Kategorie: Aufsichtsbehördliche Maßnahmen

Urteil VG Köln: Vorratsdatenspeicherung ist unzulässig

24. April 2018

Nachdem schon das Oberverwaltungsgericht Nordrhein-Westfalen in einem Urteil die deutsche Regelung zur Vorratsdatenspeicherung für unzulässig erklärt hatte, erklärte nun auch das Verwaltungsgericht Köln in einem neuen Urteil die Vorratsdatenspeicherung für unrechtmäßig.

Damit wurde der Klage der deutschen Telekom stattgegeben, die sich weigerte den Speicherpflichten nach §§ 113a und 113b TKG nachzukommen, da diese nach ihrer Ansicht gegen europäisches Recht verstoßen.

Diese Ansicht teilte auch das Gericht, womit es sich der Rechtsprechung des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen anschloss, die im Juni 2017 schon entschied, dass die den Telekommunikationsunternehmen durch § 113a Absatz 1 in Verbindung mit § 113b TKG auferlegte Pflicht zur Speicherung von Telekommunikationsverkehrsdaten mit Unionsrecht nicht vereinbar ist.

Vor allem sah das VG Köln einen Widerspruch der TKG Paragraphen zur Datenschutzrichtlinie der elektronischen Kommunikation. Weiterhin ordnen die §§ 113a und 113b TKG eine „allgemeine und unterschiedslose Vorratsdatenspeicherung an“, was europarechtlich nicht zulässig sei.

Eine Berufung gegen das Urteil vor dem OVG Münster ist noch möglich, ebenso eine Sprungrevision vor das Bundesverwaltungsgericht in Leipzig.

 

Mehr Personal für besseren Datenschutz erforderlich

11. April 2018

Nach Einschätzung der Landesdatenschutzbeauftragten können Datenschutzverstöße mangels Personal nicht ausreichend geahndet werden. Allen 16 Behörden mangelt es an genügend Personal um der Einhaltung des Datenschutzes gerecht zu werden. Laut einer Umfrage der Zeitung „Tagesspiegel“ fehlen bundesweit dafür fast 100 Beschäftigte. «Ich bezweifle stark, dass wir mit der jetzigen Ausstattung die Instrumente der DSGVO vernünftig nutzen können», sagt Marit Hansen, Landesdatenschutzbeauftragte in Schleswig-Holstein.

Es besteht die Gefahr, dass die am 25. Mai 2018 in Kraft tretenden neuen Datenschutzvorschriften nicht hinreichend durchgesetzt werden können. Das massive Stellendefizit erschwert die Ahndung von Datenschutzverstößen. Es besteht auch keine Bereitschaft in der Politik dies auszugleichen. Auch Bundesdatenschutzbeauftragte Andrea Voßhoff hat bereits auf die Belastung der Aufsichtsbehörden aufmerksam gemacht.

Mit Einführung der europäischen Datenschutzgrundverordnung werden hohe Auflagen hinsichtlich Bußgeldern eingeführt. Zur Verhängung dieser Bußgelder ist jedoch ein funktionsfähiger Aufsichtsapparat notwendig.

Bundesnetzagentur geht gegen Ortungsgeräte mit Abhörfunktion vor

Immer häfiger werden GPS-Tracker zum Orten eingesetzt. Von der privaten Nutzung zur Standortbestimmung von gestohlenen Fahrzeugen, entlaufenen Haustieren oder Schulranzen von Kindern bis hin zur geschäftlichen Nutzung durch Einbau in Firmenfahrzeuge oder LKW-Flotten.

Einige dieser GPS-/GSM-Tracker verfügen über eine Abhörfunktion, welche oftmals durch eine App oder SMS auch aus großer Entferung aktiviert werden kann. Für die Aktivierung benötigt man lediglich die SIM-Nummer des Trackers.

Zum Schutz der Privatsphäre der Träger und der Personen in Ihrer Umgebung, sind GPS-/GSM-Tracker in Deutschland verboten. Es geraten jedoch regelmäßig solche Geräte auf den deutschen Markt, daher sollte vor dem Kauf eines solchen Trackers überprüft werden, ob dieser eine solche Funktion hat und bereits vorhandene Geräte mit dieser Funktion sollten vernichtet werden.

Erhält die Bundesnetzargentur von dem Kauf solcher Geräte Kenntnis werden die Eingentümer zur Vernichtung aufgefordert. Erst kürzlich war dies bei Kinderuhren der Fall.

