20. Dezember 2018
Auf eine Auskunftsanfrage hin wurden einem Kunden von Amazon transkribierte Sprachdaten und Audiodateien eines anderen Nutzers zugeschickt.
Ein Nutzer beantragte Auskunft über die von ihm von Amazon verarbeiteten Daten nach Art. 15 DSGVO. Als Antwort erhielt er unter anderem zahlreiche Audiodateien, die offensichtlich von Amazons Sprachassistenten Alexa aufgenommen wurden. Es handelte sich allerdings um fremde Sprachaufnahmen, weil der Kunde selbst den Sprachassistenten nicht nutzt. Seine erneute Anfrage an Amazon mit der Bitte um Aufklärung wurde nie beantwortet.
Aus den Aufnahmen konnte man Rückschlüsse auf die Identität der Nutzer ziehen, in dem man z.B. die erwähnten Namen und die lokalen Wetteranfragen auswertete. Die Daten stammen aus dem inneren Kern des Lebensbereichs der Nutzer, sodass deren Intimsphäre durch die Weitergabe der Daten an Unbefugte betroffen ist.
Auf eine diesbezügliche Anfrage vom c’t Magazin antwortete Amazon nur knapp und nannte als Grund einen menschlichen Fehler. Es bleibt unklar, ob häufiger Sprachaufnahmen an Unbefugte verschickt worden sind und ob Amazon das notwendige Verfahren – eine Meldung der Datenpanne binnen 72 Stunden bei der Behörde und unter Umständen bei den Betroffenen – eingeleitet hat.
19. Dezember 2018
Aus Art. 30 Abs. 1 DSGVO folgt für den Verantwortlichen von Datenverarbeitungsprozessen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Welche Mindestangaben ein solches Verzeichnis enthalten muss, lässt sich aus Art. 30 Abs. 1 S. 2 DSGVO entnehmen. Ein eindeutiger Zeitpunkt, zu dem ein solches Verzeichnis vollständig vorliegen muss, lässt sich dem Wortlaut von Art. 30 DSGVO hingegen nicht direkt entnehmen.
Mögliche Zeitpunkte für das Erfordernis des Vorliegens einer vollständigen Dokumentation im Sinne von Art. 30 DSGVO können dabei vor dem Beginn der Verarbeitungstätigkeit oder danach liegen.
Für die Notwendigkeit der Durchführung einer (vollständigen) Dokumentation im Sinne von Art. 30 DSGVO vor Beginn der eigentlichen Verarbeitungstätigkeit lassen sich die systematische Stellung der Norm und teleologische Überlegungen anführen. Systematisch befindet sich Art. 30 DSGVO im ersten Abschnitt des vierten Kapitels der DSGVO. Innerhalb dieses Abschnitts werden die allgemeinen Pflichten des Verantwortlichen und des Auftragsverarbeiters geregelt. Über die allgemeine Pflicht zur Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO soll der Verantwortliche sicherstellen, dass die Grundsätze einer rechtmäßigen Datenverarbeitung gewahrt sind. Demnach ist Art. 30 DSGVO von seinem Sinn und Zweck her im Zusammenhang mit Art. 5 DSGVO zu sehen, der die allgemeinen Grundsätze einer rechtmäßigen Datenverarbeitung statuiert. In Art. 5 Abs. 1 lit. a DSGVO wird der Grundsatz der Rechtmäßigkeit festgelegt. Art. 5 Abs. 1 lit. b DSGVO kodifiziert den Zweckbindungsgrundsatz und Art. 5 Abs. 1 lit. c DSGVO den Grundsatz der Datenminimierung. Zur Wahrung der Zweckbindung und zur Beachtung des Grundsatzes der Datenminimierung ist es erforderlich, dass der Verantwortliche schon vor Beginn der Verarbeitungstätigkeit diese Grundsätze mit in seine Planungen einbezieht und die Einhaltung sicherstellt. Aufgrund der zu nennenden Angaben kann das Erstellen eines vollständigen Verzeichnisses im Sinne von Art. 30 DSGVO den Verantwortlichen dabei unterstützen, schon im Vorfeld einer geplanten Verarbeitungstätigkeit sicherzustellen, dass diese rechtmäßig ist. Würde dem Verantwortlichen hingegen erst bei einer Dokumentation unmittelbar nach Inbetriebnahme einer neuen Verarbeitung bewusst, dass beispielsweise die verarbeiteten Daten zur Zweckerreichung nicht erforderlich sind, so wären die bis zu diesem Zeitpunkt durchgeführten Verarbeitungen regelmäßig als nicht rechtmäßig anzusehen.
