Themenreihe DSGVO: Grundsätze der Verarbeitung

9. Juni 2017

In Art. 5 DSGVO wurden folgende allgemeine Grundsätze für die Verarbeitung personenbezogener Daten normiert: „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Abs. 1 lit. a), „Zweckbindung“ (Abs. 1 lit. b), „Datenminimierung“ (Abs. 1 lit. c), „Richtigkeit“ (Abs. 1 lit. d), „Speicherbegrenzung“ (Abs. 1 lit. e) und „Integrität und Vertraulichkeit“. Als Bestandteil der Verordnung haben diese Grundsätze unmittelbare Geltung, wobei aus Art. 5 Abs. 2 DSGVO folgt, dass sie in erster Linie den Verantwortlichen binden. Die recht allgemein gehaltenen Grundsätze werden in zahlreichen weiteren Vorschriften der DSGVO wieder aufgegriffen und in diesen auch weiter konkretisiert. In diesem Zusammenhang ist insbesondere auf die Betroffenenrechte hinzuweisen, die in Art. 15 bis 22 DSGVO erfasst sind. Verstöße gegen die in Art. 5 DSGVO normierten Grundsätze können sowohl bußgeldbewährt sein, als auch sonstige Maßnahmen der Aufsichtsbehörden nach sich ziehen. Insbesondere vor dem Hintergrund dieser Sanktionsmöglichkeit kann die nur allgemeine Formulierung mitunter problematisch werden.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Abs. 1 lit. a)

Zunächst normiert Art. 5 Abs. 1 lit. a DSGVO, dass personenbezogene Daten auf rechtmäßige Art und Weise verarbeitet werden müssen. Das bedeutet, dass personenbezogene Daten grundsätzlich nur auf Basis einer Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Ermächtigung als anderweitige Rechtsgrundlage verarbeitet werden dürfen. Bei der Einwilligung ist darauf zu achten, dass die einwilligende Person vor ihrer Einwilligung ausreichend über die Verarbeitung informiert wurde. Bei der gesetzlichen Ermächtigung ist insbesondere darauf zu achten, dass die jeweilige Zweckbindung eingehalten wird.

Das Erfordernis der Verarbeitung nach „Treu und Glauben“ muss im Anwendungsbereich der DSGVO als europarechtliche Norm autonom aufgefasst und ausgelegt werden. Im Kontext der DSGVO kann das Erfordernis von „Treu und Glauben“ als eine Pflicht zur Rücksichtnahme auf die Interessen und Erwartungen der betroffenen Person aufgefasst werden. Insbesondere soll der Betroffene über diesen Grundsatz vor unklaren Verarbeitungsvorgängen geschützt und einer offenen und direkten Erhebung personenbezogener Daten bei der betroffenen Person der Vorrang eingeräumt werden.

Durch den Transparenzgrund soll eine heimliche Verarbeitung personenbezogener Daten ausgeschlossen werden. Darüber hinaus soll erreicht werden, dass die betroffene Person über die Erhebung personenbezogener Daten umfassend informiert wird. Diese Informationen müssen in leicht zugänglicher Art und Weise und in einer klaren und verständlichen Sprache abgefasst sein.

Zweckbindung (Abs. 1 lit. b)