Adresshandel mit Post-Daten im Bundestagswahlkampf?

4. April 2018

Die Datenschutzbehörde überprüft derzeit, ob die Post-Tochter „Post Direkt“ im Bundestagswahlkampf 2017 mit Adressen gehandelt hat. Der zuständige Datenschutzbeauftragte hat nun zu prüfen, ob der Adresshandel im Einklang mit dem Bundesdatenschutzgesetz steht. Zuständig für die Überprüfung ist die Landesdatenschutzbehörde, da der Sitz des Unternehmens in NRW liegt und es sich nicht um klassische Postdienste handelt, für die der Bundesdatenschutzbeauftrage zuständig wäre.

CDU und FDP hatten bereits versichert, nur anonymisierte Daten genutzt zu haben. SPD, Grüne, Linke und AfD haben der Bild am Sonntag erklärt, während des Wahlkampfes nicht mit Post-Daten gearbeitet zu haben.

Der Handel mit anonymisierten Daten und Adressen ist nicht generell illegal. Möglich ist jedoch ein Bußgeld in Höhe von bis zu 300.000 Euro, wenn mit personalisierten Daten gehandelt wird. Die Staatsanwaltschaft muss sich dann mit dem Fall beschäftigen, wenn eine Absicht nachweisbar ist, sich damit zu bereichern oder andere zu schädigen. Laut Medienberichten hatte die Deutsche Post beteuert, ihre Tochter speichere und verarbeite „personenbezogene Daten bei strikter Einhaltung des Bundesdatenschutzgesetzes“. Es käme dabei lediglich zu einer Darstellung statistischer Wahrscheinlichkeitswerte und nicht der von personenbezogenen Daten. Es bestünde kein Bezug der Daten auf einzelne Haushalte.

Die Datenschutzbehörde empfiehlt allen Verbrauchern, die wissen möchten, was über sie gespeichert wurde, sich bei Post Direkt in Troisdorf zu erkundigen.

Wurden Facebook-Daten im amerikanischen Wahlkampf und im Brexit-Referendum manipulativ eingesetzt?

21. März 2018

Der britische Guardian und Channel 4 haben durch ihre Recherche aufgedeckt, dass das Unternehmen Cambridge Analytica für ein erhebliches Datenleck im Umfang von 50 Millionen Facebook-Profilen verantwortlich ist. Das Unternehmen trat ursprünglich als App-Anbieter für Facebook auf und konnte somit von Facebook-Nutzern heruntergeladen werden. Angeboten wurde dabei die Teilnahme an einer Studie, für die man bis zu 2 Dollar erhalten hat.

An dieser Studie haben immerhin 270.000 Nutzer teilgenommen. An die große Menge von 50 Millionen Nutzerdaten kam Cambridge Analytica allerdings erst über eine Einstellung, due auch den Zugriff auf die Daten von Freunden ermöglicht. Alleine die Freunde hätten in den Facebook-Einstellungen dieser Weitergabe ihrer Profildaten an Dritte im Vorfeld verhindern können. Diese Daten wurden danach scheinbar an das Unternehmen Eunoia Technologies weiterverkauft.

Wie jetzt durch einen ehemaligen Mitarbeiter von Eunoia Technologies, Christopher Wylie, bekannt wurde hat das Unternehmen die Daten aber nicht nur für eigene wissenschaftliche Zwecke verwendet, sondern wurde auch auf dem internationalen politischen Parkett aktiv. Neben dem kenianischen Wahlkampf um das Präsidentenamt wurden wohl auch das Brexit-Referendum und der amerikanische Präsidentschaftswahlkampf beeinflusst.

Facebook hat die beiden Unternehmen von der Nutzung ihrer Daten bereits ausgeschlossen. Doch damit allein ist ihre Pflicht wohl noch nicht getan. Die amerikanischen Behörden ermitteln nun, ob Facebook die Daten nicht besser hätte schützen müssen. In Großbritannien wurde die Datenschutzbeauftragte bereits tätig, um etwaigen Datenmissbrauch aufzuklären.

Als Facebook-Nutzer kann man sich gegen die Verwendung seiner Daten nur schützen, indem man in den privaten Einstellungen die Weitergabe an Dritte über Freunde im Vorhinein untersagt. Insbesondere lohnt es sich die mit Facebook verbundenen Apps kritisch zu begutachten. Im Falle von Cambridge Analytica hat der Download der App „thisisyoudigitallife“ bereits den „Datenklau“ initiiert.

