9. April 2019
Die niedersächsische Landesregierung hat am 03.04.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19). Hintergrund des Antrages ist, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Niedersachsen gibt in seinem Antrag an, dass laut einer Studie des Verbands Bitkom nur etwa ein Viertel der deutschen Unternehmen angeben, die DSGVO vollständig umgesetzt zu haben. Eine der größten Hürden sei die hohe Rechtsunsicherheit, welche sich durch die Flut von Anfragen bei den Datenschutzbehörden abzeichne.
Insbesondere kleine und mittlere Unternehmen sowie ehrenamtliche Einrichtungen seien in ihrem Arbeitsalltag stärker durch die Anforderungen der DSGVO eingeschränkt und müssen entlastet werden. Das Land Niedersachsen schlägt deshalb vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle wird nicht gemacht. Diese Forderung könnte jedoch dem Missverständnis zu Grunde liegen, dass viele kleinere Unternehmen oder Verbände denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Sollte die Schwelle angehoben werden, besteht eventuell die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht verpflichtend sind.
Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“.
Außerdem verlangt die niedersächsische Landesregierung, insbesondere für KMUs gesetzlich auszuschließen, dass Datenschutzverstöße wettbewerbsrechtlich abgemahnt werden können. Die Geltendmachung von Datenschutzverstößen durch zugelassene Verbraucherschutzvereinigungen nach dem Unterlassungsklagegesetz soll laut des Antrags jedoch davon unberührt bleiben.
Schließlich möchte Niedersachsen eine Ausnahmeregelung bzw. Erleichterung für die vorübergehende Datennutzung zu Erprobungs- und Testzwecken erwirken. „Der Bundesrat bittet die Bundesregierung vor diesem Hintergrund zu prüfen, ob und wie Ausnahmen bzw. Erleichterungen für die Verarbeitung personenbezogener Daten für Erprobungs- und Testzwecke in die datenschutzrechtlichen Bestimmungen implementiert werden können und dies entsprechend umzusetzen.“
8. April 2019
Bei Blockchain liegen Daten nicht auf einem zentralen Server, sondern sind dezentral auf Rechnern gespeichert, die sich zu diesem Zweck zu einem Netzwerk zusammengeschlossen haben. Veränderungen an den Daten bzw. Transaktionen müssen von den Rechnern bestätigt werden. Dieses Verfahren sichert die abgelegten Daten besonders gut gegen Manipulationen ab. Damit hat die Blockchain vielfältige Anwendungsmöglichkeiten.
Die Transparenz ist das Kernelement der Blockchain-Technologie. Daraus ergibt sich, dass „sicher“ in Bezug auf den Manipulationsschutz nicht gleichzeitig „sicher“ hinsichtlich des Datenschutzes bedeutet. Denn alle Teilnehmer innerhalb eines Netzwerks haben die Möglichkeit, die in der Blockchain gespeicherten Daten abzurufen. Allerdings ist diese absolute Transparenz nicht immer gewünscht. Kein Unternehmen will Zugang zu sensiblen Daten gewähren.
Mit Blick auf die DSGVO hat Art. 6 DSGVO eine besondere Blockchain-Relevanz, da bei öffentlichen Chains die gesamten Daten öffentlich zugänglich sind. Folglich bedarf der Schutz einer besonderen Beachtung. Das Recht auf Datenaktualisierung in Art. 16 DSGVO beschreibt die Möglichkeit, Daten zu aktualisieren. Es muss möglich sein, einen alten Datensatz durch einen neuen zu ersetzen. Dies könnte auch die Löschung der alten Daten bedeuten. Das wirft Schwierigkeiten innerhalb der Blockchain auf, was besonders im Hinblick auf Art. 17 DSGVO deutlich wird. Art. 17 DSGVO beschreibt das Recht auf Vergessenwerden. Es wird gerne herangezogen, um die Unmöglichkeit einer DSGVO-konformen Blockchain-Anwendung zu belegen; schließlich ist die Manipulationssicherheit der Daten eines der Hauptargumente für Blockchain-Techniken. Jedoch gibt es einige Lösungsmöglichkeiten dieser Problematik wie zum Beispiel die Hash-Funktion, wonach keine personenbezogenen Daten direkt auf der Blockchain gespeichert werden. Durch diese Konstruktion lässt sich die Korrektheit der Daten beweisen, ohne dass Dritte ungewünscht Zugang erhalten.