Beim Zweckbindungsgrundsatz handelt es sich um ein Kernstück des Datenschutzrechts. Ihm liegt der Gedanke zugrunde, dass schon bereits bei der Erhebung personenbezogener Daten der jeweilige legitime Zweck der Erhebung eindeutig festgelegt sein muss und der Zweck einer möglichen weiteren Verarbeitung mit dem ursprünglichen Erhebungszweck nicht unvereinbar sein darf. Obwohl Art. 5 Abs. 1 lit. b DSGVO für die Zweckfestlegung keine spezielle Form vorsieht empfiehlt es sich, den Zweck schriftlich oder in einer anderen dauerhaften Dokumentationsform festzulegen, um eventuellen Rechenschaftspflichten nachkommen zu können. Damit die Zweckfestlegung auch eindeutig erfolgt, muss sie hinreichend bestimmt zum Ausdruck gebracht werden. Bloß allgemeine Bestimmungen wie „Werbung“ sind hierfür wohl nicht ausreichend. Legitim ist der festgelegte Zweck dann, wenn er als rechtlich zulässig anzusehen ist. Um festzustellen, ob der Zweck der Weiterverarbeitung mit dem Zweck der Erhebung vereinbar ist, kann etwa auf die Konkretisierungen in Art. 6 Abs. 4 DSGVO Bezug genommen werden. Von besonderer Bedeutung ist zusätzlich die Frage, ob die weitere Verarbeitung den Erwartungen der betroffenen Person im Erhebungszeitpunkt entspricht. Die betroffene Person muss den Zweck der Weiterverarbeitung schon in der Zweckfestlegung für die ursprüngliche Erhebung angelegt gesehen haben können. Bei Archivzwecken, Forschungszwecken und statistischen Zwecken handelt es sich gem. Art. 5 Abs. 1 lit. b Hs. 2 um privilegierte Sekundärzwecke, bei denen bei einer Weiterverarbeitung ursprünglich zu anderen Zwecken erhobener Daten die sonst notwendige Prüfung der Vereinbarkeit mit dem ursprünglichen Erhebungszweck entfällt.

Datenminimierung (Abs. 1 lit. c)

Der Grundsatz der Datenminimierung vereint drei Anforderungen. Personenbezogene Daten müssen dem Zweck nach angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Angemessenheit ist gegeben, wenn die Verarbeitung bei wertender Betrachtung in diesem Umfang verhältnismäßig ist. Bei der Erheblichkeit ist danach zu fragen, ob die Verarbeitung personenbezogener Daten dazu geeignet ist, ein legitimes Ziel zu erreichen. Bei der Begrenzung auf das notwendige Maß ist darauf abzustellen, dass keine Daten erhoben werden, die über die Erreichung des verfolgten Zwecks hinausgehen.

Richtigkeit der Datenverarbeitung (Abs. 1 lit. d)

Der Grundsatz der Richtigkeit der Datenverarbeitung bezieht sich darauf, dass die erhobenen personenbezogenen Daten sachlich richtig sein müssen. Darüber hinaus wird gefordert, dass die personenbezogenen Daten auch auf dem neuesten Stand sein müssen. Relevant wird dies insbesondere in Fällen einer weiteren Verarbeitung der erhobenen Daten. Zu beachten ist, dass der für die Erhebung Verantwortliche schon von sich aus angemessene Maßnahmen ergreifen muss, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen. Hinsichtlich der Angemessenheit der Maßnahmen kommt es jeweils auf den konkreten Einzelfall an. In den Artikeln 16 und 17 der DSGVO finden sich beispielsweise konkrete Regelungen, mit denen der Grundsatz der Richtigkeit der Datenverarbeitung verwirklicht werden soll.

Speicherbegrenzung (Abs. 1 lit. e)

Der Grundsatz der Speicherbegrenzung ist eng mit dem Zweckbindungsgrundsatz verbunden. Daten, die die Identifizierung einer Person ermöglichen, dürfen nur solange gespeichert werden, wie es für die Zweckerreichung erforderlich ist. Den Verantwortlichen trifft die Pflicht in regelmäßigen Abständen zu überprüfen, dass die von ihm gespeicherten Daten nicht unnötig lange gespeichert werden. Ausnahmen von der Speicherbegrenzung sieht Art. 5 Abs. 1 lit e Hs. 2 für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vor.

Integrität und Vertraulichkeit (Abs. 1 lit. f)

Über das Kriterium der Integrität soll die Unversehrtheit der Daten geschützt werden. Es soll sichergestellt werden, dass die erhobenen Daten weder ganz noch teilweise gelöscht oder sie auf andere Art vernichtet oder unbefugt verändert werden. Über das Kriterium der Vertraulichkeit sollen die erhobenen Daten vor einer unbefugten Kenntnisnahme und Verarbeitung geschützt werden. Die eben beschriebenen Schutzzwecke sollen durch geeignete technische und organisatorische Maßnahmen erreicht werden. Insbesondere in Art. 32 DSGVO finden sich Konkretisierungen für solche Maßnahmen.

