einfach sein muss wie deren Erteilung.

Wenn Sie zu diesem Thema weitergehende Fragen haben oder Beratung bezüglich der Umsetzung der aktuellen EuGH Rechtsprechung benötigen, stehen wir Ihnen hierzu jederzeit gerne zur Verfügung.