In heutigen Zeiten, in denen Daten immer stärker zum zentralen Bestandteil von Innovationen werden, stellt die DSGVO einen fundamental wichtigen Rahmen dar, wodurch verdeutlicht wird, dass nicht jede Art von Innovation auch wünschenswert ist. Innovation darf somit nicht ausschließlich dem Wunsch nach Wirtschaftswachstum unterliegen, sondern muss gleichzeitig auch nachhaltig sein und die Grundsätze unserer Demokratie respektieren. Somit bildet die DSGVO ein wichtiges Gegengewicht zur Datenökonomie. Datenwirtschaft und Datenschutz schließen sich nicht aus, sondern sind viel eher komplementär zueinander. Daher ist anzuraten die Technologien so zu gestalten, dass sie nicht nur wirtschaftlich, sondern auch gesellschaftlich sinnvoll sind.
In den USA hat Kalifornien eine Pionierrolle in Sachen Umwelt-und Verbraucherschutz. Wie schon berichtet wurde im Juni 2018 der “California Consumer Privacy Act” (CCPA) verabschiedet, ein Zusatz zum Zivilgesetzbuch, der die DSGVO als Vorbild nimmt, um den Datenschutz in Kalifornien zu stärken. Der CCPA wird am 1. Januar 2020 in Kraft treten.
Noch vor Inkrafttreten sollen nun Betroffene mit einem umfangreichen Klagerecht ausgestattet werden. Danach könnten Konsumenten Unternehmen verklagen, wenn diese keine zutreffende Auskunft über gespeicherte Daten liefern oder die Daten von anderen Verbrauchern weiterverkaufen, obwohl sie aufgefordert wurden, dies zu unterlassen.
Die Werbebranche fürchtet sich vor einer Flut von Klagen, bei denen der Kläger gar nicht geschädigt ist, sondern nur wegen der Aussicht auf Geld klagt. Der Gesetzentwurf wird morgen im Justizausschuss des kalifornischen Senats beraten.
Polizeiaufnahmen mit Hilfe von Bodycams werden teilweise in einer Amazon-Cloud gespeichert. Über die Rechtswidrigkeit dieser Verfahrensweise sind das Bundesinnenministerium und der Bundesdatenschutzbeauftragte geteilter Meinung.
Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Speicherung von Bodycam-Daten von Polizeieinsätzen in der Amazon-Cloud. Nunmehr hat das Bundesinnenministerium dazu Stellung bezogen.
Laut Kelber sei es rechtswidrig, die Bildaufnahmen der Bundespolizei auf Servern des amerikanischen Konzerns Amazon zu speichern. Vielmehr habe die Speicherung solch sensibler Daten bei einem deutschen Cloud-Anbieter zu erfolgen. „Wir haben bereits 2018 der Bundespolizei und dem Bundesinnenministerium mitgeteilt, dass wir die Speicherung der Bodycam-Daten in der Amazon-Cloud für rechtswidrig halten“, sagte Kelber. Ein Zugriff von amerikanischen Behörden auf die Daten könne nicht ausgeschlossen werden.
Indes teilt das Bundesinnenministerium diese Meinung nicht. Grund für den Einsatz solcher Bodycams sei es einerseits, mögliche Angreifer abzuschrecken sowie andererseits, Straftäter im Nachhinein besser identifizieren zu können. Die derzeitige Lösung gelte nur übergangsweise bis bundeseigene und für diesen Zweck geeignete Clouds zur Verfügung stünden, sagte der Sprecher des Bundespolizeipräsidiums, Gero von Vegesack. Die gefundene Lösung mit der Amazon-Cloud sei im Vorfeld über mehrere Monate gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft worden. Laut einer Sprecherin des Bundesinnenministeriums entspreche die Speicherung der Daten bei Amazon deutschen Datenschutz-Standards, da man die Daten „auf deutschen Servern in Deutschland nach deutschem Recht“ speichere. Trotzdem werde derzeit geprüft, „ob es noch andere Möglichkeiten gibt“, etwa eine Speicherung auf der Bundescloud.
5. April 2019
Bei der 97. Datenschutzkonferenz im Hambacher Schloss haben sich die Datenschutzaufsichtsbehörden des Bundes und der Länder unter anderem auch mit dem Thema der künstlichen Intelligenz auseinandergesetzt.
