Kategorie: EU-Datenschutzgrundverordnung

Mobiles Bezahlen – Vorteile und Risiken

14. Februar 2019

Digitale Bezahlmethoden sind zunehmend Teil des Verbraucheralltags. Daraus resultieren sowohl Vorteile, als auch datenschutzrechtliche Risiken. Es entsteht die Gefahr, die Menschen noch gläserner zu machen als sie es ohnehin schon sind.

Zwar dominiert in Deutschland weiterhin das Bezahlen mit Bargeld, allerdings wächst auch hier der Markt für neue digitale Bezahlmethoden, den sogenannten „Mobile Payments“. Vor allem das Bezahlen mittels Handy-Apps wird immer beliebter.

In anderen Ländern wie zum Beispiel Dänemark ist das bargeldlose Bezahlen etablierter. Demzufolge brauchen die Dänen nur 10 Minuten für ihre Steuererklärung, während man in Deutschland stundenlang Kassenzettel zusammensucht und ordnet, so Achim Berg (Bitkom-Präsident). Weitere Vorteile im mobilen Bezahlen sieht Achim Berg auch für den Einzelhandel. Dieser profitiere durch weniger Ausgaben für Verwaltung, Transport und Schutz von Bargeld. Zudem erschwere das digitale Bezahlen Steuerhinterziehung und Schwarzarbeit. Steuerbetrüger haben es demnach schwerer, wenn sich Zahlungsströme besser nachvollziehen lassen. Zu beachten ist jedoch, dass jeder Bezahlvorgang eine Datenerhebung und Datenverarbeitung auslöst. Indessen kann aufgrund der Metadaten eines Bezahlvorgangs auf das persönliche Kaufverhalten, zumindest aber auf die Art und den Ort des Käufers, rückgeschlossen werden. Wenn nun große datensammelnde Unternehmen Daten weiter anreichern können, steigt die Gefahr der Bildung von aussagekräftigen Profilen über die Verbraucherinnen und Verbraucher.

Anlässlich des vor kurzem stattgefundenen „Safer Internet Day“ (dies ist ein von der Europäischen Union initiierter jährlicher Aktionstag, der für mehr Sicherheit im Internet sorgen soll und jedes Jahr am zweiten Tag der zweiten Woche des zweiten Monats stattfindet) erklärte der Bundesbeauftragte für den Datenschutz Ulrich Kelber in seiner Pressemitteilung: „Aus Sicht des Datenschutzes ist es essentiell, dass das datenschutzrechtlich völlig risikofreie anonyme Bezahlen auch in der Zukunft weiterhin möglich bleibt. Ungeachtet dessen kann man die Digitalisierung und ihre Auswirkungen auf unseren Alltag nicht einfach ignorieren. Vielmehr müssen wir als Datenschützer das Ziel verfolgen, die neuen digitalen Zahlungsmethoden so auszugestalten, dass sie für die Verbraucherinnen und Verbraucher datenschutzrechtlich bestmöglich nutzbar sind. Hierzu gehören neben Sicherheit und Transparenz der ablaufenden Datenverarbeitungsprozesse vor allem Maßnahmen, die verhindern, dass alltägliche Zahlungsvorgänge automatisch mit einem Verlust der Privatsphäre oder der Bildung ausgedehnter Nutzer- und Konsumprofile einhergehen. Hier könnte auch der Gesetzgeber ins Spiel kommen und die Anbieter von mobilen Payment-Lösungen dazu verpflichten, zumindest auch eine Form des anonymen Zahlens anbieten zu müssen. Unter dem Stricht muss mobiles Bezahlen auf jeden Fall möglich sein, ohne dabei gleichzeitig auch alle persönliche Daten offenzulegen.“

Nun muss es darum gehen, das digitale Bezahlen für alle komfortabel und so sicher wie möglich zu machen.

Brexit: Großbritannien als Drittland?

13. Februar 2019

Im Rahmen der siebten Tagung des Europäischen Datenschutzausschusses (EDSA) am 12. Februar 2019 wurden unter anderem die datenschutzrechtlichen Herausforderungen im Rahmen des Brexit diskutiert.

