Auswirkungen der DSGVO auf Cloud Service Provider

12. Juli 2017

Lagert ein Unternehmen personenbezogene Daten von Kunden, Mitarbeitern oder anderen denkbaren Betroffenen-Gruppen in „die Cloud“ aus, handelt es sich dabei um einen klassischen Fall der Auftragsdatenverarbeitung (unter der Datenschutz-Grundverordnung „Auftragsverarbeitung“). Wie in den vielen weiteren Bereichen des Datenschutzrechts treten durch die neue EU-Verordnung auch beim Daten-Outsourcing zum 25.05.2018 Änderungen in Kraft. Grund genug, zwei dieser Änderungen im Hinblick auf ihre praktischen Auswirkungen einmal genauer zu beleuchten.

Eine der Neuerungen verbirgt sich in Art. 30 Abs. 2 DSGVO: Anders als bislang muss künftig auch der Auftragsverarbeiter ein Verfahrensverzeichnis führen. Diese Aufgabe zur Schaffung von Verarbeitungstransparenz lag bislang allein bei der verantwortlichen Stelle (Auftraggeber im Rahmen der ADV). Dadurch stehen Cloud-Anbieter künftig vielfach in der Pflicht, für jede ihrer Geschäftsbeziehungen ein Verfahrensverzeichnis anzulegen. Zwar verlangt die Verordnung im Hinblick auf die darzulegenden Informationen inhaltlich nichts „Unmögliches“ (eigene Bezeichnung, Name der verantwortlichen Stelle, ggf. bestellter Datenschutzbeauftragter etc.), je nach Größe des Cloud-Anbieters kann es sich aber um eine ganze Bandbreite von dokumentationspflichtigen Verfahren handeln. Diese sind zusätzlich im Zeitverlauf aktuell zu halten. In jedem Fall sollten sich Cloud-Provider (aber auch andere Vielfach-Auftragsverarbeiter) bereits jetzt um einen standardisierten Prozess bemühen, der ihnen die Abfrage der Verzeichnisinhalte erleichtert.

Für die Erbringung von Cloud-Services arbeiten Provider häufig zusammen, z.B. um eine noch bessere Rechenleistung oder größeren Speicherplatz anbieten zu können. Datenschutzrechtlich handelt es sich hierbei um eine „Unterbeauftragung“. Interessant ist in diesem Zusammenhang das neue Widerspruchsrecht des verantwortlichen Auftraggebers, das ihm aus Art. 28 Abs. 2 der Datenschutz-Grundverordnung zukommt. Sollte ein Auftraggeber (=Daten-outsourcendes Unternehmen) der Kooperation mit einem bestimmten Cloud-Unterauftragnehmer widersprechen, muss sein ADV-Vertragspartner hierauf verzichten. Die Möglichkeit zur praktischen Umsetzung von Widersprüchen ist an dieser Stelle jedoch höchst fraglich: Schließlich ist die Rücksichtnahme auf individuelle Kundenwünsche im Falle einer Public Cloud (offener Nutzerkreis, keine Lokalisierung der verarbeiteten Daten) technisch nur äußerst schwer zu realisieren.

Unternehmen in Sorge wegen Cyber-Attacken

10. Juli 2017

Bei kleinen und mittelgroßen Unternehmen wächst die Angst vor Cyber-Attacken. Zu diesem Ergebnis kommt eine Studie der Gothaer die zwischen Ende April und Anfang Mai diesen Jahres (vor dem Trojaner Wannacry) durchgeführt wurde. Insgesamt wurden 1000 kleine und mittlere Unternehmen befragt.

35 % der befragten Unternehmen halten es für wahrscheinlich, dass Cyber-Risiken bestehen. Im Jahr 2015 waren es noch 5 % weniger.

Zur Risikominimierung setzen die Unternehmen Virenschutzprogramme und Firewalls ein, jedoch gibt jedes 5. Unternehmen an, dass es einen solchen Schutz nicht hat. Eine mehrfache Datensicherung führen nur zwei von drei Unternehmen durch. Cyber-Policen die inzwischen von vielen Versicherungen angeboten werden haben nur 9% der Unternehmen.

Im Ergebnis rangiert die Angst vor Cyber-Attacken auf Rang drei der meist gefürchteten Risiken. Davor befindet sich noch das Risiko von Einbruch/Vandalismus und das Risiko von menschlichem Versagen.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter:

Themenreihe DSGVO: Datenschutz im Unternehmen (Teil 1)

7. Juli 2017

Der heutige Beitrag der „Themenreihe DSGVO“ befasst sich in einem ersten Teil mit den datenschutzrechtlichen Anforderungen die die Datenschutzgrundverordnung an die Unternehmen stellt.

