18. Februar 2019
Die Vollversammlung des Verbandes der Diözesen Deutschlands hat am 19. November 2018 eine neue Durchführungsverordnung zum „Gesetz über den Kirchlichen Datenschutz“ (KDG-DVO) beschlossen. Die Durchführungsverordnung soll zum 1. März 2019 in Kraft treten. Hintergrund ist, dass die bisherige Durchführungsverordnung zur Anordnung über den Kirchlichen Datenschutz (KDO-DVO), welche vor Inkrafttreten des „Gesetzes über den kirchlichen Datenschutz“ (KDG) Anwendung fand, gemäß der in § 57 Abs. 5 KDG festgelegten Übergangsfrist längstens bis zum 30.06.2019 in Kraft bleibt, sodass eine Anpassung der bisherigen DSGVO erforderlich war.
Für das Inkraftsetzung der neuen KDG-DVO bedarf es jeweils eines Beschlusses des Bischofs der jeweiligen Diözese. Die Inkraftsetzung der KDG-DVO wurde bislang noch nicht in allen Deutschen (Erz-) Diözesen beschlossen.
In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Die Verantwortlichen müssen insbesondere weiterhin ein Datenschutzkonzept vorhalten. Dies ergibt aus der Pflicht des Verantwortlichen den Schutzbedarf personenbezogener Daten anhand einer Risikoanalyse festzustellen (Kapitel 3 KDG-DVO). Interessant sind vor allem die in § 6 KDG-DVO enthaltenen Vorgaben zu den technischen und organisatorischen Maßnahmen, welche auch die Anforderungen an deren Weiterentwicklung betreffen. Die KDG-DVO sieht weiterhin die Einordung personenbezogener Daten in eine Datenschutzklasse vor und erfolgt durch den Verantwortlichen. Sie soll in der Regel bei der Erstellung des Verarbeitungsverzeichnisses vorgenommen werden. In diesem Zusammenhang soll auch der betriebliche DSB angehört werden. Zusätzlich enthält die KDG-DVO diverse Beispiele für besondere Gefahrenlagen (Kapitel 5). Diese dürften insbesondere für die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung relevant sein.
Jede unter den Anwendungsbereich der neuen KDG-DVO fallende Einrichtung sollte bereits jetzt prüfen, welche Auswirkungen die Neuregelung z. B. auf das bereits erstellte Datenschutzkonzept haben wird, so der Diözesandatenschutzbeauftragte der norddeutschen Bistümer.
Wie die australische Rundfunkgesellschaft ABC berichtet, sind neben dem Parlament in Australien drei große Parteien – namentlich die regierenden Parteien Liberal Party of Australia und die National Party of Australia sowie die stärkste Oppositionspartei Labor – Ziel eines Hackerangriffes geworden. Dies sei bei der Untersuchung eines Angriffes auf IT-Netzwerke des Parlaments am 08. Februar entdeckt worden. Den Berichten zufolge vermutet das, die Hackerangriffe untersuchende, Australian Cyber Securtiy Centre, dass lediglich ein fähiger staatlicher Akteur hinter dem Angriffsversuch stecken könne. Damit erinnert der Fall an den Hackerangriff auf den Bundestag 2015, bei dem in der Folge der Ermittlung staatliche, russische Hacker als verantwortlich ausgemacht wurden.
Unklar scheint bisher noch, ob es im Rahmen der Angriffe zum Verlust von Daten gekommen sei. Mit Blick auf die dieses Jahr stattfindenden bundesweiten Wahlen gebe es bislang allerdings keine Hinweise auf den Versuch einer Wahlbeeinflussung.