Im Fokus stand die Möglichkeit eines Austritts Großbritanniens ohne Abkommen mit der EU („No-Deal-Szenario“). Dies hätte zur Folge, dass Großbritannien im datenschutzrechtlichen Sinn ein Drittland darstellen würde (wir berichteten). Drittländer sind Staaten, die kein Mitglied der Europäischen Union und nicht Teil des Europäischen Wirtschaftsraumes (EWR) sind. An die Übermittlung personenbezogener Daten in Drittländer stellt die DSGVO besondere Anforderungen (Art. 44 bis 46 DSGVO). Der EDSA einigte sich auf ein Informationspapier, das Vorkehrungen für betroffene Unternehmen und Behörden erläutert um diese DSGVO-Anforderungen zu erfüllen. Laut Ankündigung wird das Informationspapier auf der Homepage des Ausschusses veröffentlicht.

Der Ausschuss ist ein unabhängiges Gremium, das zum Ziel hat eine einheitliche Anwendung Europäischer Datenschutzvorschriften zu fördern. Im Ausschuss sind alle nationalen Datenschutzaufsichtsbehörden des EWR und der Europäische Datenschutzbeauftragte vertreten.

Österreichische Datenschutzbehörde: Löschung nicht gleich Vernichtung

Die Datenschutz-Grundverordnung (DSGVO) räumt den Betroffenen in Art. 17 Abs. 1 ein Recht auf die Löschung ihrer Daten ein. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.

Die österreichische Datenschutzbehörde entschied im Dezember 2018, dass das sogenannte Recht auf Löschung personenbezogener Daten den Verantwortlichen nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen verpflichte. Auf Grundlage der DSGVO reiche eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann. Eine Löschung liege dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweise, mache die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität sei daher nicht notwendig.

Hintergrund des Streits war eine Anfrage eines österreichischen Betroffenen bei einer Versicherung. Unter Verweis auf Art. 17 DSGVO hatte dieser die unverzügliche Löschung seiner personenbezogenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch „Max Mustermann“ mit einer Musteradresse ersetzt und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.

Die Versicherung setzte den Betroffenen in Kenntnis, dass sie die Daten „DSGVO-konform anonymisiert“ habe. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht. Auch aus den Logdaten könne die ursprüngliche Anfrage nicht mehr mit dem Betroffenen verknüpft werden.

Das reichte dem Betroffenen jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Diese hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Art. 4 Nr. 2 DSGVO würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde in ihrer Entscheidung.

Vielmehr stehe dem Verantwortlichen hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.

Datenübermittlungen innerhalb eines Konzerns

7. Februar 2019

Die Datenschutz-Grundverordnung (DSGVO) kennt kein Konzernprivileg. Eine Übermittlung von personenbezogenen Daten von einem Konzernunternehmen an ein anderes bedarf einer Rechtsgrundlage wie jede andere Übermittlung an einen Dritten auch. Als Rechtsgrundlage kommen sämtliche Tatbestände des Art. 6 Abs. 1 DSGVO in Betracht.

Werden bestimmte Prozesse / Aufgaben in einem Konzernverbund zentral von einer Stelle wahrgenommen, wie bspw. die Verwaltung der Mitarbeiterdaten, kann in der Regel das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden. Erwägungsgrund 48 bietet in Rahmen der nach Art. 6 Abs. 1 lit. f DSGVO durchzuführenden Interessenabwägung eine Hilfestellung. Er lautet:

„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“

Danach kann eine Übermittlung von personenbezogenen Daten innerhalb eines Konzernverbunds zur Verwaltungsoptimierung und -vereinfachung ein berechtigtes Interesse für einen Datenaustausch innerhalb des Konzerns darstellen.

Die Auslagerung von bestimmten Tätigkeiten auf eine Konzerngesellschaft in einem Konzernverbund stellt darüber hinaus eine Auftragsverarbeitung gemäß Art. 28 DSGVO dar. Es bedarf daher des Abschlusses eines Vertrages über eine Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO.

Datenschutzverstöße durch Berliner Polizei- und Justizbeamte?

Beschäftigte des Polizei- und Justizdienstes in Berlin stehen unter dem Verdacht, im Winter 2017 Drohbriefe an verschiedene Einrichtungen der linksautonomen Szene versendet zu haben. Inhalt der Drohbriefe seien Lichtbilder und weitergehende Informationen von 21 Personen, die angeblich ausschließlich aus polizei- und justizbehördlichen Quellen stammten. Die Drohbriefe seien Reaktionen auf Veröffentlichungen von linksautonomen Gruppen gewesen, die anlässlich des G20-Gipfels Lichtbilder von mehreren Berliner Polizeibeamten beinhalteten.

