20. September 2018
Eine der wesentlichen Neuerungen ist die Einführung der sogenannten Rechenschaftspflicht: Künftig sind datenschutzrelevante Maßnahmen und Prozesse umfassend zu kontrollieren und zu dokumentieren, um die Einhaltung des Datenschutzes, anders als nach der bisherigen Rechtslage, gegenüber der Aufsichtsbehörde im Bedarfsfalle konkret nachweisen zu können. Faktisch findet auf diese Weise eine Beweislastumkehr statt, wodurch den kirchlichen Aufsichtsbehörden erstmals finanzielle Sanktionsmöglichkeiten zur Durchsetzung des Datenschutzes an die Hand gegeben werden.
In Bezug auf Sanktionsmöglichkeiten bei Datenschutzverstößen erfährt das KDG gegenüber der KDO (diese sah lediglich die Möglichkeit einer formellen Beanstandung vor) eine erhebliche Steigerung: Nach § 51 Absatz 5 KDG können Geldbußen von bis zu 500.000 € verhängt werden. Allerdings wird damit bei weitem nicht der Sanktionsrahmen der DSGVO erreicht (bis zu 20 Mio € bzw. 4 % des gesamten weltweiten Jahresumsatzes). Zudem wird gemäß § 51 Abs. 6, § 3 Abs. 1 KDG der Kreis derjenigen, gegen die Sanktionen verhängt werden können, erheblich eingeschränkt.
19. September 2018
Eine Schweizer Steuerberatungsfirma bietet eine kostenpflichtige App für die Erstellung einer Steuererklärungen an. Dazu muss der Nutzer Dokumente und Belege abfotografieren und mit der App hochladen. Alle abfotografierten Dokumente sowie die erhobenen Nutzerdaten wurden beim Cloud Anbieter Amazon Web Services (AWS) gespeichert. Durch die Speicherung in der öffentlich einsehbaren Cloud von Amazon, waren die Nutzerdaten für jeden einsehbar, der über ein Konto bei AWS verfügt. Folglich waren Steuerklärungen, Steuerbescheide, Lohnabrechnungen, Heirats- und Geburtsurkunden usw. in einem öffentlich lesbaren AWS Bucket abgelegt.
Ein Sicherheitsforscher bemerkte dieses Problem und fand zudem die per bcrypt gesicherten Passwörter der Admins heraus. Zudem waren die Chatverläufe zwischen der Steuerberaterfirma und dem Nutzer, in denen teilweise über die Steuererklärung gesprochen wurde, im Klartext gespeichert.
Der App-Entwickler hatte also nicht dafür gesorgt, dass die personenbezogenen Daten in einem gesicherten Bereich gespeichert werden.
18. September 2018
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat am 07.09.2018 auf seiner Internetpräsenz erste Bausteine aus einem Katalog von Referenzmaßnahmen veröffentlicht, die die Anwender bei der Umsetzung technischer und organisatorischer Maßnahmen nach den Vorgaben der DSGVO unterstützen sollen.
Es handelt sich dabei um den Maßnahmenkatalog zum Standard-Datenschutz-Modell (SDM). Das SDM soll Verantwortlichen und Behörden die Beurteilung erleichtern, ob eine Verarbeitung datenschutzkonform ist. Die Datenschutzkonferenz hatte bereits im April diesen Jahres die Entscheidung über die sukzessive Veröffentlichung des Katalogs getroffen.
Die Bausteine verfasste und veröffentlichte eine zuständige Unterarbeitsgruppe des Arbeitskreises „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten. Eine Abstimmung der Datenschutzkonferenz über die Bausteine steht aktuell noch aus.
Die veröffentlichten Bausteine umfassen thematisch unter anderem die Aufbewahrung, das Protokollieren, Dokumentieren und Löschen von personenbezogenen Daten sowie das Datenschutzmanagement.
