14. Februar 2019
Digitale Bezahlmethoden sind zunehmend Teil des Verbraucheralltags. Daraus resultieren sowohl Vorteile, als auch datenschutzrechtliche Risiken. Es entsteht die Gefahr, die Menschen noch gläserner zu machen als sie es ohnehin schon sind.
Zwar dominiert in Deutschland weiterhin das Bezahlen mit Bargeld, allerdings wächst auch hier der Markt für neue digitale Bezahlmethoden, den sogenannten „Mobile Payments“. Vor allem das Bezahlen mittels Handy-Apps wird immer beliebter.
In anderen Ländern wie zum Beispiel Dänemark ist das bargeldlose Bezahlen etablierter. Demzufolge brauchen die Dänen nur 10 Minuten für ihre Steuererklärung, während man in Deutschland stundenlang Kassenzettel zusammensucht und ordnet, so Achim Berg (Bitkom-Präsident). Weitere Vorteile im mobilen Bezahlen sieht Achim Berg auch für den Einzelhandel. Dieser profitiere durch weniger Ausgaben für Verwaltung, Transport und Schutz von Bargeld. Zudem erschwere das digitale Bezahlen Steuerhinterziehung und Schwarzarbeit. Steuerbetrüger haben es demnach schwerer, wenn sich Zahlungsströme besser nachvollziehen lassen. Zu beachten ist jedoch, dass jeder Bezahlvorgang eine Datenerhebung und Datenverarbeitung auslöst. Indessen kann aufgrund der Metadaten eines Bezahlvorgangs auf das persönliche Kaufverhalten, zumindest aber auf die Art und den Ort des Käufers, rückgeschlossen werden. Wenn nun große datensammelnde Unternehmen Daten weiter anreichern können, steigt die Gefahr der Bildung von aussagekräftigen Profilen über die Verbraucherinnen und Verbraucher.
Anlässlich des vor kurzem stattgefundenen „Safer Internet Day“ (dies ist ein von der Europäischen Union initiierter jährlicher Aktionstag, der für mehr Sicherheit im Internet sorgen soll und jedes Jahr am zweiten Tag der zweiten Woche des zweiten Monats stattfindet) erklärte der Bundesbeauftragte für den Datenschutz Ulrich Kelber in seiner Pressemitteilung: „Aus Sicht des Datenschutzes ist es essentiell, dass das datenschutzrechtlich völlig risikofreie anonyme Bezahlen auch in der Zukunft weiterhin möglich bleibt. Ungeachtet dessen kann man die Digitalisierung und ihre Auswirkungen auf unseren Alltag nicht einfach ignorieren. Vielmehr müssen wir als Datenschützer das Ziel verfolgen, die neuen digitalen Zahlungsmethoden so auszugestalten, dass sie für die Verbraucherinnen und Verbraucher datenschutzrechtlich bestmöglich nutzbar sind. Hierzu gehören neben Sicherheit und Transparenz der ablaufenden Datenverarbeitungsprozesse vor allem Maßnahmen, die verhindern, dass alltägliche Zahlungsvorgänge automatisch mit einem Verlust der Privatsphäre oder der Bildung ausgedehnter Nutzer- und Konsumprofile einhergehen. Hier könnte auch der Gesetzgeber ins Spiel kommen und die Anbieter von mobilen Payment-Lösungen dazu verpflichten, zumindest auch eine Form des anonymen Zahlens anbieten zu müssen. Unter dem Stricht muss mobiles Bezahlen auf jeden Fall möglich sein, ohne dabei gleichzeitig auch alle persönliche Daten offenzulegen.“
Nun muss es darum gehen, das digitale Bezahlen für alle komfortabel und so sicher wie möglich zu machen.
13. Februar 2019
Im Rahmen der siebten Tagung des Europäischen Datenschutzausschusses (EDSA) am 12. Februar 2019 wurden unter anderem die datenschutzrechtlichen Herausforderungen im Rahmen des Brexit diskutiert.
