18. Juni 2018
Nicht nur im Alltag, sondern auch im Berufsleben wird das Smartphone zum ständigen Begleiter. Aus diesem Grund stellen viele Unternehmen den Mitarbeitern ein Diensthandy zur Verfügung.
Grundsätzlich sollten Diensthandys zu rein dienstlichen Zwecken genutzt werden. Möchte man jedoch das Smartphone darüber hinaus auch zu privaten Zwecken nutzen, sollte man sich zunächst vergewissern, ob diese Nutzung vom Arbeitgeber tatsächlich erlaubt worden ist. Ohne die Erlaubnis ist eine private Nutzung jedenfalls verboten.
Der Grund dafür liegt darin, dass die private Nutzung Auswirkungen auf den Arbeitgeber haben kann. Dieser darf nicht ohne weiteres auf das Diensthandy mehr zugreifen, da dieser davon ausgehen muss, dass dort zum Beispiel private E-Mails des Arbeitnehmers gespeichert sind, die ihn nichts angehen. Wird dir private Nutzung durch den Arbeitgeber ausgeschlossen, wäre ein Zugriff hingegen erlaubt.
Darüber hinaus führt die private Nutzung zu datenschutzrechtlichen Problemen, indem regelmäßig Messenger (z.B. WhatsApp) installiert werden, die auf das interne Telefonbuch des Nutzer zugreifen können. Sind dort auch Kontaktdaten, Nummern und andere Daten von Kunden oder Geschäftskontakten gespeichert, können diese auf dem Server des Messenger-Betreibers landen und damit ein Verstoß gegen das Datenschutzrecht darstellen.
14. Juni 2018
Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments hat Anfang der Woche einen Resolutionsvorschlag mit knapper Mehrheit verabschiedet, in dem die Vereinbarkeit des Privacy Shields mit europäischen Datenschutzstandards stark kritisiert wird (wir berichteten). Damit appelliert der Ausschuss an die EU Kommission den Druck auf die US-Regierung zu erhöhen.
Der Privacy Shield ist ein Übereinkommen bezüglich datenschutzrechtlicher Anforderungen im Rahmen von Datentransfer zwischen den USA und der EU. Seit 2016 ermöglicht diese Übereinkunft offiziell die datenschutzkonforme Übermittlung von Daten aus EU-Ländern in die USA. In dem Resolutionvorschlag wird die EU-Kommission dazu aufgefordert, darauf zu achten, dass US-Behörden die bereits bestehenden Bedingungen des Privacy Shields erfüllen und dass die neuen Datenschutzbestimmungen der DSGVO eingehalten werden. Ein Kritikpunkt ist, dass immer noch keine Ombudsperson seitens der USA benannt wurde, an die sich EU-Bürger im Falle von Beschwerden wenden können. Des Weiteren wird der in den USA im März verabschiedete „Cloud Act“ kritisiert, der den Zugriff von US-Behörden auf im Ausland gespeicherte Daten über bilaterale Abkommen regeln soll.
Der Ausschuss schlägt dem EU Parlament vor, die EU Kommission dazu aufzufordern den Privacy Shield zu überarbeiten und andernfalls die Übereinkunft ab dem 1. September auszusetzen. Das EU Pralament wird voraussichtlich im Juli darüber beraten. Die finale Resolution ist für die Kommission jedoch nicht verbindlich.
12. Juni 2018
Wenn Nutzer der offiziellen App der Primera División Fußballspiele der spanischen Liga über die Smartphone-Applikation schauen, wird im Hintergrund das Mikrofon des Smartphones aktiviert. Dies räumte die Liga nun nach Inkrafttreten der DSGVO ein und begründete das Vorgehen damit, dass mit Hilfe der aufgezeichneten Audio-Dateien festgestellt werden könne, ob das Fußballspiel beispielsweise in einer Fußball-Kneipe und dort über einen Fernseher den Gästen gezeigt werde. Durch diese Information könne die spanische Liga kontrollieren, ob die entsprechende Kneipe auch die Gebühren dafür zahle oder den Gästen das Spiel in unberechtigter Weise zur Verfügung stellt. Neben den audiovisuellen Informationen teilt die App auch den Standort des Nutzers.
Hintergrund der Funktion sei, dass der Primera División pro Jahr ein Schaden von 150 Million Euro dadurch entstehe, weil viele öffentliche Gaststätten keine offizielle Lizenz für das Zeigen der Fußballspiele besitzen bzw. die Lizenzgebühr hierfür nicht bezahlen.
Mit der Vorgehensweise gerät die spanische Liga in Kritik, insbesondere da die App rund 10 Millionen Nutzer verzeichnet. Sie verteidigt sich allerdings damit, dass die Privatsphäre der Nutzer nicht in Gefahr sei, da die App nicht das reine Audio-Signal der Smartphones abgreife, sondern nur den sogenannten Binär-Code.