 

Das Thema der nächsten Woche sind die Einwilligung und der Widerspruch nach der DSGVO.

Single Sign-on-Dienst-Hersteller OneLogin wurde gehackt

8. Juni 2017

OneLogin wurde in der vergangenen Woche Opfer eines Hackerangriffs.

Das Unternehmen ist ein Single Sign-on-Dienst-Hersteller. Single Sign-on-Dienste werden hauptsächlich von Unternehmen eingesetzt und erleichtern deren Mitarbeitern das Einloggen. Mit Hilfe dieser Systeme müssen die Mitarbeiter sich nicht für jeden Dienst den sie nutzen einzeln anmelden, sondern sie melden sich nur einmalig an und können dann verschiedene Dienste nutzen für die sonst eine separate Passwort-Eingabe notwendig ist. Auf der einen Seite eine Arbeitsbeschleunigung, auf der anderen Seite aber auch ein beliebtes Angriffsziel für Hacker.

Wie OneLogin am 31.Mai bekannt gab kam es zu einem Angriff. Der Hacker ist über die Amazon Web Services (AWS) in die Systeme des Unternehmens eingedrungen und hatte Zugriff auf diverse Datenbanken. Der Hacker wurde sieben Stunden lang nicht bemerkt. Erst dann stellten Angestellte ungewöhnliche Datenbankaktivitäten fest und stellten den betroffenen Cloud-Server ab, wie Alvaro Hoyos, Sicherheits-Chef von OneLogin, auf dem firmeneigenen Blog bekannt gibt.

Nicht bekannt, aber auch nicht auszuschließen ist, ob der Hacker die gespeicherten Daten entschlüsseln konnte.

Kunden empfiehlt OneLogin alle Kennwörter und Zertifikate zu ändern, um sicher zu gehen, dass Außenstehende keinen Zugriff auf die Daten bekommen.

Dieser Hackerangriff ist nicht der ersten für OneLogin. Bereits im Jahre 2016 kam es zu einem Angriff auf die Systeme des Unternehmens.

Kategorien: Hackerangriffe
Schlagwörter: ,

EU-Rat spricht sich für Meldesystem zur visafreien Einreise aus

7. Juni 2017

Der EU-Rat hat am vergangenen Donnerstag seinen Vorschlag für eine Verordnung für ein „Reiseinformations- und Genehmigungssystem“ veröffentlicht und so seine Zustimmung zu einem entsprechenden, von der EU-Kommission vorgeschlagenen, Meldesystem signalisiert.
Ab 2020 soll nach dem US-amerikanischen Vorbild ESTA das „EU Travel Information and Authorisation System“ (ETIAS) eingeführt werden. Über dieses sollen sich dann alle Personen, die visumfrei in die EU einreisen vorab online registrieren.

Abgefragt werden Angaben zur Identität, Reisedokument, Aufenthaltsort, Kontaktmöglichkeiten, infektiöse Krankheiten oder Ausbildung.

Der EU-Datenschutzbeauftragte Giovanni Buttarelli hatte bereits im März diesen Jahres eine Stellungnahme zu dem Verordnungsentwurf der Kommission veröffentlicht, in der er sich in vielerlei Hinsicht kritisch zu dem Vorhaben äußert. So bemängelt er unter anderem, dass die Kommission nicht die erforderliche Datenschutzfolgeabschätzung mitgeliefert hätte, zudem hält er die Art und den Umfang der abgefragten Daten für problematisch. So sei insbesondere der Zugriff auf Gesundheitsdaten von der Komission zu rechtfertigen. Darüber hinaus fehle laut Buttarelli eine Begründung für die Übermittlung der Daten an Strafverfolgungsbehörden wie Europol oder Interpol.

Der Entwurf des EU-Rats berücksichtigt die Stellungnahme sowie eine Studie, die die Effektivität und Verhältnismäßigkeit des Verordnungsentwurfs untersucht und einige der vorgesehenen Maßnahmen als unzureichend beurteilt.