Als Folge des Verdachts stellte die Berliner Datenschutzbeauftragte Maja Smoltczyk damals einen Antrag auf Strafverfolgung gegen Unbekannt wegen Verstößen gegen das Berliner Datenschutzgesetz. Da die Vorfälle allerdings bislang – bis auf einen Fall, indem im August 2018 ein Polizeibeamter wegen unbefugtem Datenzugriff verurteilt wurde – noch nicht aufgeklärt wurden, forderte die Berliner Datenschutzbeauftragte die Staatsanwaltschaft nun erneut auf, ihr umfassende Informationen zukommen zu lassen. So sei bis heute unklar, wie die Täter an die personenbezogenen Daten gekommen sind und wo diese gespeichert wurden.

Da anders als z.B. in Hessen (wir berichteten kürzlich über einen ähnlichen Fall) die Datenschutzbeauftragte des Landes Berlin gemäß des Berliner Datenschutzgesetzes über keine Anordnungsbefugnis verfügt und so keine gerichtliche Klärung herbeiführen, sondern lediglich Beanstandungen aussprechen kann, ist sie auf die behördliche Zusammenarbeit angewiesen.

Datenschutz versus Social Media – Nimmt man den Datenschutz ernst genug?

30. Januar 2019

Seit Anwendung der Datenschutzgrundverordnung (DSGVO) werden mehr und mehr Verstöße gegen den Datenschutz sowie Fehler bei der Sicherheit personenbezogener Daten in Social-Media Kanälen publik (zuletzt beispielsweise bei der Apple Inc.).

Passend hierzu war am Montag, den 28.01.2019 der Europäische Datenschutztag. Diesen zum Anlass genommen lässt sich festhalten, dass das Verhalten vieler Nutzer und das Verständnis von Datenschutz – mithin auch Unternehmen! – keineswegs mit den Vorstellungen der DSGVO korrelieren.

Facebook, Instagram, Twitter und weitere. Hier werden beispielsweise fleißig Bilder von Produktionswerken, von Arbeitnehmern oder aber (zu) private Videos und Fotos des eigenen Nachwuchses geteilt. Überdies werden Informationen zu allerlei privaten Dingen preisgegeben. Es liegt mithin in der Woche um den Europäischen Datenschutztag Nahe, den Umgang mit personenbezogen Daten im Kontext des Internets kritisch zu hinterfragen.

Jörg Schieb, bei ARD sowie WDR als Experte für den Bereich Internet tätig, vergleicht beispielsweise das Einkaufsverhalten in Online Shops mit einem Einkauf, bei dem der Kunde gänzlich überwacht würde. Er bedient sich hierfür eines Beispiels der Netzaktivistin Katharina Nocun und verglich den Online Einkauf mit einem Einkauf im Supermarkt, bei dem ein Mitarbeiter der Filiale ununterbrochen über die Schulter des Kunden schaut und dessen Einkauf genau beobachtet.

Der Umgang mit personenbezogenen Daten in diversen Social Media-Netzwerken stößt dennoch höchst selten sauer auf. Das mag daran liegen, dass der Account von Unternehmen kleinerer und mittlerer Größe weniger im Fokus der Öffentlichkeit erscheint. Gerade hier lassen sich jedoch Defizite im Umgang mit Datenschutz im Kontext Social-Media feststellen. Aus Erwägungen ordnungsgemäßer Unternehmens-Compliance sowie der Vermeidung potentieller Bußgelder ist jedoch gerade diesen Unternehmen ein sorgsamer Umgang mit dem Thema Datenschutz anzuraten.

Neue Gesetze verlangen die Verschlüsselung von Daten

25. Januar 2019

Grundsätzlich ist jedes Unternehmen und jede Behörde durch die neuen Gesetze dazu angehalten sensibel Daten zu verschlüsseln. Viele Unternehmen schätzen den Nachdruck, der hinter der Umsetzung steht, falsch ein. Erst wenn Daten verloren gehen oder durch Hacker gestohlen und veröffentlicht werden, wird die Bedeutung der Gesetze greifbar.

Auch wenn in der DSGVO nicht explizit das Wort „Verschlüsselung“ verwendet wird, ist es trotzdem zwingend, dass Daten spätestens bei Speicherung in einer Cloud oder bei Übermittlung via Internet verschlüsselt werden müssen.

Geheimnisträger wie beispielsweise Anwälte, Notare sowie Wirtschaftsprüfer sind zu dem noch an den im Jahr 2017 neugefassten § 203 StGB gebunden, der den Schutz von Informationen zusätzlich regelt. Im Falle eines Verstoßes drohen Bußgelder sowie Gefängnisstrafen.