Zweck des Datenschutzes ist es, das Grundrecht auf informationelle Selbstbestimmung der Bürger zu gewährleisten. Damit begrenzt der Datenschutz die wirtschaftliche Betätigung im Bereich der Datenverarbeitung auf das erforderliche Maß und so auf einen gesellschaftlich verträglichen Umfang. Gerade im Unternehmen gibt es eine Vielzahl verschiedener Schnittstellen, an denen es zu einer Verarbeitung von personenbezogenen Daten kommt. Exemplarisch zu nennen sind hier insbesondere die Verarbeitung personenbezogener Daten von Mitarbeitern und Kunden. Auch hinsichtlich dieser Daten hat die DSGVO verschiedene Regelungen aufgestellt, die zu beachten sind und die Rechte der Betroffenen in einem ausreichenden Maße schützen sollen. Die Einhaltung dieser Anforderungen ist nicht zuletzt auf Grund der empfindlichen Bußgelder, die bei Verstoß gegen die DSGVO vorgesehen sind, essentiell.

Im Folgenden wird auf verschiedene Regelungen der DSGVO eingegangen, die zum Teil bereits heute, nach der aktuell gültigen Rechtsordnung, insbesondere des BDSG, bestehen und von den Unternehmen zu beachten sind.

I. Auftragsdatenverarbeitung, Art. 28 ff.

Gerade im Unternehmen trifft man häufig auf die Konstellation der sog. Auftragdatenverarbeitung. Diese ist bereits heute im § 11 BDSG geregelt und betrifft solche Verarbeitungen personenbezogener Daten, die nicht von der verantwortlichen Stelle selber, sondern von einem Auftragsdatenverarbeiter vorgenommen werden. In einem Unternehmen kommt es zu einer Auftragsdatenverarbeitung vor allem dann, wenn die Verarbeitungstätigkeit an einen externen Diensleister outgesourced wird, der Auftraggeber der Datenverarbeitung, also das outsourcende Unternehmen aber weiterhin über die Verarbeitung der Daten, per Weisungsrecht, entscheidet. Klassische Fälle des Outsourcings finden sich in der Verarbeitungstätigkeit von externen Dienstleistern, die die Gehalts- und Lohnabrechnungen für Unternehmen übernehmen oder Hostingmöglichkeiten anbieten, die die personenbezogenen Daten, die im Unternhemen verarbeitet werden in eigenen Rechenzentren speichern.

Die rechtlichen Aspekte regelt bisher allen voran der § 11 BDSG. Auch die DSGVO enthält mit Art. 28 DSGVO eine Vorschrift zur Auftragsdatenverarbeitung. Beide Regelungen ähneln sich inhaltlich, sodass die Auswirkungen des Inkrafttretens der DSGVO hinsichtlich der Regelungen zur Auftragsdatenverarbeitung eher gering ausfallen. Vor allem trifft dies im Vergleich zu anderen Regelungen, die durch DSGVO gänzlich neu hinzukommen, zu.

Mit der Übermittlung von Daten geht das Risiko für den Betroffenen einher, dass seine Rechte nicht ausreichend geschützt sind. Art. 28 DSGVO knüpft die Zulässigkeit einer Auftragsdatenverarbeitung daher an strenge Voraussetzungen. Eine zentrale Anforderung ist die klare Zuteilung von Verantwortlichkeiten. Gleichzeitig soll eine Auftragsdatenverarbeitung aufgrund ihrer wirtschaftlichen Vorteile nicht gänzlich unmöglich gemacht werden. Art. 28 DSGVO zielt daher darauf ab, die Interessen von Datenverarbeitern und den von der Verarbeitung Betroffenen im Wege der praktischen Konkordanz in einen gerechten Ausgleich zu bringen.

1. Anforderungen an die Auftragsdatenverarbeitung

Nach § 11 BDSG ist für eine rechtskonforme Auftragsdatenverarbeitung ein schriftlicher Vertrag erforderlich. Am Erfordernis einer vertraglichen Regelungen der Auftragsdatenverarbeitung ändert sich auch mit Inkrafttreten des Art. 28 DSGVO nichts, allerdings muss diese nicht mehr ausschließlich schriftlich vorliegen sondern kann auch in einem elektronischen Format abgeschlossen werden. Auch die Anforderungen, die ein Auftragsdatenverarbeitungsvertrag inhaltlich nach der DSGVO erfüllen muss, orientieren sich zum Größteil an denen des bisherigen § 11 BDSG. Nach Art. 28 Abs. 3 DSGVO sind zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Umfang der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungpflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

