Datenschutz-Eklat in der Dorfmetzgerei

13. Dezember 2018

“Guten Tag Frau …”, so begrüßte eine Metzgerei-Verkäuferin eine Kundin und wurde erst einmal zurechtgewiesen. Sie möchte nicht das ihr Name öffentlich genannt wird. Außerdem verstoße dies nach ihrer Ansicht gegen die DSGVO. Stimmt das denn wirklich?

Dazu müsste zunächst der sachliche Anwendungsbereich gemäß Art. 2 Abs. 1 DSGVO eröffnet sein. Dieser ist eröffnet, sobald eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten oder eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, vorliegt. Eine automatisierte Verarbeitung liegt bei einer persönlichen Ansprache einer Kundin nicht vor.

Fraglich ist, ob eine nichtautomatisierte Verarbeitung personenbezogener Daten vorliegt, die dateibezogen erfolgt. Nach dem Erwägungsgrund 15 Satz 3 der DSGVO kommt es bei “Dateibezug” auf die Ordnung nach bestimmten Kriterien an. Ein Dateibezug liegt dagegen nicht vor, wenn der Datenbestand keinen allgemeinen Ordnungskriterien folgt. Es ist nicht davon auszugehen, dass die Namen der Kunden in einem Aktenbestand oder in einer sonstigen Aktenführung geordnet werden. Die Metzgerin hat wohl vielmehr den Namen gemerkt. Dies stellt jedoch keine Verarbeitung dar. Aus diesem Grund ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet.

Wenn jemand eine Metzgerei betritt, möchte derjenige wohl im Zweifel einen Kaufvertrag abschließen. Die persönliche Ansprache ist Teil der vorvertraglichen Vertragsverhandlungen und stellt keine Datenverarbeitung dar.

EU-Richtlinie für schärfere Strafen bei Betrug im Rahmen von bargeldlosen Zahlungen

12. Dezember 2018

Am Dienstagabend haben sich Vertreter des Europäischen Parlaments, des Ministerrates sowie der Kommission auf einen Richtlinienentwurf geeinigt, um zukünftig mit einem schärferen Schwert gegen Betrugs- und Fälschungsfälle in Bezug auf den Umgang mit bargeldlosen Zahlungsmitteln wie Kredit- oder EC-Karten vorgehen zu können. Die Richtlinie umfasst dabei erstmalig auch die rechtswidrige Nutzung von virtuellen Währungen, wie z.B. Bitcoins oder die mobile Zahlung über Smartphones. Ziel der Richtlinie ist dabei die europaweite Harmonisierung von Mindeststrafrahmen bei Delikten, die die oben genannten Fälle der rechtswidrigen Datennutzung und Nutzung der Zahlungsmittel erfassen. Das Strafmaß reicht dabei, je nach Schwere des Delikts, von einem Jahr bis zu fünf Jahren Freiheitsstrafe.

Die Richtlinie erfasst zudem die Fälle, in denen Zahlungsdaten z.B. durch die Nutzung von Phishing-Mails, Skimming an Geldautomaten oder Terminals rechtswidrig erhoben und in der Folge rechtswidrig genutzt werden. Schätzungsweise werden mit solchen Betrugsfällen jährlich mindestens 1,8 Milliarden Euro rechtswidrig erwirtschaftet.

Die Richtlinie muss nun durch das Parlamantsplenum und dem Rat angenommen werden. Nach dem Inkrafttreten der Richtlinie werden die Mitgliedstaaten 2 Jahre Zeit haben, die Vorschriften in nationales Recht umzusetzen.

Neues DSGVO-Umsetzungsgesetz in Spanien – Meldepflicht auch in Ihrem Konzern?

Am 6. Dezember 2018 wurde ein neues spanisches Datenschutzgesetz veröffentlicht. Das “Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales” (Gesetz zum Datenschutz und zur Gewährleistung digitaler Rechte) wurde mit 93% parlamentarischer Unterstützung verabschiedet und setzt die Datenschutz-Grundverordnung (DSGVO) in nationales spanisches Recht um.

Das Gesetz enthält eine Reihe von Vorschriften, welche die Datenverarbeitung im Betrieb betreffen. So reicht beispielsweise die Zustimmung einer betroffenen Person nicht aus, um die Verarbeitung besonderer Datenkategorien zu legitimieren, wenn der Hauptzweck z.B. darin besteht, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit oder genetische Daten einer Person zu ermitteln.

