Der Wahl-O-Mat aus datenschutzrechtlicher Perspektive

21. September 2017

Am Sonntag wird wieder gewählt. Die Bundestagswahl 2017 steht an und neben den etablierten Parteien gibt es auch eine Vielzahl an kleinen, unbekannten Parteien. Die oft ellenlangen und verklausulierten Wahlprogramme zu lesen, ist für viele Wähler eine Zumutung, sodass der Wahl-O-Mat – ein Angebot der Bundeszentrale für politische Bildung – eine praktische Hilfe darstellt.

Viele Wähler nutzen den Wahl-O-Mat vor der Wahl als Entscheidungshilfe. Der Wahl-O-Mat gleicht die Antworten der Nutzer auf die 38 gestellten Fragen mit den Positionen der Parteien ab. Da stellt sich die Frage, wie der Wahl-O-Mat mit den Daten zur politischen Einstellung der Nutzer umgeht. Immerhin handelt es sich bei der politischen Einstellung um sensible Daten.

Stiftung Warentest hat den Datenschutz sowohl der Android- als auch der iOS-App des Wahl-O-Mat auf den Prüfstand gestellt und kommt zu folgendem Ergebnis:

Eigentlich ist alles gut. Die Apps fragen nur wenige Daten ab, darunter sind weder der Klarname des Nutzers noch dessen E-Mailadresse, was dazu führt, dass der Nutzer nicht identifiziert werden kann. Die politische Einstellung lässt sich demnach nicht auf eine konkrete Person zurückführen. Kritisiert wird von den Testern, dass sowohl die Android- als auch die iOS-App mit Google Servern kommunizieren und überprüfen, ob der Nutzer dort ein Konto besitzt. Da sich die Abfrage aber lediglich auf die reine Existenz eines solchen Kontos bezieht, ist dies nur ein kleiner Kritikpunkt. Die Bundeszentrale rechtfertigt diesen Abgleich damit, dass dem Nutzer mit Google- Konto Push-Nachrichten geschickt werden können, zum Beispiel eine Erinnerung, am Sonntag wählen zu gehen.

Die Push-Nachrichten können aber von den Nutzern der Apps deaktiviert werden.

Insgesamt kommt der durchgeführte Test zu dem Ergebnis, dass die Apps als unkritisch anzusehen sind.

E-Privacy Verordnung aus Sicht von Politik und Wirtschaft

20. September 2017

Im Mai 2018 tritt neben der europäischen Datenschutzgrundverordnung (DSGVO) auch die sog. E-Privacy-Verordnung in Kraft. Sie ergänzt die DSGVO in Hinsicht auf elektronische Kommunikation. Bereits im Januar berichteten wir über den Entwurf der E-Privacy-Verordnung („Proposal for a Regulation on Privacy and Electronic Communications„, offizieller Entwurfstext) vom 10. Januar 2017.
Im März stellten wir das Wesen, den Anwendungsbereich und wesentliche Neuerungen (z.B. bei Cookies) in einem weiteren Beitrag zur E-Privacy-Verordnung dar.

Ein zentraler Regelungsbereich der E-Privacy-Verordnung betrifft Cookies. Zukünftig sollen die für Verbraucher störenden und für Webseitenbetreiber unansehnlichen Cookie-Warn-Banner obsolet werden.
Mozilla Firefox, Google Chrome oder der Internet Explorer holen ab Mai 2018 die Einwilligungen für das Erheben der Browserdaten ein – und zwar durch „benutzerfreundliche Voreinstellungen“ im Einklang mit den DSGVO-Grundsätzen Privacy by Design und Privacy by Default.
Führende Verlage Deutschlands, so DIE ZEIT, die Süddeutsche und die F.A.Z., äußerten sich kritisch gegenüber der geplanten Cookie-Einstellungen im Browser, wie wir im Mai schilderten. Die Neuregelung begünstige US-Konzerne zu Lasten des Werbefinanzierungsmodells im Nachrichtenmarkt.