Die Verpflichtung für die Benennung eines Datenschutzbeauftragten folgt aus Art. 37 DSGVO. Interessant ist hier insb. Abs. 1 lit. c), wonach ein Datenschutzbeauftragter zu benennen ist, wenn „die Kerntätigkeit des Verantwortlichen […] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 […] besteht.“
In einer Arztpraxis spielen Gesundheitsdaten eine wichtige Rolle. Um die Patienten angemessen behandeln zu können, ist es unabdingbar die Krankengeschichte und sonstige persönliche und medizinische Informationen einzuholen. Es stellt daher eine Haupttätigkeit eines Arztes und somit eine Kerntätigkeit im Sinne des Gesetzes dar.
Für die Bestimmung, ob ein Datenschutzbeauftragter bestellt werden muss, kommt es somit vorallem darauf an, ob eine „umfangreiche“ Verarbeitung vorliegt. Der Begriff „umfangreich“ ist in der DSGVO selbst nicht weiter definiert, findet allerdings in Art. 35 DSGVO, im Rahmen der Datenschutz-Folgenabschätzung, weitere Verwendung. In Erwägungsgrund 91 heißt es hierzu u.a.: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Daraus lässt sich schließen, dass bei vielen Gemeinschaftspraxen eine Bestellung notwendig sein wird. Gemäß § 38 BDSG (neue Fassung) ist dieses Erfordernis bei einer Beschäftigungszahl von 10 Personen in einer Praxis erfüllt.
Ausgesuchte Partnerunternehmen von Facebook besaßen nach Informationen des Wall Street Journals auch über das Jahr 2015 hinaus den Zugriff auf Nutzerdaten, obwohl die Nutzer davon nicht in Kenntnis gesetzt worden waren.
Laut dem Wallstreet Journal soll Facebook eine sog. Whitelist geführt haben. Dabei handelt es sich um Vereinbarungen von Facebook mit Unternehmen über die Weitergabe von Nutzerdaten. Gegenstand der Weitergabe sollen danach die Nutzerdaten in Bezug auf die Facebook-Freunde eines Nutzers sein.
Die Existenz der Whitelist widerspricht der Sperrung des unbeschränkten Zugriffs auf Nutzerdaten. Die Weitergabe von Nutzerdaten hatte Facebook bereits im Jahr 2014 gesperrt, wobei eine Übergangsfrist bis Mai 2015 vereinbart wurde. Mit Ablauf der Übergangsfrist sollte eine Weitergabe von Nutzerdaten nur noch mit Einwilligung des Nutzers zulässig sein. Eine Weitergabe ohne Kenntnis des Nutzers sollte im Anschluss nicht mehr möglich sein.
Facebook selbst begründet den fortwährenden freien Zugang bestimmter Unternehmen damit, dass es sich dabei nur um eine geringe Anzahl handeln soll. Zusätzlich argumentiert Facebook, dass die Übergangsfrist zu kurz bemessen gewesen sei für eine Umstellung betroffener Projekte.
Ungeklärt ist bis zum jetzigen Zeitpunkt, ob weiterhin ein freier Zugang für ausgewählte Unternehmen besteht. Ebenso unbekannt ist die Anzahl der Unternehmen auf der sog. Whitelist.
Aufgrund der Zeitverschiebung nach Russland können Sie vielleicht nicht immer alle Spiele vor dem Fernseher schauen. Eine gute WM-App mit Live-Infos und einem Live-Ticker muss her. Oder vielleicht auch eine App, mit der Sie die WM-Spiele sogar von unterwegs oder im Ausland streamen können.
„Allerdings gerade in Bezug auf den Datenschutz sollten Fußballfans beim Einsatz smarter Gadgets und Apps einiges beachten“, sagt Günter Martin, Internet-Experte bei TÜV Rheinland.
Zahlreiche Apps bieten sich während der WM zum Download an. Von Info-Apps über Tippspiele bis hin zu Stadion-Soundboards und Partyspielen:
Für die Registrierung und Nutzung von Apps und Gadgets sind in erster Linie personenbezogene Daten erforderlich. Hier heißt es: „weniger ist mehr“. Bei Apps sollten keine unnötigen Daten preisgeben werden. Denn sobald die Daten erst einmal auf den Servern der Anbieter landen, bleiben sie dort in der Regel auch. So werden sie für Marketingzwecke benutzt, um beispielsweise mithilfe von individualisierten Nutzerprofilen maßgeschneiderte Werbung anbieten zu können. Auch eine Weitergabe der Daten kann nicht ausgeschlossen werden.