Im Fokus stand die Möglichkeit eines Austritts Großbritanniens ohne Abkommen mit der EU („No-Deal-Szenario“). Dies hätte zur Folge, dass Großbritannien im datenschutzrechtlichen Sinn ein Drittland darstellen würde (wir berichteten). Drittländer sind Staaten, die kein Mitglied der Europäischen Union und nicht Teil des Europäischen Wirtschaftsraumes (EWR) sind. An die Übermittlung personenbezogener Daten in Drittländer stellt die DSGVO besondere Anforderungen (Art. 44 bis 46 DSGVO). Der EDSA einigte sich auf ein Informationspapier, das Vorkehrungen für betroffene Unternehmen und Behörden erläutert um diese DSGVO-Anforderungen zu erfüllen. Laut Ankündigung wird das Informationspapier auf der Homepage des Ausschusses veröffentlicht.
Der Ausschuss ist ein unabhängiges Gremium, das zum Ziel hat
eine einheitliche Anwendung Europäischer Datenschutzvorschriften zu fördern. Im
Ausschuss sind alle nationalen Datenschutzaufsichtsbehörden des EWR und der
Europäische Datenschutzbeauftragte vertreten.
Die Datenschutz-Grundverordnung (DSGVO) räumt den Betroffenen in Art. 17 Abs. 1 ein Recht auf die Löschung ihrer Daten ein. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.
Die österreichische Datenschutzbehörde entschied im Dezember 2018, dass das sogenannte Recht auf Löschung personenbezogener Daten den Verantwortlichen nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen verpflichte. Auf Grundlage der DSGVO reiche eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann. Eine Löschung liege dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweise, mache die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität sei daher nicht notwendig.
Hintergrund des Streits war eine Anfrage eines österreichischen Betroffenen bei einer Versicherung. Unter Verweis auf Art. 17 DSGVO hatte dieser die unverzügliche Löschung seiner personenbezogenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch „Max Mustermann“ mit einer Musteradresse ersetzt und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.
Die Versicherung setzte den Betroffenen in Kenntnis, dass sie die Daten „DSGVO-konform anonymisiert“ habe. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht. Auch aus den Logdaten könne die ursprüngliche Anfrage nicht mehr mit dem Betroffenen verknüpft werden.
Das reichte dem Betroffenen jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Diese hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Art. 4 Nr. 2 DSGVO würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde in ihrer Entscheidung.
Vielmehr stehe dem Verantwortlichen hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.
11. Februar 2019
Das Beichtgeheimnis ist kirchenrechtlich in canon 983, 984
Codex Iuris Canonici (CIC) geregelt. Danach ist es dem Beichtvater (Priester)
streng verboten, über die Sünden des Büßers in irgendeiner Form zu sprechen,
ihn in sonst einer Form zu verraten oder die Kenntnis seiner Sünden bei der
Leitung einer Gemeinde oder einer anderen kirchlichen Einrichtung zu verwenden.
Anders ist die Verpflichtungserklärung von allen bei der Datenverarbeitung tätigen Personen abzugeben. Dabei kommt es nicht darauf an, ob diese haupt-, neben- oder ehrenamtlich tätig sind. Entscheidend ist allein, dass sie mit personenbezogenen Daten in Berührung kommen. Sie gehören zum Kreis des Verantwortlichen im Sinne von § 4 Nr. 9 KDG. Der Schutz der Intimsphäre der betroffenen Personen kann in diesen Fällen nur dann gewährleistet werden, wenn mit den personenbezogenen Daten vertraulich umgegangen wird. § 5 KDG untersagt daher, diese Daten in unbefugter Weise zu verarbeiten. Eine förmliche Verpflichtung auf die Einhaltung der Datenschutzvorschriften und besonders die Verpflichtung zur Wahrung des Datengeheimnisses soll dies sicherstellen. Hierdurch werden die Mitarbeiter zugleich auf die besondere Bedeutung dieser Verpflichtung und die Folgen ihrer Verletzung hingewiesen. Darüber hinaus schafft sie die Gelegenheit, die betroffenen Personen mit den bestehenden Datenschutzregeln vertraut zu machen.
