BfDI: Warnung vor Dashcams

27. Januar 2016

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff hat anlässlich des 54. Deutschen Verkehrsgerichtstages vor dem Einsatz von Dashcams gewarnt. Dabei handelt es sich um kleine Videokameras, die im PKW hinter der Windschutzscheibe platziert werden. „Wenn eine Dashcam dazu genutzt wird, den Verkehr lückenlos zu dokumentieren, ist dies datenschutzrechtlich unzulässig.“, so Voßhoff. Diese Art der Nutzung stelle nach deutschem Recht einen Eingriff in das allgemeine Persönlichkeitsrecht der gefilmten Personen dar. Das allgemeine Persönlichkeitsrecht überwiege im Falle einer Abwägung gegenüber dem Interesse des Dashcam-Nutzers zu Beweiszwecken. Die Nutzung einer Dashcam sei nur zu familiären oder persönlichen Zwecken gestattet. Ob es zulässig ist, solche Videoaufnahmen nach einem Unfall als Beweismittel vor Gericht zu verwenden, ist hingegen juristisch noch nicht geklärt. Darüber werde beim 54. Verkehrsgerichtstag beraten.

Bundestag votiert mehrheitlich für Ankunftsausweis für Flüchtlinge

26. Januar 2016

Die mehrfach aufgetretenen Probleme bei der Registrierung oder nachträglichen eindeutigen Identifizierung von Flüchtlingen treibt das Thema des Ankunftsausweises weiter voran. „Wir wollen wissen, wer in unser Land kommt und wohin er verteilt wird“, sagte Bundesinnenminister de Maizière. „Und wir wollen wissen, ob und von welchen Flüchtlingen eine Gefahr ausgeht.“

Der Bundestag debattierte hierzu und votierte mehrheitlich für einen Gesetzentwurf, der die Ausstellung von Ankunftsnachweisen regeln soll. Angedacht ist ein Ausweis, aus dem sich neben Personal- und Kontaktdaten auch die berufliche und biometrische Informationen ablesen lassen sollen. Zugriffsberechtigt hinsichtlich dieser Informationen sollen neben dem Bundesamt für Migration und Flüchtlinge auch andere Ausländerstellen und insbesondere Polizeibehörden sein. Zudem sollen Gesundheits- und Jugendämter sowie die Bundesagentur für Arbeit und Jobcenter die Daten einsehen. Für Sozial- und Verwaltungsgerichte soll die Einsichtsmöglichkeit auf die Anschrift von Asylsuchenden im Bundesgebiet beschränkt sein.

De Maizière weißt dabei den von der Opposition erhobenen Vorwurf des Generalsverdachts gegenüber Flüchlingen zurück: „Unmittelbar nach der Speicherung sollen die Behörden abgleichen und prüfen. Und auch wenn die Flüchtlinge erst in Deutschland kriminell werden, werden wir sie künftig schneller identifizieren können.“ Auch die Umsetzung des Datenschutzes steht in der Kritik. Luise Amtsberg von den Grünen bemerkt hierzu: „Wer gewährleistet, genau für welchen Teil dieser riesigen Dateninfrastruktur, dass kein Missbrauch erfolgt. Datenschutz ist ein grünes Kernthema – wir sind nicht überzeugt und haben da erhebliche Bedenken.“ Doch auch diesen Einwand lässt die Union nicht gelten. Der CSU-Abgeordente Lindholz widerspricht: „Schauen Sie sich mal die Realität an anstatt Reden zu schwingen von Entbürokratisierung. Das hat mit der Praxis rein gar nichts zu tun.“

Kritisch anzumerken war der Umstand, dass lediglich 60 der insgesamt 630 stimmberechtigten Abgeordneten bei der Abstimmung zugegen waren. In zwei Wochen muss der Bundesrat dem Gesetz noch zustimmen. Am 1. Februar soll es dann gelten. Bis zum Sommer soll der Flüchtlingsausweis dann überall eingeführt sein. Die Datenschutzbeauftragte Andrea Voßhoff soll eine Kontrollmöglichkeit erhalten.

