Datenschutzkonforme Vernichtung von Akten und der Karneval

11. Februar 2016

Das vergangene Wochenende stand nahezu deutschlandweit ganz im Zeichen des Karnevals. Ob Fasching, Fastnacht oder der Fastelovend, die Republik feierte, verkleidete sich und traf sich zu unzähligen kleinen und großen Umzügen. Einer dieser beschäftigt nun den Landesdatenschutzbeauftragten des Landes Thüringen Lutz Hasse. Eine Anwohnerin in Dermbach (Wartburgkreis) hatte beim Zusammenfegen des Konfettis nach dem dortigen Umzug festgestellt, dass es sich dabei um zerschredderte Patientenakten aus dem Klinikum Bad Salzungen handelte. Sie schaltete die Aufsichtbehörde ein die feststellte, dass es sich tatsächlich um unsachgemäß geschredderte Akten samt Namen, Adressen und Telefonnummern handelte. Das betroffene Klinikum zeigte sich kooperativ in der Aufklärung und erklärte, dass es sich offensichtlich um geschreddertes Material aus dem der Klinik angeschlossenem Versorgungszentrum in Kaltennordheim handele, welches nicht bis auf die vorgeschriebene Endgröße zerkleinert und aus den Praxisräumen entfernt worden sei. «Die Vermutung liegt nahe, dass dieses von dort den Weg auf die Dermbacher Straßen fand», heißt es in der Erklärung.

Zur datenschutzkonformen Vernichtung personenenbezogener Daten im geschäftlichen Bereich ist ein Schredder der DIN 66399 mit mindestens der Stufe 3 notwendig. Alternativ kann ein zertifziertes Entsorgungsunternehmen zur Vernichtung herangezogen werden. Doch auch dann raten Datenschützer von der Verwendung als Konfetti ab.

CNIL: Formelle Rüge für Facebook

9. Februar 2016

Die französische Commission National de l´informatique et des libertés (CNIL) hat Facebook Medienberichten zufolge insbesondere wegen Datenübermittlungen in die USA auf Grundlage von Safe Harbor formal gerügt. Damit ist sie die erste europäische Datenschutzaufsichtsbehörde, die in Sachen Safe Harbor rechtliche Schritte einleitet. Eine Übermittlung von personenbezogenen Daten der europäischen Nutzer auf Basis des Safe Harbor-Abkommens in die USA wird seit der Entscheidung des Europäischen Gerichtshofs als unzulässig angesehen. Die Rüge sei sowohl dem US-Mutterkonzern, als auch der europäischen Tochter Facebook Ireland Limited zugestellt worden. Facebook habe eine dreimonatige Frist erhalten, alle gerügten Umstände zu beseitigen. Sollte dies nicht geschehen, werde die französische Datenschutzbeauftragte Isabelle Falque-Pierrotin einen „Berichterstatter“ beauftragen, der über Sanktionen gegenüber Facebook entscheiden soll.

Überwachung am Arbeitsplatz – rechtliche Orientierungshilfe

Die Datenschutzbehörden der Länder und des Bundes haben eine Orientierungshilfe zum Thema „Überwachung der privaten und beruflichen Internetkommunikation der Arbeitnehmer“ veröffentlicht. Demnach sei es Arbeitnehmern grundsätzlich nicht erlaubt, betriebliche E-Mail -und Internetdienste zu privaten Zwecken zu verwenden. Zu beachten seien das Bundesdatenschutzgesetz sowie einschlägige arbeitsrechtliche Entscheidungen. Der Arbeitgeber habe das Recht, anhand der Protokolldaten stichprobenartig zu kontrollieren, ob die Internetnutzung rein betrieblich erfolgt. Die Kontrolle des Surfverhaltens sei zunächst personenunabhängig durchzuführen, da eine personenbezogene Vollkontrolle einen schwerwiegenden Eingriff in das verfassungsrechtlich geschützte Recht auf informationelle Selbstbestimmung des Arbeitnehmers darstelle. Daher sei eine personenbezogene Vollkontrolle nur bei konkretem Missbrauchsverdacht unter den Voraussetzungen des § 32 Abs. 1 S. 2 BDSG zulässig. Art und Ausmaß der Überwachung müssen verhältnismäßig sein. Die betriebliche E-Mail-Kommunikation dürfe der Arbeitgeber zur Kenntnis nehmen, wobei eine automatisierte Weiterleitung aller ein- und ausgehenden E-Mails einer permanenten Kontrolle gleichkäme und daher nicht zulässig ist.