Abzuwarten bleibt noch eine Stellungnahme des EU-Parlaments bevor eine einheitliche Fassung erarbeitet werden kann.

Symposium zum Datenschutz in automatisierten Fahrzeugen

2. Juni 2017

Schon heute sammelt ein modernes Fahrzeug mehrere Gigabyte an Daten. Da die technische Entwicklung von autonom fahrenden Autos gerade erst am Anfang steht ist davon auszugehen, dass in Zukunft noch mehr Daten erhoben werden und der Datenschutz im Bereich des vernetzten Fahrens immer wichtiger werden wird. Auf Einladung der Bundesdatenschutzbeauftragten Andrea Voßhoff fand deswegen am 1. Juni ein Symposium zum Datenschutz in automatisierten Fahrzeugen statt.

Zu Beginn des Symposiums wies Voßhoff noch einmal darauf hin, dass moderne Fahrzeuge mit Hilfe von Sensoren und anderen Technologien eine erhebliche Menge von Daten sammeln würden. Beispielhaft führte Sie an, dass Kilometerstände, Reifendruck, verschiedene Füllstände oder der Gurtschlussstatus gemessen würden. Darüber hinaus würden aber auch Daten über den Fahrstil und Positionsdaten erhoben. Insbesondere durch die Verknüpfung dieser Vielzahl von Daten würden sich detaillierte Persönlichkeitsprofile der Fahrerinnen und Fahrer erstellen lassen. Gerade deswegen forderte Voßhoff, dass die Fahrerinnen und Fahrer jederzeit die volle Hoheit über die Verwendung von personalisierbaren Fahrzeugdaten haben müssten. In diesem Kontext seien datenschutzgerechte Technologien und Voreinstellungen notwendig.

Um den Datenschutz im Bereich von automatisierten Fahrzeugen zu wahren, hat die Bundesdatenschutzbeauftragte eine Liste mit 13 Empfehlungen zum automatisierten und vernetzten Fahren veröffentlicht. Aus Transparenzgründen müsse es für die Fahrerin oder den Fahrer klar erkennbar sein, welche Daten auf Basis einer gesetzlichen Regelung auch ohne ausdrückliche Einwilligung verarbeitet werden dürfen. Insbesondere im Hinblick auf das Einwilligungserfordernis stellte Voßhoff auch klar, dass eine etwa beim Kauf abgegebene pauschale Einwilligung für beliebige Verwendungszwecke nicht genüge. In der Empfehlungsliste wird unter anderem dargestellt, dass für den reinen Fahrbetrieb in der Regel keine Datenspeicherung erforderlich sei. Falls Fahrzeuge Daten untereinander austauschen müssten, müsse dieser Austausch wirksam verschlüsselt und vor einer unbefugten Nutzung oder Aufzeichnung geschützt werden. Nach dem Grundsatz „Pricavy by default“ müsse es dem Fahrzeugnutzer auch möglich sein, sein Fahrzeug so einzustellen, dass dieses möglichst wenig über sein Fahrverhalten preisgebe. Des Weiteren müsse es für die Fahrzeugnutzer unkompliziert möglich sein personenbezogene Daten zu löschen, falls eine Speicherung dieser Daten nicht gesetzlich notwendig sei.

Vor dem Hintergrund der 2018 in Kraft tretenden Datenschutzgrundverordnung ist zudem ein Beitrag des Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit, Rolf Schwartmann, zu beachten. Im Zuge des Symposiums gab dieser an, dass rund um die Privatsphäre im vernetzten Auto eine Folgenabschätzung gem. Art. 35 DSGVO generell durchzuführen sei.

