Kategorie: Allgemein
19. September 2019
Das Unternehmen Delivery Hero Germany GmbH hat ausweislich einer Pressemitteilung der Berliner Datenschutzbeauftragten gegen den Grundsatz der Speicherbegrenzung nach Maßgabe des Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO) verstoßen. Hierfür sei ein Bußgeld in Höhe von 195.407 Euro verhängt worden.
Konkret hätte die Delivery Hero Germany GmbH – eine ehemalige Tochter der Delivery Hero SE – in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen seien.
Überdies hätten sich (hier beispielsweise aufgeführt) acht ehemalige Kunden über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In einem Fall hätte ein Geschädigter trotz ausdrücklichem Widerspruch der Nutzung seiner Daten für Werbezwecke weitere 15 Werbe-E-Mails von dem Lieferdienst erhalten. Dies entspricht insoweit einem Verstoß gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a) DSGVO).
Der mittlerweile neue Eigentümer des Unternehmens, die Takeway.com hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt.
18. September 2019
Insbesondere nach den Vorfällen in Voerde und Frankfurt am Main wollen
die Bundesregierung und die Bahn mehr Videoüberwachung und Polizeipräsenz auf
den Bahnhöfen einsetzen, um die Sicherheit an Bahnhöfen zu erhöhen.
Die intelligente Videoüberwachung und die biometrische Gesichtserkennung an
Bahnhöfen können künftig ein wichtiges Unterstützungsinstrument insbesondere
für die Bundespolizei sein. Auf diese Sicherheitsmaßnahmen einigten sich
der Bundesinnenminister Horst Seehofer
und der Bundesverkehrsminister Andreas Scheuer bei einem Treffen mit dem DB-Infrastrukturvorstand
Ronald Pofalla.
Für die Modernisierung der Videotechnik an Bahnhöfen sind bis 2023
bereits 70 Millionen Euro vorgesehen. Der Bundesverkehrsminister teilte
mit, dass das Verkehrsministerium weitere
50 Millionen Euro ausgeben will, die der
Bundestag noch genehmigen muss. Hinzu kommen noch 12,5 Millionen Euro von der
Deutschen Bahn (DB).
Der geplante Einsatz der Gesichtserkennung ist sehr umstritten. Datenschützer sind skeptisch, da bisher dafür keine rechtliche Grundlage existiert. Sie halten den Einsatz biometrischer Gesichtserkennungssoftware in Überwachungskameras für rechtswidrig, da die Datenschutzgrundverordnung (DSGVO) die Erhebung biometrischer Daten mit dem Ziel, Personen zu identifizieren, grundsätzlich verbietet.
In welchem Umfang ein Einsatz von Videoüberwachung mit biometrischer Gesichtserkennung geplant sei, ist derzeit nicht bekannt. Eine Bundespolizei-Sprecherin erklärte lediglich, dass es für die Implementierung des Gesichtserkennungssystems an Bahnhöfen „aufgrund der damit verbundenen Grundrechtseingriffe zunächst einer klarstellenden Rechtsgrundlage im Bundespolizeigesetz“ bedürfe.
Die Bundespolizei hatte im Jahr 2017 am Berliner Bahnhof Südkreuz ein hochumstrittenes
Pilotprojekt mit Gesichtserkennungssoftware getestet. Trotz die mittelmäßigen
Erkennungsraten, wertete die Bundespolizei die Ergebnisse als großen Erfolg. Dazu
hat der Bundesdatenschutzbeauftragte
Ulrich Kelber mitgeteilt: „Losgelöst von der Frage, wie effektiv diese Art
der Überwachung überhaupt ist, fehlt es für eine flächendeckende biometrische
Videoüberwachung nach wie vor an einer konkreten gesetzlichen Rechtsgrundlage„.
17. September 2019
Patienten aus Deutschland und den USA betroffen.
Datensätze von weltweit mehreren Millionen Patienten sind im Netz für jedermann frei zugänglich. Auf dieses Datenleck stießen Reporter vom Bayrischen Rundfunk und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, während einer gemeinsamen Recherche.