Auf der Privacy-Konferenz des Digitalverbands Bitkom am 19. September äußerten sich Vertreter aus Wirtschaft und Politik zur Thematik. Jan Philipp Albrecht, stellvertretender Vorsitzender für Inneres und Justiz der Grünen im EU-Parlament, betonte die Notwendigkeit eines Europäischen Binnenmarkts für elektronische Kommunikation. Die Politik stehe in der Pflicht, nachdem die bisherige Cookie-Einwilligung und Do-Not-Track gescheitert seien. Er begrüßte die geplanten Browser-Voreinstellungen für Cookies grundsätzlich, soweit sie datenschutzfreundlich ausgestaltet werden. Auch Lokke Moerel von der Kanzlei Morrison & Foerster begrüßte die Cookie-Einwilligung durch Browsereinstellungen und fordert vom Gesetzgeber lange Umsetzungsfristen für die Browseranbieter. Da große Datenmengen in der Hand weniger US-Browseranbieter seien, schlug Dirk Woywod von der Bundesdruckerei eine Zertifizierung der Browser vor. Jan Lichtenberg von der Deutschen Telekom bemängelte das Fehlen von Möglichkeiten zur Pseudonymisierung im E-Privacy-Entwurf.

Es bleibt abzuwarten wie die endgültige Fassung der E-Privacy-Verordnung aussehen wird. Das Tracking von Nutzerdaten ist und bleibt ein wichtiges Thema nicht nur für den E-Commerce, da es jeden Webseitenbetreiber betrifft. Bei Neuigkeiten werden wir Sie gerne an dieser Stelle informieren.

 

Datenschutz bei der bevorstehenden Bundestagswahl

Am kommenden Sonntag kehrt nach 4-jähriger Legislaturperiode das Ereignis der Bundestagswahl wieder. Die Wahl bringt dabei den ein oder anderen Aspekt des Datenschutzes mit sich. Der folgende Kurzbeitrag stellt mit einem Augenzwinkern dar, was Sie bei der Wahrnehmung Ihres Wahlrechts nicht tun sollten.

Sofern Sie als Wahlberechtigte(r) nicht bereits die Briefwahl wahrgenommen haben und dabei für den Fall, dass der Brief nicht ankommt, Ihren Absender auf der Lasche des Umschlags notiert haben, geben Sie Ihre Stimme am Wahlsonntag klassisch im Wahlbüro ab. Nach Vorlage des Personalausweises und Ihrer Wahlbenachrichtigung, auf der Sie als Gedächtnisstütze Ihre Vorauswahl für die Direktkandidaten skizziert haben, werden die Unterlagen ausgehändigt und Sie können in einem sichtgeschützten Bereich eine Auswahl treffen. Allerdings erwischen Sie womöglich die Stoßzeit und finden sich aufgrund erneut gigantischer Wahlbeteiligung in einer langen Schlange wieder. Vielleicht können die Kreuzchen in einem unbeobachteten Moment auch auf dem Rücken des wartenden Vordermanns gesetzt werden. Nach wütendem Hinweis eines Wahlhelfers, dass dies so nicht zulässig sei, besinnen Sie sich doch auf die Wahl am dafür vorgesehenen Sitzplatz. Immerhin konnte den anderen Wartenden aber dadurch ein Gefallen getan werden, dass man sich den Platz hinter dem Sichtschutz mit dem Nachbarn teilt, der sich zu Ihnen in die Schlange gesellt hat. Erstmal ein Selfie für das Soziale Netzwerk mit nettem Gruß an alle Nichtwähler. Ob es einen Unterschied macht, wo Sie auf dem Wahlzettel Ihre Unterschrift setzen? Da Sie aus dem Fehler vor vier Jahren gelernt haben, werfen Sie im Anschluss Ihren Stimmzettel ohne den Personalausweis in die Wahlurne. Letztes Mal war der Wahlhelfer nach diesem Versehen überhaupt nicht hilfsbereit und so mussten Sie bis nach 18 Uhr warten, bis er endlich das Schloss an der Urne entfernte und Sie Ihr Ausweisdokument entgegen nehmen konnten. So ein Aufwand. Im heutigen Zeitalter sollten Wahlen längst über die gängigen digitalen Kanäle, z.B. über Whatsapp, ablaufen können.

