VG Wiesbaden: Klärung des Anwendungsbereichs der DSGVO

6. Juni 2019

Der Kläger hat vor dem Verwaltungsgericht (VG) Wiesbaden (Beschluss vom 28.03.2019 – 6 K 1016/15) Klage erhoben, da der beklagte Präsident des Hessischen Landtags das Begehren auf Auskunft bzw. Akteneinsicht über die beim Petitionsausschuss des Hessischen Landtags gespeicherten personenbezogenen Daten des Klägers ablehnte.

Grundsätzlich stünde dem Kläger ein Auskunftsanspruch nach Art. 15 DSGVO zu, wenn der Petitionsausschuss unter den Anwendungsbereich von Art. 2 Abs. 1 DSGVO fällt und es sich bei ihm um eine Behörde i.S.v. Art. 4 Nr. 7 DSGVO handeln würde.

Danach sind Behörden alle öffentlichen Stellen, die Aufgaben der öffentlichen Verwaltung wahrnehmen. Das Gericht ist der Ansicht, dass es sich bei dem Petitionsausschuss um eine eigenständige Stelle, d.h. um eine Behörde im organisationsrechtlichen Sinne handelt.

Aus diesem Grund bestünden keine Versagungsgründe einer Auskunft nach Art. 15 DSGVO. Der Petent hat somit nach Ansicht des Gerichts einen Anspruch auf Auskunft über die über ihn gespeicherten personenbezogenen Daten.

Das Verfahren wurde ausgesetzt und gemäß Art. 267 AEUV zur Vorabentscheidung dem Gerichtshof der Europäischen Union vorgelegt.

Landgericht Stuttgart: “DSGVO-Verstöße nicht abmahnbar und nicht verfolgbar”

Das Landgericht Stuttgart  hat sich in seinem Urteil vom 20.05.2019 – 35 O 68/18 KfH mit der Frage der Abmahnfähigkeit von Verstößen gegen die Vorschriften der Datenschutzgrundverordnung (DSGVO) befasst.

Der dem Urteil zugrunde liegender Rechtsstreit betraf folgenden Sachverhalt:

Der Kläger ist ein Interessenverband der Online-Unternehmer, welcher etwa 2.500 Mitglieder hat. Der Beklagte vertreibt Kraftfahrzeugzubehör über die Handelsplattform eBay. Der Kläger macht gegen den Beklagten einen wettbewerbsrechtlichen Unterlassungsanspruch wegen eines behaupteten Verstoßes gegen datenschutzrechtliche Bestimmungen geltend. Der Beklagte habe gegen § 13 TMG verstoßen, da er die Nutzer nicht über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten unterrichtete.

Das Landgericht Stuttgart wies die Klage ab. Einem Anspruch aus § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG stehe entgegen , dass § 13 TMG aufgrund der seit dem 25.05.2018 geltenden DSGVO keinen Anwendungsbereich mehr hat. Diese habe unmittelbare Geltung in allen Mitgliedesstaaten mit der Folge, dass nationale Regelungen vollständig verdrängt werden, soweit sie in den Anwendungsbereich des europäischen Rechts fallen. Dies ist für die Regelung des § 13 Abs. 1 TMG anzunehmen, nachdem auch Art. 13 DSGVO Regelungen zu Informationspflichten bei der Erhebung von personenbezogenen Daten enthält. Daher konnte der Beklagte nicht mehr gegen § 13 TMG verstoßen haben.

Die Frage, ob die DSGVO eine abschließende Regelung der Sanktionen enthält, ist streitig und höchstrichterlich noch nicht geklärt. Nach dem Urteil des Landgerichts Stuttgart seien Regelungen der DSGVO hinsichtlich der Sanktionen von Verstößen abschließend und der Kläger demnach nicht berechtigt, Unterlassungsansprüche weder nach dem UWG (Gesetz gegen den unlauteren Wettbewerb) noch nach dem UKlaG (Unterlassungsklagengesetz) geltend zu machen. Dies begründet das Gericht mit einer detaillierten Regelung der Sanktionen durch die DSGVO in den Art. 77 – 84 DSGVO. Dadurch komme zum Ausdruck, dass der europäische Gesetzgeber eine eigenmächtige Verfolgung von Verstößen durch Dritte nur zulassen will, wenn die in Art. 80 DSGVO genannten Voraussetzungen erfüllt sind und der nationale Gesetzgeber dies geregelt hat. Eine solche Regelung zur eigenmächtigen Verfolgung von Verstößen hat der deutsche Gesetzgeber jedoch gerade nicht getroffen.