2. Wer ist für die Datenverarbeitung verantwortlich? Wer haftet?

Wie bisher wird auch künftig der Auftraggeber bzw. der für die Verarbeitung Verantwortliche und nicht der Auftragsdatenverarbeiter sein. Er ist sowohl der erste Ansprechpartner für die Betroffenen, als auch für die rechtskonforme Ausgestaltung der Auftragsdatenverarbeitung veranwortlich. Die Auftragsdatenverarbeitung im Sinne des Art. 28 DSGVO ist dabei, von der gesetzlich in Art. 26 DSGVO geregelten Konstellation, der sog. „Joint Control“ zu unterscheiden. Bei der Joint Control regeln zwei oder mehrere Verantwortliche die Zwecke und Mittel der Verarbeitung personenbezogener Daten gleichberechtigt und transparent. In einem solchen Fall kann der Betroffene seine Rechte gegen jeden Verantwortlichen geltend machen.

Die Frage nach der Haftung im Schadensfall wird hingegen neu geregelt. Wo nach der bisherigen Regelung im BDSG ausschließlich der Auftraggeber dem Betroffenen gegenüber haftet, sieht die DSGVO schärfere Haftungsregeln, insbesondere für Auftragsverarbeiter vor. So haften nach der DSGVO grundsätzlich der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeitet gemeinsam. Dabei beschränkt sich die Haftung des Auftragsverarbeiters allerdings auf Verstöße gegen die speziell ihm auferlegeten Pflichten.  Beiden Parteien steht zudem die Möglichkeit der Exkulpation zur Verfügung. Damit können sie einer Haftung entgehen, wenn sie nachweisen können, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.

3. Pflichten des Auftraggebers/Pflichten des Auftragnehmers

Da die DSGVO die rechtliche Ausgestaltung der Pflichten des Auftraggebers die derzeitigen Regelungsgrundsätze des BDSG nahezu vollständig übernommen hat, gibt es hierzu keine Neuerungen, die beachtet werden müssen.

Dies gilt jedoch nicht für die Pflichten des Auftragnehmers. Nach Art. 30 Abs. 2 DSGVO müssen ab Mai 2018 auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den Verantwortlichen durchführen. Bislang musste ein solches Verzeichnis nur von Auftraggebern geführt werden.

4. Mögliche Sanktionen

Erfüllt eine Auftragsdatenverarbeitung nicht die gesetzlichen Anforderungen drohen dem Auftraggeber und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist.

II. Meldung von Datenpannen in der DSGVO, Art. 33, 34 DSGVO

Ein Unternehmen verstößt gegen den Datenschutz, wenn es zu sog. Datenpannen (engl. Data Breaches) kommt. Darunter sind Verstöße zu verstehen, bei denen Unberechtigten personenbezogene Daten bekannt werden. Dabei ist es irrelevant, ob die Kenntnis vermutlich oder erwiesenermaßen vorliegt und aus welchem Grund es zu der Datenpanne gekommen ist. So kann sie aus einem Hackerangriff, dem Diebstahl eines Smartphones oder der unbefugten Weitergabe durch Mitarbeiter resultieren.

Unter der Datenschutzgrundverordnung, die ab Mai 2018 Geltung haben wird und von den Unternehmen beachtet werden muss, wird das Vorgehen im Falle einer Datenpannen in zwei Vorschriften geregelt. Dabei regelt Art. 33 DSGVO die Informationspflicht gegenüber den Datenschutzaufsichtsbehörden während Art. 34 DSGVO die Anzeigepflicht gegenüber dem Betroffenen betrifft.

1. Meldepflicht an die Aufsichtsbehörde, Art. 33 DSGVO

Nach dem Wortlaut des Art. 33 DSGVO ist die Aufsichtsbehörde immer dann zu informieren, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Wie oben dargelegt, liegt eine solche Verletzung nach Art. 4 Nr. 12 DSGVO auch stets bei Datenpannen vor.

Im Vergleich zum aktuell noch geltenden § 42a BDSG, der die Meldepflicht bei Datenpannen bisher regelt, gilt die Pflicht zur Meldung nicht nur bei Datenpannen hinsichtlich bestimmter „sensibler“ personenbezogener Daten, wie etwa Gesundheits- oder Bankdaten, sondern bei jeglicher Verletzung personenbezogener Daten. Einzige Einschränkung ist, dass eine Meldung an die Aufsichtsbehörde nicht erfolgen muss, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Es ist also eine Risikoabwägung durchzuführen. Welche Erwägungen bei der Risikoabwägungen miteinzubeziehen sind, nennt der Erwägungsgrund 75 DSGVO.

Führt die Risikoabwägung zu dem Ergebnis, dass eine Meldepflicht besteht, so ist die Aufsichtsbehörde unverzüglich zu informieren. Als Richtwert für die Unverüglichkeit der Meldung bestimmt Art. 33 DSGVO eine 72 Stunden-Frist nach Bekanntwerden der Datenpanne.

