11. Oktober 2018
Das besondere elektronische Anwaltspostfach (beA) wurde Anfang diesen Jahres in Betrieb genommen und sollte den elektronischen Schriftverkehr zwischen Rechtsanwälten und Gerichten abwickeln, allerdings wurde es bereits kurz nach der Inbetriebnahme wegen eklatanter Sicherheitsprobleme wieder offline genommen. Nachdem die Probleme, zumindest teilweise beseitigt wurden, ging das beA am 03.September 2018 wieder online.
Abgesehen von einigen kleineren Startschwierigkeiten verlief die Wiederinbetriebnahme aus technischer Sicht reibungslos. Seit der Freischaltung läuft das System für alle Anwender stabil.
Bereits vor dem Neustart im September wurde allerdings eine Klage beim Berliner Anwaltsgerichtshof erhoben, die sich gegen die Bundesrechtsanwaltskammer (BRAK) richtet. Mit der Klage wird gerügt, dass die Sicherheitsmängel einem Neustart im Wege stehen. Die klagenden Rechtsanwälte, die über die Gesellschaft für Freiheitsrechte (GFF) klagen und die Klage mit einer Crowdfunding-Kampagne finanzieren, wollen erreichen, dass das beA mit Ende-zu-Ende-Verschlüsselung (E2EE) nachgerüstet wird.
Aufgrund der Tatsache, dass nur der Hauptsache-Rechtsschutz erhoben wurde und kein einstweiliger Rechtsschutz beantragt wurde, konnte der Neustart nicht verhindert werden. Es bleibt abzuwarten, wie das Gericht entscheidet.
Für Rechtsanwälte besteht gem. § 31 a Abs. 6 BRAO eine passive Nutzungspflicht.
Die Chemnitzer Innenstadt wird seit Anfang Oktober mit mehreren Kameras videoüberwacht. Der sächsische Landesdatenschutzbeauftragte drohte mit der Abschaltung der Kameras. Es fehlten nämlich noch bestimmte Dokumente, die sich beispielsweise mit folgenden Fragen beschäftigen: Welche Bereiche filmen die Kameras? Warum ist dies nötig? Und wer hat Zugriff auf die Aufnahmen? Solange diese Fragen nicht beantwortet sind, dürfen die Kameras rein formell betrachtet nicht in Betrieb genommen werden. Ordnungsbürgermeister Miko Runkel verwunderten diese Forderungen, da im Sommer ein Entwurf der Stadtverwaltung dem Datenschutzbeauftragten vorgelegt wurde und die von ihm gegebenen Hinweise abgearbeitet wurden. Nach eigener Aussage habe sich die Stadt an die Datenschutzgrundverordnung gehalten, sodass ein weiteres Dokument nicht erforderlich sei, sondern lediglich der Rat des Landesdatenschutzbeauftragten eingeholt werden müsse.
Seit dem 1. Oktober zeichnen 31 Kameras das Geschehen von belebten Orten in Chemnitz auf. Dazu gehören beispielsweise Zentralhaltestelle und das Areal um den Stadthallenpark. Laut Stadtverwaltung werden die Aufzeichnungen 10 Tage gespeichert. Es wird nur anlassbezogen ausgewertet. Die Polizei hat bisher kein Zugriff darauf, dies ändert sich jedoch sobald die Erlaubnis vorliegt.
10. Oktober 2018
Ein Team von Elite-Hackern (Googles Project Zero) hat eine Sicherheitslücke in WhatsApp entdeckt, welche es ermöglicht, ein Smartphone mit einem einzigen Video-Call zu kapern.
Der Fehler findet sich in der Speicherverwaltung des Video-Conferencings. Durch ein speziell präpariertes RTP-Paket kann die Speicherung derart durcheinander gebracht werden, dass der Absender einen eigenen Code einschleusen und damit das Smartphone kapern kann.
Das fällige Update, welches diese Sicherheitslücke aufheben soll, gibt es für die iOS-Version erst seit einer Woche. Das Android-Update gibt es bereits seit dem 28.September 2018. Damit böswillige Hacker keine Spionage-Software auf dem Gerät installieren können, sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Für das iPhone ist dies aktuell WhatsApp 2.18.93 und bei der Android-Version 2.18.302 (beziehungsweise 2.18.306 im Google PlayStore).
9. Oktober 2018
Nach Facebook räumt auch Google eine Datenpanne ein. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat die Ermittlung gegen das Online-Netzwerk Google Plus aufgenommen.
