6. Mai 2019
Bereits seit einigen Jahren bietet die Deutsche Post einen Dienst an, der die Abwicklung des Schriftverkehrs vereinfachen soll. Durch die sogenannte „E-Post“ kann der Kunde einen Brief online erstellen und dieser digitale Brief wird von der Deutschen Post, falls auf der Empfängerseite kein E-Post-Konto besteht, ausgedruckt, kuvertiert und frankiert. Anschließend wird er auf dem normalen Postweg dem gewünschten Empfänger zugestellt. Die Deutsche Post bewirbt ihr Verfahren mit der Zeit-und Geldersparnis ihrer Kunden. Als weiteren Vorteil für die Kunden nennt die Deutsche Post das Versenden von Einschreiben, wenn die Filialen bereits geschlossen sind.
Doch weil sie die Daten für Werbezwecke nutzen will, sind Datenschützer skeptisch.
Die Bundesdatenschutzbehörde prüft das neue Angebot kritisch, insbesondere unter dem Aspekt, ob die Wahrung des Telekommunikations- und Postgeheimnisses sichergestellt ist. Eine „abschließende datenschutzrechtliche Bewertung“ sei bislang nicht erfolgt, teilte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit der FAZ auf Anfrage mit. Ebenso erklärte er dieser gegenüber, dass derzeit geprüft werde, „ob und inwieweit es überhaupt zulässig ist, für die werbliche Ansprache von neuen Kunden E-Post-fähige Sendungen auf Mikrozellenebene auszuwerten und die Sendungsempfänger zu kontaktieren”.
Die Post wird vorerst keine Daten zu Werbezwecken verwenden und die Bewertung der Datenschutzbehörde abwarten.
In einem Teilurteil vom 19.03.2019 (Az.: 4 A 12/19) erklärte das Verwaltungsgericht Lüneburg den Einsatz des GPS Ortungssystems bei Firmenfahrzeugen für unzulässig. Jedoch komme es dabei im Einzelfall immer auf den konkreten Zweck und Umfang der Überwachung an.
In dem Verfahren klagte ein Gebäudereinigungsunternehmen nachdem es einen Bescheid einer Landesaufsichtsbehörde erhalten hatte. Darin wurde der Klägerin die weitere Nutzung der Ortungssysteme während der ordnungsgemäßen betrieblichen Nutzung der Fahrzeuge untersagt.
Das GPS-System speichert jegliche gefahrene Strecke mit Start- und Zielpunkten einschließlich der gefahrenen Zeit für einen Zeitraum von 150 Tagen. Durch einen Tastendruck lässt sich das Ortungssystems nicht ein- oder ausschalten. Lediglich zwischen dem Ende eines Arbeitstages und dem Beginn der Arbeitszeit des Folgetages ist eine Deaktivierung unter erheblichem Aufwand möglich. Das Ortungssystem erfasst die Kennzeichen der betroffenen Fahrzeuge. Die Fahrzeuge selbst sind den jeweiligen betrieblichen Nutzern zugeordnet. Laut der Klägerin sei eine private Nutzung der Firmenfahrzeuge nicht vereinbart. Dabei räumte sie aber ein, dass eine private Nutzung durch die Objektleiter geduldet werde.
Als Zweck dieser Ortung gab die Klägerin eine betriebliche Notwendigkeit an, um Touren zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber den Auftraggebern zu erbringen, Diebstahlsschutz zu gewährleisten, eventuell gestohlene Fahrzeuge aufzufinden und um schließlich das Wochenendfahrverbot und das Verbot von Privatfahrten zu überprüfen.
Das VG wies die Anfechtungsklage als unbegründet ab. Die Verarbeitung von Positionsdaten der Beschäftigten stehe nicht im Einklang mit dem nach § 26 BDSG zu gewährleistenden Beschäftigtendatenschutz, der über die Öffnungsklausel nach Art. 88 Abs. 1 DSGVO zu beachten ist. Ebenfalls ließe sich die Datenverarbeitung nicht auf die Erlaubnistatbestände aus Art. 6 Abs. 1 c) und f) DSGVO stützen. Zudem scheiterte die Einwilligung aufgrund der fehlenden Transparenz und dem erforderlichen Hinweis auf das Widerrufsrecht.