Kategorien: Allgemein
Schlagwörter: ,

Windows 10 Enterprise kann datenschutzkonform im Unternehmen eingesetzt werden

19. September 2017

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat die Datenströme in Microsofts Betriebssystem Windows 10 untersucht. Im 19-seitigen Prüfbericht kommen die Datenschützer zu dem Ergebnis, dass die Enterprise-Version des Betriebssystems mit gewissen Einstellungen an den Gruppenrichtlinien datenschutzkonform eingesetzt werden kann.

Im Mittelpunkt der Prüfung stand die automatisierte Übermittlung von Nutzerdaten an Microsoft. Auch sog. Telemetrie-Daten sorgten im Vorfeld für Kritik an Windows 10. Die Windows-Telemetrie ist meist voreingestellt und übermittelt im Hintergrund Daten über die Art der Nutzung an Microsoft. Dazu gehören technische Daten wie z.B. Absturzberichte oder Typ der verwendeten Hardware. Die vom Betriebssystem ermittelten Daten kann Microsoft u.a. für Werbung oder Produktverbesserungen verwenden.

Die Prüfer des BayLDA stellten fest, dass die Unternehmensversion von Windows 10 mit wenig Aufwand datenschutzkonform konfiguriert werden kann. Kritische Datenübertragungen lassen sich mit gezielten Einstellungen in den Windows Gruppenrichtlinien unterbinden. Die Prüfung des BayLDA fand in Abstimmung mit anderen europäischen Aufsichtsbehörden statt. Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) wie z.B. „Privacy by Design“ bewerteten die Prüfer nicht.

Bis Mai 2018 plant Microsoft zwei neue Betriebssystem-Updates. Wie die Aufsichtsbehörden das aktualisierte Windows 10 mit Blick auf den Datenschutz und eventuell der DSGVO bewerten, bleibt abzuwarten.

BITKOM: Jedes dritte Unternehmen hat sich noch nicht mit der EU-Datenschutzgrundverordnung beschäftigt!

Am 25.05.18 müssen die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) umgesetzt sein. Doch nur eine Minderheit der Unternehmen wird diesen Termin einhalten können. 15 Prozent der Unternehmen mit 20 oder mehr Mitarbeitern gehen davon aus, dass sie die Vorgaben der DSGVO zu diesem Datum vollständig umgesetzt haben. Weitere 15 Prozent erwarten, dass sie die Anforderungen zum größten Teil erfüllen werden. Rund jedes zweite Unternehmen (54 Prozent) sagt, in acht Monaten werde die Umsetzung teilweise erfolgt sein, jedes zehnte (10 Prozent) räumt aber ein, zu diesem Zeitpunkt noch gar nicht oder gerade erst mit der Umsetzung begonnen zu haben. Dies ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen, die der Bitkom heute im Rahmen seiner Privacy Conference in Berlin vorgestellt hat. „Die Zeit drängt, um die Vorgaben der Datenschutzgrundverordnung umzusetzen. Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“, so Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom.

One more thing – Apple präsentiert Face ID

13. September 2017

Auf der diesjährigen Keynote hatte Apple-Chef Tim Cook neben dem iPhone 8 noch ein weiteres Highlight zu präsentieren: Als „one more thing“ wurde das Jubiläumsmodell iPhone X vorgestellt.
Beim iPhone X fällt direkt auf den ersten Blick auf, dass das Display nahezu die komplette Vorderseite bedeckt. Platz für den typischen Apple Home-Button, in dem bei den Vorgängermodellen unter anderem der Fingerabdrucksensor für die Touch-ID integriert war, bleibt da nicht mehr. Anders als bei Modellen der Konkurrenz verschiebt Apple diesen Sensor jedoch nicht auf die Rückseite des iPhones, sondern ersetzt ihn durch eine komplett neue Technologie. Das iPhone X wird nicht mehr mit einem Fingerabdruck, sondern mittels Gesichtserkennung (Touch ID) entsperrt. In Zukunft legt der Nutzer zum Entsperren also nicht mehr seinen Finger auf den Home-Button, sondern er schaut sein iPhone X einfach an. Neben der Entsperrung soll die Face ID unter anderem auch für andere Dienste wie etwa Apple Pay benutzt werden.