Kategorien: Allgemein

Die künftige ePrivacy-VO – eine Bestandsaufnahme

5. Juni 2019

Ein Vorbereitungsgremium des Europäischen Rates, die Gruppe “Telekommunikation und Informationsgesellschaft”, befasst sich am 07.06.2019 mit dem Fortschrittsbericht zu einer künftigen Verordnung „über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“ (ePrivacy-VO-E).

 Entstehung

Bereits im Jahr 2009 wurde das datenschutzrechtliche Normengefüge im Kontext elektronischer Kommunikation durch die sog. Cookie-Richtlinie erweitert. Diese normiert unter Anderem Anforderungen an Einwilligung sowie Aufklärung der Nutzer im Kontext von Cookies auf Webseiten. Die Richtlinie wurde vom deutschen Gesetzgeber mittels Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt.

Künftig wird die ePrivacy-VO dieses Normengefüge erweitern und Aspekte elektronischer Kommunikationsdienste normieren sowie die zuvor aufgeführte Richtlinie ersetzen. Die konkrete Ausgestaltung der Verordnung ist nun Gegenstand des politischen (sowie rechtlichen) Diskurses innerhalb Europas und wird im weiteren Gesetzgebungsverfahren finalisiert.

Frühzeitige Implementation sinnvoll

Nichtsdestotrotz sollten Unternehmen dies nicht als Anlass zu übermäßiger Gelassenheit nehmen. So lehrte die (teilweise) verspätete und daraus resultierende hektische sowie mangelhafte Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO) seit Mai des letzten Jahres, dass auch Gelassenheit bisweilen ein Fehler ist. Da die fehlerhafte Umsetzung überdies ein Haftungsrisiko birgt, sollten Unternehmen keinesfalls zu lange warten, bis Sie die kommenden Regelungen der ePrivacy-VO in ihre Datenschutz-Compliance implementieren.

Daten von Smart Home Geräten als Beweismittel vor Gericht

Laut einer Beschlussvorlage für die anstehende Innenministerkonferenz der Länder, die dem Redaktionsnetzwerk Deutschland (RND) vorliegt, sollen Daten von Smart Home Geräten als Beweismittel vor Gericht zugelassen werden. Wenn es nach den Innenministern der Länder geht könnten die digitalen Spuren zukünftig bei der Aufklärung von Verbrechen, vor allem im Bereich von Kapitalverbrechen und terroristischen Bedrohungslagen, helfen.

Wegen dieser, für die Sicherheitsbehörden, wertvollen Daten möchten die Innenminister nun verfassungsrechtliche Bedenken aus dem Weg räumen. Laut der Beschlussvorlage soll in Zukunft eine richterliche Zustimmung ausreichend sein. Allerdings erwarten die Innenpolitiker Kritik und Widerstand von den Datenschutzbeauftragten sowohl der Länder als auch des Bundes.

Smart Home Geräte sind technische Geräte wie zum Beispiel Fernseher, Kühlschränke oder Sprachassistenten, die mit dem Internet verbunden sind. Sie werden auch unter dem Begriff Internet of the Things (IoT) zusammengefasst, können über das Smartphone gesteuert werden und dem Benutzer den Alltag erleichtern. Dabei werden viele Daten gespeichert und verarbeitet.

Wir berichteten bereits mehrfach über die Vor-und Nachteile von Smart Home Geräten, unter anderem auch darüber, dass in den USA Daten von Smart Home Geräten bereits bei der Aufklärung von Verbrechen geholfen haben.

Es ist nicht von der Hand zu weisen, dass Daten von Smart Home Geräten (unter Umständen) dabei helfen können Straftaten aufzuklären, jedoch darf nicht vernachlässigt werden, dass aufgrund der technischen Ausgestaltung eine 100%ig verlässliche Aussage nicht getroffen werden kann. Ein einfaches Beispiel ist folgendes: ob der Hausherr tatsächlich zum fraglichen Zeitpunkt zu Hause war oder noch auf dem Weg nach Hause oder nur den Eindruck erwecken wollte, er sei zu Hause, während er in Wahrheit auf der anderen Seite der Welt verweilte, kann aufgrund der Daten von Smart Home Geräten nicht festgestellt werden. Aufgrund der Möglichkeit der Steuerung mit dem Smartphone kann der Benutzer zum Beispiel das Licht-/Heizungsmanagement jederzeit von überall bedienen.

