11. Dezember 2018
Gemäß § 17 Abs. 1 KDG hat der Betroffene das Recht, von dem Verantwortlichen eine Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Danach ist dieser Anspruch gegenüber dem Verantwortlichen geltend zu machen. § 4 Nr. 9 KDG definiert den Verantwortlichen als den Menschen oder die Dienststelle/Einrichtung, die über die Mittel der Datenverarbeitung entscheidet. Das bedeutet, dass sich der Betroffene immer an die Person oder Stelle wenden muss, bei der die Informationen über ihn vorliegen. Die Auskunftserteilung erfolgt nur auf Verlangen der betroffenen Person. Sie ist in der Regel unentgeltlich. Nur dann, wenn weitere Kopien über die erforderliche Anzahl hinaus erbeten werden, kann hierfür ein angemessenes Entgelt in Rechnung gestellt werden. Folgende Beispiele verdeutlichen dies.
So bekommt jeder, der wissen will, welche Daten seine Kirchengemeinde über ihn zur Verfügung hat, die Auskunft über das betreffende Pfarrbüro.
Der Klient einer Caritasdienstelle wird vor Ort über den Inhalt und den Umfang des Datensatzes über seine Person unterrichtet.
Auch eine Schule muss den Schüler und die Sorgeberechtigten über die gespeicherten Informationen unterrichten.
Ungeeignet ist die Anfrage beim Diözesandatenschutzbeauftragten, da dieser nicht über die verarbeiteten Daten verfügt. Sollte sich eine Einrichtung jedoch weigern, Auskunft zu erteilen, ist er der richtige Ansprechpartner für eine Beschwerde.
Gemäß Art. 9 Abs. 1 DSGVO zählen biometrische Daten zu den besonderen Kategorien personenbezogener Daten und unterliegen einem besonderen Schutz. Für solche Daten gilt ein strenges Verarbeitungsverbot mit Erlaubnisvorbehalt. Das bedeutet, biometrische Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es wird ausnahmsweise ausdrücklich durch das Gesetz erlaubt. Der zentrale Erlaubnistatbestand für Unternehmen ist die Einwilligung des Betroffenen.
Gemäß Art. 4 Nr. 14 DSGVO sind biometrische Daten „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Damit können auch Lichtbilder von Personen zu den biometrischen Daten zählen mit der Folge, dass diese nur bei einer ausdrücklichen gesetzlichen Erlaubnis, insbesondere der Einwilligung des Betroffenen verarbeitet werden dürfen.
Wann genau ein Lichtbild ein biometrisches Datum darstellt, ist nicht immer eindeutig zu beantworten und hängt von einer Abwägung im Einzelfall ab. Nach dem Erwägungsgrund 51 der DSGVO sollte die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Entscheidend sind daher die technischen Mittel und die Analyseverfahren mit denen die Lichtbilder aufgenommen und verarbeitet werden. Zweifelsfrei sind die Lichtbilder im Personalausweis / Reisepass biometrische Daten, da diese für einen automatisierten Abgleich mit der Person geeignet sind.
Werden Lichtbilder für bestimmte Verarbeitungsprozesse eingesetzt, insbesondere wenn diese mit speziellen Verfahren verarbeitet werden, sollte zwingend der Datenschutzbeauftragte einbezogen werden, um zu prüfen, ob es sich in diesem Fall um ein biometrisches Datum handelt und um zu klären, ob der Verarbeitungsvorgang eventuell anzupassen ist. In diesem Zusammenhang sollte auch geprüft werden, ob ggf. eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchzuführen ist. Zudem ist das Verfahren zwingend in das Verarbeitungsverzeichnis gemäß Art. 30 Abs. 1 DSGVO aufzunehmen. Zu empfehlen ist, in diesem zu dokumentieren, auf welcher Grundlage die Einschätzung, ob es sich um ein biometrisches Datum handelt oder nicht, erfolgte. Werden Dienstleister zu der Verarbeitung der Lichtbilder eingesetzt, ist ggf. ein Auftragsverarbeitungsvertrag abzuschließen.