Dem Arbeitgeber stehe es frei, die private Nutzung der E-Mail -und Internetdienste in vollem Umfang oder beispielsweise zeitlich begrenzt zu erlauben. Dies könne z. B. ausdrücklich im Arbeitsvertrag erlaubt sein oder durch konkludente Genehmigung erfolgen. Von einer konkludenten Genehmigung sei auszugehen, wenn der Arbeitgeber die private Nutzung der betrieblichen Internetkommunikation wissentlich über einen längeren Zeitraum dulde und somit eine sog. „betriebliche Übung“ anzunehmen wäre.

Sofern der Arbeitgeber privates Internetsurfen gestattet, ist er als Dienstanbieter nach dem TKG anzusehen und hat die Datenschutzbestimmungen des TMG zu beachten. Er ist folglich zur Achtung des Fernmeldegeheimnisses verpflichtet und darf auf Protokolldaten nur dann zugreifen, wenn eine wirksame Einwilligung des Arbeitnehmers vorliegt.

Die Überwachung der Internetkommunikation sog. „Geheimnisträger“ (z.B. Betriebsräte) unterliegt naturgemäß noch strengeren Regeln.

Nach Aussage der Aufsichtsbehörden empfiehlt es sich, die Details der Überwachung am Arbeitsplatz in Betriebsvereinbarungen zu statuieren.

Artikel-29-Datenschutzgruppe: Beurteilung internationaler Datenübermittlungen

4. Februar 2016

Nach einer am gestrigen Tag veröffentlichten Stellungnahme der Artikel-29-Datenschutzgruppe sind Übermittlungen personenbezogener Daten in die USA auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) oder Binding Corporate Rules (BCR)  bis zu einer weiteren Benachrichtigung – jedenfalls aber bis Ende April dieses Jahres – als zulässig anzusehen.

Die Artikel-29-Datenschutzgruppe hat die EU Kommission aufgerufen, alle Dokumente, die das neue EU-US Privacy Shield betreffen, bis Ende Februar vorzulegen. Nur dann sei man in der Lage, eine abschließende rechtliche Würdigung und verbindliche Entscheidung zum Umgang mit Datenübermittlungen in die USA – im Speziellen auf Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules – zu tätigen.

Praktische Konsequenzen:

1) Datenübermittlungen in die USA auf Basis von EU-Standardvertragsklauseln oder Binding Corporate Rules gelten noch immer als zulässig.
2) Jede Intervention von einzelnen Aufsichtsbehörden bezüglich einer Datenübermittlung in die USA ist nicht zu erwarten.
3) Beschwerden oder Rechtsstreitigkeiten wegen Datenübermittlungen in die USA auf Grundlage von EU-Standardvertragsklauseln oder Binding Corporate Rules sollten bis zu einer abschließenden Beurteilung der Artikel-29-Datenschutzgruppe zurückgestellt werden.
4) Die derzeit bestehende Rechtsunsicherheit im Hinblick auf die Zulässigkeit von Datenübermittlungen in die USA besteht fort. Die nächste Prüfung wird voraussichtlich März dieses Jahres erfolgen. Bis Ende April soll entschieden werden, wie der internationale Datenumgang insgesamt zu beurteilen ist – sei es im Hinblick auf das EU-US Privacy Shield, im Hinblick auf EU-Standardvertragsklauseln oder im Hinblick auf Binding Corporate Rules.

Wenn Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht auf dem Laufenden gehalten werden möchten, abonnieren Sie einen unserer Newsletter:

  • Deutsches / Europäisches Datenschutzrecht: http://www.datenschutzticker.de/newsletter/ (deutsch)
  • Internationales Datenschutzrecht http://www.privacy-ticker.com/newsletter/ (englisch)

Bei Fragen, wie mit internen Policies zum Datenschutz umzugehen ist, wie Datenübermittlungen in Drittländer zu bewerten sind oder wie man sich schon jetzt als Unternehmen auf die Neuregelungen der EU-Datenschutzgrundverordnung vorbereitet, kontaktieren Sie uns jederzeit gern für eine individuelle Beratung!

