Datenschutz-Grundverordnung in Großbritannien trotz Brexit?

8. August 2017

Auch aus datenschutzrechtlicher Sicht ist bereits viel diskutiert worden, welche Folgen der Ausstieg des Vereinigten Königreichs aus der EU haben wird. Die britische Regierung hat nun aber verlauten lassen, trotz oder gerade wegen der Austrittsverhandlungen eine Anpassung des UK-Datenschutzrechts an die neuen EU-Maßstäbe der Datenschutz-Grundverordnung vornehmen zu wollen. Hierzu wurde die Pressemitteilung „Government to strengthen UK data protection law“ veröffentlicht.

Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 unmittelbar und zwingend in jedem EU-Mitgliedsstaat, lässt durch sogenannte Öffnungsklauseln aber zum Teil Spielraum für national individuelle Gestaltung. Als erster Mitgliedsstaat hat Deutschland hiervon Gebrauch gemacht und ein neues Bundesdatenschutzgesetz konzipiert, das die bestehenden Spielräume für sich nutzt. Dieses Vorgehen plant nun auch die britische Regierung und will die Regelungen der Datenschutz-Grundverordnung in die Zeit nach der Durchführung des Brexit „retten“. Durch ein an die EU-Verordnung angepasstes Datenschutzrecht soll der ungehinderte Datenfluss zwischen Großbritannien und den kontinentaleuropäischen Staaten über den Brexit hinaus sichergestellt werden. Dass man durch ein neues Gesetz die Datenschutz-Grundverordnung in britisches Recht überführe, sei ein wichtiger Baustein für eine erfolgreiche Durchführung des Brexits, so die Pressemeldung.

Für die Zulässigkeit der Datenübermittlung an Stellen außerhalb der EU (sogenanntes „Drittland“) verlangt die Datenschutz-Grundverordnung in Art. 45 ein „angemessenes Schutzniveau“ in der betreffenden Region, welches von der Europäischen Kommission festgestellt werden kann. Hintergrund der geplanten Auferlegung der EU-Datenschutzregeln durch die britische Regierung dürfte daher sein, den Weg für einen entsprechenden Angemessenheitsbeschluss frühzeitig zu ebnen.

Bedenken des EU-Datenschutzbeauftragten zum „Once-Only“-Prinzip

4. August 2017

Im Rahmen der Realisierung des digitalen Binnenmarkts wurde im April 2016 von der EU-Kommission ein „E-Government Action Plan“ veröffentlicht. Eines der Grundprinzipien dieses Plans lautet „Once-Only“-Prinzip. Es soll den Bürgern bürokratischen Aufwand ersparen, indem sie in Zukunft nur einmal ihre persönlichen Daten bei Behörden angeben müssten. Nach der einmaligen Eintragung bei einem Amt würden die Daten auch von anderen Behörden verwendet werden können.
In einer am ersten August 2017 verfassten Stellungnahme des EU-Datenschutzbeauftragten hat der EU-Datenschutzbeauftragte Giovanni Buttarelli mehrere Bedenken bezüglich des „Once-Only“-Prinzips geäußert. Er hob insbesondere die noch zu unklare Rechtsgrundlage für die Verarbeitung der nur einmal eingetragenen Daten durch mehrere Ämter und die mögliche Gefährdung der Einhaltung der Grundsätze der Zweckbestimmung und der Datensparsamkeit hervor. Ferner wünschte sich der EU-Datenschutzbeauftragte, dass in dem Verordnungsentwurf verdeutlicht wird, wie die Anforderungen an eine wirksame Einwilligung nach der EU-Datenschutzgrundverordnung berücksichtigt werden.

Datenschutzrechtliche Aspekte bei der Nachrüstung von Dieselfahrzeugen

Mitte dieser Woche fand in Berlin der sogenannte Diesel-Gipfel statt. Auf diesem Gipfel haben die deutschen Hersteller von Diesel-Fahrzeugen zugesagt, rund 5,3 Millionen Autos mit einer neuen Abgas-Software auszustatten. Mit diesem kostenlosen Update soll der Ausstoß des Atemgifts Stickoxid verringert werden.