Teil der betroffenen Datensätze sind auch Bilder aus medizinischen Untersuchungen, welche unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen eines Brustkorbs zeigen. Der Großteil der Datensätze weist einen Personenbezug auf: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst. Diese sensiblen und damit besonders schützenswerten Daten lagen auf ungeschützten Servern.
Betroffen sind in Deutschland rund 13.000 Datensätze, wovon der größte Teil von Patienten aus dem Raum Ingolstadt (Bayern) und aus Kempen (Nordrhein-Westfalen) stammt. Doch auch weltweit sind nach Auswertungen von ProPublica Patientendaten betroffen. In den USA sei das Ausmaß besonders hoch.
Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte gegenüber dem BR auf, welche Konsequenzen ein solches Datenleck haben kann: „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.“
Laut Informationen des Bayrischen Rundfunks wurde der Fall Ingolstadt bei dem Bayerischen Landesamt für Datenschutzaufsicht, der zuständigen Behörde, angezeigt. Welche aufsichtsbehördlichen Maßnahmen die Behörde treffen wird, bleibt abzuwarten.
16. September 2019
Die Betreiber von gewerblichen Fanpages auf Facebook sind mitverantwortlich für die Datenverarbeitung. Datenschutzbehörden dürfen Unternehmen verpflichten, ihre Seiten bei Facebook abzuschalten, wenn Facebook den Datenschutz missachtet. Das entschied jetzt das Bundesverwaltungsgericht in einem Grundsatzurteil.
Wie wir bereits berichtet haben, liegt der Entscheidung ein Fall aus Schleswig-Holstein zugrunde. Das Landeszentrum für Datenschutz (ULD) forderte 2011 von der Wirtschaftsakademie Schleswig-Holstein die Deaktivierung der Fanpage. Bei Aufruf der Seite würden Daten der Nutzer erhoben, ohne dass diese darüber informiert würden. Das Oberverwaltungsgericht (OVG) Schleswig-Holstein hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Das Bundesverwaltungsgericht legte den Fall schließlich dem Europäischen Gerichtshof (EuGH) vor.
Der EuGH hat im Juni 2018 dann entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher. Das Bundesverwaltungsgericht hat auf Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben.
„Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar“, weil dem ULD keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht. Inwiefern die Datenverarbeitung im konkreten Fall tatsächlich rechtswidrig war, muss aber noch genauer geklärt werden, urteilten die Leipziger Richter. Sie verwiesen den Fall darum zur erneuten Verhandlung und Entscheidung an das OVG zurück.
11. September 2019
Der neue Standard ISO/IEC 27701 erweitert den bekannten ISO/IEC-27001 Sicherheitsstandard für Informations-Sicherheits-Management-Systeme (ISMS) um datenschutzrechtliche Aspekte. Es kommt zu einer Integration der Anforderungen an ein Datenschutz-Informations-Management-System (PIMS) in ein ISMS.
Ein ISMS soll dazu dienen, Unternehmen bei der Verwaltung ihrer sensiblen Informationen zu unterstützen und damit die Informationssicherheit zu fördern. Die maßgeblichen Standards werden von der internationalen Organisation für Normung (ISO) und der Internationalen Elektronischen Kommission (IEC) entwickelt. Anforderungen an die Informationssicherheit werden in der 27000er Serie in einem Dutzend Normen konkretisiert und sollen bei der Umsetzung helfen.
Das Bundesamt für Sicherheit in der Informationstechnik, der Bundesnetzagentur oder der Bundesanstalt für Finanzdienstleistungsaufsicht sehen den grundlegenden Standard ISO 27001 als maßgebliche Norm an. Der neue Standard ISO 27701 baut auf dem des 27001 auf und ergänzt diese um datenschutzrechtliche Aspekte.
Das ISMS unterstützt damit bei der Berücksichtigung der Vorgaben der DSGVO. Diese fordert, unter anderem zum Schutz der Rechte und Freiheiten der betroffenen Personen durch Implementierung geeigneter technischer und organisatorischer Maßnahmen zur Sicherung personenbezogener Daten, auf.
Um eine datenschutzkonformes ISMS zu erstellen, wurde der neue Standard um Anforderungen ergänzt und enthält Empfehlungen für den Datenschutz.