Das Gesetz enthält auch eine Liste von Fällen, in denen Unternehmen einen Datenschutzbeauftragten benennen müssen, z.B. Unternehmen, die Netzwerke betreiben und elektronische Kommunikationsdienste erbringen, Bildungszentren sowie öffentliche und private Universitäten.

Bitte beachten Sie:

Alle Unternehmen haben bis zu 10 Tage nach (obligatorischer oder freiwilliger) Ernennung eines Datenschutzbeauftragten Zeit, um die spanische Datenschutz-Aufsichtsbehörde über die Person des Datenschutzbeauftragten sowie dessen Erreichbarkeit zu informieren. Konzerne mit in Spanien niedergelassenen Unternehmen sollten diese kurzfristige Meldepflicht berücksichtigen.
Für bereits bestehende Ernennungen des Beauftragten dürfte die 10-tägige Frist seit Veröffentlichung des Gesetzes am 6. Dezember laufen.

Eine der größten inhaltlichen Neuerungen ist wohl die Einführung neuer digitaler Rechte wie das Recht auf universellen Zugang zum Internet, das Recht auf digitale Bildung, das Recht auf Privatsphäre und Nutzung digitaler Geräte am Arbeitsplatz, das Recht auf Privatsphäre vor Videoüberwachungsgeräten und Tonaufnahmen am Arbeitsplatz sowie Regelungen zum digitalen Nachlass (“derecho al testamento digital”).

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 7): Wo kann ich erfahren, welche Daten über mich vorliegen und verarbeitet werden?

11. Dezember 2018

Gemäß § 17 Abs. 1 KDG hat der Betroffene das Recht, von dem Verantwortlichen eine Auskunft darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Danach ist dieser Anspruch gegenüber dem Verantwortlichen geltend zu machen. § 4 Nr. 9 KDG definiert den Verantwortlichen als den Menschen oder die Dienststelle/Einrichtung, die über die Mittel der Datenverarbeitung entscheidet. Das bedeutet, dass sich der Betroffene immer an die Person oder Stelle wenden muss, bei der die Informationen über ihn vorliegen. Die Auskunftserteilung erfolgt nur auf Verlangen der betroffenen Person. Sie ist in der Regel unentgeltlich. Nur dann, wenn weitere Kopien über die erforderliche Anzahl hinaus erbeten werden, kann hierfür ein angemessenes Entgelt in Rechnung gestellt werden. Folgende Beispiele verdeutlichen dies.

So bekommt jeder, der wissen will, welche Daten seine Kirchengemeinde über ihn zur Verfügung hat, die Auskunft über das betreffende Pfarrbüro.

Der Klient einer Caritasdienstelle wird vor Ort über den Inhalt und den Umfang des Datensatzes über seine Person unterrichtet.

Auch eine Schule muss den Schüler und die Sorgeberechtigten über die gespeicherten Informationen unterrichten.

Ungeeignet ist die Anfrage beim Diözesandatenschutzbeauftragten, da dieser nicht über die verarbeiteten Daten verfügt. Sollte sich eine Einrichtung jedoch weigern, Auskunft zu erteilen, ist er der richtige Ansprechpartner für eine Beschwerde.

Kategorien: Allgemein
Schlagwörter: ,

Lichtbild als biometrisches Datum

Gemäß Art. 9 Abs. 1 DSGVO zählen biometrische Daten zu den besonderen Kategorien personenbezogener Daten und unterliegen einem besonderen Schutz. Für solche Daten gilt ein strenges Verarbeitungsverbot mit Erlaubnisvorbehalt. Das bedeutet, biometrische Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es wird ausnahmsweise ausdrücklich durch das Gesetz erlaubt. Der zentrale Erlaubnistatbestand für Unternehmen ist die Einwilligung des Betroffenen.

Gemäß Art. 4 Nr. 14 DSGVO sind biometrische Daten „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Damit können auch Lichtbilder von Personen zu den biometrischen Daten zählen mit der Folge, dass diese nur bei einer ausdrücklichen gesetzlichen Erlaubnis, insbesondere der Einwilligung des Betroffenen verarbeitet werden dürfen.