Das Datengeheimnis hat daher einen sehr viel breiteren Anwendungsbereich als das Beichtgeheimnis. § 5 KDG verlangt nicht nur, dass mit den Daten vertraulich umgegangen wird, sondern untersagt auch die unbefugte Verarbeitung der Informationen, einschließlich ihrer Erhebung, Erfassung, der Organisation, dem Ordnen, sowie ihrer Speicherung, Anpassung, Veränderung, dem Auslesen, Abfragen und der Offenlegung durch Übermittlung oder Verbreitung.
Das hiesige geltende Gesetz zur Vorratsdatenspeicherung entspricht möglicherweise nicht den strengen Vorgaben des Europäische Gerichtshofs (EuGH). Das vermutet zumindest die bayrische Landesregierung, die sich damit gegen die Ansicht der Bundesregierung stellt.
Die Vorratsdatenspeicherung ist ein kriminalpolitisches Instrument, das die Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreiber eines öffentlichen Kommunikationsnetzes verpflichtet, bestimmte Daten, die von ihnen für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden, zum Zwecke der Ermittlung, Feststellung und Verfolgung von Straftaten zur Verfügung zu stellen.
Problematisch sei, dass diese Vorratsdatenspeicherung nach hiesigem Gesetz grundsätzlich anlasslos, generell und damit flächendeckend zu erfolgen hat und damit den Regelfall und nicht die Ausnahme darstelle. Der Leiter der Bayerischen Staatskanzlei, Florian Herrmann, äußert Bedenken dahingehend, dass auch Daten von Personen erfasst werden, bei denen keinerlei Anhaltspunkte dafür bestehen, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte.
Ebenso fraglich erscheint Hermann die Kompatibilität von EuGH Rechtsprechung und der Erhebung und Auswertung mobiler Verbindungs- und Standortdaten mittels der Funkzellenabfrage, “nachdem dort zwangsläufig auch die Daten unbeteiligter Dritter abgefragt werden.”
Trotz der erhobenen Zweifel hofft Herrmann, dass das Gesetz vor dem EuGH Bestand haben könnte. Generell ist Bayern für die Vorratsdatenspeicherung und gewährt als einziges Bundesland grundsätzlich sogar dem Verfassungsschutz Zugriff auf die Informationen. Hermann plädiert an das Bundesverfassungsgericht, den Fall der europäischen Instanz vorzulegen.
7. Februar 2019
Die Datenschutz-Grundverordnung (DSGVO) kennt kein Konzernprivileg. Eine Übermittlung von personenbezogenen Daten von einem Konzernunternehmen an ein anderes bedarf einer Rechtsgrundlage wie jede andere Übermittlung an einen Dritten auch. Als Rechtsgrundlage kommen sämtliche Tatbestände des Art. 6 Abs. 1 DSGVO in Betracht.
Werden bestimmte Prozesse / Aufgaben in einem Konzernverbund zentral von einer Stelle wahrgenommen, wie bspw. die Verwaltung der Mitarbeiterdaten, kann in der Regel das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden. Erwägungsgrund 48 bietet in Rahmen der nach Art. 6 Abs. 1 lit. f DSGVO durchzuführenden Interessenabwägung eine Hilfestellung. Er lautet:
„Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“
Danach kann eine Übermittlung von personenbezogenen Daten innerhalb eines Konzernverbunds zur Verwaltungsoptimierung und -vereinfachung ein berechtigtes Interesse für einen Datenaustausch innerhalb des Konzerns darstellen.
Die Auslagerung von bestimmten Tätigkeiten auf eine Konzerngesellschaft in einem Konzernverbund stellt darüber hinaus eine Auftragsverarbeitung gemäß Art. 28 DSGVO dar. Es bedarf daher des Abschlusses eines Vertrages über eine Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO.
Das Bundeskartellamt kritisiert Facebook und ist der Meinung, dass Facebook seine marktherrschende Stellung missbrauche.
Deshalb soll Facebook im Sammeln von Nutzerdaten beschränkt werden. Erhält Facebook Daten aus verschiedenen Quellen, etwa WhatsApp und Instagram, dürfen diese Daten nur mit Zustimmung der Nutzer zusammengeführt werden, teilte die Behörde mit. Auch die Verwendung des “Like”-Buttons auf Internetseiten anderer Anbieter soll eingeschränkt werden.