Kategorien: Allgemein
Schlagwörter: ,

Safe Harbor 2 – Update zum Stand der Verhandlungen

Wie Reuters vergangenen Freitag berichtete, habe die US-Regierung der EU die Schaffung eines „US privacy ombudsman“ angeboten. Die eigens für das neue Safe Harbor Abkommen einzurichtende Behörde soll dem US-Außenministerium unterstehen und für Beschwerden von EU-Bürgern über den transnationalen Datentransfer zuständig sein. Unter Berufung auf vier an den Gesprächen beteiligten Quellen soll die Behörde sicherstellen, dass der Zugriff auf Daten von EU-Bürgern nicht exzessiv erfolgt.

Darüber hinaus hätten die Vereinigten Staaten eine Liste Regelungen und Maßnahmen vorgelegt, die die Kompetenzen ihrer Nachrichtendienste beschreiben und begrenzen. Auch soll zukünftig ein Rechtsschutz von EU-Bürgern gegen den unberechtigten Datenzugriff der US-Behörden möglich sein.

Derzeitig werde über die konkreten Aufgaben und Befugnisse der neuen Behörde verhandelt.

Der EuGH hatte in dem Urteil vom 06. Oktober 2015 das Safe Harbor Abkommen für ungültig erklärt, da unter anderem nicht berücksichtigt wurde, ob es Rechtsvorschriften gibt, die etwaige Eingriffe in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, begrenzen. Außerdem blieb die Existenz eines wirksamen Rechtsschutzes gegen Eingriffe unbrerücksichtigt.

Der Vorschlag zu einer neuen Schiedsstelle kann daher als Schritt in die richtige Richtung verstanden werden. Ob durch die neue Behörde ein Teil der durch den EuGH aufgestellten Grundsätze erfüllt werden, wird erst anhand weiterer Informationen berurteilt werden können.

Ermittlungsbehörden: Weiter steigender Einsatz von „Stillen SMS“

25. Januar 2016

Die Ermittlungsbehörden des Bundes setzten Medienberichten zufolge verschiedene Instrumente zur Überwachung von Telekommunikation im zweiten Halbjahr 2015 intensiver ein als je zuvor. So gehe beispielsweise aus einer Antwort der Bundesregierung auf eine Kleine Anfrage der Bundestagsfraktion der Linken hervor, dass das Bundeskriminalamt  im zweiten Halbjahr 2015 fünf mal so viele sogenannte „Stille SMS“ wie noch im ersten Halbjahr verschickt hat – insgesamt also 116.948 solcher Kurznachrichten, die dem Empfänger nicht angezeigt werden, jedoch auswertbare Verbindungsdaten erzeugen. Das Bundesamt für Verfassungsschutz soll danach bereits im zweiten Halbjahr 2014 in 142.108 Fällen Stille SMS in vergleichbarer Intensität eingesetzt haben. Auch der Militärische Abschirmdienst, der Zoll und der Bundesnachrichtendienst sollen in den vergangenen Jahren solche Nachrichten verschickt, doch die Fallzahlen bewegten sich bei „1“ oder wurden nicht angegeben.

 

„Die heimlichen Textnachrichten sind rechtswidrig. Polizei und Geheimdienste dürfen die Kommunikation von Telefonen nur passiv abhören. Als Ortungsimpulse werden die Stillen SMS aber von den Behörden selbst erzeugt.“, so der Abgeordnete der Linken Hunko. Die Anfrage zeige, dass der Sicherheitsapparat alle ihm zur Verfügung stehenden Techniken auch einsetzt. Die Verhältnismäßigkeit bleibe dabei offensichtlich auf der Strecke. Er befürchte, dass die Daten von Stillen SMS, Funkzellenabfragen oder aus der Analyse Sozialer Medien in einigen Jahren ‚vorwärtsgerichtet‘ genutzt, also von polizeilicher Vorhersagesoftware verarbeitet werden. Auch deshalb müsse der elektronischen Spitzelei bereits heute Einhalt geboten werden. Als ersten Schritt fordert er die Behörden auf, sofort eine Benachrichtigungspflicht der Betroffenen einzuführen.

Einigung über Safe Harbor 2.0 bis Ende Januar nicht absehbar – Aufsichtsbehördliche Maßnahmen ab Februar?

21. Januar 2016

Mit dem Urteil vom 06. Oktober 2015 hat der EuGH das Safe Harbor Abkommen für ungültig erklärt. Die obersten Datenschutzbehörden (Artikel-29-Gruppe) haben daraufhin in ihrer Presseerklärung vom 16. Oktober 2016 den Unternehmen, die von der Entscheidung des EuGHs betroffen sind, eine Umsetzungsfrist bis Ende Januar 2016 eingeräumt, um Datenübermittlungen in Drittstaaten auf alternative Grundlagen zu stützen.