Ungeachtet ihrer Veröffentlichung befinden sich die Bausteine damit weiterhin in der Erarbeitungsphase. Die Veröffentlichung in dieser Phase dient dem Zweck, die Bausteine der öffentlichen Diskussion zugänglich zu machen. Die veröffentlichten Bausteine sollen damit in der kommenden Zeit getestet und gegebenenfalls im Anschluss überarbeitet werden. Die Verfasser erhoffen sich davon insbesondere, dass die Weiterentwicklung durch umfassendes Feedback der Anwender vorangetrieben wird. Dementsprechend empfehlen die Verfasser der Bausteine den Anwendern, dass sie ihre Erfahrungen mitteilen.
Weitere Bausteine sollen in nächster Zeit veröffentlicht werden. Es bleibt abzuwarten, wie die Veröffentlichung der Bausteine aufgenommen wird.
Eine App, die alle Daten eines Patienten über Krankheit, Medikamente und Arztbesuche speichert, damit der Haus- oder Facharzt unmittelbar ein vollständiges Bild bekommen, könnte eine lebensrettende Maßnahme sein. Allerdings dürfen die Nachteile einer solchen App, insbesondere in datenschutzrechtlicher Sicht, nicht unbeachtet bleiben. Gesundheitsdaten sind sensible Daten, die eines besonderen Schutzes bedürfen.
Werden in einer App jeder Arztbesuch, jedes Röntgenbild, Medikamente und Allergien gespeichert, können Unverträglichkeiten direkt berücksichtigt und doppelte Untersuchungen mit vielleicht überflüssigen Röntgenaufnahmen vermieden werden. Eine Studie der beteiligten Krankenkassen besagt, dass jeder vierte Befragte schon einmal doppelt untersucht und teilweise sogar doppelt geröntgt wurde, was eine unnötige Belastung für den Körper darstellt. Bereits in anderen europäischen Ländern wie Österreich gibt es ein zentrales Verzeichnis, in das alle Gesundheitsdaten einfließen. Dabei können die Patienten selbst entscheiden, wer ihre Daten sehen kann.
Man könnte meinen, dass dieser Mehrwert das kleine Risiko der Datenspeicherung wert sei. Eine solche App erscheint auf den ersten Blick sehr verlockend.
Allerdings sollte man dies auch unter den datenschutzrechtlichen Aspekten genauer betrachten. Krankenhäuser haben Probleme mit ihrer digitalen Sicherheit. Die Computersysteme in vielen Praxen und Krankenhäusern können häufig nicht ausreichend gesichert werden. Laut einer Studie des Beratungsunternehmens Roland Berger wurden bereits zwei von drei deutschen Klinken zum Opfer von Cyberkriminellen. Hätten diese anfälligen Systeme Zugang zu allen, kann das zu einem großen Problem werden. Nicht nur Krankenhäuser können angegriffen werden, sondern auch Ambulanzen und medizinische Forschungseinrichtungen.
Experten warnen davor, dass durch ein Handel mit gestohlenen Patientendaten zum Beispiel hochrangige Politiker erpressbar werden. Dadurch könnten Krankheiten politisch instrumentalisiert werden.
Die Entwickler sprechen von mehrstufigen Sicherheitsprozessen und Verschlüsselungen, die die Daten hinreichend schützen sollen. Allerdings entwickelt sich auch diejenigen weiter, die an diese Daten gelangen wollen.
Fest steht, dass Gesundheitsdaten nicht zu einem Risiko werden dürfen – weder für die einzelnen Bürger, noch für Politiker.
Es bleibt abzuwarten, ob sich in Zukunft eine solche App gegen Kritiker durchsetzen kann.
17. September 2018
Ausgangspunkt des Streitfalls war die Klage eines Amazon-Kunden. Dieser hatte über die Plattform Amazon-Marketplace Waren bestellt. Amazon versendete im Anschluss die georderten Produkte und sendete dem Käufer die Rechnung per E-Mail. Die E-Mail enthielt zusätzlich die Bitte, an einer Kundenzufriedenheitsumfrage teilzunehmen bzw. eine positive Bewertung abzugeben, wenn er mit der Transaktion zufrieden war.
