15. Oktober 2018
Nachdem ein Mieter einer Gemeindewohnung den mangelnden Datenschutz beklagte, will die kommunale Hausverwaltung der rund 2000 Wohnanlagen des „Wiener Wohnens“ bis zum Ende des Jahres 220.000 Klingelschilder entfernen.
Der Mieter hatte sich bei der Hausverwaltung beschwert, dass sein Name auf dem Klingelschild einen Eingriff in seine Privatsphäre darstelle. Daraufhin hatte sich die Hausverwaltung erkundigt und von der für Datenschutzangelegenheiten der Stadt Wien zuständigen Magistratsabteilung erfahren, dass die Verbindung von Nachname und Wohnungsnummer einen Verstoß gegen die DSGVO darstellt.
In Zukunft darf nur noch die Wohnungsnummer auf dem Klingelschild stehen. Es sei denn, dass ein Mieter seine Einwilligung erteilt hat. Man könnte diese Einwilligung entweder zuvor durch einen Fragebogen mit Opt-In einholen oder konkludent dadurch, dass die Mieter ihre Klingelschilder selber beschriften.
Österreichische Datenschützer sind der Meinung, dass diese Regelungen auch für private Vermieter und Vermieterinnen gelten.
12. Oktober 2018
Das LG Frankfurt a. M. hat in seinem Urteil vom 13.09.2018 (Az.: 2-03 O 283/18) das Veröffentlichen eines Videos von einer Kundin aus einem Frisör-Salon auf seiner Facebook-Seite für rechtswidrig erklärt.
Der Entscheidung lag ein Fall zugrunde, in dem ein Frisör ein Video und Fotos von einer Kundin in seinem Salon auf seiner Facebook-Seite veröffentlicht hatte. Die Kundin beschwerte sich, worauf der Frisör nur die Fotos entfernte aber nicht das Video. Darauf hin klagte die Kundin auf Unterlassung.
Das Gericht prüfte, ob der Frisör die Datenverarbeitung auf eine Rechtsgrundlage stützen kann. In Betracht kamen §§ 22, 23 KUG, Art. 6 Abs. 1 lit a und lit. f. DSGVO in Betracht. Laut Gericht konnte der Frisör nicht glaubhaft darlegen, dass die Kundin eingewilligt hatte. Da auch keine Ausnahmen vom Einwilligungserfordernis nach § 23 KUG einschlägig sind, ist die Veröffentlichung des Videos nicht von §§ 22, 23 KUG gedeckt ist. Mangels Einwilligung scheidet auch Art. 6 Abs. 1 lit. a DSGVO als taugliche Rechtsgrundlage aus. In der weiteren Prüfung verneinte das Gericht ein berechtigtes Interesse des Frisörs an der Veröffentlichung des Videos. Das LG zog hierfür die Grundsätze der §§ 22, 23 KUG und der dazugehörigen Rechtsprechung für die Abwägung heran. Demnach überwiegt bei einem Frisörbesuch das Interesse der Kundin an der Unterlassung gegenüber dem Werbeinteresse des Frisör-Salonbetreibers.
Da sich die Veröffentlichung des Videos auf keine Rechtsgrundlage stützen ließ, muss der Frisör nun das Video von seiner Facebook-Seite entfernen. Diese Entscheidung bestätigt nochmals die Bedeutung der Dokumentationspflichten im Zusammenhang mit der Einwilligung nach Art. 7 Abs. 1 DSGVO.
11. Oktober 2018
Das besondere elektronische Anwaltspostfach (beA) wurde Anfang diesen Jahres in Betrieb genommen und sollte den elektronischen Schriftverkehr zwischen Rechtsanwälten und Gerichten abwickeln, allerdings wurde es bereits kurz nach der Inbetriebnahme wegen eklatanter Sicherheitsprobleme wieder offline genommen. Nachdem die Probleme, zumindest teilweise beseitigt wurden, ging das beA am 03.September 2018 wieder online.
Abgesehen von einigen kleineren Startschwierigkeiten verlief die Wiederinbetriebnahme aus technischer Sicht reibungslos. Seit der Freischaltung läuft das System für alle Anwender stabil.