Gleichzeitig wurden die EU-Regierungen, die EU-Kommission sowie die US-Regierung aufgefordert, innerhalb dieser Frist ein neues Safe Harbor Abkommen zu verbschieden, das die vom EuGH ausgeurteilten Voraussetzungen erfüllt und als weitere Grundlage neben den Standardvertragsklauseln sowie den Binding Corporate Rules für den Datentransfer in die Vereinigten Staaten dienen kann.

Eine Einigung über ein neues Abkommen noch im Januar scheint nach derzeitigem Stand unwahrscheinlich.

Am 15. Januar 2016 habe die EU-Kommission die Mitgliedsstaaten darüber informiert, dass die Verhandlungen ins Stocken geraten seien. Teilnehmer der Sitzung hielten eine zeitnahe Einigung für „unrealistisch“ und „unwahrscheinlich“, die Stimmung sei insgesamt pessimistisch.

Laut dem EU-Datenschutzbeauftragten Giovanni Buttarelli hätte eine Einigung im Januar allenfalls politische Bedeutung, ein rechstwirksames Abkommen mit Bindnungswirkung erfordere noch weitere Monate Verhandlung.

Am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass im Anschluss daran mitgeteilt wird, welche Maßnahmen die Aufsichtsbehörden gegen Unternehmen, die Daten auf Grundlage des für ungültig erklärten Safe Harbor Abkommens in die Vereinigten Staaten übermitteln, ergreifen werden.

Vor dem Hintergrund, dass der unzureichende Schutz vor einem Zugriff von US-Behörden auf Daten von EU-Bürgern wesentlicher Grund für die Ungültigerklärung des Safe Harbor Abkommens war, könnte ein aktueller Rechtsstreit zwischen der US-Regierung und Microsoft Bedeutung erlangen. Die US-Regierung begehrt hier Zugriff auf Daten, die sich auf einem Server von Microsoft in Irland befinden und zwar allein aufrund eines US-amerikanischen Gesetzes ohne Berücksichtigung andere Rechtsordnungen. Dass ein Einigungswille auf Seite der Vereinigten Staaten besteht, ein Abkommen zu schließen, dass die Daten von EU-Bürgern vor einem Zugriff schützt, scheint daher fraglich.

Banken befürchten Folgen einer Kreditkartendatenpanne

Wie die FAZ berichtet, haben bislang Unbekannte versucht auf Kreditkartendaten zuzugreifen. Der Zugriff ereignete sich vermutlich bei dem Unternehmen Wordline. Wordline ist ein Dienstleister, der für Banken per Kreditkarte getätigte Zahlungsvorgänge abwickelt.
Nach dem Angriff auf die Kreditkartendaten besteht nun das Risiko, dass diese Kreditkarteninformationen zu nicht-authorisierten Zahlungen missbraucht werden. Sowohl den Kunden als auch den Banken könnten dadurch Schäden entstehen. Rein vorsorglich haben daher die Commerzbank bereits 15.000, die Comdirect 20.000 und die Postbank 55.000 Kreditkarten von Privatkunden ausgetauscht.

 

Pflicht zur Archivierung von Emails vs Pflicht zum Löschen von Bewerberdaten

20. Januar 2016

Für geschäftliche Korrespondenz konstituieren handels- und steuerrechtliche Vorschriften eine Pflicht zur Aufbewahrung. Da Emails regelmäßig der Vorbereitung, Durchführung bzw. dem Abschluss oder der Rückgängigmachung von Handelsgeschäften dienen, sind sie als Handelsbriefe zu qualifizieren. § 257 Abs. 1 Nr. 2 HGB sowie § 147 Abs. 1 Nr. 2 AO normieren insoweit eine Pflicht zum geordneten Aufbewahren. Die Frist, welche am jeweils am Jahresende des Jahres des Versandes/Empfangs der Email zu laufen beginnt, beträgt sechs Jahre. Für Buchungsbelege, Bilanzen und weitere Dokumente besteht sogar eine Aufbewahrungspflicht von zehn Jahren.