Trotz eindeutiger Werberichtlinien von Google senden offenbar zehntausende Android-Apps Werbe-Daten nicht nur mit der dafür vorgesehenen Werbe-ID eines Handys, sondern auch mit permanenten Geräte-IDs an Werbekunden. Werbedienstleister können so auch dann personalisierte Anzeigen darstellen, wenn der Nutzer seine Werbe-ID kürzlich zurückgesetzt hat. Das geht aus einer Untersuchung der unabhängigen Forschungseinrichtung Appcensus aus dem kalifornischen Berkeley hervor. Aus einer Datenbank von 24.000 Android-Apps, die die sogenannte Werbe-ID für Smartphones abfragen, griffen der Studie zufolge rund 70 Prozent weitere Identifizierungsmerkmale ab. Mehr als 18.000 unterschiedliche Apps seien betroffen.
Die sogenannte Werbe-ID soll es eigentlich ermöglichen, dass Smartphone-Nutzer personalisierte Werbung erhalten, ohne gleichzeitig kaum oder gar nicht veränderbare Gerätedaten wie die Seriennummer IMEI, Mac-Adressen von Routern oder die Android-ID (SSAID) übertragen zu müssen. Wie bei Browser-Cookies können Nutzer auf Wunsch die Werbe-ID jederzeit zurücksetzen oder deren Übertragung generell deaktivieren. Im Anschluss sollten Dienstleister nicht mehr in der Lage sein, personalisierte Werbung anhand der vorherigen Nutzung auszuspielen.
Die Forscher vom International Computer Science Institute haben Google bereits im vergangenen September über die Funde informiert, allerdings keine Antwort bekommen. Dem US-Computermagazin Cnet sagte ein Google-Sprecher hingegen: „Die Kombination der Werbe-ID mit Gerätekennungen zum Zwecke der Personalisierung von Anzeigen ist strengstens verboten. Wir überprüfen ständig Apps – einschließlich der im Bericht des Forschers genannten – und werden Maßnahmen ergreifen, wenn sie unseren Richtlinien nicht entsprechen.“
Das Bundeskartellamt hat dem Unternehmen Facebook weitreichende Beschränkungen bei der Verarbeitung von Nutzerdaten auferlegt. Nach den Geschäftsbedingungen von Facebook sammelt Facebook auch außerhalb der Facebook-Seite Daten über den Nutzer im Internet oder auf Smartphone-Apps und ordnet diese daraufhin dem jeweiligen Facebook-Konto zu. Dabei können alle gesammelten Daten unter anderem auch durch WhatsApp und Instagram sowie auf Drittwebseiten mit dem Facebook-Nutzerkonto zusammengeführt werden.
Aus diesem Grund hat das Bundeskartellamt Facebook weitreichende Beschränkungen bei der Zusammenführung dieser Daten auferlegt. Der Nutzer hat zukünftig eine Widerspruchsmöglichkeit bezüglich der Zusammenführung der gesammelten Daten. Nutzer könnten dann die Dienste des Netzwerks weiter verwenden, auch wenn sie der Kombination widersprechen.
Laut Kartellamtschef Andreas Mundt missbrauche Facebook seine beherrschende Stellung hierzulande beim Sammeln und Verwerten von Daten. Als marktbeherrschendes Unternehmen unterliege Facebook besonderen kartellrechtlichen Pflichten und müsse bei dem Betrieb seines Geschäftsmodells berücksichtigen, dass die Facebook-Nutzer praktisch nicht auf andere soziale Netzwerke ausweichen können. Facebook dürfe seine Nutzer künftig nicht mehr zwingen, einer faktisch grenzenlosen Sammlung und Zuordnung von Nicht-Facebook-Daten zu ihrem Nutzerkonto zuzustimmen. Die Kombination von Datenquellen habe ganz maßgeblich dazu beigetragen, dass Facebook einen so einzigartigen Gesamtdatenbestand über jeden einzelnen Nutzer erstellen und seine Marktmacht erreichen konnte.
Die Entscheidung des Kartellamts war aber noch nicht rechtskräftig. Facebook hat nun vor dem Oberlandesgericht Düsseldorf Beschwerde gegen das Bundeskartellamt eingelegt. Eine Begründung der Beschwerde liegt jedoch noch nicht vor.