Wer im eigenen Haushalt Sprachassistenzgeräte nutzt, sollte diese während einer Fußball-Party am besten abschalten. Andernfalls kann es vorkommen, dass das Gerät versehentlich durch das Codewort oder eine ähnlich klingende Äußerung aktiviert wird. Dann zeichnet es eventuell auf und veranlasst ungewollte Aktionen. Aufgezeichnete Gespräche lassen sich in der Bedienungs-App in der Regel zwar löschen, ob die Aufnahmen trotzdem bereits ausgewertet wurden und zu Einträgen in das Benutzerprofil geführt haben, ist allerdings nicht nachprüfbar.
Wie die Welt berichtet prüft die hessische Landesdatenschutzbehörde die Praktiken der Schufa hinsichtlich der in der Datenschutzgrundverordnung (DSGVO) verankerten Verbraucherrechte.
Die DSGVO bestimmt in den Art. 15 folgende, dass dem Betroffenen bestimmte Rechte wie zum Beispiel das Auskunftsrecht (Art. 15). Darüber hinaus gibt es Rechte hinsichtlich der automatisierten Entscheidung (Art. 22). Wenn ein Betroffener sein Auskunftsrecht wahrnimmt muss die verarbeitende Stelle „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen“ und das sowohl kostenlos als auch, bei einer elektronischen Anfrage „in einem gängigen elektronischen Format“. Hier liegt der erste Kritikpunkt der Datenschützer, bei der Schufa it lediglich die einmalige Herausgabe einer Datenkopie in Papierform unentgeltlich. Darüber hinaus kann die Erstellung und der Versand einer solchen bereits einige Tage oder Wochen vergehen. Die Schufa vertritt die Auffassung, dass nur bei einem Postversand gewährleistet sei, dass die Information bei dem richtigen Empfänger ankommt. Lediglich wer bereit ist ein einjähriges Abo für 3,95€ zuzüglich einer einmaligen Bereitstellungsgebühr von 9,95€ zu zahlen erhält alle Auskünfte elektronisch. Dabei wird der Betroffene anhand der Prüfziffer auf der Rückseite des Personalausweises verifiziert.
Weiterer Kritikpunkt ist, dass die Schufa ihren Scoring-Algotihmus zur Bonitätsprüfung nicht veröffentlicht und dies ebenfalls in Widerspruch zu den Anforderungen der DSGVO hinsichtlich automatisierter Entscheidungsfindung (Art. 22) steht. Den Betroffenen steht zu, „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung“ zu erhalten. Die Schufa ist nach der DSGVO also eigentlich verpflichtet, weitergehende Informationen hinsichtlich ihres Scoring-Algorithmusses zu veröffentlichen und diesen dadurch transparenter zu machen.
Zumindest in der Theorie wird den Betroffenen in der, an die DSGVO angepassten, Datenschutzerklärung eigene Rechte geltend zu machen.Wie dies umgesetzt wird bleibt allerdings abzuwarten und die Schufa ist davon auch nicht allein betroffen. Alle Auskunfteien müssen sich mit der Problematik der Betroffenenrechte auseinandersetzen.
8. Juni 2018
Auch wenn der Vorgesetzte es verlangt: Beschäftigte müssen ihre private Handynummer bei der Arbeit nicht mitteilen. Das hat das Thüringer Landesarbeitsgericht mit seinem Urteil vom 16.05.2018 entschieden.
Verhandelt wurde eine Klage von Mitarbeitern des kommunalen Gesundheitsamtes gegen den Landkreis Greiz. Der Kreis hatte die Bereitschaftszeiten neu organisiert und von seinen Beschäftigten verlangt, auch außerhalb der Dienstzeiten für die Rettungsleitstelle erreichbar zu sein. Zwei Mitarbeiter hatten sich dagegen zur Wehr gesetzt und nur ihre privaten Festnetznummern, nicht aber ihre Handynummern angegeben, was eine Abmahnung des Arbeitnehmers zur Folge hatte. Das Landesarbeitsgericht gab dem Kläger Recht und bestätigte damit ein Urteil des Arbeitsgerichts Gera von 2017. Nur unter besonderen Bedingungen und in engen Grenzen habe ein Arbeitgeber das Recht auf Kenntnis der privaten Handynummer eines Angestellten. Dies sei beispielsweise der Fall, wenn es keine andere Möglichkeit gebe, die Arbeitspflichten des Arbeitnehmers sinnvoll zu organisieren.
Eine Pflicht des Arbeitnehmers, stets die private Handynummer mitzuteilen, sei in der Regel ein nicht gerechtfertigter Eingriff in dessen Recht auf informationelle Selbstbestimmung.