Nach Art. 33 Abs. 5 DSGVO muss der Verantwortliche bezüglich der sog. Data Breach Notification Dokumentationspflichten erfüllen und alle Verletzungen des Schutzes personenbezogener Daten, einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffene Abhilfemaßnahmen dokumentieren.

2. Meldepflicht an die Betroffenen, Art. 34 DSGVO

Gelangt man an Hand der Risikoabwägung zu dem Ergebnis, dass durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind gemäß Art. 34 DSGVO auch die Betroffenen zu informieren.

Art. 34 Abs. 3 DSGVO nennt allerdings Ausnahmen, bei denen die Meldepflicht an die Betroffenen entfällt. Dies ist dann der Fall, wenn

  • geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die betroffenen Daten für Unbefugte nicht zugänglich sind (z.B. Verschlüsselung),
  • durch nachfolgende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  • die direkte Information der Betroffenen mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall ist jedoch eine öffentliche Bekanntmachung gefordert.

3. Inhalt der Meldung

Sowohl Art. 33 als auch Art. 34 DSGVO nennt die formalen Anforderungen, die eine Meldung an die Aufsichtsbehörde bzw. an die Betroffenen, erfüllen muss. Inhalte, die die Meldung an die Aufsichtsbehörde und die Betroffenen gleichermaßen enthalten sollen, sind folgende:

  • der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzubng des Schutzes personenbezogener Daten und gegebenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die Meldung an die Aufsichtsbehörde muss zusätzlich

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze

enthalten.

4. Sanktionen

Kommt ein Unternehmen seiner Meldepflicht nicht nach, so stellt auch dies einen Verstoß gegen den Datenschutz dar und Aufsichtsbehörden können den Verantwortlichen mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes sanktionieren.

III. Datenschutzfolgenabschätzung, Art. 35 DSGVO

Ein gänzlich neues Instrument der Datenschutzgrundverordnung wird ab Mai 2018 die sog. Datenschutzfolgenabschätzung sein. Diese ist in Art. 35 DSGVO normiert und ist grundsätzlich nicht anderes als die im nationalen Datenschutzrecht schon bekannte und praktizierte Vorabkontrolle im Sinne des § 4d Abs. 5 BDSG. Sie dient daher der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Im Vergleich zur Vorabkontrolle ist der Umfang einer solchen Folgenabschätzung aber deutlich größer.

Die Datenschutzfolgenabschätzung ist nach Art. 35 Abs. 1 DSGVO immer dann vorzunehmen, wenn Datenverarbeitungen ein hohes Risiko für die Freiheitsrechte bergen. Dies ist insbesondere der Fall beim Einsatz neuer Technologien und der Verarbeitung großer Datenmengen. Darüber hinaus nennt Art. 35 Abs. 3 DSGVO Regelbeispiele, bei denen eine Pflicht zur Durchführung besteht:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO;
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Aufgrund des offenen Tatbestandes des Absatzes 1 ist im weiteren Verlauf noch eine Konkretisierung durch die Aufsichtsbehörde nötig, die Klarheit bezüglich der Frage schafft, wann der Tatbestand genau erfüllt ist und eine Folgenabschätzung zu erfolgen hat.

1. Anforderungen an die Datenschutzfolgenabschätzung, Art. 35 Abs. 7 DSGVO

Der Inhalt einer solchen Datenschutzfolgenabschätzung ist in Art. 35 Abs. 7 DSGVO näher umschrieben. Die Folgenabschätzung muss daher folgendes enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den zweck.
  • Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
  • Die zur Bewältigung geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnun getragen werden soll.

Ist ein Datenschutzbeauftragter für das Unternehmen tätig, so ist gemäß Art. 35 Abs. 2 DSGVO stets sein Rat einzuholen.

2. Ausnahmen von der Pflicht zur Datenschutzfolgenabschätzung, Art. 35 Abs. 10 DSGVO

Ausnahmen von der Pflicht zur Folgenabschätzung bestehen gemäß Art. 35 Abs. 10 DSGVO, wenn die Verarbeitung auf der Grundlage einer europäischen oder nationalen Rechtsvorschrift beruht. Hier liegt es im Ermessen der einzelnen Mitgliedsstaaten, ob sie eine Folgenabschätzung im Einzelfall als erforderlich ansehen.

3. Folgen einer Datenschutzfolgenabschätzung

Ergibt sich bei der Datenschutzfolgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und des Erwägungsgrundes 94 eine vorherige Konsultation der Aufsichtsbehörde notwendig.

Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von 8 Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind.