Der Schutz von Daten wird in vielen Branchen durch zusätzliche Normen geschützt. Ärzte und Apotheker sind beispielsweise an das E-Health-Gesetz gebunden. Betreiber kritischer Infrastrukturen unterliegen dem IT-Sicherheitsgesetz, welches ausdrücklich eine Verschlüsselung vorschriebt.

Erstes Treffen der Europäischen Datenschutzbeauftragten in 2019

In der ersten Sitzung des Europäischen Datenschutzausschusses (EDSA) im neuen Jahr wurden unter anderem folgende Punkte aufgegriffen: der EU-US Privacy Shield, Leitlinien zur Zertifizierung und die Verbesserung der Kommunikation mit Social-Media-Anbietern bei Datenschutzvorfällen. Vor allem die Überprüfung des EU-US Privacy Shield und der dazugehörige Berichtsbeschluss waren wichtige Tagesordnungspunkte der Sitzung. Trotz Überprüfung durch US-Behörden bestehen weiterhin gewichtige Kritikpunkte. Einer dieser Kritikpunkte ist das Fehlen einer dauerhaften Besetzung der Ombudsperson und die Offenlegung ihrer Befugnisse gegenüber den Sicherheitsbehörden.

Ein weiteres wichtiges Thema war die Verabschiedung der Guidelines on Certification. Diese Leitlinien sollen eine Unterstützung für die Ausgestaltung von Zertifizierungsprozessen nach der DSGVO sein. Zusammen mit den bereits vergangenen Jahres verabschiedeten Guidelines on Accreditation dienen beide Papiere als wichtige Orientierungshilfen.

Um bei Datenschutzvorfällen im Social-Media-Bereich schneller reagieren zu können hat man sich in der Sitzung das Ziel gesetzt gemeinsam technische und organisatorische Maßnahmen zu erörtern, um in Eilfällen eine unmittelbare Kontaktaufnahme mit den verantwortlichen Stellen zu ermöglichen. Dazu werden deutsche Aufsichtsbehörden ein Vorschlag erarbeiten.

Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte nach seiner ersten Teilnahme am EDSA noch einmal die Wichtigkeit dieses Gremiums: „Daten kennen schon lange keine Grenzen mehr. Daher muss auch ihr Schutz grenzübergreifend sein.“

Französische Datenschutzbehörde verhängt Bußgeld gegen Google

22. Januar 2019

Aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.

Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.

Update: Google hat inzwischen Berufung eingelegt.

Mehr Transparenz im Datenschutz

21. Januar 2019

Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber arbeitet seine Behörde an einem Konzept zu größerer Transparenz im Datenschutzrecht. Danach entwickelt die Bundesdatenschutzbehörde zurzeit ein Konzept im Hinblick auf die Veröffentlichung von amtlichen Informationen, die die Ahndung von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) betreffen.

Dieses Konzept soll laut Kelber zum Ziel haben, dass grundsätzlich alle nach dem Informationsfreiheitsgesetz abfragbaren Informationen auch veröffentlicht werden können. In der Konsequenz würde die Bundesdatenschutzbehörde folglich aktiv Informationen zu Ahndungen von Datenschutzverstößen veröffentlichen, wenn ein Anspruch des Bürgers auf amtliche Informationen nach dem Informationsfreiheitsgesetz (IFG) bestehen würde.

Damit will der Bundesdatenschutzbeauftragte dem aktuellen Zustand entgegenwirken, dass nur sehr vereinzelt Datenschutzverstöße und ihre Sanktionierung transparent veröffentlicht werden. Diesen Zustand kritisierte bereits der ehemalige Bundesdatenschutzbeauftragte Peter Schaar. Ebenso wurde von Niko Härting angemerkt, dass die meisten Ahndungen der breiten Öffentlichkeit unverständlicherweise nicht bekannt seien.

Zur Erläuterung: Nach § 1 IFG hat jeder Bürger einen Anspruch auf Zugang zu amtlichen Informationen, soweit kein besonderer öffentlicher Belang entgegensteht (§ 3 IFG) und der Geheimnisschutz sowie der Schutz personenbezogener Daten gewahrt bleiben, §§ 4, 5, 6 IFG. Ein gesondertes berechtigtes Interesse muss der Bürger dafür gerade nicht nachweisen.

1 2 3 17