Dabei wurde betont, dass der Einsatz Künstlicher Intelligenz stets unter Beachtung der freiheitlichen Grundrechte der Menschen zu erfolgen hat.
Hierzu erklärt Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: “Ich freue mich, dass die Bundesregierung dafür sorgen möchte, den Grundrechten auch beim Einsatz Künstlicher Intelligenz weiterhin die prägende Rolle zukommen zu lassen. Die Menschenwürde und das in ihr verankerte Grundrecht auf informationelle Selbstbestimmung müssen auch bei der Nutzung solcher Systeme Maßstab unseres Handelns bleiben. Mit der Hambacher Erklärung setzen wir als Datenschutzaufsichtsbehörden ein klares Signal für einen grundrechtsorientierten Einsatz künstlicher Intelligenz.”
So werden vor allem folgende sieben datenschutzrechtliche Anforderungen genannt, die beim Einsatz von künstlicher Intelligenz erfüllt sein müssen. Dazu gehören unter anderem ein hohes Maß an Transparenz und Nachvollziehbarkeit der Ergebnisse und der Prozesse maschinengesteuerter Entscheidungen, der Grundsatz der Datenminimierung, die Einhaltung der Zweckbindung, aber auch die Vermeidung von Diskriminierungen und die klare Zurechnung von Verantwortlichkeiten.
Künstliche Intelligenz darf Menschen nicht zum Objekt machen, sie haben deshalb einen Anspruch auf das Eingreifen einer Person.
Anmerkung: Dementsprechend rückt beispielsweise Art. 22 DSGVO in den Fokus.
Danach haben betroffene Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Vorschriften von Art. 22 Abs. 1 DSGVO gelten nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, Art. 22 Abs. 2, lit. a) DSGVO, oder aufgrund von Rechtsvorschriften der EU zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten, Art. 22 Abs. 2, lit. b) DSGVO, oder wenn die betroffene Person ausdrücklich eingewilligt hat, Art. 22 Abs. 2, lit. c) DSGVO. Der Verantwortliche hat in solchen Fällen des Art. 22 Abs. 2 lit a) und b) DSGVO angemessene Maßnahmen zu ergreifen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört (Art. 22 Abs. 3 DSGVO).
4. April 2019
Mit Urteil vom 20.12.2018 (Az. 17 Sa 11/18) hat sich das Landesarbeitsgericht (LAG) Baden-Württemberg als erstes deutsches Gericht unter Anderem mit der Frage beschäftigt, wie weit das in der DSGVO in Art. 15 Abs. 3 Satz 1 verankerte Recht auf Erteilung einer datenschutzrechtlichen Kopie reicht. In dem zu entscheidenden Kündigungsschutzverfahren hatte ein gekündigter Arbeitnehmer einen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht sowie beantragt, dass die beklagte Arbeitgeberin ihm eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten zur Verfügung stellt. Zudem forderte er das Unternehmen auf, ihm Einsicht in das Whistleblowingsystems zu ermöglichen, dass die Beklagte zum Zwecke der Untersuchung von etwaigen Compliance-Verstößen und möglichen sonstigen Regelverletzungen betreibt.
Hinsichtlich des Antrags auf Auskunftserteilung urteilte das Gericht, dem Kläger die geforderten Auskünfte umfassend zu erteilen. Das Mindestmaß müsse folgende Informationen umfassen:
- Zwecke der Datenverarbeitung,
- Empfänger gegenüber denen personenbezogene Daten des Klägers/Anspruchstellers offengelegt werden,
- Speicherdauer oder Kriterien zur Festlegung der Dauer,
- Herkunft der personenbezogenen Daten, soweit diese nicht bei dem Kläger selbst erhoben wurden,
- automatisierte Entscheidungsfindung (inkl. Profiling) sowie aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer Verarbeitung.
Im Grundsatz entsprechen die Informationen dem Wortlaut des Art. 15 Abs. 1 DSGVO. Konträr zu bisherigen Ansichten der Landesdatenschutzbehörden, die es im Rahmen der Auskunft über Empfänger personenbezogener Daten ausreichen lassen, dass die verantwortliche Stelle Empfänger-Kategorien mitteilt sowie dem Gesetzeswortlaut der DSGVO, verurteilte das LAG Baden-Württemberg die Beklagte allerdings auch darauf, dem Kläger Auskunft über jeden einzelnen Empfänger zu geben.