Darüber hinaus ist zu Bedenken, dass der Mensch durch solche Eingriffe, bzw. die bloße Eingriffsmöglichkeit in seinem Recht auf informationelle Selbstbestimmung verletzt wird/werden kann und gerade dem Schutz dieses grundgesetzlichen geschützten Rechts hat sich der Datenschutz verschrieben.

Außerdem gilt der verfassungsrechtlich gesicherte Grundsatz, dass sich Beschuldigte nicht selbst belasten müssen.

Update: Die 210. Innenministerkonferenz ist zwischenzeitig zu Ende gegangen und eine Zulassung von Smart Home-Daten wurde abgelehnt. Die Beschlüsse der Konferenz finden Sie hier.

Potentieller Datenskandal in der Fußball Bundesliga

4. Juni 2019

Personenbezogene Daten existieren mittlerweile in allen Facetten sowie Bereichen des (Spitzen-)Sports und sind von herausragender Bedeutung. Dies gilt auch für den Profifußball.

In diesem ist es ausweislich eines Medienberichtes zu einem unbefugten Zugriff auf die Scouting-Datenbank des RB Leipzig gekommen. Hierbei hätten Mitarbeiter des Vereins Eintracht Frankfurt über 5.600 Mal auf die Daten zugegriffen. Aus diesem Grund hätte die Verwalterin der Daten, ISB – International Soccer Bank, Klage beim Landgericht Frankfurt am Main eingereicht.

Aus datenschutzrechtlicher Perspektive ist dies aus mehreren Gesichtspunkten relevant. Einerseits besteht für die handelnden Personen das Risiko etwaiger Strafbarkeit (vgl. etwa 202a des Strafgesetzbuchs), andererseits können im Falle unzureichender Sicherung personenbezogener Daten oder eines unzureichenden Datenschutz-Managements Bußgelder ausgesprochen werden.

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 14): Jahresbericht 2018

3. Juni 2019

Das Katholische Datenschutzzentrum als Datenschutzaufsicht erstellt gemäß § 44 Abs. 6 des Gesetzes über den Kirchlichen Datenschutz einen jährlichen Tätigkeitsbericht, der dem (Erz-) Bischof vorzulegen und zu veröffentlichen ist. In dem Tätigkeitsbericht werden die aktuellen Entwicklungen des Datenschutzes für den kirchlichen und nichtkirchlichen Bereich dargestellt. Das Katholische Datenschutzzentrum mit Sitz in Dortmund hat seinen 3. Jahresbericht veröffentlicht. Darin wird die Entwicklung des Datenschutzes im Jahr 2018 betrachtet. Einzelne Themen wie z. B. die möglichen Folgen des Brexit für kirchliche Stellen oder die Verwendung von Cloudspeicher oder Messenger Diensten werden ausführlich betrachtet. Der Bericht enthält auch alle im Berichtszeitraum durch die Konferenz der Diözesandatenschutzbeauftragten gefassten Beschlüsse zum Datenschutz in der Katholischen Kirche Deutschlands wie z.B. den Beschluss über die Nutzung von Facebook-Fanpages als auch den neusten Beschluss über den möglichen Verzicht von Einwilligung bei Fotoaufnahmen. Zudem enthält der Bericht einen kurzen Ausblick über geplante Aktivitäten in der zweiten Jahreshälfte 2019.

Kategorien: Kirchlicher Datenschutz
Schlagwörter: ,

Datenleck bei Foto-Sharing-Plattform

31. Mai 2019

Bei der Foto-Sharing-Plattform Theta360.com kam es zu einer Datenpanne, durch welche Dritte über 11 Millionen öffentliche sowie private Fotos der Nutzer abrufen konnten.

Die Plattform bildet einen weiteren Geschäftszweig des japanischen Elektronikkonzerns welcher vorwiegend 360-Grad-Kameras vertreibt. Das Unternehmen bietet seinen Kunden mittels der Plattform die Möglichkeit eigene Fotos hochzuladen, öffentlich zu teilen und zu kommentieren. Um die Privatsphäre der Nutzer zu ermöglichen, können diese darüber entscheiden, ob Ihre Fotos öffentlich oder nur für Freunde sichtbar sind.