Weiterhin heißt es im Urteil, eine Pflicht zur Bekanntgabe der privaten Mobilfunknummer greife besonders tief in die persönliche Sphäre des Arbeitnehmers ein. Der Arbeitnehmer könne sich aufgrund der ständigen Erreichbarkeit dem Arbeitgeber ohne Rechtfertigungsdruck nicht mehr entziehen und so nicht zur Ruhe kommen. Das gelte auch dann, wenn die Telefonnummer nur im Notfall verwendet werden soll. Entscheidend sei allein die potenzielle Erreichbarkeit.
Aus datenschutzrechtlicher Sicht ist hier entscheidend, ob die Datenverarbeitung tatsächlich zur Vertragserfüllung erforderlich ist. Der Arbeitgeber darf die Daten des Arbeitnehmers gemäß Art. 6 Absatz 1b DSGVO nur verarbeiten, soweit dies zur Vertragserfüllung notwendig ist. Dass zur Vertragserfüllung die private Handynummer des Mitarbeiters notwendig sein soll, dürfte auf wohl eher seltene Einzelfälle beschränkt bleiben. Arbeitgebern, die die private Handynummer ihrer Mitarbeiter nutzen wollen, müssten hierfür wohl eine eindeutige Einwilligung einholen.
7. Juni 2018
Apple möchte in Zukunft aktiv gegen den „Gefällt-mir“-Button von Facebook vorgehen, um Facebook das Datensammeln zu erschweren. Damit stellt sich der amerikanische Technologiekonzern Apple gegen das Online-Netzwerk Facebook.
Apple kündigte an, neue Versionen seiner Betriebssysteme für iPhones und Mac-Computer herausbringen zu wollen, die das sogenannte Tracking von Internetaktivitäten etwa über Facebooks „Gefällt-mir“ -Button erschweren sollen.
Der Apple-Manager Craig Federighi spricht sich auf der Entwicklungskonferenz des Unternehmens im kalifornischen San José dahingehend aus, dass „private Daten privat bleiben sollen“ und die „Gefällt-mir“-Buttons und Kommentarfelder nicht dazu benutzt werden sollten, dem Nutzer auf der Spur bleiben zu können.
Um dies zukünftig zu vermeiden, sollen sich in Apples Standardbrowser Safari künftig sogenannte Cookies, wie sie etwa über Facebooks „Gefällt-mir“-Button auf den Geräten der Nutzer platziert werden, blockieren lassen. Dadurch soll es Unternehmen erschwert werden, ein Gerät zu identifizieren, die Aktivitäten zu verfolgen und „unverwechselbare“ digitale Fingerabdrücke zu erstellen, sagte Federighi. Für Facebook kann dies erhebliche Folgen haben, da Safari nicht nur auf Apples Mac-Computern läuft, sondern auch der meistgenutzte Webbrowser auf dem iPhone ist.
Auch in Deutschland stand Facebooks „Gefällt-mir“-Button in der Kritik. Das Bundeskartellamt kritisierte im vergangenen Dezember vor allem das Sammeln von Daten außerhalb des sozialen Netzwerks, die dann mit einem Facebook-Konto verknüpft werden. Der Behördenchef Andreas Mundt kritisierte in diesem Zusammenhang, dass das Sammeln sogar dann schon erfolgt, wenn man zum Beispiel einen „Gefällt-mir“-Button gar nicht nutzt, aber eine entsprechende Seite aufgerufen hat, in die ein solcher Button eingebettet ist. Nutzern ist dies regelmäßig nicht bewusst.
6. Juni 2018
Continental verbietet die Nutzung von WhatsApp und Snapchat auf Diensthandys. Damit ist Continental, neben einigen Pharmaunternehmen der erste große Konzern, der diesen Schritt geht.
Aufgrund von Datenschutzbedenken untersagt der deutsche Autozulieferer Continental seinen Mitarbeitern die Nutzung von Social-Media-Apps wie WhatsApp und Snapchat auf ihren Diensthandys und könnte damit einen ersten wegweisenden Schritt zu diesem Thema unternommen haben. Der Zeit stehen viele Unternehmen vor demselben Problem und könnten sich bei Ihren Entscheidungen an der Continental orientieren.
Die Continental teilte mit, dass von diesem Verbot das gesamte Unternehmensnetzwerk und damit mehr als 36.000 Mobiltelefone betroffen seien. Als Begründung wird angeführt, dass die Dienste von WhatsApp und Snapchat auf persönliche und damit potentiell vertrauliche Daten wie z.B. Adressbucheinträge zugreifen können und es damit um Daten unbeteiligter Dritte gehe. Dieses Risiko möchte die Continental nicht tragen und möchte mit dieser Maßnahme auch die Beschäftigten und Geschäftspartner schützen.
Der ersten Reaktionen der Mitarbeiter seien sachlich und stoße auf viel Verständnis, da den Mitarbeitern Alternativen wie z.B. Skype Business und Wire angeboten werden.
Es bleibt abzuwarten, ob sich weitere Unternehmen diesem Verbot anschließen werden.