Neben der Frage, ob dieses Software-Update wirklich zu einer relevanten Absenkung des Stickoxidausstoßes führt, zeigt sich nun, dass die Autohersteller möglicherweise auch grundsätzliche datenschutzrechtliche Aspekte nicht mitbedacht haben. Die entsprechende Software-Nachrüstung betrifft vor allem ältere Dieselfahrzeuge. Gerade solche älteren Modelle sind oftmals aber schon an neue Besitzer weiterverkauft, sodass die Hersteller in den meisten Fällen die neuen Besitzer der Fahrzeuge nicht kennen werden. Demnach müsste für eine Nachrüstung das Kraftfahrtbundesamt der Industrie den Herstellern Namen und Adresse der Käufer übermitteln.

Eine Sprecherin der Bundesdatenschutzbeauftragten Andrea Voßhoff bestätigte, dass eine solche Datenweitergabe durch das Kraftfahrtbundesamt einer ausdrücklichen Einwilligung der Betroffenen oder einer einschlägigen gesetzlichen Grundlage bedürfe. Eine ausdrückliche Einwilligung dürfte jedoch in kaum einem Fall vorliegen. Demnach prüft das Verkehrsministerium aktuell, ob es eine gesetzliche Grundlage für die Übermittlung der Daten der Fahrzeugbesitzer gibt. Eine Datenübermittlung käme eventuell dann in Betracht, wenn ein Fahrzeugrückruf aufgrund erheblicher Mängel für die Verkehrssicherheit oder die Umwelt rechtlich geboten sei.

Automatische Gesichtserkennung durch Kameras – Modellversuch in Berlin

3. August 2017

In Berlin ist diese Woche ein Pilotprojekt zur Gesichtserkennung gestartet. Am Bahnhof Südkreuz wird mit mehreren Kameras ein optisches Überwachungssystem getestet. Die Testphase ist für ein halbes Jahr angelegt.

Mit knapp 300 Teilnehmern, die häufig die speziellen Videokameras passieren, soll getestet werden, ob ihre Gesichter automatisch von den Kameras identifiziert werden. Dafür wurde eine Datenbank mit biometrischen Fotos der Teilnehmer angelegt. Um den Test datenschutzrechtlich abzusichern ist der Testbereich durch Schriftzüge und Hinweisschilder markiert, so dass Passanten, die nicht erfasst werden wollen, den Bereich umgehen können. Ob dies tatsächlich den datenschutzrechtlich Anforderungen entspricht, ist stark umstritten. Das Bundesverfassungsgericht hatte am 23.02.2007 zu dieser Thematik folgendes festgestellt:

„Von einer einen Eingriff ausschließenden Einwilligung in die Informationserhebung kann selbst dann nicht generell ausgegangen werden, wenn die Betroffenen aufgrund einer entsprechenden Beschilderung wissen, dass sie im räumlichen Bereich der Begegnungsstätte gefilmt werden. Das Unterlassen eines ausdrücklichen Protests kann nicht stets mit einer Einverständniserklärung gleichgesetzt werden.“

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk kritisiert das Projekt genauso wie der Deutsche Anwaltverein (DAV) .“Es gibt keine grundgesetzliche Basis dafür, diese Methode flächendeckend einzuführen“, sagte der Präsident des DAV, Ulrich Schellenberg. Eine Software, die Gesichter in der Öffentlichkeit automatisch erkennt, verletze die Persönlichkeitsrechte der Bürger. Eine wasserdichte Norm, die diesen Angriff auf die informationelle Selbstbestimmung rechtfertige, gäbe es nicht.

Nach Ansicht von Innenminister Thomas de Maizière kann durch das optisches Überwachungssystem das Sicherheitsgefühl der Bevölkerung gestärkt werden. Der technische Fortschritt dürfe bei den Sicherheitsbehörden nicht haltmachen. Die Polizei brauche nicht nur Personal und Befugnisse, sondern auch gute Ausrüstung und intelligente Technik.