Bereits vor dem Neustart im September wurde allerdings eine Klage beim Berliner Anwaltsgerichtshof erhoben, die sich gegen die Bundesrechtsanwaltskammer (BRAK) richtet. Mit der Klage wird gerügt, dass die Sicherheitsmängel einem Neustart im Wege stehen. Die klagenden Rechtsanwälte, die über die Gesellschaft für Freiheitsrechte (GFF) klagen und die Klage mit einer Crowdfunding-Kampagne finanzieren, wollen erreichen, dass das beA mit Ende-zu-Ende-Verschlüsselung (E2EE) nachgerüstet wird.
Aufgrund der Tatsache, dass nur der Hauptsache-Rechtsschutz erhoben wurde und kein einstweiliger Rechtsschutz beantragt wurde, konnte der Neustart nicht verhindert werden. Es bleibt abzuwarten, wie das Gericht entscheidet.
Für Rechtsanwälte besteht gem. § 31 a Abs. 6 BRAO eine passive Nutzungspflicht.
Die Chemnitzer Innenstadt wird seit Anfang Oktober mit mehreren Kameras videoüberwacht. Der sächsische Landesdatenschutzbeauftragte drohte mit der Abschaltung der Kameras. Es fehlten nämlich noch bestimmte Dokumente, die sich beispielsweise mit folgenden Fragen beschäftigen: Welche Bereiche filmen die Kameras? Warum ist dies nötig? Und wer hat Zugriff auf die Aufnahmen? Solange diese Fragen nicht beantwortet sind, dürfen die Kameras rein formell betrachtet nicht in Betrieb genommen werden. Ordnungsbürgermeister Miko Runkel verwunderten diese Forderungen, da im Sommer ein Entwurf der Stadtverwaltung dem Datenschutzbeauftragten vorgelegt wurde und die von ihm gegebenen Hinweise abgearbeitet wurden. Nach eigener Aussage habe sich die Stadt an die Datenschutzgrundverordnung gehalten, sodass ein weiteres Dokument nicht erforderlich sei, sondern lediglich der Rat des Landesdatenschutzbeauftragten eingeholt werden müsse.
Seit dem 1. Oktober zeichnen 31 Kameras das Geschehen von belebten Orten in Chemnitz auf. Dazu gehören beispielsweise Zentralhaltestelle und das Areal um den Stadthallenpark. Laut Stadtverwaltung werden die Aufzeichnungen 10 Tage gespeichert. Es wird nur anlassbezogen ausgewertet. Die Polizei hat bisher kein Zugriff darauf, dies ändert sich jedoch sobald die Erlaubnis vorliegt.
10. Oktober 2018
Ein Team von Elite-Hackern (Googles Project Zero) hat eine Sicherheitslücke in WhatsApp entdeckt, welche es ermöglicht, ein Smartphone mit einem einzigen Video-Call zu kapern.
Der Fehler findet sich in der Speicherverwaltung des Video-Conferencings. Durch ein speziell präpariertes RTP-Paket kann die Speicherung derart durcheinander gebracht werden, dass der Absender einen eigenen Code einschleusen und damit das Smartphone kapern kann.
Das fällige Update, welches diese Sicherheitslücke aufheben soll, gibt es für die iOS-Version erst seit einer Woche. Das Android-Update gibt es bereits seit dem 28.September 2018. Damit böswillige Hacker keine Spionage-Software auf dem Gerät installieren können, sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Für das iPhone ist dies aktuell WhatsApp 2.18.93 und bei der Android-Version 2.18.302 (beziehungsweise 2.18.306 im Google PlayStore).
9. Oktober 2018
Nach Facebook räumt auch Google eine Datenpanne ein. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat die Ermittlung gegen das Online-Netzwerk Google Plus aufgenommen.
Durch eine Software-Panne bei Google Plus sollen Basis-Profilinformationen wie Name, E-Mail-Adresse, Geschlecht oder das Alter der Nutzer jahrelang für die App-Entwickler ohne Erlaubnis abrufbar gewesen sein. Diese Datenpanne sei im März 2018 bei Google entdeckt worden, welche sie für ein halbes Jahr für sich behielt. Dies räumte Google am Montag ein. Andere Daten seien jedoch nicht betroffen. Der Fehler sei unmittelbar durch Google behoben worden.
Als Reaktion wird die 2011 als Konkurrenz zu Facebook gestartete Plattform für die Verbraucher dichtgemacht. Darüber hinaus sollen auch die Möglichkeiten für App-Entwickler, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen, zukünftig eingeschränkt werden,
Das „Wall Street Journal“ berichtete unter Berufung auf interne Unterlagen Googles, dass dieses Datenleck bereits seit 2015 bestand. Google habe zwar keine Hinweise auf einen Datenmissbrauch, jedoch auch nicht genug Informationen, um einen solchen vollständig auszuschließen. Aus Sorge vor Vergleichen mit Facebook habe sich der Konzern im März dazu entschieden, die Öffentlichkeit nicht über die Entdeckung zu informieren.