Facebook ist in Italien zu einer Datenschutzstrafe von zehn Millionen Euro verurteilt worden. Die Wettbewerbsbehörde AGCM störte sich an der Weitergabe von Nutzerdaten bei der Anmeldung mit einem Facebook-Account bei anderen Websites und Apps. So wird Facebook eine aggressive Geschäftspraxis vorgeworfen, wenn Daten ohne ausdrückliche Zustimmung der Nutzer an andere Plattformen weitergegeben werden. Die vorgesehenen Abwahl-Möglichkeiten für die Funktion seien nicht ausreichend.
Zudem sei es irreführend, wenn vor der Kontoeröffnung vor allem darauf hingewiesen würde, dass die Nutzung kostenlos sei. Denn, dass Nutzerdaten für kommerzielle Zwecke gesammelt werden, sei für den Nutzer dagegen nicht klar ersichtlich. Daher sei zu befürchten, die Nutzer könnten sich anders entscheiden, wenn sie vorher – also vor der Kontoeröffnung – angemessen auf diese Aspekte hingewiesen worden wären.
Facebook selbst erklärte, man prüfe die Entscheidung und hoffe, die Bedenken der Behörde ausräumen zu können. Denn eine Teilung der Nutzerdaten mit anderen Apps oder Websites ohne eine vorherige Zustimmung würde nicht praktiziert.
10. Dezember 2018
What’s App, Chat, Cloud oder im Rahmen von Mails. Internetnutzer hinterlassen zwangsweise elektronische Spuren. Selbiges gilt auch für Nutzer, die Straftaten im Internet begehen oder aber dahingehende Informationen im Internet hinterlassen.
Derartige Informationen sollen nach dem Willen der Mehrzahl der Länder der Europäischen Union (EU) künftig erheblich leichter abgefragt werden. Zumindest sprachen sich die Justizminister der Mitgliedstaaten am vergangenen Freitag (7.12.2018) mehrheitlich für die Vereinfachung der Abfrage aus. So solle von der künftigen „E-Evidence Verordnung“ insbesondere umfasst sein, dass Ermittler länderübergreifend auf Daten zugreifen können. Voraussetzung sei jedoch die Androhung einer Freiheitsstrafe von mindestens drei Jahren.
Aus rechtlicher (deutscher) Perspektive birgt die Regelung allerdings gefahren. So würden Länder durch die Abkehr vom Prinzip der doppelten Strafbarkeit in eine Situation gebracht, in der Sie eine Verfolgung von Handlungen unterstützen müssten, die in diesem Land straffrei seien. Hierdurch werde beispielsweise eine Herausgabe von Daten an Polen zur Verfolgung von Schwangerschaftsabbrüchen ermöglicht. In Deutschland ist ein Schwangerschaftsabbruch jedoch – unter gewissen Voraussetzungen – straffrei.
Von besonderer Relevanz scheint die künftige Norm für Provider zu werden. So sollen die Anfragen der ausländischen Ermittlungsbehörden wohl unmittelbar gegenüber den Providern gestellt werden sowie bußgeldbewährt sein. Vor diesem Hintergrund empfiehlt sich sowohl aus Compliance-Aspekten als auch unter Berücksichtigung von Haftungsgesichtspunkten eine frühzeitige rechtliche Beratung.
7. Dezember 2018
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.
Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.
Mithilfe des sogenannten „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.
Insbesondere der Banking-Trojaner „Trickbot“ wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.
6. Dezember 2018
Smarte Spielzeuge sind solche, die Gesichter und Stimmen erkennen und aufs Wort gehorchen können. Die Verbraucherzentrale Niedersachen rät Eltern diese Art von Spielzeugen einem gründlichen Datenschutz-Check zu unterziehen.
Damit keine unbemerkten Video- oder Audioaufzeichnungen gemacht und übertragen werden, sollte im Vorfeld sichergestellt werden, dass sich das Mikrofon und die Kamera auch deaktivieren lassen. Um weitere Hinweise zu erhalten, kann es hilfreich sein, dazu die Herstellerseite zu besuchen, wo sich oft die passende Bedienungsanleitung finden lässt.
Weiter sollte die Datenschutzerklärung von den Eltern studiert werden, um alle Informationen zu Datenspeicherung und -nutzung zu studieren. Diese kann Aufschluss darüber geben, ob und wo Daten, Nutzungs- oder Spielinformationen gespeichert werden.