Facebook möchte diese Einschränkungen nicht hinnehmen und kündigte an, gegen den Beschluss Beschwerde einzulegen. Facebook ist der Meinung, dass sie zwar ein populäres Netzwerk seien, allerdings keine marktherrschende Stellung einnehmen. Zudem läge kein Verstoß gegen die DSGVO vor und könne auch nicht vom Kartellamt beurteilt werden. Für die Aufsicht über die Einhaltung der DSGVO seien Datenschutzbehörden zuständig.
Zwölf Monate hat Facebook Zeit, um sein Verhalten zu ändern und muss innerhalb der nächsten vier Monate Lösungsvorschläge machen. Gegen diese Entscheidung des Kartellamts kann Facebook innerhalb eines Monats beim Oberlandesgericht Düsseldorf Beschwerde einlegen.
Beschäftigte des Polizei- und Justizdienstes in Berlin stehen unter dem Verdacht, im Winter 2017 Drohbriefe an verschiedene Einrichtungen der linksautonomen Szene versendet zu haben. Inhalt der Drohbriefe seien Lichtbilder und weitergehende Informationen von 21 Personen, die angeblich ausschließlich aus polizei- und justizbehördlichen Quellen stammten. Die Drohbriefe seien Reaktionen auf Veröffentlichungen von linksautonomen Gruppen gewesen, die anlässlich des G20-Gipfels Lichtbilder von mehreren Berliner Polizeibeamten beinhalteten.
Als Folge des Verdachts stellte die Berliner Datenschutzbeauftragte Maja Smoltczyk damals einen Antrag auf Strafverfolgung gegen Unbekannt wegen Verstößen gegen das Berliner Datenschutzgesetz. Da die Vorfälle allerdings bislang – bis auf einen Fall, indem im August 2018 ein Polizeibeamter wegen unbefugtem Datenzugriff verurteilt wurde – noch nicht aufgeklärt wurden, forderte die Berliner Datenschutzbeauftragte die Staatsanwaltschaft nun erneut auf, ihr umfassende Informationen zukommen zu lassen. So sei bis heute unklar, wie die Täter an die personenbezogenen Daten gekommen sind und wo diese gespeichert wurden.
Da anders als z.B. in Hessen (wir berichteten kürzlich über einen ähnlichen Fall) die Datenschutzbeauftragte des Landes Berlin gemäß des Berliner Datenschutzgesetzes über keine Anordnungsbefugnis verfügt und so keine gerichtliche Klärung herbeiführen, sondern lediglich Beanstandungen aussprechen kann, ist sie auf die behördliche Zusammenarbeit angewiesen.
6. Februar 2019
Das Bundesverfassungsgericht hat in einem heute veröffentlichten Beschluss – die Beschlussfassung erfolgte bereits am 18. Dezember 2018 – die automatisierte Kraftfahrzeugkennzeichenkontrolle nach dem Bayerischen Polizeiaufgabengesetz als Verstoß gegen das Recht auf informationelle Selbstbestimmung in Teilen für verfassungswidrig erklärt.
Zur Begründung führten die Richter des obersten deutschen Gerichtes an, dass eine automatisierte Kontrolle des Kennzeichens einem Grundrechtseingriff gegenüber allen Personen entspräche, deren Kraftfahrzeugkennzeichen erfasst und abgeglichen werde. Dies gelte unabhängig davon, ob die Kontrolle zu einem Treffer führt oder nicht (Änderung der Rechtsprechung). Ausgehend hiervon bedürften Kennzeichenkontrollen nach dem Grundsatz der Verhältnismäßigkeit grundsätzlich eines hinreichend gewichtigen Anlasses. Liege ein derartiger Anlass nicht vor, könne der Grundrechtseingriff nicht gerechtfertigt werden. Diesen Anforderungen genügten die Vorschriften als Mittel der Schleierfahndung nicht.
Der Senat hat die verfassungswidrigen Vorschriften größtenteils übergangsweise für weiter anwendbar erklärt, längstens jedoch bis zum 31. Dezember 2019.