Um die Gesichtserkennung zu ermöglichen, hat Apple in der oberen Leiste des iPhone X verschiedene Hardwarekomponenten verbaut. Das von Apple TrueDepth genannte System zur Gesichtserkennung besteht aus einer Frontkamera, einem Projektor, einer Infrarotkamera, Licht zum Beleuchten des Gesichts, einem Näherungssensor und einem Umgebungslichtsensor. Über den Projektor werden etwa 30000 unsichtbare Punkte auf das Gesicht des Nutzers projiziert und anschließend mithilfe der Kamera und den verschiedenen Sensoren ausgelesen. Dank des Infrarotsensors soll dies auch im Dunklen funktionieren. Aus diesen Informationen errechnet der im iPhone X verbaute A11 Bionic genannte Prozessor dann ein mathematisches Modell des Gesichts und speichert dieses. Zum Entsperren, oder für die Nutzung der anderen Funktionen der Face ID, wird das neu errechnete Gesichtsmodell mit dem gespeicherten Modell abgeglichen. Erst bei einer entsprechenden Übereinstimmung soll die Funktion aktiviert bzw. freigegeben werden. Nach Angaben von Apple soll der Prozessor sogar in gewisser Weise lernfähig sein und erkennen, ob der Nutzer eine Mütze trägt oder sich einen Bart hat wachsen lassen.

Um die Sicherheit der bei der Nutzung von Face ID erfassten Daten zu gewährleisten, setzt Apple, wie schon bei den Fingerabdrucksensoren, auf Secure Enclave als Sicherheitsarchitektur. Hierbei handelt es sich um einen speziell geschützten Bereich im A11, in dem die biometrischen Gesichtsdaten gespeichert werden. Darüber hinaus speichert Apple für die Face ID kein Foto, sondern nur ein mathematisches Modell des Gesichts. Nach Angaben von Apple soll es selbst beim Knacken der Sicherheitsmechanismen von Secure Enclave nicht möglich sein, dieses mathematische Modell in ein Gesicht zurück zu überführen. Zum Schutz der Privatsphäre des Nutzers werden die biometrischen Daten auch nicht in die Apple-Cloud übertragen. Sie landen also nicht auf den Servern von Apple, sondern verbleiben lokal auf dem jeweiligen Gerät gespeichert. Damit die Gesichtserkennung nicht unbeabsichtigt oder unbemerkt durch Dritte ausgelöst werden kann, erfordert das System vom Nutzer die volle Aufmerksamkeit. Die Gesichtserkennung soll sich nur dann fehlerfrei durchführen lassen, wenn der Nutzer mit offenen Augen auf das iPhone X guckt.

Inwiefern Face ID die Sicherheitsstandards einhält, die Apple verspricht, wird sich ab dem Verkaufsstart im November zeigen. Es ist davon auszugehen, dass sich ab diesem Zeitpunkt Biometrie-Experten und Hacker dem iPhone X annehmen und versuchen werden, die Gesichtserkennung zu überlisten oder sie zu umgehen. Aktuell laufen unter Experten schon die ersten dahingehenden Wetten, ob Face ID auf dem 34. Chaos Communication Congress im Dezember oder schon früher gehackt werden wird.