Datenschutz wird durch Lebensmittel-Lieferdienste verletzt

12. März 2018

Foodwatch Deutschland testete mehrere Lebensmittel-Lieferdienste (u.a. Amazon Fresh, Allyouneedfresh, Mytime).

Dabei wurde deutlich, dass viele Lieferdienste zur Verarbeitung der Bestellung die Angabe nicht erforderlicher Daten verlangten, wie z.B. das Geburtsdatum. Das Geburtsdatum ist lediglich bei Bonitätsprüfungen (bei Zahlung auf Rechnung) oder beim Kauf von Alkoholika notwendig.

Auch die Kontrolle der Shops durch Kontrollbehörden wird als mangelhaft angesehen. „Im Onlinehandel besteht ein echtes Kontrolldefizit, weil die Lebensmittelüberwachung nicht zeitgemäß aufgestellt ist. Die kommunal und offline organisierten Kontrollbehörden sind noch nicht im globalen Online-Zeitalter angekommen. Die zuständigen Lebensmittelkontrolleure schaffen es schlichtweg nicht, neben dem Bäcker vor Ort auch noch die großen Online-Supermärkte und die unzähligen Nischenanbieter im Internet zu kontrollieren, die zufällig ihren Sitz in diesem Ort haben.“ , sagte Martin Rücker, Geschäftsführer foodwatch Deutschland.

Außerdem benutzen die Lieferdienste bis auf Allyouneedfresh  eine hohe Anzahl von Trackern, oft völlig unbemerkt. Damit sammeln sie ohne Wissen des Nutzers Informationen über das Nutzerverhalten.

Es besteht mithin ein großer Bedarf an datenschutzrechtlichen Maßnahmen sowie an Kontrollmaßnahmen bei den Lebensmittel-Lieferdiensten.

 

 

Neuer Leitfaden zur Umsetzung der DSGVO für Krankenhäuser

Das Bayerische Landesamt für Datenschutzaufsicht hat gemeinsam mit dem Bayerischen Landesbeauftragten für Datenschutz einen Leitfaden zur Umsetzung der Datenschutzgrundverordnung in bayerischen öffentlichen und privaten Krankenhäusern veröffentlicht. Ziel des Leitfadens ist es, praktische Hinweise zur Umsetzung der DSGVO zur Verfügung zu stellen und bestehende Unsicherheiten abzubauen. Da es bislang nur wenige Hilfstellungen in diesem Bereich gab, war es das erklärte Ziel beider Datenschutzaufsichtsbehörden, erste Hinweise zur Auslegung der DSGVO im Bereich des Gesundheitsdatenschutzes zu geben. Der Leitfaden eignet sich zur Orientierung ebenfalls für Krankenhäuser in anderen Bundesländern.

Schwerpunkt des Leitfadens ist das Datenschutzmanagement, um den erhöhten Anforderungen der DSGVO Rechnung zu tragen. Nach Auffassung der Verfasser sollte das Datenschutzmanagement im Wesentlichen neun Punkte erhalten. Genannt wird in diesem Zuge unter anderem die Festlegung eines Teams, das zur Umsetzung der datenschutzrechtlichen Anforderungen den Datenschutzbeauftragten unterstützen soll. Darüber hinaus enthält der Leitfaden Handlungsempfehlungen zur Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten, der Auflistung von Datenschutzkonzepten für Verfahren und Auftragsverarbeitungsverträgen, sowie der Erstellung von Datenschutzfolgenabschätzungen. Zudem werden die Punkte der Risikoabschätzung, der Behandlung von Datenschutzverletzungen sowie der Implementierung von Informationspflichten und der Umsetzung von Betroffenenrechten thematisiert.

Mangel an Verschlüsselungstechniken in mittelständischen Unternehmen

27. Februar 2018

In einem Unternehmen gibt es zahlreiche sensible Daten, die jeden Tag verarbeitet werden. Sei es in Form von Speichern von sensiblen Daten oder im Versenden dieser an Vertragspartner.

Dennoch ergab eine Umfrage des Bundeswirtschaftsministeriums, dass ein Viertel der mittelständischen Unternehmen keine Verschlüsselungstechniken bei ihren Verarbeitungstätigkeiten anwenden. Bei Großunternehmen sind es lediglich 10 %, die es mit der Verschlüsselung nicht ganz so genau nehmen.

