5. November 2018
Für die Datenverarbeitung muss zwischen der Eintragung im Taufregister und der Berücksichtigung im elektronischen Melderegister unterschieden werden. Aufgrund der schriftlichen Benachrichtigung durch die zuständige Stelle, wird das für den Ausgetretenen bestehende Taufregister ermittelt und um die Eintragung des Kirchenaustritts ergänzt. Das Taufregister über eine Person wird grundsätzlich dort geführt, wo der Betroffene getauft wurde (Geburtsort). Dabei kann es sich um die Pfarrei handeln, in deren Bezirk die Eltern zum Zeitpunkt der Geburt ihren Wohnsitz hatten oder das Geburtskrankenhaus gelegen war. Eine Vernichtung des Taufregisters findet nicht statt. Es ist eine Gesamturkunde, die in ihrem Bestand zu schützen ist.
Darüber hinaus ist der Erhalt der Eintragung ausfolgenden Gründen erforderlich: a) weil nur so verhindert werden kann, dass der Ausgetretene weitere Sakramente empfängt (z.B. Ehesakrament), c) weil die Möglichkeit eines späteren Wiedereintritts in die Kirche oder einer Konversion besteht.
Der Kirchenaustritt führt zu einer Änderung des Melderegisters. Von den Meldebehörden erhält die Kirche regelmäßig einen Änderungsdienst, der auch die Kirchenaustritte berücksichtigt. Aufgrund dieser Meldung wird dann das Gemeindemitgliederverzeichnis nach § 4 KMAO berichtigt. Der Ausgetretene wird also im kirchlichen Meldewesen nicht mehr erfasst!
26. Oktober 2018
Apple-Chef Tim Cook lobt im Rahmen seiner Teilnahme an der 40. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (ICDPPC), welche vom 21.10.-26.10. 2018 in Brüssel stattfindet, im EU-Parlament die europäische Datenschutzgrundverordnung. An der Konferenz nehmen neben den unabhängigen Datenschutzbehörden als akkreditierte Mitglieder auch Vertreter von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertreter aus Wissenschaft und Industrie teil.
Wie unter anderem die Süddeutsche Zeitung und das Handelsblatt am Mittwoch berichteten, forderte der Apple-Chef in seiner Rede im EU-Parlament weltweit ähnliche Datenschutzstandards. Cook warnt vor der Gefahr eines “Daten-industriellen Komplexes”. Gemeint ist die Sammelwut einiger großer Konzerne im Hinblick auf die persönlichen Daten ihrer Nutzer. Solche Daten würden als “Waffe mit militärischer Effizienz” eingesetzt. Mit den Daten der Nutzer werde ein milliardenstarkes Geschäft geführt. Die Daten würden “sorgfältig gesammelt, zusammengefasst, gehandelt und verkauft”.
Der Apple-Chef greift hier vor allem die Branchenriesen Google und Facebook an indem er die Verantwortung der Konzerne für Schaffung ausreichender Datenschutzstandards betont. Diese waren in der Vergangenheit im Zusammenhang mit der Frage nach einem ausreichenden Schutz der Daten ihrer Nutzer häufig Mittelpunkt einer globalen Diskussion rund um das Thema Datenschutz.
24. Oktober 2018
Die Verbraucherzentrale Sachsen wirft Facebook fehlende Rechtsklarheit vor und hat deshalb Klage gegen das Unternehmen erhoben.
„Jeder Nutzer hat das Recht zu wissen, was mit seinen Daten passiert und wer dafür verantwortlich ist. Es kann nicht sein, dass sich Facebook seiner Verantwortung entzieht“, teilte der Rechtsexperte Michael Hummel von der Verbraucherzentrale Sachsen mit.
Im Mittelpunkt steht die gemeinsame Verantwortlichkeit für Fanpages, die nach dem Europäischen Gerichtshof Facebook zusammen mit den Betreibern der Seite trägt. Dazu müsste Facebook entsprechende Vereinbarungen mit den Nutzern abschließen. Trotz Mahnungen von Verbraucherschützern die DSGVO-Vorgaben in dieser Hinsicht einzuhalten, hat Facebook seit dem Urteil im Juni nichts geändert.
„Mittlerweile hat uns Facebook durch seine Anwälte mitteilen lassen, dass man keine Verletzung von Verbraucherrechten erkennen könne. Mit der Klage soll Facebook nun seine Pflichten erfüllen und Verbraucher weitestgehend aus der Verantwortung nehmen“, erklärte Michael Hummel.