Sofern im Rahmen einer unternehmensinternen Veranstaltung Fotografien von Mitarbeitern und/oder Gästen angefertigt werden, liegt darin grundsätzlich ein Eingriff in das Recht am eigenen Bild der betroffenen Personen gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Da es allein dem Betroffenen obliegt, darüber zu entscheiden, wer unter welchen Umständen Fotos von ihm anfertigen und veröffentlichen darf, ist eine Rechtfertigung erforderlich.
Bei den Fotografien handelt es sich um personenbezogene Daten i.S.d. Art. 4 Nr. 1 Datenschutzgrundverordnung (DSGVO). Deren Verarbeitung ist auf Grund von Art. 6 Abs. 1 S. 1 lit. f DSGVO dann rechtmäßig, wenn die Veröffentlichung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Es ist eine umfassende Interessenabwägung durchzuführen. Wirtschaftliche Interessen des Unternehmens können zum Beispiel die Dokumentation einer betrieblichen Veranstaltung zu Werbezwecken, die interne Stärkung des Betriebsklimas oder der Betriebstreue und ggf. auch die Kundenbindung im Rahmen weiterer Marketingmaßnahmen sein.
Daneben kommt außerdem die Einwilligung gemäß Art. 4 Nr. 11, Art. 7 DSGVO als rechtssichere Rechtfertigungsgrundlage in Betracht. Sofern es sich bei den fotografierten Personen u.a. um Mitarbeiter handelt, wovon bei einem betrieblichen Ereignis auszugehen ist, sind hierbei die strengen Anforderungen des § 26 Abs. 2 Bundesdatenschutzgesetz (BDSG) zu beachten.
Während die Einwilligung im Sinne der DSGVO formfrei erteilt werden kann, sieht § 26 Abs. 2 S. 3 BDSG grundsätzlich die Schriftform für Einwilligungen im Rahmen eines Beschäftigtenverhältnisses vor.
Darüber hinaus muss die Einwilligung bestimmt, informiert und freiwillig abgegeben werden. Für die Beurteilung der Freiwilligkeit der Einwilligung von Mitarbeitern sieht § 26 Abs. 2 S. 1 BDSG ergänzend zu den Bestimmungen der DSGVO vor, dass bei der Beurteilung die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt wurde, zu berücksichtigen sind. Von der Freiwilligkeit kann jedoch gemäß § 26 Abs. 2 S. 2 BDSG ausgegangen werden, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.
Um der Informationspflicht ausreichend nachzukommen, sollte sich der Verantwortliche an den Art. 12 ff. DSGVO orientieren. Wegen der sog. Rechenschaftspflicht des Verantwortlichen sollte die Information schriftlich erfolgen. Es empfiehlt sich ein Aushang am Eingang des jeweiligen Veranstaltungsortes sowie innerhalb des Veranstaltungsgeländes. Die Aushänge müssen hierbei deutlich platziert werden, gut lesbar und inhaltlich verständlich sein. Sofern von den Mitarbeitern vorab eine schriftliche Einwilligung, etwa im Rahmen eines Onboarding-Prozesses, eingeholt wird, sollten die erforderlichen Informationen bereits im Rahmen der Einwilligung erteilt werden.
Schließlich ist die freie Widerrufbarkeit der Einwilligung gemäß Art. 7 Abs. 3 S. 1 DSGVO zu beachten, wobei der Widerruf seine Wirkung nur für die Zukunft entfaltet.
Fazit:
Sofern nicht ausgeschlossen werden kann, dass auch Fotos von einzelnen Mitarbeitern bzw. Gästen angefertigt und veröffentlicht werden, wobei eine Veröffentlichung im Intranet schon ausreicht, stellt die Eiwilligungserklärung den rechtssichersten Weg dar. Es sollte für diesen Fall vor Beginn einer betrieblichen Veranstaltung eine Einwilligung aller Teilnehmer schriftlich eingeholt werden.
Sofern von einem Mitarbeiter oder Gast keine Einwilligung vorliegt, dürfen von ihm/ihr keine Fotografien angefertigt und veröffentlicht werden, auf welchen der Betroffene im Fokus der Aufnahme steht und nicht lediglich als Beiwerk abgebildet wird.
Pages: 1 2 ... 93 94 95 96 97 ... 274 275 