Um zu verhindern, dass der Hersteller ungewollt zu viele Informationen sammelt, sollte in der Datenschutzerklärung nachgelesen werden, zu welchem Zweck welche Daten vom Hersteller gesammelt werden.
Handelt es sich um ein vernetztes Spielzeug, sollte auf eine ordentliche Absicherung geachtet werden. Beispielsweise bei einem Bluetooth-Funk als Verbindung zwischen einer Steuerungs-App auf dem Smartphone und dem Spielzeug sollte diese Verbindung per Eingabe einer änderbaren PIN geschützt werden. Häufig ist nur ein simpler PIN eingestellt, der sich nicht ändern lässt. Auch hier ist ein Blick auf die Website des Herstellers ratsam.
5. Dezember 2018
Da viele Unternehmen seit Inkrafttreten der DSGVO unsicher im Umgang mit Daten sind, stellt sich die Frage, ob auch in diesem Jahr traditionell Weihnachtskarten verschickt werden dürfen, um sich bei Kunden und Geschäftspartnern für die Zusammenarbeit im vergangenen Jahr zu bedanken.
Als Rechtsgrundlage für diese Art der Datenverarbeitung kommen entweder eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder ein berechtigte Interesse des Unternehmens gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Den sichersten Weg stellt regelmäßig die ausdrückliche Einwilligung der Empfänger dar. Jedoch erscheint dies kaum praktikabel, da hierdurch die Geste der kleinen Aufmerksamkeit durch den Verwaltungsaufwand verdrängt werden könnte.
Somit kommt der Auffangtatbestand des berechtigten Interesses zum Tragen, wonach die Datenverarbeitung rechtmäßig ist, wenn sie zur Wahrung von überwiegenden berechtigten Interessen erforderlich ist.
Von einem solchen berechtigten Interesse ist insbesondere dann auszugehen, wenn es sich um Bestandskunden handelt oder um andere Geschäftskontakte, die vernünftigerweise damit rechnen können, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.
Neben Kunden müssen auch Personen, die ihre Adresse einem Unternehmen, zum Beispiel durch Übergabe ihrer Visitenkarte auf einer Messe, mitgeteilt haben, mit dem Erhalt einer Weihnachtskarte rechnen.
Darüber hinaus muss jeder Adressat über sein Widerspruchsrecht gemäß Art. 21 DSGVO aufgeklärt worden sein, z.B. im Rahmen von Datenschutzhinweisen, und darf der Datenverarbeitung nicht widersprochen haben.
Sofern die Karten bei Dritten unter Verwendung von Kontaktdaten gedruckt werden, sollte darauf geachtet werden, dass auch diese das Datenschutzrecht einhalten.
4. Dezember 2018
Derzeit warnen die Betreiber des Frage-Portals Quora rund 100 Millionen Nutzer per E-Mail, dass unbekannte Angreifer die Website erfolgreich gehackt haben. Dadurch haben sie nun Zugriff auf verschiedene Nutzerdaten. Quora hat den Vorfall am Freitag entdeckt. Die Eindringlinge konnten unter anderem Kontodaten (z. B. Name, E-Mail-Adresse, verschlüsseltes Passwort, aus verknüpften Netzwerken importierte Daten (sofern der Nutzer dies genehmigt hatte), Öffentliche Inhalte und Aktionen (z. B. Fragen, Antworten, Kommentare, positive Bewertungen), Nicht-öffentliche Inhalte und Aktionen (z. B. Fragen, Antwortanfragen, negative Bewertungen, Direktnachrichten) kopieren. Betroffen sind jedoch keine Kreditkartendaten und anonym verfasste Beiträge. Die Passwörter sollen nach Angaben der Website-Betreiber geschützt auf den Servern vorliegen.
Den Auskunftsdienst gibt es seit 2006. Dort kann man Fragen aller Art stellen, die von der Community beantwortet werden.
Quora hat die Strafverfolgungsbehörden in Kenntnis gesetzt und zusätzlich eine führende digitale Forensik- und Sicherheitsfirma eingeschaltet, die sie bei den Ermittlungen und den nächsten Schritten unterstützt.