Google selbst hat bisher keine Angaben dazu gemacht, wie lange diese Lücke tatsächlich bestand. Es könnten potentiell Profile von bis zu 500 000 Konten bei Google Plus betroffen sein. Genauere Angaben könne der Konzern nicht machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden.
Mit dem Ziel Vereine, Freiberufler und kleine oder mittelständische Unternehmen (kurz KMU) hinsichtlich der Pflichten zur Einhaltung datenschutzrechtlicher Anforderungen zu entlasten, haben zwei Bundesratsausschüsse, namentlich der Ausschuss für Innere Angelegenheiten und der Wirtschaftsausschuss, nach einer Bekanntgabe auf Twitter durch Prof. Jürgen Taeger empfohlen, die in § 38 BDSG geregelte Pflicht zur Benennung eines Datenschutzbeauftragten ab einer Mitarbeiteranzahl von zehn Personen abzuschaffen oder zumindest zu Gunsten der Verantwortlichen aufzulockern.
Vorgeschlagen wurde, die Pflicht gänzlich abzuschaffen oder die Pflicht auf Unternehmen zu begrenzen, die entweder personenbezogene Daten „zu gewerblichen Zwecken“ verarbeiten oder zumindest 50 Mitarbeiter beschäftigen, die mit der Verarbeitung personenbezogener Daten beauftragt sind.
Fraglich ist jedoch, wie die empfohlenen Änderungen im Rahmen der Benennungspflicht die genannten Arten der verschiedenen verantwortlichen Stellen tatsächlich entlasten würden. Denn die Auflockerung der bloßen Benennungspflicht bedeutet nicht, dass dies auch positive Auswirkungen im Hinblick auf die weiteren datenschutzrechtlichen Pflichten, insbesondere aus der DSGVO haben würde. Weiterhin müssten die Verantwortlichen den großen Pflichtenkatalog aus der DSGVO genauso erfüllen wie bisher, nur, dass sie im Zweifel dann keinen Datenschutzbeauftragten mehr benennen müssten, der eine besondere Fachkenntnis vorweisen muss. Es ist daher anzunehmen, dass das Abmahn- und Bußgeldrisiko daher sogar im Vergleich zur derzeitigen Lage steigen könnte.
Im Ergebnis ist die Entwicklung hinsichtlich der Empfehlungen der beiden Bundesratsausschüsse mit Spannung zu verfolgen – sinnvoll erscheinen diese bis dato allerdings wenig.
An vielen deutschen Hochschulen werden mittlerweile Chipkarten genutzt, die für die Nutzung des Leistungsangebots der Hochschulen unerlässlich sind. Chipkarten werden u.a. als Bezahlkarte in der Mensa oder als Bibliotheksausweis eingesetzt.
Anders als in den USA dürfen deutsche Hochschulen und Unternehmen aber nicht wahllos viele Daten der Studierenden speichern. Laut einem Bericht der ZEIT werden in den USA über sogenannte Orts- und Zeitstempel massenweise Daten erhoben, um so die Gewohnheiten der Studierenden erfassen zu können. Die erhobenen Daten werden sodann ausgewertet, um das Risiko eines Studienabbruchs ermitteln zu können.
In Deutschland ist die Datenverarbeitung nur in den Grenzen des geltenden Datenschutzrechts zulässig. Personenbezogene Daten von Studierenden dürfen nach der geltenden DSGVO nur zu festgelegten, eindeutigen und legitimen Zwecken erhoben werden. Zudem gilt der Grundsatz der Datenminimierung, daher dürfen nicht mehr Daten erhoben werden, als für den Zweck der Verarbeitung erforderlich sind. Deutsche Hochschulen müssen diese Voraussetzungen bzw. diesen Grundsatz bei der Gestaltung von Chipkarten für die Studierenden in jedem Fall beachten.