Die Verarbeitung der Positionsdaten der Beschäftigten sei nicht für die Durchführung des Beschäftigungsverhältnisses erforderlich. Bei den Privatfahrten bestehe kein pauschales Überwachungsbedürfnis des Arbeitgebers. Der Eingriff in das Recht auf informationelle Selbstbestimmung kann in diesem Fall nicht durch ein berechtigtes unternehmerisches Interesse des Arbeitgebers gerechtfertig werden.
Soweit während der Arbeitszeiten anfallende Daten über das Ortungssystem zu dem Zweck erhoben und gespeichert werden, um Touren zu planen, Mitarbeiter- und Fahrzeugeinsatz zu koordinieren, sei dies ebenfalls nicht erforderlich.
Zudem sei eine ständige Erfassung der Fahrzeugposition und die Speicherung über 150 Tage für präventiven Diebstahlsschutz ungeeignet.
3. Mai 2019
Gemäß Art. 85 Abs. 1 DSGVO sind die nationalen Gesetzgeber aufgefordert, Regelung zu erlassen, die das Recht auf freie Meinungsäußerung und Informationsfreiheit mit dem Schutz personenbezogener Daten in Einklang bringen. In Deutschland wurde hierzu der Rundfunkstaatsvertrag (RStV) neu gefasst. Nach § 9c RStV unterliegen private Rundfunkveranstalter und ihre Hilfsunternehmen dem Medienprivileg, sofern personenbezogene Daten zu journalistischen Zwecken verarbeitet werden.
Der Begriff „journalistische Zwecke“ ist in diesem Zusammenhang weit zu verstehen (Erwägungsgrund 153 DSGVO). Tätigkeiten können als journalistisch eingestuft werden, wenn sie zum Zweck haben, “Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten” (EuGH Urteil vom 14.02.2019, C‑345/17). Darüber hinaus muss die “Absicht einer Berichterstattung” (BGH Urteil vom 01.02.2011, Az. VI ZR 345/09) gegeben sein. „Informationen“ sind nach § 2 Abs. 2 Nr. 15 RStV insbesondere Nachrichten und Zeitgeschehen, politische Information, Wirtschaft, Auslandsberichte, Religiöses, Sport, Regionales, Gesellschaftliches, Service und Zeitgeschichtliches. Darüber hinaus ist eine redaktionelle Verantwortung erforderlich. Das bedeutet, es bedarf einer wirksamen Kontrolle über die Zusammenstellung und die Bereitstellung der Inhalte. Unschädlich ist, wenn mit der journalistischen Tätigkeit eine Gewinnerzielungsabsicht verbunden ist oder die Sendung auch unterhaltenden Charakter hat. Unter die journalistische Tätigkeit fällt die Recherche, Redaktion, Veröffentlichung, Dokumentation und Archivierung.
Das Medienprivileg besagt, wenn personenbezogenen Daten zu journalistischen Zwecken verarbeitet werden, ist nur ein kleiner Auszug der Regelungen aus der DSGVO zu berücksichtigen. Dazu zählen insbesondere das Datengeheimnis und eine sichere Verarbeitung von personenbezogenen Daten durch angemessene technische und organisatorische Maßnahmen. Nach dem Medienprivileg nicht zu berücksichtigen ist insbesondere die Einholung einer Einwilligung zu der Verarbeitung von personenbezogenen Daten – das gilt auch für besondere Kategorien von personenbezogenen Daten – und die Information der Betroffenen über die Verarbeitung von personenbezogenen Daten. Darüber hinaus ist das Auskunftsrecht der Betroffenen gemäß § 9c Abs. 3 RStV erheblich eingeschränkt, da eine Auskunft nur nach einer Abwägung der schutzwürdigen Interessen erfolgen muss.
Google-Nutzer können ihre Daten über besuchte Websites und Aufenthaltsorte künftig automatisch löschen lassen.
“Wir arbeiten daran, Ihre Daten privat und sicher zu speichern”, versichert Google. “Wir haben das Feedback bekommen, dass sich Nutzer einen einfachen Weg wünschen, Daten zu verwalten oder zu löschen.”
Die Funktion soll in den kommenden Wochen verfügbar sein.
Informationen zu gesuchten Inhalten und Orten werden je nach Nutzereinstellung alle drei Monate oder alle 18 Monate bereinigt, teilte Google auf seinem Blog mit.
Bei Google sammeln sich allerdings noch diverse andere Daten an. Der Internetkonzern machte in dem Blogeintrag keine Angaben dazu, ob man künftig auch andere Datenkategorien mit einem Verfallsdatum versehen können wird.