 

Unzulässiger Einsatz von Keylogger-Software

31. Juli 2017

Das Bundesarbeitsgericht hat mit Urteil vom 27.07.17 entschieden, dass die verdeckte Überwachung eines Arbeitnehmers mittels Keylogger-Software gemäß § 32 Abs. 1 Bundesdatenschutzgesetz (BDSG) unzulässig ist, solange kein hinreichend konkreter Verdacht einer Straftat oder einer anderen schweren Straftat besteht. (vgl. BAG, Urt. v. 27.03.2003 Az. 2 AZR 51/02)

In dem konkreten Fall hatte ein Arbeitnehmer gegen die außerordentliche, fristlose Kündigung seines Arbeitgebers geklagt. Dieser hatte auf den PCs seiner Mitarbeiter Keylogger installiert, die das Verhalten der Angestellten kontrollierte, indem alle Tastatureingaben protokolliert, sowie regelmäßig Screenshots angefertigt wurden. Hierdurch kam zum Vorschein, dass der betroffene Mitarbeiter den PC, während seiner Anwesenheit, mehrere Stunden außerdienstlich genutzt hatte, um unter anderem ein Computerspiel zu programmieren, darüber hinaus hatte er täglich Aufträge des Unternehmens seines Vaters bearbeitet.

Bereits das Landesarbeitsgericht Hamm hatte in der Vorinstanz entschieden, dass der Einsatz von Keylogger Software unverhältnismäßig sei, da es beispielsweise auch möglich gewesen wäre, den Computer in Anwesenheit des Angestellten zu durchsuchen bzw. zu kontrollieren. Das BAG bestätigte das Urteil und entschied, dass es durch den Einsatz der Software zu einem Eingriff in das informationelle Selbstbestimmungsrecht des Angestellten gekommen sei.
Der Verstoß des Arbeitgebers gegen § 32 BDSG führt zu einem Verwertungsverbot. Eine Überwachung des Mitarbeiters war nach § 32 Abs. 1 BDSG nicht zulässig gewesen, da kein auf konkreten Tatsachen beruhender Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung bestand.

Notwendigkeit einer Betriebsvereinbarung für die Einführung von Microsoft Office 365

28. Juli 2017

Microsoft Office 365 kann auch in der Cloud betrieben werden. Und genau dies macht die Einführung dieses Systems im Unternehmen spannend wie auch datenschutzrechtlich kompliziert. Dies geht zurück auf aktuelle Praxisprobleme rund um die Cloud, insbesondere aus datenschutzrechtlicher Sicht. Hier ist noch eine Menge in Bewegung. Vor allem ist bereits jetzt abzuschätzen, dass die Rechtslage durch die DSGVO noch weiter an Komplexität zunehmen wird. Mit Microsoft Office 365 ist es jedenfalls möglich nicht nur alle Dokumente, sondern auch Telefonverbindungen, Termine, Emails usw. in die Cloud zu übertragen.

Dadurch wird möglich, dass alle Mitarbeiter auf alle Daten zugreifen und von überall auch bearbeiten können. So schön das auch klingt, ist der Datenschutz dabei nicht zu vernachlässigen. Denn möglich ist eben auch eine fast vollständige Überwachung der Mitarbeiter, so dass dem Begriff der Leistungskontrolle dadurch eine völlig neue Tragweite zukommt. Der Arbeitgeber kann nämlich beispielsweise nachvollziehen, wer wie lange an einem Dokument gearbeitet hat oder wer, wem, wie lange eine Email geschrieben hat. Ausgeschlossen ist überdies nicht, dass Daten miteinander verknüpft werden können. Auf diese Weise können aussagekräftige Bewegungsprofile des Mitarbeiters erstellt werden.

Aus Sicht der Unternehmen geht es freilich um wertvolle Informationen, wollen sie herausfinden wie viel ein Mitarbeiter leisten kann, um daraus wiederum Leistungsvorgaben definieren zu können. Gerade diese Vor- und Nachteile je nach einzunehmender Sichtweise, macht es erforderlich, dass der Betriebsrat die Einführung von Microsoft Office 365 bestätigt. Insofern hat der Betriebsrat hier ein Mitbestimmungsrecht.