Die FU Berlin hat bereits 2017 eine Campuscard als Teil der von der EU-Kommission in allen Mitgliedsstaaten geplanten Umstellung auf elektronische Studentenausweise eingeführt. Die Campuscard der FU Berlin soll technisch aber in der Art ausgestaltet sein, dass das Studierendenwerk beispielsweise nur das Guthaben auf der Mensakarte sehen kann und die Universität nur die Bibliotheksnummer. Die Daten liegen in getrennten Bereichen auf der Karte und werden unterschiedlich verschlüsselt. Den Datenschlüssel zu den jeweiligen Daten erhält nur derjenige, der ihn braucht.
Der EuGH hat nun entschieden, wann Behörden personenbezogene Daten der Betreiber elektronischer Kommunikationsdienste anfordern dürfen.
In dem bezeichneten Sachverhalt geht es um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Polizei wollte Zugriff auf Identifikationsdaten der Nutzer der Telefonnummer haben, die mit dem entwendeten Mobiltelefon aktiviert wurden. Identifikationsdaten wie u.a. Name und Adresse des Karteninhabers, sind personenbezogene Daten.
Nach spanischem Recht stellt ein Raub keine „schwere Straftat“ (mehr als 5 Jahre Strafandrohung) dar. In diesem Fall stellt sich nun die Frage, ob eine Verarbeitung dieser Identifikationsdaten zulässig ist, wenn es um Aufklärung einer Straftat geht, die gerade nicht als „schwer“ einzustufen ist. Anders gefragt: Wie weit dürfen die Behörden gehen, um Straftaten aufzuklären?
Zunächst stellt das Gericht u.a. fest, dass der Zugang von Behörden zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten einen Eingriff in die EU-Grundrechtecharta (insb. Art. 7 und 8 EU-GrCh) darstellt.
Sodann stellt der EuGH auf die Schwere des Eingriffs ab. Ein schwerer Eingriff könne nur bei einer schweren Straftat gerechtfertigt sein. Andererseits sei es aber auch grundsätzlich möglich, personenbezogene Daten für die Ermittlungsarbeit zu verarbeiten, wenn es sich nicht um eine schwere Straftat handelt. Um den Grundsatz der Verhältnismäßigkeit zu wahren, dürfte es sich dann aber entsprechend nicht um einen schweren Eingriff handeln.
Letztlich bleibt es aber eine Einzelfallprüfung inwieweit die Datenverarbeitung in die Privatsphäre des Betroffenen eingreift und um welche Straftat es sich handelt. In diesem Fall kommt der Gerichtshof zu dem Ergebnis, dass „der Zugang nur zu den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Antrag bezieht, nicht als „schwerer“ Eingriff in die Grundrechte der Personen eingestuft werden kann, deren Daten betroffen sind, da sich aus diesen Daten keine genauen Schlüsse auf ihr Privatleben ziehen lassen.“
Zusammenfassend:
Erfolgt ein schwerer Eingriff in die Privatsphäre, ist ein Zugang zu den Daten nur für die Aufklärung „schwerer Straftaten“ möglich. Erfolgt kein schwerer Eingriff in die Privatsphäre, ist der Zugang auch für die Aufklärung „nicht schwerer“ Straftaten möglich.
5. Oktober 2018
Im Alltag eines Kindergartens kommt man ständig mit personenbezogene Daten in Berührung, sei es durch ein Gespräch mit den Eltern über das Verhalten ihres Kindes oder durch das Angeben von Krankheiten der Kinder. Aus diesem Grund ist es äußerst wichtig den Datenschutz in Kindergärten zu wahren, da Kinder einen gesonderten Schutz benötigen. Im Kindergarten dürfen Daten neben der Möglichkeit der Einholung einer Einwilligungserklärung nur nach einer gesetzlichen Rechtsgrundlage verarbeitet werden. Die Verarbeitung muss zur Erfüllung der Erziehungsaufgabe der Einrichtung erforderlich sein.
In Nordrhein-Westfalen regelt das Gesetz zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz – KiBiz) die Aufgaben und Befugnisse der Kindertagesstätten und Schulen. Vor allem sagt der § 12 aus, welche Daten mitzuteilen sind: Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen und Anschriften der Eltern. Aus diesem Grund ist für die Erstellung der Bildungsdokumentation zusätzlich eine Einwilligungserklärung erforderlich, da es hierfür keine gesetzliche Rechtsgrundlage gibt. Bei Kleinkindern wird die Einwilligungserklärung in der Regel von den Eltern abgegeben. Ganz besonders wichtig ist es, bei Foto-und Videoaufnahmen stets die Einwilligung einzuholen.