Es zeichnen sich auch erhebliche Branchenunterschiede ab. IT- und Telekommunikationsunternehmen speichern und tauschen mit Dritten nur verschlüsselt Daten aus. In der Autobranche sind es beispielsweise jedoch nur zwei Drittel, die verschlüsselt arbeiten.

Als Grund werden technischer und finanzieller Aufwand genannt sowie Komforteinbußen täglicher Arbeit.

„Informationen in einer unverschlüsselten E-Mail sind etwa genauso geschützt wie die auf einer Postkarte“, sagte Brigitte Zypries (SPD), die geschäftsführende Bundeswirtschaftsministerin.

Aus diesem Grund entwickelte das Bundeswirtschaftsministerium auch einen Kompass für Unternehmen, wie man am besten Daten verschlüsseln kann.

Sind umfassende DSGVO-Informationspflichten auf Videoüberwachung anzuwenden?

1. Februar 2018

Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) legt größten Wert auf die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten. So sollen zum Zeitpunkt der Erhebung verpflichtend eine Reihe an Angaben gemacht werden, welche die betroffenen Personen über die Datenverarbeitung und deren Zwecke in Kenntnis setzen.
Art. 13 DSGVO verlangt dabei mindestens die folgenden (sage und schreibe) 12 Aussagen:

  • Name und Kontaktdaten des Datenverarbeiters
  • Kontaktdaten des Datenschutzbeauftragten des Datenverarbeiters
  • Zweck(e) der Verarbeitung
  • Die „berechtigten Interessen“ im Sinne der DSGVO, sofern sich hierauf seitens des Datenverarbeiters berufen wird
  • Die Empfänger der erhobenen Daten (z.B. Auftragsverarbeiter der erhebenden Stelle)
  • Die Absicht, die Daten in einen Staat außerhalb der EU zu übermitteln, sofern diese besteht
  • Die Dauer der Speicherung, im Umkehrschluss auch den regelmäßigen Löschzeitpunkt
  • Eine Belehrung der betroffenen Person über ihre Rechte (Auskunft, Löschung etc.)
  • Die Widerruflichkeit einer Einwilligung, sofern die Verarbeitung auf einer solchen basiert
  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Ggf. bestehende gesetzliche Vorschriften zur Bereitstellung der erhobenen Daten
  • Ggf. Informationen zum Bestehen einer „automatisierten Einzelentscheidung“ im Kontext der jew. Verarbeitung

Angesichts der Fülle an bereitzustellenden Informationen stellt sich die Frage, wie dies im Anwendungsfall der Videoüberwachung umgesetzt werden kann. Aktuell muss davon ausgegangen werden, dass Videokameras mit entsprechenden Aushängen zu versehen sind.
Kürzlich hat sich die sogenannte „Datenschutzkonferenz“, ein Gremium der 16 Landesdatenschutz-Aufsichtsbehörden und des Pendants auf Bundesebene, in Form eines Informationspapiers („Videoüberwachung nach der Datenschutz-Grundverordnung“) zu dieser Thematik geäußert. Auf dieser Grundlage kann im Kontext des Sonderfalls Videoüberwachung künftig von folgenden Pflichtangaben ausgegangen werden, die sich gegenüber dem Gesetzeswortlaut leicht reduziert darstellen:

  • Kenntlichungmachung des Umstands der Beobachtung (bspw. durch ein Kamera-Piktogramm)
  • Identität des Überwachenden
  • Kontaktdaten des Datenschutzbeauftragten der überwachenden Stelle
  • Zwecke und Rechtsgrundlage der Verarbeitung/Überwachung
  • Die „berechtigten Interessen“ im Sinne der DSGVO, sofern einschlägig
  • Dauer der Speicherung (Löschzeitpunkt)
  • Hinweis auf den Zugang zu den weiteren Pflichtinformationen

Folglich ist es möglich, auf Teile der verlangten Pflichtinformationen an Ort und Stelle zu verzichten und auf diese z.B. mithilfe eines Links auf eine Website (oder zusätzlich auch durch einen QR-Code) zu verweisen.

Spätestens seit der Stellungnahme der Aufsichtsbehörden aber ist klar, dass es für die Datenerhebung mithilfe von Videokameras keine Ausnahme hinsichtlich der umfangreichen Informationspflichten geben wird.

