Kategorie: EU-Datenschutzgrundverordnung

Urteil VG Köln: Vorratsdatenspeicherung ist unzulässig

24. April 2018

Nachdem schon das Oberverwaltungsgericht Nordrhein-Westfalen in einem Urteil die deutsche Regelung zur Vorratsdatenspeicherung für unzulässig erklärt hatte, erklärte nun auch das Verwaltungsgericht Köln in einem neuen Urteil die Vorratsdatenspeicherung für unrechtmäßig.

Damit wurde der Klage der deutschen Telekom stattgegeben, die sich weigerte den Speicherpflichten nach §§ 113a und 113b TKG nachzukommen, da diese nach ihrer Ansicht gegen europäisches Recht verstoßen.

Diese Ansicht teilte auch das Gericht, womit es sich der Rechtsprechung des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen anschloss, die im Juni 2017 schon entschied, dass die den Telekommunikationsunternehmen durch § 113a Absatz 1 in Verbindung mit § 113b TKG auferlegte Pflicht zur Speicherung von Telekommunikationsverkehrsdaten mit Unionsrecht nicht vereinbar ist.

Vor allem sah das VG Köln einen Widerspruch der TKG Paragraphen zur Datenschutzrichtlinie der elektronischen Kommunikation. Weiterhin ordnen die §§ 113a und 113b TKG eine „allgemeine und unterschiedslose Vorratsdatenspeicherung an“, was europarechtlich nicht zulässig sei.

Eine Berufung gegen das Urteil vor dem OVG Münster ist noch möglich, ebenso eine Sprungrevision vor das Bundesverwaltungsgericht in Leipzig.

 

Zu jung für Whatsapp?

Das könnte zukünftig für alle Whatsapp-Nutzer unter 16 Jahren gelten, denn aus einer Twitter-Meldung des Fan-Blogs WABetaInfo geht hervor, dass der Messaging-Dienst eine Änderung seiner Nutzungsbedingungen zum 25. Mai plant.

Zum jetzigen Zeitpunkt ist ausweislich der Nutzungsbedingungen noch ein Mindestalter von 13 Jahren, bzw. dasjenige Alter erforderlich und ausreichend, welches die Nutzer in ihren Ländern dazu berechtigt, die Dienste von Whatsapp ohne Zustimmung der Eltern zu nutzen. Die bevorstehende Anhebung des Mindestalters ist wohl auf die ab Mai anzuwendende Datenschutzgrundverordnung zurückzuführen. Laut der Verordnung ist die Verarbeitung personenbezogener Daten eines Kindes nämlich erst mit Vollendung seines 16. Lebensjahres rechtens.

Die Gefahren, welche von Chat-Diensten wie Whatsapp für die Persönlichkeitsrechte Minderjähriger ausgehen,  erkannte ein deutsches Gericht bereits 2016 und verurteilte einen Vater zur Löschung des Chat-Dienstes vom Handy seiner Tochter.

Auch wenn die geplante Änderung der Nutzungsbedingungen als wichtiger Schritt in Richtung eines umfassenderen Schutzes der Persönlichkeitsrechte Minderjähriger zu werten ist, könnten sich die tatsächlichen Auswirkungen dieser Regelung in überschaubaren Grenzen halten. Den Mitgliedsstaaten ist es nämlich möglich, durch Rechtsvorschriften eine niedrigere Altersgrenze festzulegen, welche allerdings nicht unter 13 Jahren liegen darf. Zudem ist unklar, ob die Änderung weltweit gelten soll, oder ob hiervon nur bestimmte Länder betroffen sein werden. Weiterhin ist fraglich, wie mit bereits registrierten Nutzern umgegangen werden soll, die unter 16 sind. Da Whatsapp selbst das Alter nicht abfragt, müsste diese Aufgabe vom App-Store übernommen werden. Auch in Anbetracht der Tatsache, dass Whatsapp für viele Kinder und Jugendliche ein unverzichtbares Medium bei der Integration darstellt bleibt abzuwarten, ob und wie sich ein neues Mindestalter praktisch wird umsetzen lassen.

Mehr Personal für besseren Datenschutz erforderlich

11. April 2018

Nach Einschätzung der Landesdatenschutzbeauftragten können Datenschutzverstöße mangels Personal nicht ausreichend geahndet werden. Allen 16 Behörden mangelt es an genügend Personal um der Einhaltung des Datenschutzes gerecht zu werden. Laut einer Umfrage der Zeitung „Tagesspiegel“ fehlen bundesweit dafür fast 100 Beschäftigte. «Ich bezweifle stark, dass wir mit der jetzigen Ausstattung die Instrumente der DSGVO vernünftig nutzen können», sagt Marit Hansen, Landesdatenschutzbeauftragte in Schleswig-Holstein.