Angriffe von Hackern auf IT-Systeme dienen oftmals der Erlangung personenbezogener Daten. Von besonderem Interesse und Wert sind dabei vor allem auch Kreditkarteninformationen. Nun wurde bekannt, dass der Marriott-Konzern, eine der weltweit größten Hotelketten, Opfer groß angelegter Cyberattacken wurde. Das Unternehmen gab bekannt, dass persönliche Daten von möglicherweise bis zu 500 Millionen Gästen gestohlen wurden. Im Mittelpunkt der Cyberattacken stand dabei die Tochtermarke Starwood, die von Marriott im Jahr 2016 für rund 13,6 Milliarden Dollar gekauft wurde. Zu Starwood gehören unter anderem die Hotels Westin, St. Regis, Le Méridien und W Hotels. Nun wurde bekannt, dass die von den Starwood Hotels eingesetzte Datenbank zum Management von Gästereservierungen seit 2014 regelmäßig von Hackerangriffen betroffen war. Bei diesen Attacken wurden unter anderem Namen, Geburtsdaten, Passinformationen, E-Mail – Adressen und die Aufenthaltszeiträume von Hotelgästen entwendet. Darüber hinaus konnten die Hacker wohl auch von einigen Hotelgästen die in der Datenbank hinterlegten Kreditkarteninformationen, samt den zur Entschlüsselung notwendigen Daten, erlangen. Nachdem die Angriffe dem Marriott-Konzern intern bekannt wurden, wurden die zuständigen Ermittlungsbehörden eingeschaltet. Weiterhin kündigte Marriott an, dass die von der Cyberattacke betroffenen Hotelgäste zeitnah per Mail hierüber informiert werden würden und das die IT-Systeme der Tochtermarke Starwood ausgemustert werden sollen. Das Bekanntwerden dieser Datenpanne führte dazu, dass der Kurs der Marriott-Aktie kurzfristig um bis zu 6 Prozent nachgab.
3. Dezember 2018
Überwachungskameras in der Nachbarschaft verstoßen nicht gegen gesetzliche Regelungen, sofern sie nur das eigene Grundstück und nicht auch das des Nachbarn filmen. Ein “Überwachungsdruck“ ist für einen Eingriff in das Allgemeinen Persönlichkeitsrecht, nach einer Entscheidung des Amtsgerichts München vom 22.11.2018, nicht ausreichend (Az.: 213 C 15498/18).
Die Grundstücke der Beteiligten liegen nebeneinander. Die Kläger bewohnen ein Haus mit angebautem Wintergarten, der Beklagte bewohnt das unmittelbar an die Wintergarten-Seite angrenzende Grundstück. Aufgrund von mehrfachen Beschädigungen des Grundstücks des Beklagten, in der Vergangenheit, installierte dieser zwei Überwachungskameras.
Die Überwachungskameras lösten bei den Klägern Unbehagen aus, weil diese befürchteten, dass ihre im Garten bzw. Wintergarten spielenden Kinder und sie selbst von den Kameras aufgezeichnet werden. Deswegen zeigten sie den Beklagten bei der Polizei an. Im Rahmen einer Durchsuchung wurde das Grundstück des Beklagten, insbesondere die Aufzeichnungen und die Ausrichtung der Kameras, von der Polizei gesichtet. Dabei wurde festgestellt, dass ausschließlich das Grundstück des Beklagten aufgezeichnet wird und die Kameras nur manuell verstellt werden können.
Die Kläger wandten ein, dass der Beklagte den Winkel der Kameras in Ansehung der Durchsuchung geändert hätte, jedenfalls bestehe aber ein Überwachungsdruck dadurch, dass der Winkel der Kameras geändert werden könnte.
Dies sah die zuständige Richterin anders und gab dem Beklagten Recht. Der Überwachungsdruck allein kann in dem hiesigen Fall keine Verletzung des Allgemeinen Persönlichkeitsrechts darstellen. Darüber hinaus müsse vorliegend berücksichtigt werden, dass die Kläger ihrerseits ebenfalls eine Kamera an der Vorderseite des Hauses installierten haben, welche nicht nur das Grundstück sondern auch Teile des öffentlichen Gehwegs filmt.