 

Das Thema der nächsten Woche ist der 2. Teil des Bereichs Datenschutzes im Unternehmen

Oberlandesgericht Köln kassiert eine Werbeklausel der Telekom

Das Oberlandesgericht Köln (OLG) hat mit Urteil vom 02.06.2017 (Az.: 6 U 182/16), welches jetzt von dem Bundesverband der Verbraucherzentralen (vzbv), als Kläger in dem Rechtsstreit, veröffentlicht wurde, entschieden, dass eine vertragliche Bestimmung einer Tochtergesellschaft der Telekom unrechtmäßig ist.

Die Klausel enthielt den Passus, in den Verbraucher mit einem Klick einwilligen konnten, der eine individuelle Kundenberatung über die Kündigung hinaus betraf. Das bedeutet, dass die Vertragsdaten über die Kündigung hinaus bis zum Ende des folgenden Kalenderjahres gespeichert und für Werbung genutzt werden dürfen. Ein jederzeitiger Widerruf wurde den Verbrauchern von der Telekom-Tochter allerdings eingeräumt.

Das OLG sieht in der Klausel eine unangemessene Benachteiligung, weil die Verbraucher zum einen für einen unzumutbar langen Zeitraum nach Vertragsende Werbung erhalten können und zum anderen weil von der Einwilligung sowohl E-Mail, als auch Telefon, SMS und MMS als Kanäle für die Werbemaßnahmen erfasst sind.

Das OLG Köln war bereits die Berufungsinstanz. Der Rechtsstreit wurde zunächst am Landgericht Köln anhängig gemacht. Die dortigen Richter sahen die Telekom im Recht, sodass der Bundesverband in Berufung gegangen und jetzt vom OLG Recht bekommen hat. Das Urteil ist aufgrund der zugelassenen Revision zum Bundesgerichtshof noch nicht rechtskräftig.

Abmahnung für WhatsApp-Nutzer

Jeder Nutzer des Messengers WhatsApp läuft Gefahr von seinen eigenen elektronischen Telefonbuchkontakten kostenpflichtig abgemahnt zu werden. Der Grund dafür ist, dass nach dem Herunterladen der App, WhatsApp einen Abgleich mit dem Telefonbuch jedes neuen Nutzers durchführt, damit dieser einen sofortigen Zugriff auf seine eigenen elektronischen Kontakte aus dem Telefonbuch erhält. Dadurch werden jedoch nicht nur Kontakte synchronisiert, die ihrerseits ebenfalls WhatsApp installiert haben. Vielmehr übernimmt WhatsApp ohne Differenzierung alle Kontakte aus dem Telefonbuch des Nutzers. WhatsApp erhält somit unzählige Kontaktdaten, ohne dass die betroffenen Personen überhaupt Kenntnis von dieser Datenübermittlung haben. Damit verstößt WhatsApp gegen das Grundrecht auf informationelle Selbstbestimmung und das Datenschutzrecht, denn es ist äußerst unwahrscheinlich und praxisfern, dass die Nutzer der App eine schriftliche Einwilligung von ihren elektronischen Telefonbuchkontakten für die Übermittlung der Daten an WhatsApp einholen. Aufgrund des dargestellten Rechtsverstoßes muss jeder Nutzer bzw. potentielle Nutzer für sich selbst entscheiden, ob er die Gefahr einer kostenpflichtigen Abmahnung in Kauf nimmt oder aber, ob er dem Rechtsbruch entgehen möchte, indem er WhatsApp erst garnicht installiert bzw. die App löscht. Insbesondere Eltern von Minderjährigen, die letztenendes für diese die Verantwortung tragen, sollten sich mit der Funktionsweise der App auseinandersetzen und kontrollieren, ob ihre Kinder den Dienst bereits auf ihrem Smartphone heruntergeladen haben.

Einigung über biometrische Grenzkontrolle – Smart Borders

5. Juli 2017

Das biometrisches Kontrollsystem für Angehörige aus Drittstaaten an den EU-Grenzen kommt. Darauf verständigten sich EU-Verhandlungsführer aus dem Ministerrat, dem Parlament und der Komission in einem Entwurf vom 30.06.2017. Für die Einrichtung der biometrischen Grenzkontrolle bedarf es zwar der Bestätigung des Ausschusses der Ständigen Vertreter der Mitgliedstaaten und die Bestätigung des Entwurfs durch das EU-Parlaments und den Rat, eine Ablehnung des Entwurfs gilt aber als höchst unwahrscheinlich.

Das geplante Ein- und Ausreisesystem führt dazu, dass Angehörige aus Drittstaaten sich demnach künftig bei der Einreise in die EU mit vier Fingerabdrücke und Gesichtsbild registrieren lassen müssen. Die Identitätsangaben sowie weitere Daten aus den Reisedokumenten sollen in dem System aufbewahrt werden. In der Regel beträgt die Speicherfrist drei Jahre. Fünf Jahre lang werden die Einträge gespeichert, wenn der Angehörige des Drittstaates seinen Besuch unerlaubt verlängert.