Es besteht die Gefahr, dass die am 25. Mai 2018 in Kraft tretenden neuen Datenschutzvorschriften nicht hinreichend durchgesetzt werden können. Das massive Stellendefizit erschwert die Ahndung von Datenschutzverstößen. Es besteht auch keine Bereitschaft in der Politik dies auszugleichen. Auch Bundesdatenschutzbeauftragte Andrea Voßhoff hat bereits auf die Belastung der Aufsichtsbehörden aufmerksam gemacht.

Mit Einführung der europäischen Datenschutzgrundverordnung werden hohe Auflagen hinsichtlich Bußgeldern eingeführt. Zur Verhängung dieser Bußgelder ist jedoch ein funktionsfähiger Aufsichtsapparat notwendig.

Facebook überarbeitet seine Datenschutztools

28. März 2018

Aufgrund der anhaltenden Kritik im Zuge des Datenskandals hat Facebook nun seine Prviatsphäre-Tools überarbeitet. Ziel sei es, den Nutzern mehr Kontrolle über Ihre Daten zu ermöglichen. Um dies zu erreichen wuden die Einstellungen zur Prviatsphäre otpisch derart angepasst, dass der Zugang vereinfacht wurde und einzelne Einstellungsmöglichkeiten leichter auffindbar sind. Dadurch soll es den Nutzern möglich sein, transparenter zu erkennen, welche Informationen durch Facebook geteilt werden. Um eine solche erhöhte Transparenz zu ermöglichen, sollen die Mitglieder des Social-Media-Netzwerks in leicht verständlicher Sprache darüber informiert werden, wie personenbezogene Daten gesammelt und sodann verarbeitet werden. Hierzu wurde eine zeitnahe Aktualisierung der Datenrichtlinien angekündigt. In diesem Zusammenhang teilt Facebook mit, dass es nicht darum ginge „neue Berechtigungen zum Sammeln, Nutzen oder Teilen von Daten zu erlangen.“ Vielmehr ginge es um eine offengelegte Verarbeitung der Daten. Hierzu arbeitet das Unternehmen mit Aufsichtsbehöden und Datenschutz-Experten zusammen.

Die angekündigten Maßnahmen stehen dabei im Lichte der Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai diesen Jahres Anwendung findet. Die Verordnung sieht unter anderem vor, dass Betroffene transparent darüber informiert werden, wie und durch wen ihre personenbezogenen Daten verarbeitet werden. Um den erhöhten Pflichten der DSGVO nachzukommen, arbeite Facebook bereits „seit geraumer Zeit“ an der Anpassung der Prozesse.

Daten bei Facebook zu unsicher

26. März 2018

Nach einer Umfrage von US-Bürgern hat die Reuters/Ipsos Studie herausgefunden, dass die Mehrheit der Ansicht ist, dass ihre Daten bei Facebook schlechter aufgehoben sind als bei anderen Internet-Unternehmen.

Lediglich 41 % sind davon überzeugt, dass das soziale Netzwerk die Datenschutzvorschriften einhält. Bei Amazon und Google wissen ca. 60 % ihre Daten sicher.

Dieses Misstrauen gegenüber Facebook entstammt wahrscheinlich aus dem aktuellen Datenskandal, bei der Daten von etwa 50 Millionen Facebook-Nutzer ausgespäht wurden.

Nun sollen auch hunderte mit Facebook verknüpfte Apps untersucht werden. Als Gegenmaßnahme sollen auch die Privatsphäre- Einstellungen verbessert und der Zugriff von App-Anbieter eingeschränkt werden.

Dies ist zwar alles begrüßenswert, dennoch zu spät, denn wenn persönliche Daten einmal in die falschen Hände gelangen, sind sie kaum noch zu schützen.

Umso wichtiger ist es, dass Datenschutz am Anfang der Überlegung steht, quasi als Voreinstellung und nicht als unwichtige Draufgabe.

 

 

Datenschutz wird durch Lebensmittel-Lieferdienste verletzt

12. März 2018

Foodwatch Deutschland testete mehrere Lebensmittel-Lieferdienste (u.a. Amazon Fresh, Allyouneedfresh, Mytime).