Durch eine Software-Panne bei Google Plus sollen Basis-Profilinformationen wie Name, E-Mail-Adresse, Geschlecht oder das Alter der Nutzer jahrelang für die App-Entwickler ohne Erlaubnis abrufbar gewesen sein. Diese Datenpanne sei im März 2018 bei Google entdeckt worden, welche sie für ein halbes Jahr für sich behielt. Dies räumte Google am Montag ein. Andere Daten seien jedoch nicht betroffen. Der Fehler sei unmittelbar durch Google behoben worden.
Als Reaktion wird die 2011 als Konkurrenz zu Facebook gestartete Plattform für die Verbraucher dichtgemacht. Darüber hinaus sollen auch die Möglichkeiten für App-Entwickler, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen, zukünftig eingeschränkt werden,
Das “Wall Street Journal” berichtete unter Berufung auf interne Unterlagen Googles, dass dieses Datenleck bereits seit 2015 bestand. Google habe zwar keine Hinweise auf einen Datenmissbrauch, jedoch auch nicht genug Informationen, um einen solchen vollständig auszuschließen. Aus Sorge vor Vergleichen mit Facebook habe sich der Konzern im März dazu entschieden, die Öffentlichkeit nicht über die Entdeckung zu informieren.
Google selbst hat bisher keine Angaben dazu gemacht, wie lange diese Lücke tatsächlich bestand. Es könnten potentiell Profile von bis zu 500 000 Konten bei Google Plus betroffen sein. Genauere Angaben könne der Konzern nicht machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden.
Mit dem Ziel Vereine, Freiberufler und kleine oder mittelständische Unternehmen (kurz KMU) hinsichtlich der Pflichten zur Einhaltung datenschutzrechtlicher Anforderungen zu entlasten, haben zwei Bundesratsausschüsse, namentlich der Ausschuss für Innere Angelegenheiten und der Wirtschaftsausschuss, nach einer Bekanntgabe auf Twitter durch Prof. Jürgen Taeger empfohlen, die in § 38 BDSG geregelte Pflicht zur Benennung eines Datenschutzbeauftragten ab einer Mitarbeiteranzahl von zehn Personen abzuschaffen oder zumindest zu Gunsten der Verantwortlichen aufzulockern.
Vorgeschlagen wurde, die Pflicht gänzlich abzuschaffen oder die Pflicht auf Unternehmen zu begrenzen, die entweder personenbezogene Daten “zu gewerblichen Zwecken” verarbeiten oder zumindest 50 Mitarbeiter beschäftigen, die mit der Verarbeitung personenbezogener Daten beauftragt sind.
Fraglich ist jedoch, wie die empfohlenen Änderungen im Rahmen der Benennungspflicht die genannten Arten der verschiedenen verantwortlichen Stellen tatsächlich entlasten würden. Denn die Auflockerung der bloßen Benennungspflicht bedeutet nicht, dass dies auch positive Auswirkungen im Hinblick auf die weiteren datenschutzrechtlichen Pflichten, insbesondere aus der DSGVO haben würde. Weiterhin müssten die Verantwortlichen den großen Pflichtenkatalog aus der DSGVO genauso erfüllen wie bisher, nur, dass sie im Zweifel dann keinen Datenschutzbeauftragten mehr benennen müssten, der eine besondere Fachkenntnis vorweisen muss. Es ist daher anzunehmen, dass das Abmahn- und Bußgeldrisiko daher sogar im Vergleich zur derzeitigen Lage steigen könnte.
Im Ergebnis ist die Entwicklung hinsichtlich der Empfehlungen der beiden Bundesratsausschüsse mit Spannung zu verfolgen – sinnvoll erscheinen diese bis dato allerdings wenig.
An vielen deutschen Hochschulen werden mittlerweile Chipkarten genutzt, die für die Nutzung des Leistungsangebots der Hochschulen unerlässlich sind. Chipkarten werden u.a. als Bezahlkarte in der Mensa oder als Bibliotheksausweis eingesetzt.
Anders als in den USA dürfen deutsche Hochschulen und Unternehmen aber nicht wahllos viele Daten der Studierenden speichern. Laut einem Bericht der ZEIT werden in den USA über sogenannte Orts- und Zeitstempel massenweise Daten erhoben, um so die Gewohnheiten der Studierenden erfassen zu können. Die erhobenen Daten werden sodann ausgewertet, um das Risiko eines Studienabbruchs ermitteln zu können.