2. Mai 2019
Nach Aussage des CEO Mark Zuckerberg zum Auftakt der Facebook-Entwicklerkonferenz in San Francisco, soll sich Facebook künftig mehr um den Privatssphäreschutz seiner Nutzer bemühen.
Dabei wolle sich Faceook von sechs Prinzipien leiten lassen: Private Interaktionen, Verschlüsselung, Verkürzte Datenhaltung, Sicherheit, Interoperabilität und sichere Datenspeicher. Dabei soll Facebook selbst keinen Zugriff auf die Nutzerdaten haben. Mehr noch: Die Nutzerdaten sollen auch vor unberechtigten Zugriffen von Regierungen geschützt werden.
Abgesehen davon soll Facebook offenbar einen Datenschutz-Ausschuss einrichten. Darüber verhandele das Unternehmen derzeit mit der US-Handelskommission (FTC). Diese würde Facebook zur Einrichtung eines unabhängigen Datenschutz-Ausschusses verpflichten. Weiterhin müsste dann auch ein Datenschutzbeauftragter auf höchster Ebene eingestellt werden, dessen Auswahl durch die US-Behörden bestätigt werden müsste.
30. April 2019
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) genehmigte am 24. April 2019 erstmals eine multilaterale Verwaltungsvereinbarung entsprechend der Regelung des Art. 46 Abs. 3 lit. b) DSGVO.
Art. 46 Abs. 3 lit. b) DSGVO lautet: Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.
Hierbei geht es um eine Musterverwaltungsvereinbarung zwischen den EU Wertpapier- und Marktaufsichtsbehörden, vertreten durch die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und ihren internationalen Partnerbehörden, vertreten durch die Internationale Organisation der Wertpapieraufsichtsbehörden (IOSCO).
Diese Vereinbarung enthält geeignete Datenschutzgarantien sowie Betroffenenrechte und unterliegt der fortlaufenden Kontrolle des BfDI. Fehlt eine solche Vereinbarung, fehlt auch die Voraussetzung für den rechtmäßigen Datenaustausch mit Finanzaufsichtsbehörden in Drittstaaten.
29. April 2019
Apple hat im vergangenen Jahr diverse Apps, die dem Kinderschutz sowie der Kontrolle der IPhone- / IPad-Nutzung dienten, aus dem App-Store gelöscht.
Durch einen Artikel in der New York Times wurde nun eine Kontroverse darüber angestoßen.
Phil Schiller, der Marketingchef des Konzerns, welcher ebenfalls für die App-Store-Angebote verantwortlich ist, äußerte sich diesbezüglich nun in einer E-Mail an die Nutzer, da Apple sich in dem Artikel nicht korrekt repräsentiert fühlt. In seinem Statement erläutert Schiller, dass Apple im Gegensatz zu dem was aus dem Artikel hervorgeht, für den Schutz der Kinder gehandelt hat, da „der Schutz der Privatsphäre und die Sicherheit im Apple-Ökosystem vom höchsten Rang” sei und die gelöschten Apps eine stark eingreifende Technologie namens Mobile Device Management beinhalteten.
Dieses ermögliche Drittanbietern die Kontrolle und den Zugriff auf ein Gerät und seine sensibelsten Informationen, einschließlich Nutzerstandort, App-Nutzung, E-Mail-Konten, Kameraberechtigungen und Browserverlauf.
Um den Entwicklern trotzdem die Wiederaufnahme in den App-Store zu ermöglichen, hat Apple ihnen 30 Tage eingeräumt um eine aktualisierte App ohne Mobile Device Management zur Verfügung zu stellen.
In modernen Zeiten machen immer mehr Privatpersonen Gebrauch von Drohnen. Viele von diesen sind mit Videokameras ausgestattet um Kurzfilme aus der Luft aufnehmen zu können. Sobald sich eine Drohne jedoch über einem Wohngebiet befindet, werden Videoaufnahmen ungesetzlich. In einem solchen Fall wird in die Privatsphäre von anderen Personen eingedrungen.
Die Datenschutzkonferenz (DSK) hat sich nun mit dem
“Positionspapier zur Nutzung von Kameradrohnen durch nicht-öffentliche Stellen” zu der Einschätzung der datenschutzrechtlichen Problematik geäußert.
Das Positionspapier beruft sich dabei darauf, dass laut § 21b der Luftverkehrs-Ordnung (LuftVO) der Betrieb von Drohnen, die elektronische Bildaufnahmen anfertigen können, über Wohngrundstücken verboten ist, wenn der betroffene Eigentümer oder Mieter nicht ausdrücklich zugestimmt hat. Dies schränkt den Einsatzbereich von Drohnen mit Kamerafunktion durch Privatpersonen stark ein.