Dabei wurde deutlich, dass viele Lieferdienste zur Verarbeitung der Bestellung die Angabe nicht erforderlicher Daten verlangten, wie z.B. das Geburtsdatum. Das Geburtsdatum ist lediglich bei Bonitätsprüfungen (bei Zahlung auf Rechnung) oder beim Kauf von Alkoholika notwendig.

Auch die Kontrolle der Shops durch Kontrollbehörden wird als mangelhaft angesehen. „Im Onlinehandel besteht ein echtes Kontrolldefizit, weil die Lebensmittelüberwachung nicht zeitgemäß aufgestellt ist. Die kommunal und offline organisierten Kontrollbehörden sind noch nicht im globalen Online-Zeitalter angekommen. Die zuständigen Lebensmittelkontrolleure schaffen es schlichtweg nicht, neben dem Bäcker vor Ort auch noch die großen Online-Supermärkte und die unzähligen Nischenanbieter im Internet zu kontrollieren, die zufällig ihren Sitz in diesem Ort haben.“ , sagte Martin Rücker, Geschäftsführer foodwatch Deutschland.

Außerdem benutzen die Lieferdienste bis auf Allyouneedfresh  eine hohe Anzahl von Trackern, oft völlig unbemerkt. Damit sammeln sie ohne Wissen des Nutzers Informationen über das Nutzerverhalten.

Es besteht mithin ein großer Bedarf an datenschutzrechtlichen Maßnahmen sowie an Kontrollmaßnahmen bei den Lebensmittel-Lieferdiensten.

 

 

Neuer Leitfaden zur Umsetzung der DSGVO für Krankenhäuser

Das Bayerische Landesamt für Datenschutzaufsicht hat gemeinsam mit dem Bayerischen Landesbeauftragten für Datenschutz einen Leitfaden zur Umsetzung der Datenschutzgrundverordnung in bayerischen öffentlichen und privaten Krankenhäusern veröffentlicht. Ziel des Leitfadens ist es, praktische Hinweise zur Umsetzung der DSGVO zur Verfügung zu stellen und bestehende Unsicherheiten abzubauen. Da es bislang nur wenige Hilfstellungen in diesem Bereich gab, war es das erklärte Ziel beider Datenschutzaufsichtsbehörden, erste Hinweise zur Auslegung der DSGVO im Bereich des Gesundheitsdatenschutzes zu geben. Der Leitfaden eignet sich zur Orientierung ebenfalls für Krankenhäuser in anderen Bundesländern.

Schwerpunkt des Leitfadens ist das Datenschutzmanagement, um den erhöhten Anforderungen der DSGVO Rechnung zu tragen. Nach Auffassung der Verfasser sollte das Datenschutzmanagement im Wesentlichen neun Punkte erhalten. Genannt wird in diesem Zuge unter anderem die Festlegung eines Teams, das zur Umsetzung der datenschutzrechtlichen Anforderungen den Datenschutzbeauftragten unterstützen soll. Darüber hinaus enthält der Leitfaden Handlungsempfehlungen zur Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten, der Auflistung von Datenschutzkonzepten für Verfahren und Auftragsverarbeitungsverträgen, sowie der Erstellung von Datenschutzfolgenabschätzungen. Zudem werden die Punkte der Risikoabschätzung, der Behandlung von Datenschutzverletzungen sowie der Implementierung von Informationspflichten und der Umsetzung von Betroffenenrechten thematisiert.

Datenschutzrecht für Mitglieder in Vereinen – Müssen Vereinsmitglieder in Datenverarbeitung einwilligen?

8. März 2018

Zeitgleich mit der neuen EU-Datenschutzgrundverordnung (DSGVO) tritt am 25.5.2018 ein neues nationales Umsetzungsgesetz in Kraft, das neue Bundesdatenschutzgesetz (BDSG). Neben dem großen Anwendungsbereich der unternehmerischen Datenverarbeitung wirkt das Datenschutzrecht auch in die Vereine und somit in die ehrenamtlichen Tätigkeiten fort.

Sobald ein Verein personenbezogene Daten seiner Mitglieder erhebt, verarbeitet oder nutzt, ist auch für den eingetragenen Verein der Anwendungsbereich gem. § 1 Abs. 4 Satz 2 Nr. 1 BDSG-neu eröffnet. Es greift hierbei keine der Ausnahmeregelung im Sinne des § 1 Abs.6 BDSG-neu i.V.m. Art. 6 Abs. 2 DSGVO. Insbesondere deswegen nicht, weil der Verein diese Datenverarbeitung nicht als natürliche Person für persönliche oder familiäre Zwecke ausübt.