In Deutschland ist die Datenverarbeitung nur in den Grenzen des geltenden Datenschutzrechts zulässig. Personenbezogene Daten von Studierenden dürfen nach der geltenden DSGVO nur zu festgelegten, eindeutigen und legitimen Zwecken erhoben werden. Zudem gilt der Grundsatz der Datenminimierung, daher dürfen nicht mehr Daten erhoben werden, als für den Zweck der Verarbeitung erforderlich sind. Deutsche Hochschulen müssen diese Voraussetzungen bzw. diesen Grundsatz bei der Gestaltung von Chipkarten für die Studierenden in jedem Fall beachten.
Die FU Berlin hat bereits 2017 eine Campuscard als Teil der von der EU-Kommission in allen Mitgliedsstaaten geplanten Umstellung auf elektronische Studentenausweise eingeführt. Die Campuscard der FU Berlin soll technisch aber in der Art ausgestaltet sein, dass das Studierendenwerk beispielsweise nur das Guthaben auf der Mensakarte sehen kann und die Universität nur die Bibliotheksnummer. Die Daten liegen in getrennten Bereichen auf der Karte und werden unterschiedlich verschlüsselt. Den Datenschlüssel zu den jeweiligen Daten erhält nur derjenige, der ihn braucht.
Der EuGH hat nun entschieden, wann Behörden personenbezogene Daten der Betreiber elektronischer Kommunikationsdienste anfordern dürfen.
In dem bezeichneten Sachverhalt geht es um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Polizei wollte Zugriff auf Identifikationsdaten der Nutzer der Telefonnummer haben, die mit dem entwendeten Mobiltelefon aktiviert wurden. Identifikationsdaten wie u.a. Name und Adresse des Karteninhabers, sind personenbezogene Daten.
Nach spanischem Recht stellt ein Raub keine “schwere Straftat” (mehr als 5 Jahre Strafandrohung) dar. In diesem Fall stellt sich nun die Frage, ob eine Verarbeitung dieser Identifikationsdaten zulässig ist, wenn es um Aufklärung einer Straftat geht, die gerade nicht als “schwer” einzustufen ist. Anders gefragt: Wie weit dürfen die Behörden gehen, um Straftaten aufzuklären?
Zunächst stellt das Gericht u.a. fest, dass der Zugang von Behörden zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten einen Eingriff in die EU-Grundrechtecharta (insb. Art. 7 und 8 EU-GrCh) darstellt.
Sodann stellt der EuGH auf die Schwere des Eingriffs ab. Ein schwerer Eingriff könne nur bei einer schweren Straftat gerechtfertigt sein. Andererseits sei es aber auch grundsätzlich möglich, personenbezogene Daten für die Ermittlungsarbeit zu verarbeiten, wenn es sich nicht um eine schwere Straftat handelt. Um den Grundsatz der Verhältnismäßigkeit zu wahren, dürfte es sich dann aber entsprechend nicht um einen schweren Eingriff handeln.
Letztlich bleibt es aber eine Einzelfallprüfung inwieweit die Datenverarbeitung in die Privatsphäre des Betroffenen eingreift und um welche Straftat es sich handelt. In diesem Fall kommt der Gerichtshof zu dem Ergebnis, dass „der Zugang nur zu den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Antrag bezieht, nicht als „schwerer“ Eingriff in die Grundrechte der Personen eingestuft werden kann, deren Daten betroffen sind, da sich aus diesen Daten keine genauen Schlüsse auf ihr Privatleben ziehen lassen.“
Zusammenfassend:
Erfolgt ein schwerer Eingriff in die Privatsphäre, ist ein Zugang zu den Daten nur für die Aufklärung “schwerer Straftaten” möglich. Erfolgt kein schwerer Eingriff in die Privatsphäre, ist der Zugang auch für die Aufklärung “nicht schwerer” Straftaten möglich.
5. Oktober 2018
Im Alltag eines Kindergartens kommt man ständig mit personenbezogene Daten in Berührung, sei es durch ein Gespräch mit den Eltern über das Verhalten ihres Kindes oder durch das Angeben von Krankheiten der Kinder. Aus diesem Grund ist es äußerst wichtig den Datenschutz in Kindergärten zu wahren, da Kinder einen gesonderten Schutz benötigen. Im Kindergarten dürfen Daten neben der Möglichkeit der Einholung einer Einwilligungserklärung nur nach einer gesetzlichen Rechtsgrundlage verarbeitet werden. Die Verarbeitung muss zur Erfüllung der Erziehungsaufgabe der Einrichtung erforderlich sein.