Diese weite Auslegung dürfte für Unternehmen in der Praxis nur mit sehr hohem Aufwand umzusetzen sein und ist insbesondere auch im Hinblick auf den insofern anders lautenden Wortlaut des Art. 15 Abs. 1 DSGVO kritisch zu sehen.
Das LAG Baden-Württemberg verurteilte die Beklagte auch dazu, dem Kläger eine Kopie seiner sämtlichen personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der von ihr vorgenommenen Verarbeitung sind, zur Verfügung zu stellen. Offen ließ das Gericht dabei allerdings, aus welchen Systemen und in welchem Umfang Kopien zu erstellen sind. So ist fraglich, ob damit neben Informationen aus den im Unternehmen eingesetzten Systemen dem Anspruchsteller auch z.B. Kopien aller Mails zur Verfügung gestellt werden müssen, die personenbezogene Daten des Betroffenen beinhalten. Im Ergebnis ist der entsprechend weit formulierte Urteilstenor unter dem Gesichtspunkt der Bestimmbarkeit sowie den zu erwartenden Schwierigkeiten bei einer möglichen Vollstreckung daher eher zweifelhaft.
Da das Gericht hinsichtlich dieser Frage die Revision zum Bundesarbeitsgericht (BAG) zugelassen hat, bleibt abzuwarten, ob eine solche eingelegt wird und der Urteilstenor auch nach einer bundesarbeitsgerichtlichen Entscheidung Bestand haben wird.
Letztlich entschied das LAG Baden-Württemberg, dass dem Kläger auch Einsicht in das Hinweisgebersystem der Beklagten zur gewähren ist und stützte den Anspruch auf § 83 Abs. 1 S. 1 BetrVG. Danach habe der Arbeitnehmer im bestehenden Arbeitsverhältnis das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Unter “Personalakte” sei nach herrschender Meinung jede Sammlung von Unterlagen zu verstehen, die mit dem Arbeitnehmer in einem inneren Zusammenhang stehe, und zwar unabhängig von Form, Material, Stelle und Ort, an dem sie geführt werde. Daher seien auch die Informationen im Rahmen eines Hinweisgebersystems als Bestandteil der Personalakte zu verstehen und dem Arbeitnehmer Einsicht zu gewähren.
Dies gelte auch dann, wenn der Arbeitgeber es den jeweiligen Hinweisgebern ermögliche, Hinweise anonym zu berichten, da der Arbeitgeber dann dafür Sorge zu tragen habe, dass die herausverlangten Informationen keine Rückschlüsse auf Dritte zulassen.
Neben Fragen der Anwendbarkeit des § 83 Abs. 1 S. 1 BetrVG neben Art. 15 DSGVO ergeben sich aus dem Urteil auch Fragen hinsichtlich der technischen Machbarkeit solcher umfassenden Einsichtsrechte, gerade in Bezug auf die Wahrung der Anonymität Dritter.
Im Ergebnis ist abzuwarten, ob die Datenschutzaufsichtsbehörden zu den getroffenen Aussagen im Rahmen des Urteils Stellung beziehen. Stand jetzt sollte jede Auskunftsanfrage gewissenhaft und einzelfallbezogen geprüft und bewertet werden. Auch eine Nachfrage bei der jeweils zuständigen Datenschutzaufsichtsbehörde sollte stets in Betracht gezogen werden.
Zwei mit Facebook kooperierende Unternehmen haben nach Medienberichten Daten öffentlich zugänglich gespeichert. So hätten sowohl das Unternehmen Cultura Colectiva sowie die Entwickler der App “At the Pool” (personenbezogene) Daten bei frei zugänglichen Amazon-Cloud-Diensten gespeichert.
Darüber hinaus unterstreiche diese Datenpanne das Problem mangelnder Kontrolle des Unternehmens Facebook über die anvertrauten (personenbezogenen) Daten. Aus Unternehmensperspektive bleibt mithin abzuwarten, ob sich hieraus relevante Entwicklungen ergeben und gegebenenfalls eine Beratung einzuholen ist.
3. April 2019
Vor rund 10 Jahren starteten die Google Fahrzeuge, um weltweit die Straßen und Häuserfronten abzulichten und sie direkt in Google Maps den Nutzern zur Verfügung zu stellen. Seitdem wurden in Deutschland keine neuen Aufnahmen veröffentlicht, weshalb noch heute die verpixelten Aufnahmen vorzufinden sind.