Ob eine DSGVO-Verletzung vorliegt oder nicht muss nun das Gericht entscheiden. Die Verbraucherzentrale rechnet damit, dass schon in einem Jahr ein Urteil ergehen könnte.
23. Oktober 2018
Die Portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) hat kürzlich bekanntgegeben, dass das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro für Verstöße gegen die DSGVO zahlen soll. Damit ist in Europa erstmals eine hohe Geldstrafe aufgrund der neuen Bußgeldrahmen der DSGVO verhängt worden.
Wie die Portugiesische Zeitung Público berichtet, hat das Krankenhaus gegen die DSGVO verstoßen, indem es zugelassen hat, dass zu viele Nutzer in dem Patientenverwaltungssystem des Krankenhauses Zugriff auf Patientendaten gehabt haben, obwohl diese nur für die Ärzte hätten einsehbar sein dürfen. Zudem seien in dem Krankenhaussystem zu viele Profile mit den Zugriffsberechtigungen eines Arztes erstellt worden – von insgesamt 985 aktiven Benutzern ist hier die Rede – obwohl 2018 nur 296 Ärzte angestellt waren.
Das Krankenhaus will nun gerichtlich gegen die Geldstrafe vorgehen.
Bei der Irischen Datenschutzaufsicht sind derzeit Verfahren gegen Facebook und Twitter eingeleitet, welche mehr Aufschluss zur Datensammlung dieser Unternehmen geben könnten. In diesem Zusammenhang schließt sich die Frage an, wann Unternehmen Auskunftsersuchen unter Umständen wegen einem unverhältnismäßigen Aufwand nicht beantworten müssen.
Hintergrund der Verfahren sind Beschwerden eines Forschers des University College in London. Dabei ging es ihm insbesondere um Informationen, die über sein Verhalten im Web außerhalb der großen Plattformen gesammelt werden. Bei Facebook sind das vor allem Daten, die über den sog. Facebook-Pixel erhoben werden, bei Twitter sind es Daten die gespeichert werden, wenn auf Links in Nachrichten geklickt wird, die über den Twitter-eigenen Linkkürzungsdienst t.co eingebunden werden. Aufgrund eines angeblichen unverhältnismäßigen hohen Aufwandes, lehnten beide Unternehmen eine dahingehende Auskunft ab.
Der Grundsatz der Transparenz in der Datenverarbeitung ist in Art. 15 DSGVO, dem Auskunftsrecht, festgehalten und dient dem effektiven Persönlichkeitsrechtsschutz.
Kann der Verantwortliche die Auskunft mit der Begründung eines unverhältnismäßigen Aufwands verweigern?
Art. 15 DSGVO gibt dem Wortlaut nach darüber keinen Aufschluss.
Gem. § 34 Abs. 1 Nr. 2 BDSG kann der Verantwortliche die Auskunft im Falle eines unverhältnismäßigen Aufwands ablehnen. Jedoch nur, wenn zusätzlich weitere Voraussetzungen erfüllt sind.
Eine Ablehnung allein aus Gründen der Unverhältnismäßigkeit ist danach unzureichend.
Gem. Erwägungsgrund 63 der DSGVO kann der Verantwortliche verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Dies gilt allerdings nur, wenn der Verantwortliche eine große Menge an Informationen über die betroffene Person verarbeitet.
Immerhin ein Unterfall der möglichen Ablehnung.
Nach Art. 11 Abs. 2 DSGVO gilt Artikel 15 DSGVO nicht, wenn der Verantwortliche nachweisen kann, dass er den Betroffenen nicht identifizieren kann.
Dies bezieht sich sowohl auf die Person des Antragstellers selbst, als auch auf die fehlende Zuordnungsmöglichkeit der den Antragsteller betreffenden Daten.
Teilweise wird vertreten, man könne mit einer Analogie zu Art. 14 Abs. 5 lit b DSGVO arbeiten. Dieser besagt, dass auf eine Information des Betroffenen verzichtet werden kann wenn diese einen unverhältnismäßigen Aufwand erfordert. (Härting, Datenschutz-Grundverordnung, Rn. 683/685)
Nach deutschem Recht soll eine derartige Analogie aber nicht notwendig sein, da auch auf den Grundsatz von Treu und Glauben zurückgegriffen werden könne. Dieser besagt u.a., dass die Parteien eines Rechtsverhältnisses Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils nehmen müssen.