Die Datenpanne kam durch eine Gruppierung von White Hat-Hackern ans Licht, welchen die offene Benutzerdatenbank in Theta360 aufgefallen ist.  Durch das Einfügen der UUID von Fotos in die betreffende Elasticsearch-Datenbank war es in einigen Fällen sogar möglich die Benutzernamen der Datenbanken mit den entsprechenden Social Media Accounts zu verknüpfen.

Das Datenleck wurde inzwischen behoben, jedoch ist noch nicht bekannt, ob Dritte die Schwachstelle ausgenutzt haben und ob eine entsprechende Meldung der Datenpanne gemäß der DSGVO an die Aufsichtsbehörde abgesetzt wurde.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter:

Massenüberwachung durch BND

29. Mai 2019

Durch eine umstrittene Befugnis ist es dem Bundesnachrichtendienst (BND) erlaubt massenhafte “strategische” Fernmeldeaufklärung zu betreiben. Der Auslandsgeheimdienst spricht dabei von einem “Datenstaubsauger”, welcher besonders im Gefahrenbereich “Internationaler Terrorismus” eingesetzt wird. Im Jahr 2017 wurden dadurch bereits 13.829 Suchbegriffe im Zusammenhang mit Terrorismus herausgefiltert.

Es wird mittlerweile nicht mehr verraten, wie viele Kommunikationsinhalte den Filter des BND durchlaufen jedoch wird geschätzt, dass nur etwa 119 Telefonate, Chat-Verläufe oder E-Mails eine nachrichtendienstliche Relevanz vorweisen.

Für den noch neuen Gefahrensektor “Cyber” wurden die Filter von über 1.000 Suchbegriffen auf 122 gesenkt um die Trefferquote zu erhöhen.

Nach der Enthüllung im Fall “Snowden” hatte der BND den “Datenstaubsauger” massiv zurückgefahren. Da der Einsatz jedoch wieder auf das vorherige Niveau aufgestockt wurde, sind Verfassungsbeschwerden aufgrund von Bespitzelungsaktionen anhängig.

Kategorien: Allgemein
Schlagwörter:

OLG München: Urteil zur Sperrwirkung der DSGVO

27. Mai 2019

In seinem Urteil vom 07.02.2019 (Az.: 6 U 2404/18) hat sich das OLG München mit dem Verhältnis des Wettbewerbsrechts (insbesondere UWG) zum europäischen Datenschutzrecht auseinandergesetzt. Die Parteien des Rechtsstreits stritten über die Zulässigkeit von Telefonanrufen zu Werbezwecken.

Das Gericht bestätigt die Feststellung des erstinstanzlichen Gerichts, dass die Beklagte mit einem Telefonanruf ohne vorherige ausdrückliche Einwilligung des angerufenen Marktteilnehmers gegen das in § 7 Abs. 2 Nr. 2 UWG geregelte Verbot verstoßen habe.

Nach Urteil des BGH „double-opt-in-Verfahren“ (GRUR 2011, 936) stehe § 7 Abs. 2 Nr. 2 UWG mit dem Unionsrecht im Einklang.
Art. 13 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) erlaube ausdrücklich mitgliedstaatliche Regelungen, nach denen Telefonwerbung ohne Einwilligung des Betroffenen nicht gestattet ist (sog. „opt-in“).
Ansprüche nach dem UWG werden nicht durch die datenschutzrechtlichen Bestimmungen der DSGVO und auch der – derzeit sich noch im europäischen Gesetzgebungsverfahren befindlichen – ePrivacy Verordnung gesperrt. Vielmehr kommen beide Vorschriften im Rahmen ihres Regelungsgehalts nebeneinander zur Anwendung.

Zusammenfassend kann also festgestellt werden, dass das wettbewerbsrechtliche Belästigungsverbot nach § 7 Abs. 2 Nr. 2 UWG, auch angesichts des Unionsrechts, insbesondere auch im Hinblick auf die DSGVO, nach diesem Urteil anwendbar bleibt.

Kategorien: Allgemein · Wettbewerbsrecht
Schlagwörter:
1 83 84 85 86 87 276