Grundsätzlich bleibt jedoch anzumerken, dass die Wahrung der Rechtmäßigkeit einer Verarbeitungstätigkeit auch durch andere Vorfeldmaßnahmen als die Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO gewahrt werden kann (bspw. durch die Durchführung einer Datenschutz-Folgenabschätzung oder auch durch lediglich allgemeine Erwägungen zur Zweckgebundenheit und Datenminimierung), sodass sich letztlich aus systematischen und teleologischen Erwägungen heraus keine unmittelbare Pflicht zur Durchführung einer Dokumentation im Sinne von Art. 30 DSGVO bereits vor Beginn der Verarbeitungstätigkeit ableiten lässt.
Für die Notwendigkeit zur Durchführung einer (vollständigen) Dokumentation gem. Art. 30 DSGVO erst nach Beginn der Verarbeitungstätigkeit könnte der Sinn und Zweck der Norm herangezogen werden. Zum einen soll dem Verantwortlichen durch ein Verzeichnis nach Art. 30 DSGVO die Struktur und der Umfang der Datenverarbeitung vor Augen geführt und so die Rechtmäßigkeit der Verarbeitung sichergestellt werden. Zum anderen liegt der Zweck der Verzeichnisse nach Art. 30 DSGVO aber auch darin, dass die zuständigen Aufsichtsbehörden mit Hilfe dieser Verzeichnisse erste Anhaltspunkte für die Überprüfung der Rechtmäßigkeit der jeweiligen Datenverarbeitung erhalten. Demnach kann der Verantwortliche mit Hilfe der vollständigen Verzeichnisse gegenüber der zuständigen Aufsichtsbehörde seine sich aus Art. 5 Abs. 2 DSGVO ergebende Rechenschaftspflicht erfüllen und die Rechtmäßigkeit der Verarbeitung nachweisen und dokumentieren. Dokumentationen oder Kontrollen durch Aufsichtsbehörden von Verarbeitungen oder Verfahren erfolgen jedoch üblicherweise erst, nachdem diese Verfahren oder Verarbeitungen in Betrieb genommen wurden. Demnach wäre es notwendig, aber wohl auch ausreichend, dass man die Rechtmäßigkeit der Verarbeitung durch die vollständige Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO unmittelbar nach Inbetriebnahme der Verarbeitungstätigkeit nachweisen kann.
Zusammenfassend lässt sich somit festhalten, dass sich unmittelbar aus Art. 30 DSGVO selbst keine explizite Aussage zum Zeitpunkt der Durchführung der Dokumentation mittels eines entsprechenden Verzeichnisses entnehmen lässt. Aus dem Sinn und Zweck der Norm und im Zusammenhang mit der sich aus Art. 5 Abs. 2 DSGVO ergebenden Rechenschaftspflicht ergibt sich jedoch, dass ein Verzeichnis nach Art. 30 DSGVO jedenfalls unmittelbar nach Beginn der Verarbeitungstätigkeit vorliegen muss. Da jedoch schon vor Beginn einer neuen Verarbeitungstätigkeit durch den Verantwortlichen Überlegungen zur Rechtmäßigkeit der Verarbeitung vorzunehmen sind, empfiehlt es sich, insbesondere auch zur Wahrung eines ganzheitlichen Datenschutzkonzepts, schon vor Beginn einer neuen Verarbeitungstätigkeit eine Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO durchzuführen. Weil sich die inhaltlichen Anforderungen an ein Verzeichnis nach Art. 30 DSGVO in weiten Teilen mit den im Vorfeld durchzuführenden Rechtmäßigkeitserwägungen überschneiden, ist dies insbesondere auch aus prozessökonomischen Erwägungen sinnvoll. Weiterhin lässt sich durch ein im Vorfeld der Verarbeitungstätigkeit erstelltes Verzeichnis nach Art. 30 DSGVO auch sicherstellen, dass ein bußgeldbewährter Verstoß gegen die Dokumentationspflicht vermieden wird. Eine Verletzung der sich aus Art. 30 DSGVO ergebenden Pflichten kann dabei nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder bei Unternehmen mit bis zu 2 % des Jahresumsatzes sanktioniert werden.
In einer Pressemitteilung des TÜV Rheinland vom 18.12.2018 fordert der Chief Technology Officer im “Center of Excellence IoT Privacy” Günter Martin bei TÜV Rheinland ein einheitliches und marktübergreifendes Prüfzeichen für smarte Produkte. Der TÜV Rheinland reagiert damit auf den immer stärker wachsenden Markt für IoT-Geräte (Internet of Things, Internet der Dinge). Gemeint sind Haushaltsgeräte mit Internetzugang (sog. Smart Home-Produkte).