Mit der Stellung des Auskunftsersuchens wird ein solches Rechtsverhältnis zwischen Antragsteller und Verantwortlichem begründet. Demnach könne sich auch der Verantwortliche im Einzelfall auf einen unverhältnismäßig hohen Aufwand berufen. (vgl. Gola, Datenschutzgrundverordnung 2. Auflage Rn. 38)
Fazit:
Nur im Ausnahmefall bzw. Einzelfall kann mit guter Begründung ein Auskunftsersuchen aufgrund unverhältnismäßigen Aufwandes verweigert werden.
Dabei wird der vertretbare Aufwand für Unternehmen (z.B. Kosten, Zeit und Arbeitskräfte) mit dem Schutzbedarf des Betroffenen (z.B. Sensibilität der Daten) ansteigen.
Nach Angaben der Bundespolizei und des Bundesinnenministeriums ist das Pilotprojekt zur Gesichtserkennung am Berliner Bahnhof “Südkreuz” ein voller Erfolg.
Der Chaos Computer Club (CCC) hat dem widersprochen und die Ergebnisse als “absichtlich geschönigt” bezeichnet. Das getestete System hätte kein akzeptables Ergebnis gebracht. Die Resultate seien “manipuliert worden um sie nicht ganz so desaströs aussehen zu lassen.”
Die behauptete Erkennungsrate von durchschnittlich 80% ergebe sich nur, wenn “alle drei getesteten Systeme die vorbeilaufenden Menschen erfassen und jeweils softwareseitig auswerten” ,erläuterte der CCC. Keines der getesteten Systeme habe diese Trefferquote alleine erreicht. Das durchschnittliche Ergebnis des Versuchs für das beste Testsystem habe eine Erkennungsrate von 68, 5 Prozent erreicht. Das schlechteste der drei Anbieter habe sogar nur eine Trefferquote von 18,9 Prozent erreicht.
Solche Erkennungsraten seien für den geplanten Abgleich mit polizeilichen Datenbanken “völlig unbrauchbar.” Der CCC wirft der Bundespolizei vor, dass wissenschaftliche Standards missachtet worden seien und fordert das “unnütze und teure Sicherheitstheater unverzüglich einzustellen.”
19. Oktober 2018
Nach der Meldung des „Wiener Wohnens“ entbrannte eine hitzige Debatte um die datenschutzrechtliche Zulässigkeit von Klingelschildern mit Namen an Wohnhäusern. Bezüglich der Rechtslage in Deutschland meldeten sich in den letzten Tagen verschiedene Stellen mit ihrer Einschätzung.
Laut einem Artikel der Bild-Zeitung empfiehlt der Immobilieneigentümerverband Haus & Grund (900.000 Mitglieder) die Namen von den Klingelschildern zu entfernen. Der Wirtschaftswoche erklärte der Sprecher des Verbandes Alexander Wiech, dass der Verband seine Mitglieder vor allem sensibilisieren und warnen wolle, dass es zukünftig notwendig sein könnte Klingelschilder abzunehmen.
Der Thüringer Datenschutzbeauftragte Lutz Hasse hat in einem Interview mit MDR AKTUELL betont, dass Namen auf Klingelschildern personenbezogene Daten seien und deshalb Klingelschilder nicht ohne Zustimmung der Betroffenen mit einem Namen versehen werden dürfen. Wir seien bis jetzt nur davon ausgegangen, dass in dieser Hinsicht Einigkeit zwischen Vermietern und Mietern bestünde.
Das Bayrische Landesamt für Datenschutzaufsicht hat eine Mitteilung veröffentlicht, in der es bereits die Anwendbarkeit der DSGVO bezweifelt und falls eine Verarbeitung doch zu bejahen wäre, diese von Art. 6 Abs. 1 lit. f DSGVO gedeckt sieht. Der Präsident Thomas Kranig äußerte sich erstaunt und betrübt, dass die „Datenschutz-Grundverordnung als Begründung für etwas herangezogen wird, was sie gar nicht fordert und sie damit als „weltfremdes europäisches Recht“ diskreditiert wird“.
Der Österreichische Rundfunk berichtete sogar davon, dass die EU Kommission sich zu Wort gemeldet hatte. Ein Sprecher der Behörde soll die Medienberichte dementiert haben. Demnach regele die DSGVO diesen Bereich nicht, so dass die Namen an Klingelschildern dran bleiben dürfen.
17. Oktober 2018
Nach § 42 Abs. 1 des Gesetzes über den kirchlichen Datenschutz (KDG) bestellt jeder Bischof für den Bereich seines Bistums einen Diözesandatenschutzbeauftragten. Er soll zuverlässig und sachkundig sein, die Befähigung zum Richteramt haben und der Katholischen Kirche angehören. Er ist auf die gewissenhafte Erfüllung seiner Pflichten und auf die Einhaltung kirchlichen Rechts sowie das für die Kirche geltende staatliche Recht zu verpflichten.