Rahmenbedingungen des EU-US Privacy Shields festgelegt

3. Februar 2016

Am gestrigen Mittwoch gab die EU-Kommission bekannt, dass Vertreter der EU und der Vereinigten Staaten sich über die Rahmenbedingungen des transatlantischen Datenaustauschs verständigt haben. Die Zulässigkeit des Datentransfers aus der EU in die USA wird sich zukünftig aus dem EU-US Privacy Shield ergeben.
Im Oktober 2015 hatte der Europäische Gerichtshof das Safe-Habor-Abkommen, welches bis dahin als Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA diente, für ungültig erklärt. Dies hat vor allem bei europäischen Unternehmen, die US-amerikanische soziale Netzwerke wie Facebook und Twitter sowie US-Cloud-Dienstleistungen  nutzen, für große Unsicherheiten gesorgt.
Das EU-US Privacy Shield wird zukünftig die Maßstäbe für einen transatlantischen Datenaustausch festlegen. Obwohl zurzeit noch kein konkreter Text vorliegt, geben die jüngst bekannt gewordenen Rahmendingung eine Richtung vor. Zum einen werden US-Unternehmen strengere Regularien hinsichtlich der Datenverarbeitung und Sicherstellung von Persönlichkeitsrechten gewährleisten müssen als nach dem Safe-Habor-Abkommen. Das US-Handelsministerium wird die Einhaltung dieser Vorschriften überwachen und kann diese gegebenenfalls gerichtlich durchsetzen. Sofern Personaldaten von Bürgern der Europäischen Union in die USA übermittelt werden, sind darüber hinaus die Entschließungen der Europäischen Datenschutzbehörden zu erfüllen. Weiterhin haben die USA zugesichert, dass US-Strafverfolgungsbehörden und US-Sicherheitsbehörden nur in den Grenzen der Erforderlichkeit und im Rahmen der Verhältnismäßigkeit auf die in den USA gespeicherten Daten zugreifen dürfen. Der Zugriff von US-Behörden auf personenbezogene Daten von Europäern wird durch jährliche Treffen mit Vertretern des US-Handelsministeriums und der Europäischen Kommission sowie Vertretern der US-Nachrichtendienste und der EU-Datenschutzbehörden überwacht. Schließlich werden EU-Bürger bei Verstößen gegen das EU-US Privacy Shield mit verschiedenen Rechtsmitteln ausgestattet. Unternehmen werden innerhalb einer festgelegten Frist auf Beschwerden reagieren müssen. Außerdem werden europäische Datenschutzbehörden Beschwerden an US-Behörden zur weiteren Rechtsdurchsetzung weiterleiten können. Bei Beschwerden bezüglich eines unzulässigen Zugriffs durch US-Sicherheitsbehörden wird eine Ombudsstelle eingerichtet.
Die EU-Kommission wird innerhalb der nächsten drei Wochen Dokumente mit konkreteren Inhalten vorlegen. Diese werden anschließend von der Artikel-29-Gruppe diskutiert.
Zumindest bis dahin ergeben sich für Unternehmen zunächst keine Veränderungen zum derzeitigen Status Quo hinsichtlich der Zulässigkeit von Datenübermittlungen in die USA.

Datenschutz beim Wintersport auf der Piste geblieben?

29. Januar 2016

Wer sich jetzt in der Winterzeit am Wochenende früh morgens von München auf den Weg zum Sudelfeld, einem der zahlreichen Münchener Hausberge, macht, kann sich vermutlich über zahlreiche Dinge den Kopf zerbrechen. Wird die Autobahn voll sein? Wird man einen Parkplatz finden? Passen die Kinder noch in die Skisachen vom letzten Jahr? Was (hoffentlich) bei den meisten Naturverliebten und Wintersportlern in diesem Zusammenhang kein Thema sein dürfte, ist der Schutz Ihrer personenbezogenen Daten.

Doch seit einigen Jahren hat in Europas Skigebieten, so auch am Sudelfeld, ein datenschutzrechtlich fragwürdiger Trend bei den Liftbetreibern Einzug gehalten. Um Liftkartenbetrug zu verhindern, entschließen sich immer mehr von diesen nämlich, massenhaft Fotos Ihrer Kunden zu machen und auszuwerten. Die durchaus nicht unbeliebte Methode, einen Skipass bei Nichtbenutzung zu übertragen, entspricht nämlich – nun ja –  nicht ganz den Beförderungsbedingungen der Betreiber. Naheliegend scheint es da, jeden Skifahrer einfach zu fotografieren und die Bilder zu vergleichen um dann Schwarzfahrer schnell identifizieren können. Insbesondere die österreichische Firma SkiData bietet das passende Werkzeug hierfür. Jedes Mal wenn das Drehkreuz am Lifteingang freigegeben wird, wird ein Foto des Skipass-Tragenden gemacht. Mitarbeiter des Liftbetreibers können dann prüfen, ob tatsächlich immer die gleiche Person zur Bergfahrt antritt. Diese Erfahrung musste auch eine deutsche Skifahrerin in der Schweiz machen, die vom Liftbetreiber beim „Kartentausch“ erwischt wurde. Sie hatte sich mit anderen Eltern beim Kinder-Beaufsichtigen abgewechselt und wollte dann selbst noch mit der Karte, die ein anderer gelöst hatte, ein paar Schwünge machen.