Die neue Datenbank soll die zulässige Dauer des Aufenthaltes automatisch berechnen und die nationalen Sicherheitsbehörden warnen, wenn der Angehörige aus dem Drittstaat nicht innerhalb der zulässigen Aufenthaltsdauer ausgereist ist. Das bisherige Stempelverfahren soll damit abgeschafft werden.

Der durch das Gremium erstellte Entwurf sieht vor, dass nicht nur Migrationsämter und Grenzschützer auf die die Datenbank zugreifen dürfen, sonden auch die allgemeinen Strafverfolgungsbehörden der Mitgliedstaaten sowie Europol. Dies allerdings nur unter bestimmten Bedingungen. Genannt werden etwa der Kampf gegen Terrorismus oder andere schwere Verbrechen. Die Zugriffe auf die Datenbank sollen verhältnismäßig und notwendig zur Erfüllung der Aufgaben der berechtigten Behörden sein. Ziel des biometrischen Grenzsystems ist es, die Grenzkontrollen zu verbessern und den Mitgliedstaaten zu helfen, die Reise-und Migrationsströme zu bewältigen sowie vor den aktuellen Gefahren des Terrorismus und der Kriminalität zu schützen.

 

Weitere Staaten erwägen „Facebook“-Gesetz nach deutschem Vorbild

Das umstrittene Netzwerkdurchsetzungsgesetz von Justizminister Heiko Maas wurde am 30. Juni 2017 vom deutschen Bundestag verabschiedet. Ziel des neuen Gesetzes ist es, schneller und effektiver gegen Hassmeldungen und sog. „Fake News“ in sozialen Netzwerken wie Facebook, Twitter oder Youtube vorgehen zu können. Dazu sind die betroffenen Unternehmen nach dem neuen Gesetz verpflichtet, offensichtlich rechtswidrige Inhalte, die ihnen von anderen Usern gemeldet werden, innerhalb von 24 Stunden nach ihrer Meldung zu löschen. In Ausnahmefällen, in denen nicht unmittelbar erkennbar ist, ob die Inhalte rechtswidrig sind, wird den Unternehmen eine Entscheidungsfrist von 7 Tagen zur Verfügung gestellt.

Kritiker befürchten, dass die Unternehmen in Zukunft schneller Inhalte löschen werden, um so den im Zweifel drohenden hohen Geldbußen zu entgehen. Als Folge wird eine Einschränkung des Grundrechts auf freie Meinungsäußerung befürchtet. Zwar befürworten die meisten Kritiker den Ansatz von Justizminister Maas, kritisieren jedoch die Umsetzung in Form des jetzt verabschiedeten Gesetzes. Ein Problem stelle es insbesondere dar, dass es den Unternehmen überlassen werde, über die Rechtswidrigkeit von geposteten Inhalten zu entscheiden. Darüber hinaus seien die vorgesehenen Löschfristen zu kurz bemessen und die Unternehmen so zu einem „overblocking“ von Inhalten gezwungen.

In Italien und Israel wird das Netzwerkdurchsetzungsgesetz hingegen positiv betrachtet. Auch die Regierungen dieser Länder sind der Ansicht, dass eine Selbstregulierung der Plattformen nicht ausreichend sei.

Umzugsadressen einsehbar

Wenn ein Umzug ins Haus steht, kann man über das Internetportal umziehen.de, das von der Deutsche Post Adress GmbH & Co. KG betrieben wird, viele Unternehmen und Institutionen über seine neue Anschrift informieren. Dadurch kann etwa sichergestellt werden, dass auch nach einem Umzug die Zustellbarkeit von Briefen und sonstigen Postsendungen sichergestellt ist.

Vor kurzem hat es bei der Deutsche Post Adress GmbH & Co. KG nun wohl ein Datenleck gegeben. Personen mit entsprechenden Computerfähigkeiten soll es unkompliziert möglich gewesen sein, die von den Nutzern des Portals umziehen.de hinterlegten Daten einzusehen. Konkret sollen Daten zu Namen, Alter und neuer Adresse, Umzugsdatum und E-Mail-Adresse offengelegen haben. Auslöser für diese Panne soll nach Angaben der Post ein Update für das Portal umziehen.de gewesen sein. Kurz nach Bekanntwerden der Sicherheitslücke sei man aber in der Lage gewesen diese zu schließen. Im Anschluss habe man die zuständige Datenschutzaufsichtsbehörde in Nordrhein-Westfalen über den Vorfall informiert und vorsorglich eine Informationsmail an die Nutzer des Portals umziehen.de geschickt.