In Nordrhein-Westfalen regelt das Gesetz zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz – KiBiz) die Aufgaben und Befugnisse der Kindertagesstätten und Schulen. Vor allem sagt der § 12 aus, welche Daten mitzuteilen sind: Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen und Anschriften der Eltern. Aus diesem Grund ist für die Erstellung der Bildungsdokumentation zusätzlich eine Einwilligungserklärung erforderlich, da es hierfür keine gesetzliche Rechtsgrundlage gibt. Bei Kleinkindern wird die Einwilligungserklärung in der Regel von den Eltern abgegeben. Ganz besonders wichtig ist es, bei Foto-und Videoaufnahmen stets die Einwilligung einzuholen.
2. Oktober 2018
Erlaubt ein Arbeitgeber seinen Mitarbeitern, dass dienstliche E-Mail-Postfach auch zu privater Kommunikation zu nutzen, ist er in diesem Fall nach Ansicht der Datenschutzaufsichtsbehörden Telekommunikationsanbieter und unterliegt dem Fernmeldegeheimnis. Ein Zugriff auf die Postfächer und eine Archivierung der E-Mails ist dann ohne Weiteres nicht möglich. Grundsätzlich muss hierzu eine Einwilligung des entsprechenden Mitarbeiters vorliegen. Eine solche muss aber zum einen freiwillig, das bedeutet ohne Zwang, abgegeben werden und sie ist zum anderen jederzeit frei widerruflich.
Der eingeschränkte Zugriff auf diese Postfächer kollidiert mit der Pflicht der Unternehmen, Handelsbriefe und steuerrechtlich relevante Unterlagen für einen gewissen Zeitraum zu speichern. Auch E-Mails können Handelsbriefe darstellen oder steuerrechtlich relevante Informationen enthalten. Die Pflicht zur Speicherung der relevanten E-Mails wird in der Praxis durch umfassende Archivierung der dienstlichen E-Mail-Postfächer erfüllt. Aus diesem Grund ist es ratsam, die private Nutzung des E-Mail-Postfachs zu verbieten.
Die Einhaltung dieses Verbots sollte in regelmäßigen Abständen stichprobenartig überprüft werden. Denn wird das E-Mail-Postfach entgegen des Verbotes dennoch von den Mitarbeitern privat genutzt, kann dies zu einer betrieblichen Übung und damit zu einer Duldung durch den Arbeitgeber führen, wodurch eine private Nutzung mit den oben beschriebenen Konsequenzen dann doch erlaubt ist.
Verschiedene Landesarbeitsgerichte vertreten demgegenüber die Meinung (vgl. LAG Berlin-Brandenburg, Urteil vom 14.01.2016 – 5 Sa 657/15), dass der Arbeitgeber kein Telekommunikationsanbieter ist und dem Fernmeldegeheimnis damit nicht unterliegt. Nach dieser Rechtsansicht gelten die allgemeinen datenschutzrechtlichen Regelungen und eine Kontrolle der E-Mail-Postfächer kann auf § 26 BDSG gestützt werden. Zu beachten ist dabei allerdings, dass dann auch dessen Voraussetzungen vorliegen müssen, eine Kontrolle also nicht in jedem Fall zulässig sein wird.
Derzeit sind Faxe im Umlauf, deren Urheber das Unternehmen “DAZ Datenschutzauskunft-Zentrale Ltd.” mit Sitz auf Malta ist, in denen versucht wird, Unternehmen mit Hilfe der allgemeinen Unsicherheiten im Zusammenhang mit der DSGVO zum Abschluss eines kostenpflichtigen Abos zu bewegen.
Die Unternehmen werden aufgefordert, sich an einer “Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO” zu beteiligen. Hierzu sollen die Unternehmen ein beigefügtes Formular zum Datenschutz unterschreiben und an eine Postanschrift in Oranienburg oder per Fax an eine 00800-Nummer aus der Schweiz zu senden. Das Formular, welches sich auf die DSGVO bezieht, wird als “gebührenfrei” bezeichnet. Es beinhaltet die Aufforderung, das beigefügte Formular unterzeichnet zurückzusenden. Im Text versteckt ist allerdings die Verpflichtung einen Basisdatenschutzbeitrag in Höhe von 592,62 Euro pro Jahr zu zahlen.
Betroffene, die ein solches Fax erhalten haben, sollten dieses unbedingt ignorieren. Für den Fall, dass das Formular bereits unterschrieben und zurückgesendet wurde, sollte ein Anwalt aufgesucht werden. Auch der Thüringer Landesbeauftragte für Datenschutz warnt bereits vor der Masche.
Pages: 1 2 ... 104 105 106 107 108 ... 275 276 