Mit einem markübergreifenden Prüfzeichen könne geprüfter Datenschutz für Verbraucher auf einen Blick erkennbar gemacht und somit eine Vergleichsmöglichkeit im Markt geschaffen werden, die das Vertrauen von Verbrauchern in die Hersteller stärkt und gleichzeitig für Sicherheit in der digitalen Welt steht, so Günter Martin. Laut einer aktuellen Umfrage des Meinungsforschungsinstituts Civey zum Thema Datenschutz stehe dieser bei den Verbrauchern an oberster Stelle. Verbraucher fühlen sich häufig nicht ausreichend über den Datenschutz im Zusammenhang mit Smart Home-Produkten informiert. Die Umfrageergebnisse zeigen, dass verstärkt Aufklärungsarbeit hinsichtlich Datenschutz im Bereich von Smart Home-Produkten nötig ist. Ein einheitliches Datenschutz-Prüfzeichen für Smart Home-Produkte könne etwaigen Vorbehalten von Verbrauchern entgegenwirken.
18. Dezember 2018
Am 22. Januar 2019 treten aktualisierte Nutzungsbedingungen sowie eine mit Änderungen versehene Datenschutzerklärung bei Google in Kraft. Die bedeutsamste und rechtlich weitreichendste Änderung ist der Wechsel des Verantwortlichen. Momentan werden die Dienste von Google LLC in den USA angeboten. Dies ändert sich nunmehr bald. Künftig werden alle Dienste in der europäischen Union sowie in der Schweiz von der Google Ireland Limited angeboten. Damit wird das europäische Unternehmen der neue Verantwortliche, der sich um die datenschutzrechtliche Belange der Betroffenen kümmern muss.
Den Wechsel begründet Google mit der einfacheren Umsetzbarkeit der DSGVO. Somit wird auch die “One Stop Shop“-Regelung der EU eingehalten, dass es nur einen einzigen Ansprechpartner für Nutzer und Unternehmen geben soll.
Wichtig ist nun für alle Websitebetreiber, die in ihrer Datenschutzerklärung Google LLC als Verantwortlichen beispielsweise bei Google Analytics genannt haben, dies entsprechend zu ändern. Die Einstellungen und Dienste von Google erhalten keine Änderungen.
Der Hamburger Datenschutzbeauftragter, Johannes Caspar, hat der Polizei verboten, einen weiteren biometrischen Massenabgleich von Gesichtsdaten im Rahmen der Suche nach G20-Randalierern zu machen.
Nachdem in Hamburg vor eineinhalb Jahren die Krawalle beim G20-Gipfel stattgefunden hatten, hatten Polizei und Staatsanwaltschaft eine große Datenbank mit Foto- und Videoaufnahmen aus diversen Quellen zusammengetragen, die im gesamten Stadtgebiet entstanden sind. In dieser Datenbank soll mit einer speziellen Software zur Gesichtserkennung nach Verdächtigen gesucht werden, um diesen bestimmte Straftaten nachweisen zu können.
Caspar kritisiert seit längerem den automatischen Gesichtsabgleich als rechtsstaatlich unzulässig. Nach Aussagen von Caspar enthält die Datenbank neben polizeieigenem Bildmaterial von Einsätzen auch Videoaufzeichnungen aus Bussen, Bahnen und Bahnhöfen sowie von Medien veröffentlichtes Material. Auch enthalten seien private Aufnahmen von Smartphones, die Bürger über ein von der Polizei eingerichtetes Portal zur Verfügung stellten. Insgesamt handelt es sich um ca. 32. 000 Video- und Bilddateien (Stand August 2018).
Das Verfahren zur Identifikation der Verdächtigen greife “erheblich in die Rechte und Freiheiten einer Vielzahl Betroffener” ein. Es wären massenhaft Personen betroffen, die nicht tatverdächtig sind und dies zu keinem Zeitpunkt waren.
Nach Caspar gibt es in Deutschland kein Gesetz, ” das Strafverfolgungsbehörden erlaubt, Massen von Video- und Bildsequenzen aus ganz unterschiedlichen zeitlichen und örtlichen Bezügen zu sammeln und biometrische Gesichts-IDs von abgebildeten Personen ohne Tatverdacht zu erstellen, für unbestimmte Zeit zu speichern und wiederholt mit Gesichtern von einzelnen Tatverdächtigen abzugleichen”.
Am Dienstag erließ Caspar eine entsprechende Anordnung und forderte den Innensenator Andy Grote (SPD) auf, die Datenbanken löschen zu lassen. Gegen diese Anordnung kann der Innensenator vor dem Verwaltungsgericht Hamburg Klage erheben.