Diese Vorgaben in der Praxis für Emails umzusetzen ist – auf den ersten Blick – für Unternehmen dank automatischer Email-Archivierung technisch einfach umzusetzen, Speicherplatz ist dabei regelmäßig kein relevanter Kostenfaktor mehr. Betrachtet man die typische Korrespondenz, die in der Geschäftswelt per Email abgewickelt wird, jedoch genauer, so fällt auf, dass längst nicht alle Kommunikation in die o.g. Kategorien fällt. Dem Grundsatz der Datensparsamkeit folgend, besteht für solche Emails, für deren Aufbewahrung es keine gesetzliche Verpflichtung oder sonstige Rechtfertigung gibt, eine Pflicht zum Löschen.

Insbesondere im Bewerbungsprozess kommen die handels- und steuerrechtlichen Archivierungsfristen nicht zum Tragen. Wer sich heute auf eine Stelle bewirbt, tut dies regelmäßig per Email. Typischerweise wird hierzu ein gesondertes Postfach, z.B. jobs@…, verwendet. Gerne verteilt sich eine Bewerbung dann, ausgehend von der Personalabteilung, sternförmig im Unternehmen in die relevanten Abteilungen. Spätestens an dieser Stelle wird es faktisch unmöglich, eine Löschung umzusetzen. Sofern es nicht zur Eingehung eines Arbeitsverhältnisses kommt, besteht grundsätzlich noch die Möglichkeit des Klageverfahrens nach dem Allgemeinen Gleichstellungsgesetz (AGG). Anerkannt ist deshalb, dass zumindest für den Zeitraum von sechs Monaten eine Aufbewahrung noch zulässig ist, um ein arbeitsgerichtliches Verfahren bestreiten zu können. Danach folgt aus dem Recht auf informationelle Selbstbestimmung des Bewerbers die Verpflichtung, seine personenbezogenen Daten zu löschen.

Für das jobs@…-Postfach lässt sich dies noch durch eine automatische Löschung und eine Ausnahme von der Backup-Routine umsetzen. In den Postfächern der Abteilungen, in die die Bewerbung weitergeleitet wurde, ist das jedoch nicht mehr der Fall. Hier werden der Lebenslauf und die Bewerbung und alle weiteren Unterlagen dann wie sämtliche sonstige Korrespondenz archiviert.

Lösungsansätze

Viele Unternehmen entscheiden sich auch vor diesem Hintergrund zur Lösung über eigene oder fremd gehostete Bewerbungsplattformen. Bei diesen kann eine gesetzeskonforme Löschung regelmäßig umgesetzt werden, da nicht auf das Emailsystem zurückgegriffen wird.

Gerade für kleinere Unternehmen sind solche Lösungen auch aus Kostengründen regelmäßig jedoch uninteressant.

Aber auch mit „Bordmitteln“ lassen sich Prozesse entwickeln, die dem Datenschutz genügen. Neben einem Funktionspostfach (jobs@…), welches von der normalen Backup-Routine ausgenommen wird, und aus welchem Bewerbungen nach sechs Monaten gelöscht werden, sollten Bewerberdaten nicht intern per Email weitergeleitet werden. Vielmehr sollten die Bewerberdaten auf einem Laufwerk abgelegt werden, für welches wiederum eine fristgemäße Löschung implementiert ist. Die einzelnen Abteilungen bzw. Entscheider erhalten dann nur noch einen Zugriff auf die entsprechende Dateien.

Auch ohne kostspielige Tools lässt sich der Bewerberdatenschutz also gewährleisten. Allerdings müssen sich Unternehmen mit dieser Thematik befassen und aktiv Prozesse anstoßen. Die Belegschaft ist für die meisten Unternehmen heute das wichtigste Kapital, die Gewährleistung des Datenschutzes sollte, auch wegen der hohen Außenwirkung der Thematik, hohe Priorität haben.

 

Kategorien: Beschäftigtendatenschutz
Schlagwörter: ,

EU-Parlament: Abstimmungstermin über die EU-Datenschutzgrundverordnung wird allmählich konkret

11. Januar 2016

Im April 2016 soll das Parlament schlussendlich über die neue EU-Datenschutzgrundverordnung abstimmen. Beobachter gehen fest davon aus, dass das Parlament seine Zustimmung erteilt – nach drei Jahren intensiver Verhandlungen, zahlreicher Debatten und etlicher Entwürfe soll dann das finale Gesetz verabschiedet werden. Damit wird die zweijährige Umsetzungsphase im April 2018 enden, sodass die neuen Regelungen innerhalb der 28 Mitgliedstaaten der Europäischen Union verbindlich werden.