Aber wie ist diese Praxis aus rechtlicher Sicht zu bewerten? Eine gesetzliche Rechtfertigung gestützt auf die Vertragserfüllung wird sich kaum finden lassen. Für die Durchführung des Beförderungsvertrages ist diese Datenverarbeitung sicher nicht erforderlich. Für eine konkludente Einwilligung durch Benutzung des Liftes wäre aber erforderlich, dass hinreichend informiert wird. Ob dies immer im erforderlichen Maße umgesetzt wird, ist fraglich. Im betroffenen Skigebiet in der Schweiz war nicht einmal im „Kleingedruckten“ der AGB etwas hierzu zu finden.

Damit ist nicht gesagt, dass die Praxis unbedingt rechtswidrig sein muss. Insbesondere im Rahmen einer Interessenabwägung könnte sich hier eine Rechtfertigung ergeben. Von Seiten des bayerischen Landesamtes für Datenschutz bestehen jedenfalls keine Bedenken. Zu Bedenken ist, dass die Betreiber sehr wohl ein berechtigtes Interesse haben, Schwarzfahrer zu ermitteln und gegen diese vorzugehen. Zu beachten ist aber auch, dass die personenbezogenen aller Fahrgäste erhoben werden, obwohl sicherlich nur ein kleiner Teil von Ihnen ohne gültigen Skipass fährt. Dieser Bereich betrifft die Verhältnismäßigkeit und das Prinzip der Datensparsamkeit.

Bleibt also das Konstrukt, dass Skibegeisterte „freiwillig“ den Schnappschüssen zustimmen. Insbesondere die Informationspflichten müssen dann aber eingehalten werden, um eine mutmaßliche Einwilligung der Betroffenen zu gewährleisten. Auch bedarf es eines durchdachten Löschkonzepts hinsichtlich der angefallenen Bilder.

Spätestens wenn, wie von SkiData geplant, die Auswertung nicht mehr durch Menschen, sondern durch automatische Gesichtserkennung, erfolgen soll, wird wohl das mediale Interesse an der Materie zunehmen. Momentan scheitern diese Versuche nämlich noch an der „Vermummung“ durch Helm und Schal der Skifahrer.

Automatisiertes Fahren und der Datenschutz

Wie heise online berichtet, ist für die Bundesregierung der Datenschutz (und staatliche Vorgaben hierzu) ein wichtiger Faktor beim Thema automatisiertes Fahren.

Die personenbezogenen Daten, die von Fahrzeugen im Rahmen des automatisierten Fahrens erstellt werden, dürften nur verwertet werden, wenn der Betroffene zugestimmt hat oder die Daten pseudonymisiert werden. So sieht es der Antrag von CDU/CSU und SPD vor,über den der Bundestag heute berät. Nicht möglich sein soll demnach die Erstellung von Bewegungsprofilen mit direktem Personenbezug. Des Weiteren müsse die Datenübermittlung jederzeit und einfach sowohl aktiviert als auch deaktivert werden können.

Noch ungeklärt ist die Frage der Haftung, die bislang grundsätzlich bei Fahrer und Fahrzeughalter liegt. Je nach Automatisierungsgrad des Fahrzeugs könnten künftig aber auch Hersteller und Techniklieferanten verstärkt verantwortlich gemacht werden.

Als unmittelbare Vorteile der intelligenten Mobilität nennt die Koalition in ihrem Antrag z. B. die Ressourcenschonung von Investitionsmitteln, den Schutz von Umwelt und Klima sowie weniger Verkehrstote und Verletzte.

Gleichwohl ist es, nicht zuletzt für die Akzeptanz der Technik unter den Autofahrern, wichtig, dass die Fahrer selbst entscheiden können, wer auf die Daten zugreifen darf.

Kategorien: Allgemein
Schlagwörter:

28. Januar – Europäischer Datenschutztag

Gestern, am 28. Januar 2016, fand zum zehnten Mal der Europäische Datenschutztag statt. Der europäische Datenschutztag geht auf eine Initiative des Europarates zurück und erinnert an die Unterzeichnung der Europäischen Datenschutzkonvention 1981. Seit 2008 begehen auch die USA und Kanada am 28. Januar den Data Privacy Day.