Ob diese Anordnung Erfolg haben wird, bleibt abzuwarten.
17. Dezember 2018
Der Facebook-Konzern hat eine weitere Datenpanne gemeldet. Ausgehend davon sei diversen Apps unberechtigterweise Zugang zu verschiedenen Fotos von Mitgliedern sowie Informationen auf der Plattform Marketplace ermöglicht worden. Dieser unberechtigte Zugriff hätte bereits im September für mehrere Tage bestanden und beträfe ca 6,8 Millionen User. Zumindest die 72-Stunden Frist für die Meldung der Datenpanne habe Facebook nach bisherigem Kenntnisstand jedoch eingehalten.
Entgegen aller präventiven Maßnahmen – auch seit Inkrafttreten der DSGVO – entstehen Datenpannen häufiger und umfangreicher als möglicherweise zu erwarten. Hierfür stehen auch die regelmäßigen Meldungen über derartig große Vorfälle Pate (wir berichten regelmäßig). Aus diesem Grund sind Unternehmen jeder Größe gut beraten, adäquate sowie datenschutzkonforme Schutzmechanismen in die Unternehmensstruktur zu implementieren. Ebenfalls ist eine Vorbereitung auf etwaige Datenpannen sowie, gegebenenfalls, das Einholen juristischer Beratung ratsam.
“Bedenkt man unsere eingeschränkte Zuständigkeit, sind beachtliche Zahlen an Eingaben und Beschwerden zu Datenschutzverstößen im ersten Halbjahr eingegangen”, sagte die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Andrea Voßhoff (CDU).
Seit dem 25. Mai 2018 wurden bundesweit bis Anfang September 11.000 Beschwerden gezählt, davon 6.100 Datenschutzverstöße. Im Vergleich dazu waren es EU-weit (lediglich) 55.000 Beschwerden und knapp 18.900 Meldungen von Datenschutzverletzungen.
Bis Ende Oktober sind laut Voßhoff in dem von ihr geführten Haus rund 3.700 Eingaben eingegangen – sowohl allgemeine, als auch Beschwerden über Verletzungen des Datenschutzes sowie 4.667 Meldungen mit Datenschutzverstößen.
Ob diese Zahlen nun das steigende Bewusstsein der Bürger in Punkto Datenschutz widerspiegeln oder lediglich die Aktivitäten von Abmahnanwälten offenlegen, bleibt unbeantwortet.
13. Dezember 2018
Die Datenschutzgrundverordnung (DSGVO) hat viele Veränderungen mit sich gebracht. Eine der neuen Pflichten, die sich aus der DSGVO ergeben, ist die Meldung der Kontaktdaten des Datenschutzbeauftragten eines Unternehmens an die Aufsichtsbehörden.
In Deutschland haben sich die Aufsichtsbehörden gegen eine bundesweite Lösung entschieden und je nach Bundesland eine individuelle Lösung entwickelt um die Umsetzung der Meldepflicht sicherstellen zu können.
Die Bundesländer Nordrhein-Westfalen und Bayern haben eigens für die Meldepflicht ein Portal online gestellt auf dem sich Unternehmen einen Nutzeraccount erstellen können. Um bei der Registrierung eine sichere Übermittlungsmethode der Zugangsdaten gewährleisten zu können, wird nach erfolgter Registrierung ein Aktivierungslink an die angegebene E-Mail-Adresse gesendet. Erst nach Aktivierung dieses Links ist der Registrierungsprozess beendet und das Nutzerkonto kann verwendet werden. Die eigentliche Meldung erfolgt durch ein Formular, auf welches man nach dem Login Zugriff hat. Nach erfolgreicher Meldung wird eine Kopie des Formulars als Bestätigung an die angegebene E-Mail-Adresse geschickt.
Andere Bundesländer wie Baden-Württemberg oder Hamburg haben Formulare für die Meldepflicht frei zugänglich auf ihren Webseiten positioniert. Die Übermittlung des ausgefüllten Formulars erfolgt hierbei direkt oder via E-Mail.
Die von den Aufsichtsbehörden abgefragten Daten, über das Unternehmen sowie den Datenschutzbeauftragten, variieren von Bundesland zu Bundesland stark. Grundsätzlich haben die Aufsichtsbehörden versucht sicherzustellen, dass dem Datenminimierungsprinzip Sorge getragen wird. Viele Formulare beinhalten daher Kennzeichnungen der Pflichtangaben. Diese umfassen zumeist die Kontaktdaten des Unternehmens sowie des Datenschutzbeauftragten aber auch die Kontaktdaten des Meldenden.