Kategorien: Allgemein
Schlagwörter: , , ,

Spanische Datenschutzbehörde verhängt Geldbuße gegen Facebook

12. September 2017

Die spanische Datenschutzbehörde hat aufgrund mehrerer Datenschutzverstöße eine Geldbuße in Höhe von 1,2 Millionen Euro gegen Facebook verhängt. Die Behörde wirft dem Unternehmen zwei schwere Verstöße und einen sehr schweren Verstoß gegen das spanische Datenschutzrecht vor.

So habe Facebook personenbezogene Daten wie die Ideologie, religiöse Ansichten, das Geschlecht oder persönliche Vorlieben ohne ausdrückliche Zustimmung seiner Nutzer erhoben und ohne sie darüber zu informieren, zu welchem Zweck die Daten genutzt werden. Dabei sollen die Daten anhand von Cookies nicht nur bei Facebook-Nutzern, sondern auch bei Nicht-Mitgliedern, die sich auf den Seiten von Facebook aufgehalten haben, erhoben worden sein. Laut der spanischen Datenschutzbehörde greife Facebook nicht nur Informationen über die eigene, sondern auch über Drittseiten ab.

Darüber hinaus kritisiert die Behörde, dass Facebook seine Mitglieder über die Nutzung ihrer Daten nicht ausreichend informiere und die vorhandenen Datenschutzbestimmungen für den Durchschnittsnutzer nicht ausreichend und verständlich genug seien.

Neben Spanien ermitteln auch die Behörden in Belgien, Frankreich, Deutschland und den Niederlanden wegen ähnlicher Vorwürfe.

 

Identitätsdiebstahl im Onlinehandel: die Berliner Datenschutzbeauftragte möchte die Unternehmen stärker in die Verantwortung nehmen

In einer Pressemitteilung vom 8. September 2017 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Onlinehandel tätige Unternehmen dazu aufgefordert, Identitätsdiebstähle effektiver zu bekämpfen.

Beim Identitätsdiebstahl verwenden Betrüger unter Angabe einer alternativen Lieferadresse den Vornamen, Namen und/oder das Geburtsdatum einer anderen Person, um Ware auf Rechnung zu bestellen, ohne diese zu bezahlen. Weil die Betrüger zudem häufig auch falsche E-Mail-Adressen nutzen, erfahren die Opfer oft erst dann von ihrer vermeintlichen Bestellung, wenn sie Post von Inkassounternehmen und Wirtschaftsauskunfteien erhalten.

Gerade in Bezug auf die Auskunfteien stellt der Identitätsdiebstahl eine starke Belastung für die Opfer dar, da die Bestellung eine negative Eintragung und eine damit verbundenen Herabstufung ihrer Bonität zur Folge haben kann.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die als Aufsichtsbehörde vermehrt Fälle des Identitätsdiebstahls prüft, stellt in ihrer Pressemitteilung fest, „dass Unternehmen nicht genügend Maßnahmen ergreifen, um Identitätsdiebstähle zu verhindern.“ Die Datenschutzbeauftragte Maja Smoltczyk kritisiert unter anderem, dass die Unternehmen teilweise selbst offensichtliche Unklarheiten hinsichtlich des Bestellers in Kauf nähmen und die Pakete trotzdem versendeten. In einem Originalzitat, das in der Pressemitteilung veröffentlicht wurde, heißt es: „Unternehmen dürfen den Schutz von Betroffenen nicht hinten anstellen, um Lieferungen möglichst rasch versenden und Umsatz erzeugen zu können. Wenn es zu einem Identitätsdiebstahl kommt, brauchen die Opfer zudem Unterstützung. Sie dürfen nicht wie potentielle Betrüger behandelt werden. Es wird Zeit, dass der Onlinehandel seiner Verantwortung in diesem Bereich stärker gerecht wird.“

In ihrer Pressemitteilung fordert die Datenschutzbeauftragte insbesondere folgende Maßnahmen:

