Schlagwort: Informationspflichten

DSGVO-Umsetzung bei DAX-30-Unternehmen

7. November 2018

Die Consent-Management-Plattform Usercentrics hat einem Bericht des Presseportals zu Folge kürzlich die Webseiten von mehreren DAX-30-Konzernen analysiert um diese auf ihre Konformität mit den Anforderungen der DSGVO zu überprüfen. Dabei stellte sich heraus, dass die Webseiten aus datenschutzrechtlicher Sicht teilweise erhebliche Mängel aufweisen. Dies obwohl in der heutigen Zeit die Webseite eines Unternehmens als Aushängeschild und erste Visitenkarte des jeweiligen des jeweiligen Unternehmens gilt.

Mängel bestehen insbesondere hinsichtlich des Einsatzes von Cookies und anderen Webseiten-Ressourcen, die Informationen über das Internetverhalten des Nutzers erheben und für die Unternehmen zu betrieblichen Zwecken ausgewertet werden. Im Rahmen der Cookienutzung kommen wiederrum oftmals Dienstleister zum Einsatz, die aus datenschutzrechtlicher Sicht Dritte sind und Einblick in die Informationen – als sog. Auftragsverarbeiter – erhalten. Hier fehlt es oft an einer transparenten Information der Nutzer, die aufgrund der Informationspflichten der DSGVO auf den Umstand der Übermittlung hinzuweisen sind. Auch über die Möglichkeit des Nutzers, dem Einsatz der Cookies zu widersprechen wird, laut Analyse von Usercentrics, häufig nicht in hinreichender und transparenter Weise informiert.

Der Test habe aber auch einige positive Beispiele gezeigt. So haben fünf der analysierten Unternehmen auf ihrer Webseiten ein sog. Cookie-Consent-Management implementiert, im Rahmen dessen der Nutzer dem Einsatz der jeweiligen Cookies einzeln zustimmen oder widersprechen kann.

Die Analyse zeigt einmal mehr, dass auch fünf Monate nach Inkrafttreten der DSGVO hinsichtlich der Einhaltung der datenschutzrechtlichen Anforderungen noch bei vielen Unternehmen Nachbesserungspotential besteht, um etwaige Sanktionen wie Bußgelder oder andere aufsichtsbehördliche Maßnahmen sowie Ansprüche von Betroffenen zu vermeiden.

Primera División-App hört Nutzer ab

12. Juni 2018

Wenn Nutzer der offiziellen App der Primera División Fußballspiele der spanischen Liga über die Smartphone-Applikation schauen, wird im Hintergrund das Mikrofon des Smartphones aktiviert. Dies räumte die Liga nun nach Inkrafttreten der DSGVO ein und begründete das Vorgehen damit, dass mit Hilfe der aufgezeichneten Audio-Dateien festgestellt werden könne, ob das Fußballspiel beispielsweise in einer Fußball-Kneipe und dort über einen Fernseher den Gästen gezeigt werde. Durch diese Information könne die spanische Liga kontrollieren, ob die entsprechende Kneipe auch die Gebühren dafür zahle oder den Gästen das Spiel in unberechtigter Weise zur Verfügung stellt. Neben den audiovisuellen Informationen teilt die App auch den Standort des Nutzers.

Hintergrund der Funktion sei, dass der Primera División pro Jahr ein Schaden von 150 Million Euro dadurch entstehe, weil viele öffentliche Gaststätten keine offizielle Lizenz für das Zeigen der Fußballspiele besitzen bzw. die Lizenzgebühr hierfür nicht bezahlen.

Mit der Vorgehensweise gerät die spanische Liga in Kritik, insbesondere da die App rund 10 Millionen Nutzer verzeichnet. Sie verteidigt sich allerdings damit, dass die Privatsphäre der Nutzer nicht in Gefahr sei, da die App nicht das reine Audio-Signal der Smartphones abgreife, sondern nur den sogenannten Binär-Code.

Facebook kündigt Privacy-Center an

20. Februar 2018

Vor wenigen Tagen hat der Social-Media-Riese Facebook seine Einstellungen für die Privatsphäre überarbeitet. Im Rahmen der Änderungen hat es auch erstmalig seine Datenschutzgrundlagen veröffentlicht und zeigt in diesen auf, welche Informationen der Nutzer zu welchem Zweck gesammelt und geteilt werden. Bislang hatte Facebook diese in langen und intransparenten Nutzungsbedingungen vorgehalten.