  • 87 Betriebsverfassungsgesetz

 

(„1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen (…)

6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (…)“

 

Dieses Recht sichert letztlich das Persönlichkeitsrecht der Mitarbeiter und ist somit eng verbunden mit dem Datenschutzrecht, da das Persönlichkeitsrecht hier wegen der unfreiwilligen Preisgabe personenbezogener Daten der Mitarbeiter verletzt werden kann.

Im Rahmen der Betriebsvereinbarung kommt es maßgeblich darauf an, darauf zu achten, dass insbesondere die IT-Sicherheit gewährleistet ist. Daneben müssen Mitarbeiter darüber informiert werden, welche Daten von ihnen erhoben, verarbeitet und genutzt werden.

 

 

 

 

 

 

Themenreihe DSGVO: Abschlussbeitrag

Der heutige Beitrag stellt den Abschluss der Themenreihe zur DSGVO dar.

Die DSGVO als Hybrid zwischen Richtlinie und Verordnung stellt sich der Herausforderung, ein harmonisiertes und effektives europäisches Datenschutzniveau auf den Weg zu bringen und den digitalen Rahmenbedingungen des 21. Jahrhunderts gerecht zu werden.

Wie in den letzten Wochen vorgestellt bringt die DSGVO einige Neuerungen und Änderungen mit sich, die den nationalen Gesetzgeber vor einen Anpassungsprozess stellen. Beispielsweise wird den Rechten der Betroffenen eine größere Wichtigkeit gegenüber den vorher geltenden Richtlinien eingeräumt.

In Deutschland musste das Bundesdatenschutzgesetz (BDSG) an die DSGVO angepasst werden. Es kam zu einer Novellierung des BDSG, welche aufgrund des Zeitdrucks, wegen der anstehenden Bundestagswahl, schnell durchgeführt werden musste. Kürzlich wurde das umgangssprachlich BDSG-neu genannte Gesetz verabschiedet. Wir berichteten bereits ausführlich über den Gesetzgebungsprozess und die Kritik, die auf die Verabschiedung folgte. Das BDSG ist aber nicht das einzige Gesetz das angepasst werden muss, es wird noch mit Anpassungen von beispielsweise dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) gerechnet. Bis in der europäischen Datenschutzrechtlandschaft Ruhe einkehrt wird es noch einige Jahre dauern, zumal auch Rechtsprechung das neue Datenschutzrecht prägen wird.

Die DSGVO enthält einige Öffnungsklauseln, die der nationale Gesetzgeber ausfüllen kann und unter Umständen muss. Öffnungsklauseln eröffnen den nationalen Gesetzgebern zwar einen Handlungsspielraum allerdings ist der Gesetzgeber nicht komplett frei. Grundlage für die Öffnungsklauseln ist, dass das EU-Recht nach der Rechtsprechung des EuGH Vorrang vor den jeweiligen nationalen Gesetzen hat. Das bedeutet, dass die nationalen Gesetze so angepasst werden müssen, dass sie der DSGVO nicht widersprechen. Ein Widerspruch würde gegen die Verpflichtung aus dem europäischen Primärrecht zur loyalen Zusammenarbeit des Art. 4 Abs. 2 des Vertrags über die Europäische Union (EUV) verstoßen. Allen voran ist Art. 88 DSGVO zu nennen, der dem nationalen Gesetzgeber die Möglichkeit eröffnet die Datenverarbeitung im Beschäftigungskontext zu regeln. Der Beschäftigtendatenschutz kann, mangels Gesetzgebungskompetenz, nicht von der EU geregelt werden.

Ziel der DSGVO war unter anderem eine Vollharmonisierung des Datenschutzrechts in Europa, ob dieses Ziel wirklich erreicht werden kann, ist zweifelhaft. Durch die oben angesprochenen Öffnungsklauseln haben die nationalen Gesetzgeber einen großen Entscheidungsspielraum, der einer Harmonisierung zu wider läuft und wieder zu einer, zumindest teilweisen, Zerstreuung des datenschutzrechtlichen Niveaus führen wird. Demnach wird wohl eine der gewünschten Errungenschaften der DSGVO nicht erfüllt werden können.