Wie die Verknüpfung der E-Mail-Rechnung mit einer Kundenzufriedenheitsumfrage rechtlich zu bewerten ist, klärte nun endgültig das oberste deutsche Zivilgericht: Die Übermittlung einer Kundenzufriedenheitsumfrage per E-Mail ist unter den Begriff der Werbung zu subsumieren und ist auch dann (ohne Vorankündigung mit entsprechender Widerspruchsmöglichkeit) unzulässig, wenn diese direkt im Anschluss an einen Kauf mit der Rechnung per E-Mail versendet wird.
Nachdem das Amtsgericht Braunschweig und auch das Berufungsgericht die Klage abwiesen, urteilte der BGH letztlich zugunsten der Privatsphäre. Es sei dem Verkäufer, in diesem Fall Amazon, zuzumuten, dem Kunden nach Abschluss einer Transaktion das Recht zum Widerspruch gegen die Nutzung der E-Mail-Adresse für Werbung nach § 7 Abs. 3 UWG einzuräumen. Tut er dies nicht und hat der Käufer nicht vorab in den Erhalt von Werbe-E-Mails eingewilligt, ist das Eindringen in die Privatsphäre des Käufers unzulässig.
Mit diesem Urteil stärkt der BGH das allgemeine Persönlichkeitsrecht von Internet-Käufern. Eine Kundenzufriedenheitsumfrage ist als geschäftsfördernde Maßnahme der Werbung zuzuordnen, für welche die wettbewerbsrechtlichen Anforderungen des Art. 7 UWG einzuhalten sind. Die Zulässigkeit einer Verknüpfung von Rechnung und Kundenzufriedenheitsumfrage per E-Mail ohne Widerspruchsmöglichkeit würde eine Umgehung des §7 Abs. 3 UWG bedeuten und ist daher richtigerweise unzulässig.
14. September 2018
Das Oberlandesgericht Frankfurt hat in einem Streitfall über das „Recht auf Vergessen werden“, zwischen dem Internetkonzern Google und dem Geschäftsführer einer gemeinnützigen Organisation, für Google entschieden. Bei dem Berufungsverfahren ging es darum zu klären, ob die Verbindung von Personen zu negativen Presseartikeln aus der Vergangenheit untersagt werden kann.
Das Oberlandesgericht entschied, dass dem Internetkonzern nicht untersagt werden dürfe, negative Presseartikel aus der Vergangenheit bei der Suchanfrage zu einer Person anzuzeigen. Dies gilt auch wenn ein solcher Presseartikel Gesundheitsdaten der entsprechenden Person beinhalte.
Trotz der im Mai in Kraft getretenen Datenschutzgrundverordnung, rechtfertigt das Gericht seine Entscheidung damit, dass das Interesse einer einzelnen Person gegen das Interesse der Öffentlichkeit abgewogen werden müsse. In dem konkreten Fall aus Frankfurt handele es sich nicht um eine erkennbare Verletzung des allgemeinen Persönlichkeitsrechts des Klägers, jedoch sei von einem erheblichen Öffentlichkeitsinteresses auszugehen.
Auch das vom Europäischen Gerichtshof anerkannte „Recht auf Vergessen werden“ greife in diesem Fall nicht, da man auch nach einigen Jahren die inzwischen vergangen seinen, immer noch von einem spürbaren Interesse der Öffentlichkeit ausgehen müsse.
11. September 2018
Ein ungewöhnliches Bündnis beantragt vor dem Bundesverfassungsgericht in Karlsruhe eine Normenkontrolle: FDP, Grüne und Linke greifen gemeinsam das neue Polizeiaufgabengesetz in Bayern an und knacken durch ihre Verbindung die erforderliche Antragshürde von einem Viertel der Mitglieder des Bundestags.
Die Abgeordneten kritisieren u. a. den Begriff der „drohenden Gefahr“. Liegt eine drohende Gefahr vor, so stehen der bayerischen Polizei umfangreiche Befugnisse (Identitätskontrolle, Platzverweise, Gefahrenabwehrhaft, etc.) zu. Auch die Einführung neuer Fahndungsmittel, wie bspw. die „molekulargenetische Untersuchung“, sowie die nun möglichen tiefgehenden Eingriffe in den Telekommunikationsbereich und die IT-Systeme sorgen für Diskussionen: Zukünftig können Staatstrojaner für die Quellen-Telekommunikationsüberwachung und für heimliche Online-Durchsuchungen schon präventiv eingesetzt werden. Das Bündnis fürchtet tiefgreifende Grundrechtseinschnitte durch einen heranwachsenden „Überwachungsstaat“.