  • „Unternehmen müssen geeignete Methoden zur Identifizierung ihrer Kunden einsetzen. Bei Auffälligkeiten, die auf Betrug hinweisen können, wie etwa einer abweichenden Lieferanschrift, müssen durch die Onlinehändler oder deren Zahlungsdienstleister Kontrollen durchgeführt werden (z. B. eine Melderegisterauskunft oder persönliche Rückfragen).
  • Eine Erstbestellung mit einer von der Rechnungsadresse abweichenden Lieferadresse sollte nicht auf Rechnung möglich sein.
  • Werden Wirtschaftsauskunfteien im Rahmen der Bestellung angefragt, um die bestellende Person zu identifizieren, müssen sie auf Abweichungen, z. B. bei der Adresse, ausdrücklich hinweisen.
  • Mahnungen sollten nicht ausschließlich per E-Mail versendet werden. Betrüger geben gern falsche E-Mail-Adressen an, sodass Opfer nicht oder erst sehr spät von dem Identitätsdiebstahl Kenntnis erlangen.
  • Wenn bei der Bestellung Unstimmigkeiten hinsichtlich der Identität der bestellenden Person aufgekommen sind, muss dieser Umstand auch einem ggf. später eingeschalteten Inkassounternehmen als Anhaltspunkt für einen möglichen Identitätsdiebstahl mitgeteilt werden.
  • Eine negative Meldung an eine Wirtschaftsauskunftei und ein gerichtliches Vorgehen wegen Nichtzahlung gegen die Betroffenen dürfen nur erfolgen, wenn keine Anhaltspunkte für einen Identitätsdiebstahl vorliegen.
  • Alle beteiligten Branchen müssen eine effektive und einfache Beschwerdemöglichkeit ohne unnötigen Verwaltungsaufwand schaffen. In jedem Fall muss der Kundenservice für das Thema Identitätsdiebstahl sensibilisiert werden.
  • Alle Fälle von Identitätsdiebstahl müssen zur Anzeige gebracht werden. Das ist auch deshalb wichtig, damit die Kriminalstatistik ein aussagekräftiges Bild von dem Phänomen Identitätsdiebstahl geben kann.“

OLG Nürnberg lässt Dashcam-Aufnahmen als Beweismittel zu

11. September 2017

In seinem Hinweisbeschluss vom 10.08.17 (Az. 13 U 851/17) hat das OLG Nürnberg die Verwertung von Aufnahmen einer Dashcam in den Fällen zugelassen, in denen sich der Unfallhergang anders nicht ermitteln lässt.

Bei Dashcams handelt es sich um Kameras, die am Armaturenbrett eines Fahrzeugs befestigt werden und das Geschehen in Fahrtrichtung aufzeichnen. Bisher waren die Nutzung der Kameras und die Verwertung der Aufzeichnungen im Zivilprozess sehr umstritten.

In dem Fall ging es um einen Auffahrunfall auf der Autobahn. Kläger und Beklagter schilderten verschiedene Tathergänge, sodass ein Sachverständigengutachten bestellt werden musste. Nur durch die Verwertung der Dashcam-Aufnahmen kam der Sachverständige zu dem Ergebnis, dass die Schilderungen des Beklagten zutreffen sind. Anders wäre ein sicheres Ergebnis nicht möglich gewesen.  Auf dieser Grundlage entschied das LG Regensburg zugunsten des Beklagten (Urt. v. 28.03.2017 – 4 O 1200/16).

Nach der Auffassung des OLG muss im Rahmen einer Interessen- und Güterabwägung  im konkreten Einzelfall  entschieden werden, ob die Aufzeichnungen verwertet werden dürfen.  Grundsätzlich steht das Recht auf informationelle Selbstbestimmung  aus Art. 2 Abs. 1 GG i.V.m. Art 1 Abs. 1 GG der aufgezeichneten Personen gegenüber dem Recht des Verwenders der Dashcam auf effektiven Rechtsschutz und seinem Anspruch auf rechtliches Gehör.