15. Februar 2019
Ein Mann aus Merseburg hat wiederholt hunderte von Mails mit personenbezogenen E-Mailadressen im offenen Verteiler geschickt. Aus diesem Grund hat der Landesdatenschutzbeauftragte von Sachsen-Anhalt, Harald von Bose, hohe Bußgelder gegen diesen Mann verhängt. Die Mails beinhalten Verunglimpfungen, Stellungnahmen, Beschwerden aber auch Strafanzeigen gegen Vertreter aus Wirtschaft, Presse, Kommunal- und Landespolitik.
Die verschiedenen Bußgelder summieren sich auf 2.628,50 Euro. Jedoch könnte es weitere Verfahren geben, da der Mann nach den Bußgelbescheiden weitere Datenschutzverstöße begangen haben könnte.
Die DSGVO findet gemäß Artikel 2 Abs. 2 lit. c nicht auf die Verarbeitung von Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Das heißt im privaten Bereich ist ein offener Emailverteiler durchaus erlaubt. In diesem Fall kann man jedoch nicht mehr von einem privaten Bereich sprechen, da Mails an zum Teil bis zu 1600 Personen verschickt wurden. Aus diesem Grund gilt der Artikel 2 Abs. 2 lit. c unter diesen Umständen nicht.
14. Februar 2019
Digitale Bezahlmethoden sind zunehmend Teil des Verbraucheralltags. Daraus resultieren sowohl Vorteile, als auch datenschutzrechtliche Risiken. Es entsteht die Gefahr, die Menschen noch gläserner zu machen als sie es ohnehin schon sind.
Zwar dominiert in Deutschland weiterhin das Bezahlen mit Bargeld, allerdings wächst auch hier der Markt für neue digitale Bezahlmethoden, den sogenannten „Mobile Payments“. Vor allem das Bezahlen mittels Handy-Apps wird immer beliebter.
In anderen Ländern wie zum Beispiel Dänemark ist das bargeldlose Bezahlen etablierter. Demzufolge brauchen die Dänen nur 10 Minuten für ihre Steuererklärung, während man in Deutschland stundenlang Kassenzettel zusammensucht und ordnet, so Achim Berg (Bitkom-Präsident). Weitere Vorteile im mobilen Bezahlen sieht Achim Berg auch für den Einzelhandel. Dieser profitiere durch weniger Ausgaben für Verwaltung, Transport und Schutz von Bargeld. Zudem erschwere das digitale Bezahlen Steuerhinterziehung und Schwarzarbeit. Steuerbetrüger haben es demnach schwerer, wenn sich Zahlungsströme besser nachvollziehen lassen. Zu beachten ist jedoch, dass jeder Bezahlvorgang eine Datenerhebung und Datenverarbeitung auslöst. Indessen kann aufgrund der Metadaten eines Bezahlvorgangs auf das persönliche Kaufverhalten, zumindest aber auf die Art und den Ort des Käufers, rückgeschlossen werden. Wenn nun große datensammelnde Unternehmen Daten weiter anreichern können, steigt die Gefahr der Bildung von aussagekräftigen Profilen über die Verbraucherinnen und Verbraucher.