Der Focus des Europäischen Datenschutzes liegt zur Zeit vor allem auf den Änderungen, die sich aus der Datenschutzgrundverordnung ergeben werden. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, sieht dies so: Der künftige europäische Rechtsrahmen stellt eine historische Chance für die Stärkung des Datenschutzes innerhalb der EU dar. Dies gilt nicht nur für die Rechtsposition der Bürgerinnen und Bürger, sondern auch für die Durchsetzung des Rechts durch die unabhängigen Datenschutzbehörden der EU-Mitgliedstaaten.

 

Kategorien: Allgemein · EU-Datenschutzgrundverordnung
Schlagwörter:

BfDI: Warnung vor Dashcams

27. Januar 2016

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff hat anlässlich des 54. Deutschen Verkehrsgerichtstages vor dem Einsatz von Dashcams gewarnt. Dabei handelt es sich um kleine Videokameras, die im PKW hinter der Windschutzscheibe platziert werden. „Wenn eine Dashcam dazu genutzt wird, den Verkehr lückenlos zu dokumentieren, ist dies datenschutzrechtlich unzulässig.“, so Voßhoff. Diese Art der Nutzung stelle nach deutschem Recht einen Eingriff in das allgemeine Persönlichkeitsrecht der gefilmten Personen dar. Das allgemeine Persönlichkeitsrecht überwiege im Falle einer Abwägung gegenüber dem Interesse des Dashcam-Nutzers zu Beweiszwecken. Die Nutzung einer Dashcam sei nur zu familiären oder persönlichen Zwecken gestattet. Ob es zulässig ist, solche Videoaufnahmen nach einem Unfall als Beweismittel vor Gericht zu verwenden, ist hingegen juristisch noch nicht geklärt. Darüber werde beim 54. Verkehrsgerichtstag beraten.

Bundestag votiert mehrheitlich für Ankunftsausweis für Flüchtlinge

26. Januar 2016

Die mehrfach aufgetretenen Probleme bei der Registrierung oder nachträglichen eindeutigen Identifizierung von Flüchtlingen treibt das Thema des Ankunftsausweises weiter voran. „Wir wollen wissen, wer in unser Land kommt und wohin er verteilt wird“, sagte Bundesinnenminister de Maizière. „Und wir wollen wissen, ob und von welchen Flüchtlingen eine Gefahr ausgeht.“

Der Bundestag debattierte hierzu und votierte mehrheitlich für einen Gesetzentwurf, der die Ausstellung von Ankunftsnachweisen regeln soll. Angedacht ist ein Ausweis, aus dem sich neben Personal- und Kontaktdaten auch die berufliche und biometrische Informationen ablesen lassen sollen. Zugriffsberechtigt hinsichtlich dieser Informationen sollen neben dem Bundesamt für Migration und Flüchtlinge auch andere Ausländerstellen und insbesondere Polizeibehörden sein. Zudem sollen Gesundheits- und Jugendämter sowie die Bundesagentur für Arbeit und Jobcenter die Daten einsehen. Für Sozial- und Verwaltungsgerichte soll die Einsichtsmöglichkeit auf die Anschrift von Asylsuchenden im Bundesgebiet beschränkt sein.

De Maizière weißt dabei den von der Opposition erhobenen Vorwurf des Generalsverdachts gegenüber Flüchlingen zurück: „Unmittelbar nach der Speicherung sollen die Behörden abgleichen und prüfen. Und auch wenn die Flüchtlinge erst in Deutschland kriminell werden, werden wir sie künftig schneller identifizieren können.“ Auch die Umsetzung des Datenschutzes steht in der Kritik. Luise Amtsberg von den Grünen bemerkt hierzu: „Wer gewährleistet, genau für welchen Teil dieser riesigen Dateninfrastruktur, dass kein Missbrauch erfolgt. Datenschutz ist ein grünes Kernthema – wir sind nicht überzeugt und haben da erhebliche Bedenken.“ Doch auch diesen Einwand lässt die Union nicht gelten. Der CSU-Abgeordente Lindholz widerspricht: „Schauen Sie sich mal die Realität an anstatt Reden zu schwingen von Entbürokratisierung. Das hat mit der Praxis rein gar nichts zu tun.“

Kritisch anzumerken war der Umstand, dass lediglich 60 der insgesamt 630 stimmberechtigten Abgeordneten bei der Abstimmung zugegen waren. In zwei Wochen muss der Bundesrat dem Gesetz noch zustimmen. Am 1. Februar soll es dann gelten. Bis zum Sommer soll der Flüchtlingsausweis dann überall eingeführt sein. Die Datenschutzbeauftragte Andrea Voßhoff soll eine Kontrollmöglichkeit erhalten.

Kategorien: Allgemein
Schlagwörter: ,
1 17 18 19 20 21 136