Diese Datenpanne veranschaulicht, dass es für Unternehmen wichtig ist, bestehende Prozesse für den Umgang mit Datenpannen (Data Breach Management) zu implementieren. Das Bundesdatenschutzgesetz (BDSG) regelt in § 42a gewisse Informationspflichten gegenüber der zuständigen Datenschutzaufsichtsbehörde und den von einer Datenpanne betroffenen Personen. Ein Verstoß gegen diese Verpflichtung stellt nach § 43 Abs. 2 Nr. 7 BDSG eine Ordnungswidrigkeit dar, die mit bis zu 300.000 EUR Geldbuße geahndet werden kann und in den in § 44 Abs. 1 BDSG aufgeführten Fällen sogar eine Straftat darstellt. Die Bedeutung eines funktionierenden Data Breach Managements erhöht sich noch einmal vor dem Hintergrund der ab Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO), da diese strengere Maßstäbe als das BDSG stellt und auch höhere Bußgelder vorsieht.

Über die Regelungen der DSGVO zum Umgang mit Datenpannen informieren wir Sie unter anderem auch in unserem nächsten Blogbeitrag der Themenreihe DSGVO.

Gesetz zur Umsetzung der NIS-Richtlinie in Kraft getreten

4. Juli 2017

Am 30.06.2017 ist das Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) in Kraft getreten.

Damit werden u. a. die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert: Vor allem werden die Aufsichts- und Durchsetzungsbefugnisse des BSI über die Betreiber Kritischer Infrastrukturen ergänzend zum IT-Sicherheitsgesetz ausgeweitet. Außerdem wird mit der Richtlinie und ihren Umsetzungsgesetzen ein einheitlicher Rechtsrahmen für den Auf- und Ausbau nationaler Kapazitäten für die Cyber-Sicherheit geschaffen. Eine weiteres wichtiges Ziel, Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen zu kreieren, wurde ebenfalls erreicht.

Darüber hinaus trat zeitgleich die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 03.05.2016 in Kraft. Druch sie werden die kritischen Infrastrukturen, bislang Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, um die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.

Jüngste Chronologie zur Vorratsdatenspeicherung

3. Juli 2017

1. Urteil des EuGH vom 21.12.2016

Der Gerichtshof der Europäischen Union (EuGH) hatte mit Urteil vom 21. Dezember 2016 im Wege eines Vorabentscheidungsverfahrens nach Art. 267 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) in einem Streitverfahren, das eine auf Grundlage des schwedischen Gesetzes über die elektronische Kommunikation (Lag om elektronisk kommunikation) ergangene Anordnung der schwedischen Überwachungsbehörde für Post und Telekommunikation zur Vorratsspeicherung von Verkehrs- und Standortdaten ihrer Teilnehmer und registrierten Nutzer zum Gegenstand hat, und ein weiteres Streitverfahren, in dem über die Vereinbarkeit des Gesetzes von 2014 zur Vorratsdatenspeicherung und zu den Ermittlungsbefugnissen des Vereinigten Königreichs (Data Retention and Investigatory Powers Act 2014) mit dem Unionsrecht gestritten wird, über zahlreiche Detailfragen zur Vorratsdatenspeicherung entschieden.

Damit hat der EuGH nun nach der Entscheidung 2014 das zweite mal entschieden, dass die Verpflichtung zur Vorratsdatenspeicherung gegen Unionsrecht verstößt. Zur Begründung führte der EuGH zunächst aus, dass die in Rede stehenden Rechtsvorschriften zwar in den Anwendungsbereich der DSRL fallen und somit den Mitgliedstaaten eröffnet werde die grundsätzliche Verpflichtung die Vertraulichkeit der Kommunikation und der damit verbundenen Verkehrsdaten zu gewährleisten, indes meint der EuGH, dass die Ausnahme von diesem Grundsatz nicht zur Regel werden dürfe.

Die Sammlung von Daten könne nämlich weitreichende Aussagen über das Privatleben des Betroffenen treffen und schränke das informationelle Selbstbestimmungsrecht bzw. Art. 7 und 8 der Grundrechte-Charta (GrCH) enorm ein. Betroffene dürften das Gefühl einer ständigen Überwachung ihres Privatlebens haben, wenn man infolge der Speicherung von Verkehrs- und Standortdaten wisse, wann wie lange mit wem usw. Betroffene sich irgendwo befunden haben. Ausnahmen könne es daher nur bei der Bekämpfung von schweren Straftaten geben. Aber auch an diese Ausnahmen sollen enge Voraussetzungen geknüpft sein. So müsse die Vorratsdatenspeicherung hinsichtlich der Kategorie zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Speicherungsdauer auf das absolut Notwendige beschränkt sein. Daran müsse sich ein nationales Gesetz orientieren. Überdies müsse es sich um Personen handeln, die im Verdacht stehen, eine schwere Straftat zu planen, zu begehen oder begangen zu haben oder in eine solche verwickelt zu sein. Entsprechendes gelte auch bei terroristischem Hintergrund mit möglichen schweren Folgen für die öffentliche Sicherheit, Landesverteidigung usw.