Videoüberwachung nach BDSG, BDSG-neu und DSGVO

Die praktische Bedeutung der Videoüberwachung, also die Beobachtung mit optisch-elektronischen Einrichtungen, hat in letzter Zeit enorm zugenommen, nicht zuletzt wegen mehr Gewalttaten, erinnert sei an die tragischen Ereignisse in Ansbach und München. Damit rückt das Thema auch vermehrt in den Fokus der Öffentlichkeit. Nun hat auch der Gesetzgeber den Weg frei gemacht für mehr Videoüberwachung. Gemeint ist das im März 2017 verabschiedete Videoüberwachungsverbesserungsgesetz, das den § 6 b BDSG wie folgt erweitert:

„1. Dem Absatz 1 wird folgender Satz 2 angefügt:

„Bei der Videoüberwachung von

  1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Ver-sammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
  2. Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öf-fentlichen Schienen-, Schiffs- und Busverkehrs,

gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.“

  1. Nach Absatz 3 Satz 1 wird folgender Satz eingefügt:

„Absatz 1 Satz 2 gilt entsprechend.“

 

Daraus folgt, dass § 6 b BDSG zwar wie bislang sowohl für öffentliche als auch für nicht-öffentliche Stellen gilt. Indes wird der Anwendungsbereich derart erweitert, als dass unter den Begriff „öffentlich zugänglicher Raum“ nunmehr auch öffentlich zugängliche großflächige Anlagen, also bauliche Anlagen, die nach dem erkennbaren Willen des Betreibers von jedermann betreten oder genutzt werden können und von ihrer Größe her geeignet sind, eine größere Anzahl von Menschen aufzunehmen, verstanden wird. Insbesondere sollen unter § 6 b Abs. 1 S. 2 BDSG Sport-, Versammlungs- und Vergnügungsstätten, Einkaufzentren und Parkräume, die einen entsprechenden Publikumsverkehr aufweisen, fallen. Ob es sich um eine dem öffentlichen Verkehr zugängliche Anlage handelt, ist entweder von der öffentlichen Widmung oder nach dem erkennbaren Willen des Berechtigten von jedermann genutzt oder betreten werden zu können, abhängig. Auf das Eigentum an der Anlage kommt es daher zunächst nicht an.

Vereinfacht gesagt soll durch die Erweiterung die Sicherheit der Bevölkerung erhöht werden. Dementsprechend ist bei der Abwägungsentscheidung nach § 6 b Abs. 1 Nr. 3 BDSG, also beim Einsatz von Videoüberwachung durch Private zwar die gegenläufigen Interessen des Betroffenen zu berücksichtigen, jedoch legt § 6 b Abs. 1 S. 2 BDSG fest, dass der Schutz von Leben, Gesundheit oder Freiheit als besonders wichtiges Interesse zu qualifizieren ist, mit der Konsequenz, dass diese Belange zwar ergebnisoffen, aber schon per se als gewichtiger einzustufen sind.

1 § 4 BDSG-neu

Ab Mai 2018 wird das BDSG-neu (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) gelten. In dessen § 4 gibt es eine Regelung zur Videoüberwachung. Wesentliche Änderungen zum status quo sind jedoch nicht festzustellen. Das bedeutet, dass die Norm wie bisher auch für den öffentlichen- wie nicht-öffentlichen Bereich sowie nur für öffentlich zugängliche Räume Anwendung finden wird. Abs. 2 behandelt die Kenntlichmachung der Videoüberwachung. Mit Abs. 3 der Norm wird die Zulässigkeit des weiteren Datenumgangs beschrieben. Danach muss die Verarbeitung bzw. „Speicherung oder Verwendung“ entweder für die Zweckerreichung oder falls die Daten für einen neuen Zweck verwendet werden sollen, der Abwehr von Gefahren für die staatliche und öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich sein. Die Benachrichtigungs- und Löschungspflichten werden sodann in den Abs. 4 und 5 geregelt.

2 DSGVO

Da die Datenschutz-Grundverordnung (DSGVO) keine explizite Regelung zur Videoüberwachung trifft, greift der grundsätzliche Anwendungsvorrang der DSGVO hier nicht. Dafür gibt die DSGVO in Art. 6 Abs. 2, 3 für Abs. 1 S. 1 lit. c und e den Mitgliedstaaten einen Kompetenztitel zur Ausfüllung dieser Lücke (Öffnungsklausel). Diese Lücke wurde vom deutschen Gesetzgeber mit § 4 BDSG-neu bedient.