Adresshandel: Folgen unwirksamer Einwilligung für vertragliche Ansprüche

30. Januar 2018

Am 24.01.2018 erging vor dem OLG Frankfurt am Main ein Urteil, das deutlich macht, wie weitreichend die Folgen einer Missachtung datenschutzrechtlicher Vorgaben auch für die vertraglichen Ansprüche zwischen zwei Vertragsparteien vermeintlich fernab des Datenschutzes sein können.

Im vorliegenden Fall hatte ein Unternehmen eine Vielzahl von Adressdaten für einen Kaufpreis i.H.v. 15.000 Euro erworben. Dieselben Adressen wurden von der Verkäuferin jedoch ebenfalls an eine weitere Firma verkauft. Diese nutzte die Daten wiederum, um Werbe-E-Mails für die Internetseite sexpage.de zu versenden.
Die erstgenannte Käuferin (Klägerin) nahm daraufhin die Verkäuferin der Adressen (Beklagte) auf teilweise Rückzahlung des Kaufpreises in Anspruch, weil die erworbenen Adresse durch die erfolgte Nutzung für die Internetseite sexpage.de 2/3 ihres Wertes verloren hätten.

Anstatt sich mit der juristischen Bewertung der kaufrechtlichen Fragestellungen zu beschäftigen, prüfte das OLG Frankfurt zunächst die Einhaltung datenschutzrechtlicher Vorgaben und kam zu einem Ergebnis, welches Klägerin und Beklagte gleichermaßen überrascht haben dürfte. Das Gericht stellte fest, dass die der Weitergabe der Adressdaten zugrundeliegende(n) Einwilligung(en) der Adressinhaber unwirksam war(en) – mit weitreichenden Folgen.
Da es sich im vorliegenden Fall nicht um zusammengefasste Daten von Angehörigen einer bestimmten Personengruppe handelte und damit das sog. Listenprivileg (§ 28 Abs. 3 S. 2 BDSG) die Zulässigkeit der Verarbeitung nicht rechtfertigen konnte, war die Verarbeitung bzw. Nutzung der personenbezogenen Daten für Zwecke des Adresshandels oder der Werbung nur zulässig, soweit die Betroffenen eingewilligt hatten (§ 28 Abs. 3 S. 1 BDSG).
Eine wirksame Einwilligung nach dem BDSG muss zunächst auf der freien Entscheidung des Betroffenen beruhen. Gleichzeitig muss der Betroffene u.a. auf den vorgesehenen Zweck der Verarbeitung und die etwaigen Folgen der Verweigerung der Einwilligung hingewiesen werden. Soll die Einwilligung zusammen mit anderen Erklärungen abgegeben werden, so ist diese besonders hervorzuheben.
Im vorliegenden Fall genügten die ursprünglich eingeholten Einwilligungen diesen Anforderungen nicht. Insbesondere wurden weder die betroffenen Daten noch die Kategorien etwaiger Datenempfänger oder der Nutzungszweck „Adresshandel“ konkret genug bezeichnet.

Als Ergebnis dieses Verstoßes gegen das BDSG stellte das Gericht die Nichtigkeit des zwischen der Klägerin und der Beklagten geschlossenen Kaufvertrages über die Adressdaten fest. In der Regel begründet im Falle eines nichtigen Kaufvertrages ein bereits gezahlter Kaufpreis eine ungerechtfertigte Bereicherung des Verkäufers, die nach § 812 Abs. 1 S. 1 BGB grundsätzlich durch Rückzahlung des Kaufpreises auszugleichen ist. Da im vorliegenden Fall jedoch Verkäufer und Käufer vorsätzlich gegen die Vorschriften des BDSG verstoßen haben, ist eine Rückabwicklung gemäß § 817 S. 2 BGB ausgeschlossen. Dementsprechend hat das OLG Frankfurt am Main die Klage als unbegründet abgewiesen.

Fazit: Neben der möglichen Verhängung empfindlicher Bußgelder bei der rechtswidrigen Verarbeitung personenbezogener Daten, können Verstöße gegen das BDSG auch weitreichende Folgen für zivilrechtliche Ansprüche im Rahmen der kommerziellen Verwendung dieser Daten haben.
Vor diesem Hintergrund sind Unternehmen gut beraten, die von ihnen genutzten Einwilligungserklärungen eingehend zu überprüfen. Dies gilt umso mehr mit Blick auf das Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu).

 

1 2 3 15