2. Haltung der Bundesregierung

In der Vergangenheit hat die Bundesregierung wiederholt darauf aufmerksam gemacht, dass das entschiedene Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten ein ausgewogenes Gesetz sei, dass den rechtlichen Anforderungen entspreche.

Danach müssen Telekommunikationsunternehmen bis zum 01.07.2017 die Voraussetzungen zur Speicherung von Verkehrsdaten erfüllen. Das Gesetz halte die Balance zwischen Freiheit und Sicherheit in der digitalen Welt ein. Die Speicherfrist von Daten sei auf zehn Wochen beschränkt und danach seien sie sofort zu löschen. Standortdaten dürfen nur vier Wochen gespeichert werden. Auf Verkehrsdaten dürfe nur zugegriffen werden, um schwerste Straftaten zu verfolgen, die auch im Einzelfall schwer wiegen müssen (wir berichteten).

Dennoch ist das nationale Gesetz zur Umsetzung der Vorratsdatenspeicherunug nicht auf Daten beschränkt, bei denen ein Zusammenhang zu schweren Verbrechen zu vermuten ist: weder geographisch noch zeitlich noch bezüglich der erfassten Personengruppe.

3. Wissenschaftlicher Dienst des Bundestages

Nach den kleinen Anfragen der Linken zur Umsetzung der Vorratsdatenspeicherung stellte der Wissenschaftliche Dienst des Bundestages mit seinem Gutachten vom 12.01.2017 fest, dass die nationale Regelung zur Umsetzung der Vorratsdatenspeicherung nicht die Vorgaben des EuGH erfüllt.

4. Entscheidung des Bundesverfassungsgerichts

Die Richter in Karlsruhe lehnten in diesem Zusammenhang mit Beschluss vom 13.04.2017 einen Antrag auf Erlass einer einstweiligen Anordnung ab und wiesen im Wesentlichen darauf hin, dass sich hinsichtlich der verfassungsrechtlichen Bewertung der angegriffenen Regelungen Fragen stellen, die sich nicht zur Klärung im Eilrechtsschutzverfahren eignen. Bis dahin aber bleibt das Gesetz zur Vorratsdatenspeicherung in Kraft.

5. Beschluss des OVG Münster vom 22.06.2017

Das im Dezember 2015 gesetzlich eingeführte und ab den 01.07.2017 zu beachtende Gesetz zur Umsetzung der Vorratsdatenspeicherung ist mit dem Unionsrecht nicht vereinbar, entschied das OVG Münster neulich.

Ein IT-Unternehmen aus München wehrte sich gegen das nationale Gesetz zur Umsetzung der Vorratsdatenspeicherung und stellte den Antrag auf Erlass einer einstweiligen Anordnung an das VG Köln, das den Antrag aber ablehnte. Die Beschwerde zum OVG Münster hatte für das IT-Unternehmen Erfolg.

Das Gericht führte hierzu aus, dass die Speicherpflicht im Kontext zum Urteil des EuGH vom 21.12.2016 nicht mit Art. 15 Abs. 1 DSRL vereinbar sei, da sie schlichtweg pauschal die Verkehrs- und Standortdaten aller Nutzer von Telefon- und Internetdiensten erfasse. So fehle die Beschränkung des betroffenen Personenkreises, die im Zusammenhang mit einer vom Gesetz bezweckten Bekämpfung von schweren Straftaten stehe. Dies könne etwa durch personelle, zeitliche oder geographische Kriterien geschehen.

Wesentlich ist die Feststellung des Gerichts, dass die Vorratsdatenspeicherung nicht ausnahmsweise gerechtfertigt sein könne, wenn es um die Verfolgung schwerer Straftaten bzw. der Abwehr schwerwiegender Gefahren. Wann Ausnahmefälle vorliegen könnten hat das Gericht nicht entschieden.

6. Praxisbedeutung

Das letzte Wort zur Vorratsdatenspeicherung ist noch nicht gesprochen. Hier ist noch vieles im Fluss. Das Bundesverfassungsgericht wird in dem Hauptsacheverfahren zur nationalen Umsetzung der Vorratsdatenspeicherung Stellung beziehen. Es bleibt zu hoffen, dass es noch in diesem Jahr zu einer endgültigen Entscheidung kommt.

 

 

1 13 14 15 16 17 157