Nun liegt es am Bundesverfassungsgericht zu klären, wie weit der Staat gehen darf, um seine Bürger vor schweren Straftaten zu schützen. Wie weitreichend darf das informationelle Selbstbestimmungsrecht der Bürger eingeschränkt werden? Und ab wann hebelt sich der Rechtsstaat selbst aus, indem er die so sehr geschätzte und hart erkämpfte Freiheit eines jedes Einzelnen vor dem vermeintlich höheren Gut der Sicherheit zurücktreten lässt?
Trotz Ausbleiben der erwarteten Abmahnwelle aufgrund geltend gemachter Verstöße gegen die Anforderungen der DSGVO, möchte die Politik die Unternehmen dennoch schützen.
Sinn einer Abmahnung ist es, den fairen Wettbewerb zu stärken und ein gerichtliches Verfahren zu vermeiden. Doch leider wird das Instrument oftmals missbräuchlich genutzt.
Seit dem 25.05.2018, dem Inkrafttreten der DSGVO, gab es verschiedene Vorschläge wie gegen Abmahnungen aufgrund der DSGVO vorgegangen werden könnte. Die CDU/CSU wollte im Bundestag bereits im laufenden Gesetzgebungsverfahren zur Musterfeststellungsklage einen Passus mit aufnehmen lassen, der Abmahnungen aufgrund von Verstößen gegen die DSGVO innerhalb einer Frist von einem Jahr gesetzlich verbietet. Die SPD hingegen wollte dem Vorschlag nicht zustimmen. Ihrer Meinung nach sollte das Problem der Abmahnungen grundsätzlich angegangen werden. Immerhin ist das Thema Abmahnmissbrauch Bestandteil des Koalitionsvertrags.
Nun hat Justizministerin Katarina Barley (SPD) einen neuen Gesetzesentwurf vorgelegt, in dem die Anforderungen an die Klagebefugnis deutlich angehoben wurden. Ziel ist es, den oben angesprochenen missbräuchlichen Abmahnern erst gar keine Möglichkeit zur Abmahnung einzuräumen.
Dem Inhalt nach sollen Mitbewerber nur noch dann klagebefugt sein, wenn sie in zumindest nicht unerheblicher Art und Weise vergleichbare Waren oder Dienstleistungen vertreiben oder nachfragen.
Durch den Gesetzesentwurf soll klargestellt werden, dass die erhobenen Ansprüche nicht hauptsächlich zur Gewinnerzielung genutzt werden dürfen. So soll auch der Streitwert auf 1000,00 € begrenzt werden. Dadurch soll der Anreiz für Abmahnanwälte deutlich begrenzt werden.
Darüber hinaus hat der Abmahnende nachvollziehbar und verständlich darzulegen, auf welcher Grundlage und nach welchen Bemessungskriterien er die geltend gemachten Ansprüche berechnet hat.
Der Gesetzentwurf untersagt mithin zwar nicht grundsätzlich Abmahnungen aufgrund von Verstößen gegen die DSGVO, er kann die missbräuchlichen Abmahnungen aber einschränken.
5. September 2018
Google Signale ist eine neue Erweiterung von Google, die im Rahmen von Google Analytics genutzt werden kann. Aktuell befindet sich diese Funktion noch als BETA-Version im Rollout.
Sobald der Google-Nutzer Google Signale aktiviert, werden die Google Analytics Funktionen aktualisiert.
Google kann das geräteübergreifende Verhalten der Nutzer, die Google Signale aktiviert haben, abschätzen. Die Daten der Nutzer werden grundsätzlich für eine Dauer von 26 Monaten gespeichert.
Google erhält Statistiken, die auf Anmeldung und Gerätetypen aller Nutzer basieren.