Anlässlich des vor kurzem stattgefundenen „Safer Internet Day“ (dies ist ein von der Europäischen Union initiierter jährlicher Aktionstag, der für mehr Sicherheit im Internet sorgen soll und jedes Jahr am zweiten Tag der zweiten Woche des zweiten Monats stattfindet) erklärte der Bundesbeauftragte für den Datenschutz Ulrich Kelber in seiner Pressemitteilung: „Aus Sicht des Datenschutzes ist es essentiell, dass das datenschutzrechtlich völlig risikofreie anonyme Bezahlen auch in der Zukunft weiterhin möglich bleibt. Ungeachtet dessen kann man die Digitalisierung und ihre Auswirkungen auf unseren Alltag nicht einfach ignorieren. Vielmehr müssen wir als Datenschützer das Ziel verfolgen, die neuen digitalen Zahlungsmethoden so auszugestalten, dass sie für die Verbraucherinnen und Verbraucher datenschutzrechtlich bestmöglich nutzbar sind. Hierzu gehören neben Sicherheit und Transparenz der ablaufenden Datenverarbeitungsprozesse vor allem Maßnahmen, die verhindern, dass alltägliche Zahlungsvorgänge automatisch mit einem Verlust der Privatsphäre oder der Bildung ausgedehnter Nutzer- und Konsumprofile einhergehen. Hier könnte auch der Gesetzgeber ins Spiel kommen und die Anbieter von mobilen Payment-Lösungen dazu verpflichten, zumindest auch eine Form des anonymen Zahlens anbieten zu müssen. Unter dem Stricht muss mobiles Bezahlen auf jeden Fall möglich sein, ohne dabei gleichzeitig auch alle persönliche Daten offenzulegen.“
Nun muss es darum gehen, das digitale Bezahlen für alle komfortabel und so sicher wie möglich zu machen.
13. Februar 2019
Im Rahmen der siebten Tagung des Europäischen Datenschutzausschusses (EDSA) am 12. Februar 2019 wurden unter anderem die datenschutzrechtlichen Herausforderungen im Rahmen des Brexit diskutiert.
Im Fokus stand die Möglichkeit eines Austritts Großbritanniens ohne Abkommen mit der EU („No-Deal-Szenario“). Dies hätte zur Folge, dass Großbritannien im datenschutzrechtlichen Sinn ein Drittland darstellen würde (wir berichteten). Drittländer sind Staaten, die kein Mitglied der Europäischen Union und nicht Teil des Europäischen Wirtschaftsraumes (EWR) sind. An die Übermittlung personenbezogener Daten in Drittländer stellt die DSGVO besondere Anforderungen (Art. 44 bis 46 DSGVO). Der EDSA einigte sich auf ein Informationspapier, das Vorkehrungen für betroffene Unternehmen und Behörden erläutert um diese DSGVO-Anforderungen zu erfüllen. Laut Ankündigung wird das Informationspapier auf der Homepage des Ausschusses veröffentlicht.
Der Ausschuss ist ein unabhängiges Gremium, das zum Ziel hat
eine einheitliche Anwendung Europäischer Datenschutzvorschriften zu fördern. Im
Ausschuss sind alle nationalen Datenschutzaufsichtsbehörden des EWR und der
Europäische Datenschutzbeauftragte vertreten.
Die Datenschutz-Grundverordnung (DSGVO) räumt den Betroffenen in Art. 17 Abs. 1 ein Recht auf die Löschung ihrer Daten ein. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.
Die österreichische Datenschutzbehörde entschied im Dezember 2018, dass das sogenannte Recht auf Löschung personenbezogener Daten den Verantwortlichen nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen verpflichte. Auf Grundlage der DSGVO reiche eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann. Eine Löschung liege dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweise, mache die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität sei daher nicht notwendig.
Hintergrund des Streits war eine Anfrage eines österreichischen Betroffenen bei einer Versicherung. Unter Verweis auf Art. 17 DSGVO hatte dieser die unverzügliche Löschung seiner personenbezogenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch „Max Mustermann“ mit einer Musteradresse ersetzt und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.
Die Versicherung setzte den Betroffenen in Kenntnis, dass sie die Daten „DSGVO-konform anonymisiert“ habe. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht. Auch aus den Logdaten könne die ursprüngliche Anfrage nicht mehr mit dem Betroffenen verknüpft werden.
Das reichte dem Betroffenen jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Diese hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Art. 4 Nr. 2 DSGVO würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde in ihrer Entscheidung.
Vielmehr stehe dem Verantwortlichen hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.