Neben der DSGVO wird am 25.Mai 2028 auch die neue ePrivacy-Verordnung, die momentan noch nicht verabschiedet ist, in Kraft treten. Zurzeit liegt bereits ein Entwurf der neuen Verordnung vor. Zweck der ePrivacy-Verordnung ist die Anpassung der elektronischen Kommunikation an das Schutzniveau der DSGVO. Damit einhergehen soll dass das Vertrauen der Bürger in den digitalen Binnenmarkt gestärkt wird. Die ePrivacy-Verordnung flankiert die DSGVO und ersetzt die bis dahin geltende E-Privacy-Richtlinie und die Cookie-Richtlinie. Sobald es Neuigkeiten im Gesetzgebungsprozess der ePrivacy-Verordnung gibt, werden wir selbstverständlich darüber berichten.

Die DSGVO wird am 25. Mai 2018 in Kraft treten. Der deutsche Gesetzgeber hat seine Aufgabe mit der Novellierung des BDSG getan, jetzt müssen noch die Unternehmen in Deutschland ihre Hausaufgaben bis zum Stichtag erledigen.

Wie sich die DSGVO und die Rechtsprechung zu der Verordnung entwickeln wird und ob dem Tempo der Digitalisierung und Weiterentwicklung tatsächlich standgehalten werden kann bleibt allerdings noch abzuwarten.

Cyberangriff auf UniCredit-Bank: Informationen von 400.000 Kunden ausgelesen

Hackern gelang es durch einen Cyberangriff an Kontodaten von über 400.000 italienischen Kunden der UniCredit-Bank zu kommen. Das Unternehmen bestätigte den Angriff, unterstreicht allerdings auch, dass keine besonders kritischen Daten, wie Passwörter, kopiert wurden, die für einen Zugriff auf Kundenaccounts oder illegale Transaktionen genutzt werden könnten. Sicher ist jedoch, dass persönliche Informationen und die IBAN-Nummern der Kunden abhanden gekommen sind.

Bereits Ende 2016 war die UniCredit-Bank in das Visier von Hackern geraten und erlebt damit nun bereits den zweiten Cyberangriff innerhalb von zehn Monaten. Nach Angaben des Unternehmens soll der Zugriff auf die Daten über einen „unautorisierten Zugang durch einen italienischen Dienstleister“ erfolgt sein.

Die UniCredit-Bank will nun 2,3 Milliarden Euro investieren, um die eigene IT-Sicherheit zu stärken. Zu beachten ist hierbei, dass das Unternehmen für die Datensicherheit ihrer Kunden und Partner stets selbst verantwortlich bleibt, auch wenn verschiedene Prozesse – wie hier – durch Outsourcing von anderen Unternehmen im Wege der Auftragsdatenverarbeitung übernommen werden. Das Outsourcing stellt aber oftmals auch ein erhöhtes Sicherheitsrisiko dar, weshalb bei der Auswahl des Dienstleisters und den zu treffenden Sicherheitsvorkehrungen höchste Sorgfalt geboten ist. Erst recht, wenn 2018 die DSGVO in Kraft tritt und solche Datenpannen mit erhöhten Bußgeldern geahndet werden können.

Jährliche Schäden von 55 Mrd. Euro durch Datenverlust

27. Juli 2017

Eine repräsentative Studie des Digitalverbandes Bitkom hat ergeben, dass mehr als die Hälfte (53%) der deutschen Unternehmen in den letzten beiden Jahren in irgendeiner Form Opfer von Wirtschaftsspionage, Datenverlust oder -Diebstahl geworden ist. Entsprechend real sei die Gefahr für Unternehmen aller Branchen und Größen. Häufigstes Vorkommnis sei der Diebstahl von IT- oder Telekommunikationsgeräten. Unklar ist dabei, ob die Täter, die häufig „aus den eigenen Reihen“ stammen, dabei auf die Smartphones und Laptops selbst oder auf die hierauf gespeicherten Daten abzielen. Immer häufiger (mind. jedes 5. Unternehmen im Betrachtungszeitraum) sei auch das sog. Social Engineering zu verzeichnen, bei dem Mitarbeiter durch Vortäuschung falscher Tatsachen und Identitäten zur Preisgabe sensibler Informationen verleitet werden sollen.