Datenschutzrechtlich hat dies viele Auswirkungen. Google nutzt für diese Statistiken die Logins im Google-Netzwerk und führt damit ein sog. Cross-Device Tracking durch. Cross- Device Tracking umfasst eine geräteübergreifende Analyse von Besucherströmen auf einer Webseite. Bei dieser Methode werden Besucher mit einer ID markiert. Durch das Cross-Device Tracking können Nutzer eindeutig identifiziert werden.
Die Einhaltung der geltenden Datenschutzbestimmungen spielt hierbei eine große Rolle. Die Konto-Einstellungen „personalisierte Werbung“ scheint zumindest derzeit ein Opt-Out zu sein. Folglich holt Google aktuell keine Einwilligung für das Cross-Device Tracking ein, sondern es wird nur eine Widerspruchsmöglichkeit zur Verfügung gestellt.
In einem Prüfbericht beanstandet der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar (HmbBfDI) die Erstellung von biometrischen „Gesichtsabdrücken“ durch die Polizei Hamburg.
Anlass für den Einsatz der Gesichtserkennung-Software waren die Proteste im Zusammenhang mit dem G-20 Gipfel in Hamburg. Die Hamburger Polizei hat insgesamt 100 Terabyte Bild- und Videomaterial zu Strafverfolgungszwecken erhoben. Das Bild- und Videomaterial besteht aus Aufnahmen in S-Bahnhöfen, der medialen Berichterstattung, den eigenen Aufnahmen der Polizei und privaten Aufnahmen, die BürgerInnen der Polizei zur Verfügung gestellt haben. Zur Auswertung der riesigen Datenmenge setzt die Polizei die eigens dafür angeschaffte Software „Videmo 360“ ein. Das Programm verarbeitet alle Gesichter, die in den Aufnahmen vorkommen und erstellt sog. Gesichtstemplates. Hierbei handelt es sich um mathematisch abgleichbare Modelle, die einen Gesichtsvergleich ermöglichen. Dadurch erhofft sich die Polizei Straftaten, die während des viertägigen Gipfels begangen wurden, aufzuklären.
In dem Vorgehen der Polizei sieht der HmbBfDI das Gleichgewicht zwischen staatlichen Eingriffsbefugnissen zur Strafverfolgung und dem Recht des Einzelnen auf informationelle Selbstbestimmung in Gefahr. Die massenweise Auswertung von biometrischen Daten eröffnet eine neue Dimension für staatliche Überwachung und Kontrolle. Durch die quasi uferlose Datenauswertung sind nicht nur verdächtige Personen, sondern auch Unbeteiligte betroffen. Insbesondere weist der HambBfDI auf die Möglichkeit hin, Profile von Personen zu erstellen, die weitere Nutzungs- und Verknüpfungsmöglichkeiten der Daten eröffnen.
Nach intensiver rechtlicher Prüfung gelangt der HmbBfDI zu dem „Ergebnis, dass die Erzeugung von mathematischen Gesichtsmodellen einer unbegrenzten Anzahl von in der Masse verdachtslos erfassten Bürgerinnen und Bürgern im Stadtgebiet über den Zeitraum von zumindest mehreren Tagen und deren Speicherung für eine unbestimmte Zeit einer besonderen gesetzlichen Befugnis bedarf, die den Eingriff in das informationelle Selbstbestimmungsrecht rechtfertigt.“
Durch die Erstellung einer „Gesichts-ID“ und ihren Abgleich zur Verfolgung von Straftaten im Zusammenhang mit dem viertägigen G 20-Gipfel wird massiv in das Recht auf informationelle Selbstbestimmung eingegriffen, da die Maßnahme auf keiner Rechtsgrundlage beruht. Eine derart umfangreiche Verarbeitung biometrischer Daten kann insbesondere nicht auf eine Generalklausel gestützt werden. Der HmbBfDI geht davon aus, „dass die Beanstandung dazu führt, dass der Einsatz dieses Verfahrens gestoppt wird und eine Löschung der ohne Rechtsgrundlage erhobenen biometrischen Daten erfolgt.”