Wann genau ein Lichtbild ein biometrisches Datum darstellt, ist nicht immer eindeutig zu beantworten und hängt von einer Abwägung im Einzelfall ab. Nach dem Erwägungsgrund 51 der DSGVO sollte die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Entscheidend sind daher die technischen Mittel und die Analyseverfahren mit denen die Lichtbilder aufgenommen und verarbeitet werden. Zweifelsfrei sind die Lichtbilder im Personalausweis / Reisepass biometrische Daten, da diese für einen automatisierten Abgleich mit der Person geeignet sind.

Werden Lichtbilder für bestimmte Verarbeitungsprozesse eingesetzt, insbesondere wenn diese mit speziellen Verfahren verarbeitet werden, sollte zwingend der Datenschutzbeauftragte einbezogen werden, um zu prüfen, ob es sich in diesem Fall um ein biometrisches Datum handelt und um zu klären, ob der Verarbeitungsvorgang eventuell anzupassen ist. In diesem Zusammenhang sollte auch geprüft werden, ob ggf. eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchzuführen ist. Zudem ist das Verfahren zwingend in das Verarbeitungsverzeichnis gemäß Art. 30 Abs. 1 DSGVO aufzunehmen. Zu empfehlen ist, in diesem zu dokumentieren, auf welcher Grundlage die Einschätzung, ob es sich um ein biometrisches Datum handelt oder nicht, erfolgte. Werden Dienstleister zu der Verarbeitung der Lichtbilder eingesetzt, ist ggf. ein Auftragsverarbeitungsvertrag abzuschließen.

Facebook – 10 Millionen Euro Strafe in Italien

Facebook ist in Italien zu einer Datenschutzstrafe von zehn Millionen Euro verurteilt worden. Die Wettbewerbsbehörde AGCM störte sich an der Weitergabe von Nutzerdaten bei der Anmeldung mit einem Facebook-Account bei anderen Websites und Apps. Facebook wird eine aggressive Geschäftspraxis vorgeworfen, wenn Daten ohne ausdrückliche Zustimmung der Nutzer an andere Plattformen weitergegeben werden. Die vorgesehenen Abwahl-Möglichkeiten für die Funktion seien nicht ausreichend.

Zudem sei es irreführend, wenn vor der Kontoeröffnung darauf hingewiesen wird, dass die Nutzung kostenlos sei. Denn, dass Nutzerdaten für kommerzielle Zwecke gesammelt werden, sei für den Nutzer nicht klar ersichtlich. Daher sei zu befürchten, die Nutzer könnten sich anders entscheiden, wenn sie vorher – also vor der Kontoeröffnung – angemessen auf diese Aspekte hingewiesen worden wären.

Facebook selbst erklärte, man prüfe die Entscheidung und hoffe, die Bedenken der Behörde ausräumen zu können. Denn eine Teilung der Nutzerdaten mit anderen Apps oder Websites ohne eine vorherige Zustimmung würde nicht praktiziert.

Potentiell leichterer Zugriff auf Online-Verkehr innerhalb der EU

10. Dezember 2018

What’s App, Chat, Cloud oder im Rahmen von Mails. Internetnutzer hinterlassen zwangsweise elektronische Spuren. Selbiges gilt auch für Nutzer, die Straftaten im Internet begehen oder aber dahingehende Informationen im Internet hinterlassen.

Derartige Informationen sollen nach dem Willen der Mehrzahl der Länder der Europäischen Union (EU) künftig erheblich leichter abgefragt werden. Zumindest sprachen sich die Justizminister der Mitgliedstaaten am vergangenen Freitag (7.12.2018) mehrheitlich für die Vereinfachung der Abfrage aus. So solle von der künftigen “E-Evidence Verordnung” insbesondere umfasst sein, dass Ermittler länderübergreifend auf Daten zugreifen können. Voraussetzung sei jedoch die Androhung einer Freiheitsstrafe von mindestens drei Jahren.

Aus rechtlicher (deutscher) Perspektive birgt die Regelung allerdings gefahren. So würden Länder durch die Abkehr vom Prinzip der doppelten Strafbarkeit in eine Situation gebracht, in der Sie eine Verfolgung von Handlungen unterstützen müssten, die in diesem Land straffrei seien. Hierdurch werde beispielsweise eine Herausgabe von Daten an Polen zur Verfolgung von Schwangerschaftsabbrüchen ermöglicht. In Deutschland ist ein Schwangerschaftsabbruch jedoch – unter gewissen Voraussetzungen – straffrei.