Europäische Kommission steht in der Kritik – Zugang zu Dokumenten bezüglich der Überwachung durch britische Geheimdienste zu Unrecht verweigert

Die Europäische Bürgerbeauftragte ist der Ansicht, die Europäische Kommission habe einem deutschen Journalisten zu Unrecht den Zugang zu Dokumenten bezüglich der Überwachung durch britische Geheimdienste verwehrt. Im konkreten Fall hatte ein deutscher Journalist die Europäische Kommission um die Freigabe eines Briefes des Außenministers des Vereinigten Königreichs an die damalige Vizepräsidentin der Kommission und weiterer Dokumente gebeten. Die Europäische Kommission kam dem Antrag zum Teil nach, indem sie den Brief veröffentlichte. Die Freigabe der weiteren Dokumente verweigerte sie jedoch mit der Begründung, dass noch nicht abschließend geprüft sei, ob in der Massenüberwachung durch britische Geheimdienste ein Verstoß gegen das Datenschutzrecht des Einzelnen vorläge.

Der Europäische Bürgerbeauftragten zufolge dürfe der Zugang zu derartigen Dokumenten nicht ohne angemessene Begründung abgelehnt werden. Eine solche Begründung, die eine Ablehnung gerechtfertigt hätte, sei hier nicht erfolgt. Die Europäische Kommission habe ihre Untersuchungen in dieser Angelegenheit offenbar seit 2013 nicht fortgesetzt. Die Europäische Bürgerbeauftragte sieht darin – angesichts der Relevanz dieses Themas für europäische Bürger – einen Missstand in der administrativen Tätigkeit der Kommission.

Kategorien: Allgemein
Schlagwörter: ,

vzbv: Abmahnung für Datenschutzerklärung von Google

Der  Verbraucherzentrale Bundesverband (vzbv) hat bereits 2012 gegen 25 Klauseln der damaligen Datenschutzerklärung und Nutzungsbedingungen von Google geklagt und im November 2013 vor dem Landgericht Berlin gewonnen. Dagegen ist Google in Berufung gegangen. Das Berufungsverfahren liegt derzeit beim Kammergericht. Ein Termin zur mündlichen Verhandlung ist noch nicht bestimmt.

Nun hat der vzbv nach eigenen Angaben erneut zwei Klauseln in der Datenschutzerklärung von Google abgemahnt. Aktuell geht es um die Erhebung und Verwendung von personenbezogenen Daten. Zwei Nutzungsbedingungen enthielten Formulierungen, die die Rechte der Verbraucher nach Ansicht des vzbv unzulässig einschränkten.

So nehme sich Google heraus, automatisiert Inhalte der Nutzer, z. B. E-Mails, zu analysieren, um etwa personalisierte Werbung zu platzieren. Dies sei rechtswidrig, weil es an einer wirksamen Einwilligung in diese intensive Art der Datenauswertung fehle. Nach Ansicht des vzbv bedarf die Erhebung und Nutzung personenbezogener Daten zu Werbezwecken immer einer gesonderter Einwilligung. In einzelnen Klauseln der aktuellen Datenschutzerklärung werde diese Praxis zwar allgemein angekündigt, allerdings ohne die Verbraucher um Zustimmung zur konkreten Datenerhebung und Datennutzung zu bitten. Dass die Nutzer aufgefordert werden, der Datenschutzerklärung von Google insgesamt zuzustimmen, sei nicht hinreichend. Der Begriff „Werbung“ werde außerdem nicht näher beschrieben, so dass er theoretisch sogar Anrufe beim Nutzer umfasst.

Außerdem werde eine Klausel beanstandet, nach der nur für die Weitergabe „sensibler Kategorien“ von personenbezogenen Daten eine ausdrückliche Einwilligungserklärung notwendig ist. Eine Unterscheidung zwischen „sensiblen“ und anderen personenbezogenen Daten ist nach Ansicht des vzbv mit den deutschen Datenschutzvorschriften nicht vereinbar.

Google hat bis zum 25. Januar 2016 Zeit, auf die Abmahnung zu reagieren. Danach droht eine Unterlassungsklage vor dem Landgericht Berlin.

1 13 14 15 16 17 131