3 Praxisbedeutung

In der Praxis muss der Rechtsanwender generell nicht nur die DSGVO, sondern eben auch beibehaltenes oder neu geregeltes nationales Datenschutzgesetz überblicken, sofern dies sein Sachverhalt voraussetzt. Neben § 4 BDSG-neu ist beispielsweise auch Art. 35 Abs. 1,3 lit. c DSGVO hier anwendbar, da die DSGVO in diesem Zusammenhang in Fällen systematischer weiträumiger Überwachung öffentlich zugänglicher Bereiche eine Datenschutz-Folgenabschätzung zwingend vorschreibt. Gleichwohl soll dies nicht vom eigentlichen Sinn und Zweck der Erweiterung des Anwendungsbereiches ablenken. Mit der Erweiterung kann bestenfalls schon im präventiven Bereich Gefahren in hoch frequentierten Räumen begegnet werden. Insofern ist die Neuregelung insgesamt begrüßenswert.

 

 

 

 

Themenreihe DSGVO: Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) wirft schon jetzt einen großen Schatten voraus, obwohl sie erst am 25. Mai 2018 in Kraft tritt, aber die Hälfte der ‚Vorbereitungszeit‘ ist inzwischen abgelaufen. Aber was ändert sich alles durch die DSGVO? Mit dieser Frage befasst sich die neue Themenreihe, die uns in den nächsten Wochen begleiten und wichtige Neuerungen und Fragen aufgreifen wird.

Die DSGVO ist der Schlusspunkt einer jahrelang geführten Diskussion über das “richtige“ Datenschutzniveau. Im Zuge der fortschreitenden Technik, der Globalisierung und der Digitalisierung wurde es Zeit für ein zeitgemäßes, einheitliches Datenschutzrecht.

Ziel der DSGVO ist ein einheitliches Datenschutzrecht in Europa. Neben der Harmonisierung gibt es zudem einige Neuerungen materiell-rechtlicher, prozeduraler sowie institutioneller Natur, die bisher noch nicht oder zumindest nicht so vorhanden waren. So soll der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere der Schutz personenbezogener Daten und der freie Verkehr personenbezogener Daten gewährleistet werden.

Wie oben bereits geschrieben tritt die DSGVO im Mai 2018 in Kraft. Da es sich um eine Verordnung handelt ist sie direkt und unmittelbar in den EU-Ländern anwendbar. Aufgrund der zahlreichen Öffnungsklauseln kann und soll der nationale Gesetzgeber tätig werden. Anpassungen der nationalen Regelungen, in Deutschland des Bundesdatenschutzgesetzes (BDSG), sind erforderlich. Die Bundesregierung ist bereits tätig geworden. Das ‘BDSG-neu‘ wurde bereits in den letzten Wochen verabschiedet und somit an die DSGVO angepasst.

Durch die DSGVO, als umfassendes Gesetzeswerk ergeben sich sowohl für Unternehmen als auch für Privatpersonen einige Neuerungen, aber dazu in den nächsten Wochen mehr.

 

Das Thema der nächsten Woche sind die Grundsätze der Verarbeitung nach der DSGVO.

Fingerabdrücke von Asylbewerbern sollen gescannt werden

31. Mai 2017

Die Regierungskoalition beabsichtigt die geltenden Datenschutzbestimmungen anhand eines Bündels von neuen Regelungen zu ändern. Danach sollen zukünftig auch Fingerabdrücke von Asylbewerbern gescannt werden können.

Die Regierungsfraktionen bezwecken damit eine weitgehende Befugnis der zuständigen Behörden, auf deren Basis diese Fingerabdrücke von Asylbewerbern zur Identitätsprüfung abnehmen, scannen und mit den dazu im Ausländerzentralregister gespeicherten Daten abgleichen dürfen. So soll die Aufdeckung von möglichen Sozialleistungsmissbrauchsfällen leichter ermöglicht werden.