Innerhalb eines typischen Vereins fallen somit eine Vielzahl von organisatorischen Tätigkeiten unter den Begriff der „personenbezogenen Datenverarbeitung“; allein schon durch die Speicherung eines Aufnahmeformulars, das in der Regel alle wichtigen persönlichen Daten enthält (Name, Adresse, Geburtstag, E-Mail-Adresse, Kontodaten usw.). Sollte der Verein weiterhin sogar Daten veröffentlichen oder an Dritte weitergeben, befindet sich der Verein im grundrechtlich sensiblen Bereich.

Nach dem BDSG müsste die Datenverarbeitung durch den Verein zunächst zulässig sein, was nur dann der Fall ist, wenn die Datenverarbeitung ausdrücklich gesetzlich normiert ist oder eine Einwilligung der Personen, deren Daten verarbeitet werden, vorliegt.

Als Rechtsgrundlage kommt § 26 BDSG-neu, vor allem dann nicht in Betracht, wenn die Daten nicht mehr für den Vereinsablauf dringend nötig sind (Fotos, Kleidergrößen, Geburtsdaten).

Vereine, die sensible Daten ihrer Mitglieder verwalten, kommen somit nicht an einer ausdrücklichen Einwilligung zur Datenverarbeitung gem. § 26 Abs. 2 BDSG-neu vorbei.

Eine gängige Praxis in den Vereinen scheint zu sein, sich bereits mit der Unterschrift zum Vereinseintritt eine Einwilligung zur Datenverarbeitung erteilen lassen. Dieser verständliche Wunsch nach Vereinfachung des Verfahrens widerspricht jedoch dem schon länger bestehenden Kopplungsverbot, das auch in der neuen DSGVO wieder verankert wurde (Art. 7 Abs. 4 DSGVO).

Eine ausdrückliche Einwilligung kann somit auch bei Vereinen die einzige Absicherung sein, personenbezogene Daten von seinen Mitgliedern zu sammeln.

Vereine können sich in der Broschüre des baden-württembergischen Datenschutzbeauftragten informieren.

 

Kategorien: EU-Datenschutzgrundverordnung
Schlagwörter:

Bewältigungsaufgabe des neuen Datenschutzes für den Staat

7. März 2018

Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft, allerdings besteht noch viel Nachholbedarf diesbezüglich.

Allein auf Bundesebene sind 154 Rechtsnormen an die neue Verordnung anzupassen. Die meisten Bundesländer hinken dabei jedoch noch hinterher. Dies sorgt für viel Rechtsunsicherheit im Hinblick auf die Einführung der DGSVO. Auch ein Bußgeldkatalog wurde bisher von der Bundesregierung nicht vorgelegt.

Auf Seiten der Behörden verläuft die Vorbereitung auf die neue Verordnung ebenfalls nur schleppend. Ein großer Personalmangel herrscht bei den Datenschutzbehörden, welcher sich aufgrund des wachsenden Zuständigkeits- und Verantwortungsbereiches durch die DSGVO weiter verschlimmern wird.

Es ist abzuwarten, wie die Länder und die Bundesregierung sich noch bis zum 25. Mai auf die DSGVO vorbereiten.

Mangel an Verschlüsselungstechniken in mittelständischen Unternehmen

27. Februar 2018

In einem Unternehmen gibt es zahlreiche sensible Daten, die jeden Tag verarbeitet werden. Sei es in Form von Speichern von sensiblen Daten oder im Versenden dieser an Vertragspartner.

Dennoch ergab eine Umfrage des Bundeswirtschaftsministeriums, dass ein Viertel der mittelständischen Unternehmen keine Verschlüsselungstechniken bei ihren Verarbeitungstätigkeiten anwenden. Bei Großunternehmen sind es lediglich 10 %, die es mit der Verschlüsselung nicht ganz so genau nehmen.

Es zeichnen sich auch erhebliche Branchenunterschiede ab. IT- und Telekommunikationsunternehmen speichern und tauschen mit Dritten nur verschlüsselt Daten aus. In der Autobranche sind es beispielsweise jedoch nur zwei Drittel, die verschlüsselt arbeiten.

Als Grund werden technischer und finanzieller Aufwand genannt sowie Komforteinbußen täglicher Arbeit.

„Informationen in einer unverschlüsselten E-Mail sind etwa genauso geschützt wie die auf einer Postkarte“, sagte Brigitte Zypries (SPD), die geschäftsführende Bundeswirtschaftsministerin.

Aus diesem Grund entwickelte das Bundeswirtschaftsministerium auch einen Kompass für Unternehmen, wie man am besten Daten verschlüsseln kann.

1 2 3 10