11. Februar 2019
Das Beichtgeheimnis ist kirchenrechtlich in canon 983, 984
Codex Iuris Canonici (CIC) geregelt. Danach ist es dem Beichtvater (Priester)
streng verboten, über die Sünden des Büßers in irgendeiner Form zu sprechen,
ihn in sonst einer Form zu verraten oder die Kenntnis seiner Sünden bei der
Leitung einer Gemeinde oder einer anderen kirchlichen Einrichtung zu verwenden.
Anders ist die Verpflichtungserklärung von allen bei der Datenverarbeitung tätigen Personen abzugeben. Dabei kommt es nicht darauf an, ob diese haupt-, neben- oder ehrenamtlich tätig sind. Entscheidend ist allein, dass sie mit personenbezogenen Daten in Berührung kommen. Sie gehören zum Kreis des Verantwortlichen im Sinne von § 4 Nr. 9 KDG. Der Schutz der Intimsphäre der betroffenen Personen kann in diesen Fällen nur dann gewährleistet werden, wenn mit den personenbezogenen Daten vertraulich umgegangen wird. § 5 KDG untersagt daher, diese Daten in unbefugter Weise zu verarbeiten. Eine förmliche Verpflichtung auf die Einhaltung der Datenschutzvorschriften und besonders die Verpflichtung zur Wahrung des Datengeheimnisses soll dies sicherstellen. Hierdurch werden die Mitarbeiter zugleich auf die besondere Bedeutung dieser Verpflichtung und die Folgen ihrer Verletzung hingewiesen. Darüber hinaus schafft sie die Gelegenheit, die betroffenen Personen mit den bestehenden Datenschutzregeln vertraut zu machen.
Das Datengeheimnis hat daher einen sehr viel breiteren Anwendungsbereich als das Beichtgeheimnis. § 5 KDG verlangt nicht nur, dass mit den Daten vertraulich umgegangen wird, sondern untersagt auch die unbefugte Verarbeitung der Informationen, einschließlich ihrer Erhebung, Erfassung, der Organisation, dem Ordnen, sowie ihrer Speicherung, Anpassung, Veränderung, dem Auslesen, Abfragen und der Offenlegung durch Übermittlung oder Verbreitung.
Das hiesige geltende Gesetz zur Vorratsdatenspeicherung entspricht möglicherweise nicht den strengen Vorgaben des Europäische Gerichtshofs (EuGH). Das vermutet zumindest die bayrische Landesregierung, die sich damit gegen die Ansicht der Bundesregierung stellt.
Die Vorratsdatenspeicherung ist ein kriminalpolitisches Instrument, das die Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreiber eines öffentlichen Kommunikationsnetzes verpflichtet, bestimmte Daten, die von ihnen für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden, zum Zwecke der Ermittlung, Feststellung und Verfolgung von Straftaten zur Verfügung zu stellen.
Problematisch sei, dass diese Vorratsdatenspeicherung nach hiesigem Gesetz grundsätzlich anlasslos, generell und damit flächendeckend zu erfolgen hat und damit den Regelfall und nicht die Ausnahme darstelle. Der Leiter der Bayerischen Staatskanzlei, Florian Herrmann, äußert Bedenken dahingehend, dass auch Daten von Personen erfasst werden, bei denen keinerlei Anhaltspunkte dafür bestehen, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte.
Ebenso fraglich erscheint Hermann die Kompatibilität von EuGH Rechtsprechung und der Erhebung und Auswertung mobiler Verbindungs- und Standortdaten mittels der Funkzellenabfrage, „nachdem dort zwangsläufig auch die Daten unbeteiligter Dritter abgefragt werden.“
Trotz der erhobenen Zweifel hofft Herrmann, dass das Gesetz vor dem EuGH Bestand haben könnte. Generell ist Bayern für die Vorratsdatenspeicherung und gewährt als einziges Bundesland grundsätzlich sogar dem Verfassungsschutz Zugriff auf die Informationen. Hermann plädiert an das Bundesverfassungsgericht, den Fall der europäischen Instanz vorzulegen.