Bemerkenswert ist, dass Unternehmen entsprechende Vorfälle aus Angst vor Imageschäden vergleichsweise selten (lediglich 31%) an Polizei oder andere Stellen melden. Aus datenschutzrechtlicher Sicht ist zu beachten, dass bei dem Verlust personenbezogener Daten nach geltendem und auch nach künftigem Recht eine Meldepflicht bestehen kann, deren Nichtbeachtung bußgeldbewährt ist. Mit der Anwendung der Datenschutz-Grundverordnung ab dem 25.05.2018 stellt sich in diesem Bereich eine drastische Erhöhung ein: Die – aus welchen Gründen auch immer – unterlassene Meldung eines Datenverlusts an die Aufsichtsbehörde kann dann mit einem Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweiten Konzern-Jahresumsatzes (Art. 83 Abs. 4 DSGVO) belegt werden. Diese potentiell immense zusätzliche Belastung kann durch den verordnungskonformen Umgang mit entsprechenden Situationen durch den Datenschutzbeauftragten verhindert werden.

Die Bitkom-Studie verdeutlicht die Notwendigkeit präventiver Maßnahmen wie z.B. die flächendeckende Verschlüsselung von Datenträgern, Installation aktueller Virenscanner-Software sowie regelmäßige Anfertigung von Backups. Neben der „technischen Sicherheit“ sind auch organisatorische Maßnahmen, z.B. die regelmäßige Sensibilisierung der Mitarbeiter, äußerst ratsam. Zwar kann auch hierdurch keine 100-prozentige Sicherheit gewährleistet werden. Dem verhältnismäßig geringen Aufwand stehe allerdings eine signifikante Verbesserung gegenüber der Risikolage ohne entsprechende Maßnahmen gegenüber.

Weltweite Geltung des Rechts auf Vergessenwerden?

25. Juli 2017

Zurzeit befasst sich der Europäische Gerichtshof (EuGH) erneut mit dem sogenannten „Recht auf Vergessenwerden“, wie heise berichtet. Hintergrund hierfür ist ein Rechtsstreit zwischen dem US-amerikanischen Suchmaschinenbetreiber Google und der französischen Datenschutzaufsichtsbehörde CNIL. CNIL hatte Google zuvor eine Strafe von € 100.000 auferlegt, da Links aus den Suchmaschinenergebnissen nicht weltweit gelöscht wurden. Um die Strafe gerichtlich prüfen zu lassen, zog Google vor das französische Verwaltungsgericht. Dieses legte die Frage, ob sich der Löschungsanspruch auf weltweite Suchergebnisse erstreckt, nun dem EuGH zur Entscheidung vor.

Vor drei Jahren hatte der EuGH das Recht auf Vergessenwerden in seinem Urteil manifestiert. Das Recht auf Vergessenwerden berechtigt Individuen von Suchmaschinenbetreibern die Löschung von Links zu Informationen zu verlangen, die veraltet sind oder ihre Privatsphäre verletzen. Seit Mai 2014 erhielt Google mehr als 2 Millionen dieser Aufforderungen. Sofern nach der Ansicht von Google die Voraussetzungen für die Löschung vorliegen, wird der beanstandete Link aus den Suchmaschinenergebnissen entfernt. Die Löschung findet jedoch nur auf den europäischen Versionen von Google statt. CNIL geht dies jedoch nicht weit genug und fordert eine weltweite Löschung, damit dem Recht auf Vergessen umfassend entsprochen wird. Google hält diese Forderung für absurd. Zum einen werde die Freiheit des Internets beschränkt. Außerdem könnte Google nationales Recht nicht weltweit umsetzen.

Mit Spannung wird deswegen nun die Entscheidung des EuGH erwartet.

1 2 3 4 146