Aus Datenschutzkreisen hagelt es harsche Kritik an dem Antrag der Regierungsfraktionen der CDU/CSU und SPD. So hält die Deutsche Vereinigung für Datenschutz (DVD) den Änderungsantrag für rechtswidrig, da einige der neuen Bestimmungen gegen Wortlaut und Sinn von EU-Vorgaben verstoßen. Das Scannen der Fingerabdrücke von Flüchtlingen werde eingeführt, ohne vorher „geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen“ zu schaffen. Die Zustimmung des Antrages, welcher lediglich noch eine Formsache ist, verrate demnach den digitalen Grundrechtsschutz. Noch schärfere Worte fand der Vize-DVD-Vorsitzende, Werner Hülsmann: „Was hier im Schnelldurchgang durchgeboxt werden soll, straft jedes Lippenbekenntnis der Bundesregierung zum Datenschutz Lügen.“

Kategorien: Allgemein
Schlagwörter: ,

Real führt Gesichtsanalyse seiner Kunden durch

Die Supermarktkette Real hat in 40 ihrer 285 Supermärkte Kameras installiert, um die Gesichter seiner Kunden zu analysieren.
Bei dem Testdurchlauf werden Werbebildschirme im Kassenbereich aufgehängt, in denen eine Videokamera installiert ist. Diese erfasst alle Blickkontakte mit dem Bildschirm sowie das Geschlecht und das ungefähre Alter des Kunden und soll dabei helfen, das Kundenverhalten genauer zu analysieren, um Werbung weiter zu personalisieren.

Real selbst wertet die Daten nicht aus, sondern überlässt dies dem Betreiber Echion, der sowohl die Bildschirme stellt, als auch für die platzierte Werbung verantwortlich ist.

Einen ausdrücklichen Hinweis auf die Videoanalyse finden Kunden in den betroffenen Supermärkten nicht. Ein Real-Sprecher weist jedoch darauf hin, dass sich in allen Filialen Schilder befänden, die darauf hinweisen, dass die Supermärkte videoüberwacht werden. Darüber hinaus versichert er, dass die Personenerkennung anonym erfolge und die Bilder höchstens für 150 Millisekunden gespeichert würden.
Datenschützer sind über dieses Vorgehen und insbesondere über die Aussage, die vorhandenen Hinweisschilder seien ausreichend, beunruhigt. Der Hamburger Datenschutzbeauftragte Johannes Caspar äußert sich gegenüber der „Lebensmittelzeitung“ dahingehend, dass in dem Moment, in dem Bilder von Personen durch Kameras erhoben würden, nicht mehr von Anonymität die Rede sein könne.

Trotzdem beobachten auch andere Händler die Technik und sind an ähnlichen Einsätzen interessiert, wie der Spiegel beispielsweise auf Anfrage bei dem Technikhändler MediaMarkt/Saturn erfahren hat.

Kammergericht Berlin: Kein Einsichtnahmerecht der Eltern in das Facebook-Konto verstorbener Kinder

Das Kammergericht Berlin (Urt. v. 31. Mai 2017, AZ 21 U 9/16) hat heute über die Frage entschieden, ob die Eltern eines verstorbenen Mädchens Einsicht in dessen Facebook-Konto nehmen dürfen.

Der Entscheidung liegt folgender Sachverhalt zugrunde:

Im Jahr 2012 wurde die minderjährige Tochter der Kläger an einem Berliner U-Bahnhof von einer Bahn erfasst und tödlich verletzt. Die genauen Umstände des Unfalls sind ungeklärt. Die Eltern hoffen, Rückschlüsse auf die Umstände, insbesondere eine mögliche Selbsttötungsabsicht, aus den Unterhaltungen, die die Verstorbene über ihr Facebook-Konto geführt hatte, ziehen zu können.

Nachdem Facebook die Herausgabe der Zugangsdaten für das Benutzerkonto abgelehnt hatte, hat das Landgericht Berlin im Jahr 2015 in erster Instanz zugunsten der Eltern entschieden.