Darüber hinaus kündigte das US-amerikanische Unternehmen an, innerhalb seines Netzwerkes mit einem sogenannten Privacy Center online zu gehen. Das Privacy Center soll für die Nutzer alle datenschutzrechtlich relevanten Einstellungen bündeln und damit die Verwaltung und den Schutz der Informationen erleichtern. Mit zukünftigen Erklärvideos in der Timeline will Facebook seine Nutzer auf das neue Feature aufmerksam machen und deren Bewusstsein für sichere Privatsphäreeinstellungen steigern. Ein konkretes Datum, wann das Privacy Center für die Nutzer zur Verfügungen stehen soll, gab Facebook allerdings nicht an.

Mit Einführung des Privacy Centers trägt Facebook insbesondere den künftigen, gesetzlichen Pflichten der DSGVO Rechnung, nach denen Unternehmen ihren Nutzern den Umgang mit personenbezogenen Daten einheitlich und transparent präsentieren müssen und die Nutzer dabei insbesondere detailliert über die Art, den Umfang und die Zwecke der Verarbeitung informieren müssen.

Sind umfassende DSGVO-Informationspflichten auf Videoüberwachung anzuwenden?

1. Februar 2018

Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) legt größten Wert auf die Transparenz im Zusammenhang mit der Verarbeitung personenbezogener Daten. So sollen zum Zeitpunkt der Erhebung verpflichtend eine Reihe an Angaben gemacht werden, welche die betroffenen Personen über die Datenverarbeitung und deren Zwecke in Kenntnis setzen.
Art. 13 DSGVO verlangt dabei mindestens die folgenden (sage und schreibe) 12 Aussagen:

  • Name und Kontaktdaten des Datenverarbeiters
  • Kontaktdaten des Datenschutzbeauftragten des Datenverarbeiters
  • Zweck(e) der Verarbeitung
  • Die „berechtigten Interessen“ im Sinne der DSGVO, sofern sich hierauf seitens des Datenverarbeiters berufen wird
  • Die Empfänger der erhobenen Daten (z.B. Auftragsverarbeiter der erhebenden Stelle)
  • Die Absicht, die Daten in einen Staat außerhalb der EU zu übermitteln, sofern diese besteht
  • Die Dauer der Speicherung, im Umkehrschluss auch den regelmäßigen Löschzeitpunkt
  • Eine Belehrung der betroffenen Person über ihre Rechte (Auskunft, Löschung etc.)
  • Die Widerruflichkeit einer Einwilligung, sofern die Verarbeitung auf einer solchen basiert
  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Ggf. bestehende gesetzliche Vorschriften zur Bereitstellung der erhobenen Daten
  • Ggf. Informationen zum Bestehen einer „automatisierten Einzelentscheidung“ im Kontext der jew. Verarbeitung

Angesichts der Fülle an bereitzustellenden Informationen stellt sich die Frage, wie dies im Anwendungsfall der Videoüberwachung umgesetzt werden kann. Aktuell muss davon ausgegangen werden, dass Videokameras mit entsprechenden Aushängen zu versehen sind.
Kürzlich hat sich die sogenannte „Datenschutzkonferenz“, ein Gremium der 16 Landesdatenschutz-Aufsichtsbehörden und des Pendants auf Bundesebene, in Form eines Informationspapiers („Videoüberwachung nach der Datenschutz-Grundverordnung“) zu dieser Thematik geäußert. Auf dieser Grundlage kann im Kontext des Sonderfalls Videoüberwachung künftig von folgenden Pflichtangaben ausgegangen werden, die sich gegenüber dem Gesetzeswortlaut leicht reduziert darstellen:

  • Kenntlichungmachung des Umstands der Beobachtung (bspw. durch ein Kamera-Piktogramm)
  • Identität des Überwachenden
  • Kontaktdaten des Datenschutzbeauftragten der überwachenden Stelle
  • Zwecke und Rechtsgrundlage der Verarbeitung/Überwachung
  • Die „berechtigten Interessen“ im Sinne der DSGVO, sofern einschlägig
  • Dauer der Speicherung (Löschzeitpunkt)
  • Hinweis auf den Zugang zu den weiteren Pflichtinformationen

Folglich ist es möglich, auf Teile der verlangten Pflichtinformationen an Ort und Stelle zu verzichten und auf diese z.B. mithilfe eines Links auf eine Website (oder zusätzlich auch durch einen QR-Code) zu verweisen.

Spätestens seit der Stellungnahme der Aufsichtsbehörden aber ist klar, dass es für die Datenerhebung mithilfe von Videokameras keine Ausnahme hinsichtlich der umfangreichen Informationspflichten geben wird.