Von besonderer Relevanz scheint die künftige Norm für Provider zu werden. So sollen die Anfragen der ausländischen Ermittlungsbehörden wohl unmittelbar gegenüber den Providern gestellt werden sowie bußgeldbewährt sein. Vor diesem Hintergrund empfiehlt sich sowohl aus Compliance-Aspekten als auch unter Berücksichtigung von Haftungsgesichtspunkten eine frühzeitige rechtliche Beratung.

Kategorien: Allgemein
Schlagwörter:

Emotet- Die gefährliche Schadsoftware

7. Dezember 2018

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.

Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.

Mithilfe des sogenannten “Outlook-Harvesting” ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.

Insbesondere der Banking-Trojaner “Trickbot” wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.

Verbraucherschützer warnen vor smartem Spielzeug

6. Dezember 2018

Smarte Spielzeuge sind solche, die Gesichter und Stimmen erkennen und aufs Wort gehorchen können. Die Verbraucherzentrale Niedersachen rät Eltern diese Art von Spielzeugen einem gründlichen Datenschutz-Check zu unterziehen.

Damit keine unbemerkten Video- oder Audioaufzeichnungen gemacht und übertragen werden, sollte im Vorfeld sichergestellt werden, dass sich das Mikrofon und die Kamera auch deaktivieren lassen. Um weitere Hinweise zu erhalten, kann es hilfreich sein, dazu die Herstellerseite zu besuchen, wo sich oft die passende Bedienungsanleitung finden lässt.

Weiter sollte die Datenschutzerklärung von den Eltern studiert werden, um alle Informationen zu Datenspeicherung und -nutzung zu studieren. Diese kann Aufschluss darüber geben, ob und wo Daten, Nutzungs- oder Spielinformationen gespeichert werden.

Um zu verhindern, dass der Hersteller ungewollt zu viele Informationen sammelt, sollte in der Datenschutzerklärung nachgelesen werden, zu welchem Zweck welche Daten vom Hersteller gesammelt werden.

Handelt es sich um ein vernetztes Spielzeug, sollte auf eine ordentliche Absicherung geachtet werden. Beispielsweise bei einem Bluetooth-Funk als Verbindung zwischen einer Steuerungs-App auf dem Smartphone und dem Spielzeug sollte diese Verbindung per Eingabe einer änderbaren PIN geschützt werden. Häufig ist nur ein simpler PIN eingestellt, der sich nicht ändern lässt. Auch hier ist ein Blick auf die Website des Herstellers ratsam.

Kategorien: Allgemein
Schlagwörter:

Weihnachtskarten in Zeiten der DSGVO

5. Dezember 2018

Da viele Unternehmen seit Inkrafttreten der DSGVO unsicher im Umgang mit Daten sind, stellt sich die Frage, ob auch in diesem Jahr traditionell Weihnachtskarten verschickt werden dürfen, um sich bei Kunden und Geschäftspartnern für die Zusammenarbeit im vergangenen Jahr zu bedanken.

Als Rechtsgrundlage für diese Art der Datenverarbeitung kommen entweder eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder ein berechtigte Interesse des Unternehmens gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Den sichersten Weg stellt regelmäßig die ausdrückliche Einwilligung der Empfänger dar. Jedoch erscheint dies kaum praktikabel, da hierdurch die Geste der kleinen Aufmerksamkeit durch den Verwaltungsaufwand verdrängt werden könnte.

Somit kommt der Auffangtatbestand des berechtigten Interesses zum Tragen, wonach die Datenverarbeitung rechtmäßig ist, wenn sie zur Wahrung von überwiegenden berechtigten Interessen erforderlich ist.
Von einem solchen berechtigten Interesse ist insbesondere dann auszugehen, wenn es sich um Bestandskunden handelt oder um andere Geschäftskontakte, die vernünftigerweise damit rechnen können, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.
Neben Kunden müssen auch Personen, die ihre Adresse einem Unternehmen, zum Beispiel durch Übergabe ihrer Visitenkarte auf einer Messe, mitgeteilt haben, mit dem Erhalt einer Weihnachtskarte rechnen.

Darüber hinaus muss jeder Adressat über sein Widerspruchsrecht gemäß Art. 21 DSGVO aufgeklärt worden sein, z.B. im Rahmen von Datenschutzhinweisen, und darf der Datenverarbeitung nicht widersprochen haben.

Sofern die Karten bei Dritten unter Verwendung von Kontaktdaten gedruckt werden, sollte darauf geachtet werden, dass auch diese das Datenschutzrecht einhalten.

1 97 98 99 100 101 274