Einige Aufsichtsbehörden haben Fristen erlassen um den Unternehmen genügend Zeit zu bieten der Meldepflicht nachzukommen. Die Frist der Aufsichtsbehörde NRW und somit die letzte aktuell laufende Frist endet am 31.Dezember 2018. Bis dahin werden fehlende Meldungen nicht durch die Aufsichtsbehörde geahndet.
Die DSGVO hat ebenfalls einige Privilegien hervor gebracht. Darunter auch das Privileg des Konzerndatenschutzbeauftragten. Die Pflicht zur Meldung der Kontaktdaten des Datenschutzbeauftragten kann diesem Privileg nicht untergeordnet werden. Das hat die Auswirkung, dass jede Gesellschaft bzw. jedes verbundene Unternehmen eines Konzerns die Kontaktdaten des Datenschutzbeauftragten melden muss, auch dann wenn ein und der selbe Datenschutzbeauftragte für alle Gesellschaften des Konzerns bestellt wurde.
Meldungen die formlos via E-Mail erfolgt sind, werden von den Aufsichtsbehörden nicht berücksichtigt.
“Guten Tag Frau …”, so begrüßte eine Metzgerei-Verkäuferin eine Kundin und wurde erst einmal zurechtgewiesen. Sie möchte nicht das ihr Name öffentlich genannt wird. Außerdem verstoße dies nach ihrer Ansicht gegen die DSGVO. Stimmt das denn wirklich?
Dazu müsste zunächst der sachliche Anwendungsbereich gemäß Art. 2 Abs. 1 DSGVO eröffnet sein. Dieser ist eröffnet, sobald eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten oder eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, vorliegt. Eine automatisierte Verarbeitung liegt bei einer persönlichen Ansprache einer Kundin nicht vor.
Fraglich ist, ob eine nichtautomatisierte Verarbeitung personenbezogener Daten vorliegt, die dateibezogen erfolgt. Nach dem Erwägungsgrund 15 Satz 3 der DSGVO kommt es bei “Dateibezug” auf die Ordnung nach bestimmten Kriterien an. Ein Dateibezug liegt dagegen nicht vor, wenn der Datenbestand keinen allgemeinen Ordnungskriterien folgt. Es ist nicht davon auszugehen, dass die Namen der Kunden in einem Aktenbestand oder in einer sonstigen Aktenführung geordnet werden. Die Metzgerin hat wohl vielmehr den Namen gemerkt. Dies stellt jedoch keine Verarbeitung dar. Aus diesem Grund ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet.
Wenn jemand eine Metzgerei betritt, möchte derjenige wohl im Zweifel einen Kaufvertrag abschließen. Die persönliche Ansprache ist Teil der vorvertraglichen Vertragsverhandlungen und stellt keine Datenverarbeitung dar.
12. Dezember 2018
Am Dienstagabend haben sich Vertreter des Europäischen Parlaments, des Ministerrates sowie der Kommission auf einen Richtlinienentwurf geeinigt, um zukünftig mit einem schärferen Schwert gegen Betrugs- und Fälschungsfälle in Bezug auf den Umgang mit bargeldlosen Zahlungsmitteln wie Kredit- oder EC-Karten vorgehen zu können. Die Richtlinie umfasst dabei erstmalig auch die rechtswidrige Nutzung von virtuellen Währungen, wie z.B. Bitcoins oder die mobile Zahlung über Smartphones. Ziel der Richtlinie ist dabei die europaweite Harmonisierung von Mindeststrafrahmen bei Delikten, die die oben genannten Fälle der rechtswidrigen Datennutzung und Nutzung der Zahlungsmittel erfassen. Das Strafmaß reicht dabei, je nach Schwere des Delikts, von einem Jahr bis zu fünf Jahren Freiheitsstrafe.
Die Richtlinie erfasst zudem die Fälle, in denen Zahlungsdaten z.B. durch die Nutzung von Phishing-Mails, Skimming an Geldautomaten oder Terminals rechtswidrig erhoben und in der Folge rechtswidrig genutzt werden. Schätzungsweise werden mit solchen Betrugsfällen jährlich mindestens 1,8 Milliarden Euro rechtswidrig erwirtschaftet.
Die Richtlinie muss nun durch das Parlamantsplenum und dem Rat angenommen werden. Nach dem Inkrafttreten der Richtlinie werden die Mitgliedstaaten 2 Jahre Zeit haben, die Vorschriften in nationales Recht umzusetzen.
Pages: 1 2 ... 98 99 100 101 102 ... 275 276 