Das Interesse der anderen Verkehrsteilnehmer besteht darin nicht im öffentlichen Raum für kurze Zeit aufgenommen zu werden. Durch die Aufzeichnung werde nicht in Ihre Intims- oder Privatsphäre eingegriffen. Die Fahrer anderer Fahrzeuge seien praktisch nicht sichtbar, allenfalls nur schemenhaft. Im Unterschied zur Videoüberwachung  nehmen Dashcams auch nicht gezielt bestimmte Personen auf. Außerdem werde nur eine kurze Sequenz aus der Gesamtaufzeichnung über den Unfallhergang angeschaut. Ein Eingriffsintensität fällt somit sehr gering aus. Auch die Interessen unbeteiligter Dritter werden nicht oder nur minimal betroffen.

Dem gegenüber steht das Interesse des Verwenders der Dashcam nicht auf der Grundlage unwahrer Behauptungen (zu Unrecht) verurteilt zu werden. Nach Ansicht des OLG überwiegt es jedenfalls dann, wenn keine anderen zuverlässigen Beweismittel zur Verfügung stünden.

Kategorien: Allgemein
Schlagwörter: ,

Urteil zur Datenschutzgrundverordnung

10. September 2017

Verwaltungsgericht Karlsruhe Urteil vom 6.7.2017 – 10 K 7698/16

Das Verwaltungsgericht Karlsruhe ist der Auffassung, dass die Datenschutzbehörde Baden-Württemberg sich nicht auf eine Rechtsvorschrift der DSGVO vor dem 25. Mai 2018 berufen kann.

Der Sachverhalt bezieht sich auf einen Bescheid der Datenschutzbehörde vom 25.11.2016, mit der die Behörde von der Klägerin, die eine Auskunftei ist, verlangte Forderungen nach § 28a Bundesdatenschutzgesetz (BDSG) und die damit zusammenhängenden Informationen über eine Person nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.

Zur Begründung führte die Behörde aus, dass aktuell zwar kein BDSG relevanter Datenschutzverstoß vorliege, aber mit der Datenschutzgrundverordnung (DSGVO) Anpassungen vorgenommen werden müssten, die einen zukünftigen Datenschutzverstoß verhindern sollen. Darauf erwiderte die Klägerin, dass sie ihre Löschkonzepte an die DSGVO anpassen werde.

Die Datenschutzbehörde legte diese Erklärung jedoch nicht als eine vollstreckbare Zusicherung, sondern lediglich als eine Absichtserklärung aus. Gegen die daraufhin erlassene Anordnung wehrte sich die Klägerin mit Erfolg. Das Verwaltungsgericht Karlsruhe hob den entsprechenden Bescheid wieder auf.

Zur Begründung führte das Gericht folgendes aus:

Dem Bescheid fehlt die Rechtsgrundlage. Er kann weder auf das BDSG noch auf die DSGVO gestützt werden. Die Klägerin verstößt nicht gegen das BDSG. Auf die DSGVO kann sich die Behörde zum jetzigen Zeitpunkt nicht berufen, da die Datenschutz-Grundverordnung noch nicht bzw. erst ab dem 25.05.2018 anwendbar ist. Daher ergibt sich hieraus keinerlei Handhabe für die Behörde. Inhaltlich betont das Gericht, dass künftig Art. 6 Abs. 1 lit. f DSGVO bei der Frage nach Löschfristen heranzuziehen ist. Art. 6 Abs. 1 lit. f DSGVO schreibe allerdings nur vor, dass über Löschfristen im Rahmen der berechtigten Interessen abzuwägen ist. Eine feste Vorgabe durch die Behörde wird diesen Voraussetzungen nicht gerecht.

Das Urteil zeigt zweierlei ganz deutlich. Einerseits wird ersichtlich, dass die Behörden inhaltlich noch nicht alle Feinheiten der DSGVO durchdacht haben und andererseits wird die Wichtigkeit einer sauberen Umsetzung der DSGVO deutlich. Die zuständigen Behörden werden sich nicht lange Zeit lassen bis sie auf die Verantwortlichen zugehen werden.

1 2 3 4 5 151