Seit dem 28. März sind die auffälligen Fahrzeuge laut einer Informationsseite von Google wieder in Deutschland unterwegs.
Das dabei gewonnene Bildmaterial wird laut Google aber nicht veröffentlicht, sondern dient dazu, Google Maps zu verbessern.
Google Maps führt die Aktualisierung durch, um sicher zu gehen, für seine Nutzer “die richtigen Straßennamen, Straßenschilder, Streckenführungen und Informationen über Geschäfte und andere Orte […], zu verwenden.”
Auf seiner Informationsseite nennt Google zwar Bezirke, die von den Kameraautos befahren werden sollen. Genauere Zeit- und Ortsangaben finden sich dort aber nicht. Lediglich die Information, dass die Fahrten noch bis November diesen Jahres stattfinden sollen.
2. April 2019
Facebook-Chef Mark Zuckerberg hatte am vergangenen Wochenende eine Debatte über eine einheitliche, weltweit geltende Regulierung im Internet angestoßen. Als Vorbild hierfür hob er die Datenschutzgrundverordnung hervor und betonte “Ich bin überzeugt, dass anstelle nationaler Regulierungen ein gemeinsamer globaler Rahmen notwendig ist, um eine Fragmentierung des Internets zu verhindern, damit Unternehmer nützliche Produkte entwickeln können und alle Menschen den gleichen Schutz erhalten”
Bundesjustizministerin Barley zeigte sich nach einem Treffen in Berlin allerdings nicht überzeugt von dem Modell des Facebook-Chefs und sieht die Vorschläge kritisch: “Mark Zuckerberg spricht seit einem Jahr über die Verantwortung von Facebook für Gesellschaft, Demokratie und die Privatsphäre von mehr als zwei Milliarden Menschen. Doch zu spüren ist davon wenig.” Facebook habe durch sein Verhalten und kontinuierlich bekannt werdende “Sicherheitsskandale” viel Vertrauen verspielt.
Zudem kritisierte Barley auch, dass Facebook plane, die Infrastruktur hinter den Chatdiensten WhatsApp und Messenger sowie der Messengerfunktion von Instagram zusammenzulegen. Dies widerspreche den ursprünglichen Ankündigungen. Sie warnte: “Bei der Zusammenführung dieser Dienste bestehen ganz erhebliche kartellrechtliche und datenschutzrechtliche Fragen.”
29. März 2019
Viele Unternehmen gingen kurz nach dem Inkrafttreten der DSGVO von einem strikten Verhalten der Datenschutzaufsichtsbehörden aus. Inzwischen wundern sich nun immer mehr über deren Zurückhaltung.
Obwohl München zu einem der beliebtesten IT-Standorten Europas gehört und viele Unternehmen der IT-Branche Zweigniederlassungen dort unterhalten, gestaltet sich das Hauptgeschäft des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) primär durch Beratungen. Sanktionen hingegen bildeten bis jetzt ehr die Ausnahme. Dieses Verhältnis soll sich durch die Landespolitik nun ändern.
Während 2017 noch ca. 3.700 Beratungsanfragen beim BayLDA zu verzeichnen waren, sind die Anfragen im Jahr 2018 inzwischen auf ca. 9.200 angestiegen. Das bedeutet ca. 384 Anfragen pro Personalstelle. Dies warf die Frage auf, ob eine Beratung überhaupt zu den Pflichtaufgaben der Behörden gehören.
Der Leiter des BayLDA Thomas Kranig sieht den Ansturm der Anfragen grundsätzlich positiv, da die Datenschutzaufsichtsbehörde somit Einblicke in die Umsetzung der DSGVO durch die Unternehmen erlangt. Aufgrund der Masse müssen Anfragen jedoch immer wieder aus Kapazitätsgründen abgelehnt werden. Der Grund für die Kapazitätsproblematik geht daraus hervor, dass die Personalstellen gegenwärtig nicht aufgestockt werden. Der BayLDA muss somit die Beratungstätigkeit “weitgehend einstellen”.
Anderen Datenschutzaufsichtsbehörden ergeht es ähnlich. Die niedersächsische Landesdatenschutzbeauftragte stellte die Beratung bereits im November weitgehend ein. Ausschließlich Vereine und Verbände werden mittels einer eigenen Hotline noch weiter beraten.
Pages: 1 2 ... 89 90 91 92 93 ... 275 276 