Seine grundlegende Aufgabe besteht nach § 44 Abs. 1 KDG darin, über die Einhaltung der Vorschriften dieses Gesetzes zu wachen. Er ist also für den kirchlichen Bereich die zuständige Aufsichtsbehörde. Er kann alle Maßnahmen nach § 47 ff. KDG bis hin zur Festsetzung von Geldbußen nach § 51 KDG ergreifen, um das Recht auf informationelle Selbstbestimmung betroffener Menschen zu schützen. Er ist von den kontrollierten Einrichtungen zu unterstützen. Seinen Anweisungen ist Folge zu leisten (§ 44 Abs. 2 lit. a) KDG).
Damit er dieser Aufgabe gerecht werden kann, gewährt ihm das Gesetz vollständige Unabhängigkeit. Er kann nicht aus seinem Amt entlassen werden, ist an Weisungen nicht gebunden und übt seine Tätigkeit in sachlicher und organisatorischer Unabhängigkeit aus.
15. Oktober 2018
Nachdem ein Mieter einer Gemeindewohnung den mangelnden Datenschutz beklagte, will die kommunale Hausverwaltung der rund 2000 Wohnanlagen des „Wiener Wohnens“ bis zum Ende des Jahres 220.000 Klingelschilder entfernen.
Der Mieter hatte sich bei der Hausverwaltung beschwert, dass sein Name auf dem Klingelschild einen Eingriff in seine Privatsphäre darstelle. Daraufhin hatte sich die Hausverwaltung erkundigt und von der für Datenschutzangelegenheiten der Stadt Wien zuständigen Magistratsabteilung erfahren, dass die Verbindung von Nachname und Wohnungsnummer einen Verstoß gegen die DSGVO darstellt.
In Zukunft dürfe nur noch die Wohnungsnummer auf dem Klingelschild stehen. Es sei denn, dass ein Mieter seine Einwilligung erteilt hat. Man könnte diese Einwilligung entweder zuvor durch einen Fragebogen mit Opt-In einholen oder konkludent dadurch, dass die Mieter ihre Klingelschilder selber beschriften.
Österreichische Datenschützer sind der Meinung, dass diese Regelungen auch für private Vermieter und Vermieterinnen gelten.
12. Oktober 2018
Das LG Frankfurt a. M. hat in seinem Urteil vom 13.09.2018 (Az.: 2-03 O 283/18) das Veröffentlichen eines Videos von einer Kundin aus einem Frisör-Salon auf seiner Facebook-Seite für rechtswidrig erklärt.
Der Entscheidung lag ein Fall zugrunde, in dem ein Frisör ein Video und Fotos von einer Kundin in seinem Salon auf seiner Facebook-Seite veröffentlicht hatte. Die Kundin beschwerte sich, worauf der Frisör nur die Fotos entfernte aber nicht das Video. Darauf hin klagte die Kundin auf Unterlassung.
Das Gericht prüfte, ob der Frisör die Datenverarbeitung auf eine Rechtsgrundlage stützen kann. In Betracht kamen §§ 22, 23 KUG, Art. 6 Abs. 1 lit a und lit. f. DSGVO in Betracht. Laut Gericht konnte der Frisör nicht glaubhaft darlegen, dass die Kundin eingewilligt hatte. Da auch keine Ausnahmen vom Einwilligungserfordernis nach § 23 KUG einschlägig sind, ist die Veröffentlichung des Videos nicht von §§ 22, 23 KUG gedeckt ist. Mangels Einwilligung scheidet auch Art. 6 Abs. 1 lit. a DSGVO als taugliche Rechtsgrundlage aus. In der weiteren Prüfung verneinte das Gericht ein berechtigtes Interesse des Frisörs an der Veröffentlichung des Videos. Das LG zog hierfür die Grundsätze der §§ 22, 23 KUG und der dazugehörigen Rechtsprechung für die Abwägung heran. Demnach überwiegt bei einem Frisörbesuch das Interesse der Kundin an der Unterlassung gegenüber dem Werbeinteresse des Frisör-Salonbetreibers.
Da sich die Veröffentlichung des Videos auf keine Rechtsgrundlage stützen ließ, muss der Frisör nun das Video von seiner Facebook-Seite entfernen. Diese Entscheidung bestätigt nochmals die Bedeutung der Dokumentationspflichten im Zusammenhang mit der Einwilligung nach Art. 7 Abs. 1 DSGVO.
Pages: 1 2 ... 103 104 105 106 107 ... 275 276 