Das Facebook-Konto sei nicht anders zu behandeln als vererbbare Briefe oder Tagebücher, das Persönlichkeitsrecht der Verstorbenen stehe einer Vererbarkeit nicht entgegen. Auch dürften die Sorgeberechtigten erfahren, worüber ihr Kind kommuniziere.

Facebook legte gegen diese Entscheidung Berufung ein und argumentierte in dem Verfahren mit dem Persönlichkeitsrecht der Gesprächspartner der Verstorbenen. Diese hätten darauf vertraut, dass die Inhalte der Unterhaltungen nicht Dritten bekanntgegeben werden und daher datenschutzrechtlich geschützt sind.

Das Kammergericht hat heute in zweiter Instanz zu Gunsten von Facebook entschieden und die Klage der Eltern abgewiesen.

Das Gericht hat die Frage der Veerbbarkeit des Facebook-Kontos offengelassen, da jedenfalls das Fernmeldegeheimnis nach dem Telekommunikationsgesetz einer Einsichtnahme durch die Eltern entgegenstehe. In der Pressemitteilung des Gerichts wird dazu ausgeführt:

Selbst wenn man davon ausgehe, dass dieser Account in das Erbe falle und die Erbengemeinschaft Zugang zu den Account-Inhalten erhalten müsse, stehe das Fernmeldegeheimnis nach dem Telekommunikationsgesetz entgegen. Dieses Gesetz sei zwar ursprünglich für Telefonanrufe geschaffen worden. Das Fernmeldegeheimnis werde jedoch in Art. 10 Grundgesetz geschützt und sei damit eine objektive Wertentscheidung der Verfassung. Daraus ergebe sich eine Schutzpflicht des Staates und auch die privaten Diensteanbieter müssten das Fernmeldegeheimnis achten. Nach einer Entscheidung des Bundesverfassungsgerichts (Urteil vom 16.6.2009, 2 BvR 902/06, BVErfGE 124, 43) erstrecke sich das Fernmeldegeheimnis auch auf E-Mails, die auf den Servern von einem Provider gespeichert seien. Denn der Nutzer sei schutzbedürftig, da er nicht die technische Möglichkeit habe, zu verhindern, dass die E-Mails durch den Provider weitergegeben würden. Dies gelte entsprechend für sonstige bei Facebook gespeicherten Kommunikationsinhalte, die nur für Absender und Empfänger oder jedenfalls einen beschränkten Nutzerkreis bestimmt sind.

Gesetzliche Ausnahmen von dem Schutz des Fernmeldegeheimnis seien nicht ersichtlich, auch führe das Recht der elterlichen Sorge nicht zu seinem entsprechenden Einsichtnahmerecht, denn dieses erlösche mit dem Tod des Kindes. Das den Eltern noch zufallende Totenfürsorgerecht könne nicht dazu dienen, einen Anspruch auf Zugang zu dem Social-Media-Account des verstorbenen Kindes herzuleiten.

Das Urteil des Kammergerichts ist nicht rechtskräftig, da der Senat die Revision zum Bundesgerichtshof zugelassen hat.

 

Kategorien: Allgemein · Social Media
Schlagwörter:

In eigener Sache: privacy-ticker.com – unser englischsprachiger Blog rund um das Thema Datenschutz

Liebe Leserinnen, liebe Leser,

 danke, dass Sie unseren Datenschutzticker abonniert haben! Wenn Ihnen das Angebot gefällt, schauen Sie doch gerne einmal auf unserem englischsprachigen Blog, dem privacy-ticker , vorbei.

 Auch dort halten wir Sie rund um das Thema Datenschutz auf dem Laufenden und fokussieren uns vor allem auf internationale Entwicklungen und Meldungen. Wenn Sie also stets über die Implementierung der Datenschutz-Grundverordnung, den internationalen Datentransfer, Meldungen über Facebook, Google und Co. und viele weitere Themen informiert werden möchten, abonnieren Sie doch gerne auch unseren privacy-ticker

 See you soon!

Kategorien: Allgemein
Schlagwörter:
1 2 3 4 142