Die DSK ist der Ansicht, dass es sich bei der Nutzung von Kameradrohnen datenschutzrechtlich um eine Datenverarbeitung mittels Videoüberwachung handelt. Die DSGVO greift laut der DSK dann, wenn die Drohne im gewerblichen Bereich Anwendung findet. Eine Rechtsgrundlage wie beispielsweise die Verarbeitung zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten, wäre im Stande die gewerbliche Nutzung der Drohen zu legitimieren. Wichtig ist in diesem Zusammenhang abzuwägen, ob das Interesse des Verantwortlichen oder das des Betroffenen vorrangig ist. In den “meisten Fällen” würde die Einschätzung zu Gunsten des Betroffenen ausfallen.
Der Europarat hat am 28. März 2019 in Straßburg neue Leitlinien zum Umgang mit Gesundheitsdaten veröffentlicht. In einer Mitteilung heißt es, das Ziel der Richtlinie sei, die 47 Mitgliedsstaaten dazu anzuhalten, bei der Datenverarbeitung die Menschenrechte, insbesondere das Recht auf Datenschutz und das Recht auf den Schutz der Privatsphäre sicherzustellen.
Grund für die Verabschiedung der neuen Leitlinie sei die fortschreitende Digitalisierung im Gesundheitssektor, die einen hohen Umfang an Verarbeitung von Gesundheitsdaten mit sich bringt. Daraus gehe die Notwendigkeit hervor, Gesundheitspersonal und Gesundheitsbehörden Leitlinien zum Umgang mit Gesundheitsdaten an die Hand zu geben.
Die Empfehlung des Europarates enthält eine Reihe von Grundsätzen, die zum Schutz von Gesundheitsdaten zu beachten sind.
Wesentliche Aspekte, die in der Empfehlung des Rates enthalten sind, sind die Implementierung angemessener Sicherheitssysteme auf höchstem technischen Niveau zum Schutze von Gesundheitsdaten sowie Vorgaben zur Rechtsgrundlage der Verarbeitung von Gesundheitsdaten, insbesondere zu der Einwilligung betroffener Personen.
Die Regelungen befassen sich im Einzelnen mit dem Schutz der Daten ungeborener Kinder, dem Umgang mit genetischen Informationen, dem Datenaustausch zwischen Gesundheitseinrichtungen und -organisationen sowie der Speicherung von Gesundheitsdaten . Sie enthalten ebenfalls Regelungen über Daten, die zu wissenschaftlichen Forschungszwecken verarbeitet werden, via mobilen Geräten gesammelt oder grenzüberschreitend übertragen werden.
Weiterhin listet der Rat die Rechte der betroffenen Person auf, zu denen als entscheidendes Recht die Transparenz über den Sinn und Zweck sowie die weitere Verwendung oder Speicherung der Gesundheitsdaten gehört.
Die Datenschutzkonferenz lehnt die Forderung ab, die Pflicht zur Benennung von Datenschutzbeauftragten aufzuweichen.
In dem Entschließungsantrag des Landes Niedersachsen vom 02. April 2019 war nachfolgende Forderung angeführt:
“Der Bundesrat fordert eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Gemäß § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Zwar ist diese Regelung nicht neu, sondern an den § 4 f Abs. 1 S. 4 BDSG a. F. angelehnt, sie stellt jedoch eine nationale Besonderheit dar, durch die in Deutschland ansässige Unternehmen gegenüber Unternehmen in anderen Mitgliedsstaaten mit mehr Bürokratie belastet werden. Der Bundesrat fordert die Bundesregierung daher auf, hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.”
Dieser Forderung kommt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einem Beschluss nicht nach.
Nach der DSK habe sich diese Pflicht seit vielen Jahren bewährt und sei auch deshalb bei der Datenschutzreform im deutschen Recht beibehalten worden. Aufgrund einer betrieblichen Selbstkontrolle sorgen die Datenschutzbeauftragten für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten.
Ein Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten würde dem nicht entgegenkommen.
Mittelfristig ginge interne Kompetenz verloren.
Die Konferenz spricht sich daher gegen eine Abschaffung oder Auflockerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen (§ 38 BDSG) aus.
Pages: 1 2 ... 86 87 88 89 90 ... 275 276 