Das Bundesverwaltungsgericht muss heute über einen Fall aus Schleswig-Holstein entscheiden und dabei beurteilen, wie weit die Mitverantwortung eines Unternehmens, das eine Seite bei Facebook betreibt, geht. Wie wir bereits berichtet haben hat der Europäische Gerichtshof (EuGH) bereits im vergangenen Jahr entschieden, dass eine datenschutzrechtliche Mitverantwortung anzunehmen ist.
Im Fall, über den das Bundesverwaltungsgericht heute zu entscheiden hat, hatte die Landesdatenschutzbehörde in Schleswig-Holstein geklagt. Die Wirtschaftsakademie des Bundeslandes sollte ihre Facebook-Seite deaktivieren, weil dort personenbezogene Daten erhoben wurden, ohne dass die Nutzer davon wussten.
Allerdings dürften die Richter des Bundesverwaltungsgerichtes kaum anders entscheiden als der EuGH, weshalb das Facebook-Urteil weitreichende Folgen hätte. Zum einen für Unternehmen, die solche Seiten unterhalten, aber möglicherweise auch für Profilseiten anderer sozialer Netzwerke.
10. September 2019
In dem Fall ging es um das Einblicksrecht des Betriebsrats in Bruttoentgeltlisten. Der Arbeitgeber betrieb eine Klinik, die einem gekündigten Manteltarifvertrag unterfällt. Die Klinik führte seit einiger Zeit die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Dabei enthielten die Listen die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu weiteren Bezügen. Der Arbeitgeber gewährte dem Betriebsrat nur Einsicht in eine anonymisierte Fassung dieser Listen.
Der Betriebsrat verlangte für seinen Betriebsausschuss Einblick in eine ungeschwärzte Fassung der Bruttoentgeltlisten mit sämtlichen Klarnamen. Nur so lasse es sich feststellen, ob der Arbeitgeber die Vergütungsgrundsätze eingehalten hat.
Das Bundesarbeitsgericht (BAG) sprach dem Betriebsausschuss ein Einsichtnahmerecht in die nicht-anonymisierten Bruttoentgeltlisten zu. Dabei hat das BAG nun entschieden, dass dieses Einblicksrecht auch unter Berücksichtigung datenschutzrechtlicher Vorgaben nicht-anonymisierte Bruttoentgeltlisten umfasst. Der Arbeitgeber ist nach § 80 Abs. 2 S. 2 Betriebsverfassungsgesetz (BetrVG) verpflichtet, dem Betriebsausschuss Einblick in die nicht-anonymisierten Bruttoentgeltlisten zu gewähren. Der Arbeitgeber muss dem Betriebsrat auf sein Verlangen alle für die Betriebsratsarbeit nötigen Unterlagen zur Verfügung stellen. Um zu prüfen, ob die innerbetriebliche Lohngerechtigkeit eingehalten ist, muss der Betriebsrat über die effektiv gezahlten Vergütungen Bescheid wissen. Daher darf der hier zuständige Betriebsausschuss Einblick in die Bruttogehaltslisten mit Namen nehmen.
Das Gewähren von Einblick in die personifizierten Gehaltslisten stellt eine Verarbeitung personenbezogener Daten im Sinne des Datenschutzrechts dar. Das Beschäftigungsdatenschutzrecht erlaubt jedoch eine solche Verarbeitung, wenn diese zur Ausübung der sich aus dem BetrVG ergebenden Rechte und Pflichten des Betriebsrats nötig ist. Das ist vorliegend der Fall, da der Betriebsrat sonst nicht seinen betriebsverfassungsrechtlichen Pflichten nachkommen kann.
5. September 2019
Erneut muss sich Facebook wegen eines Vorfalls die Daten seiner Nutzen betreffend rechtfertigen. Im Internet sollen offenbar Telefonnummern von etwa 420 Millionen Nutzern offen zugänglich gewesen sein. Ein IT-Experte hatte eine Datei im Netz entdeckt und TechCrunch infomiert, die die Echtheit der Daten bestätigten und den Webhost informierten. Dieser schaltete die Seite ab.
In etwa 133 Millionen US-amerikanische Nutzer seien betroffen gewesen, sowie 50 Millionen aus Vietnam und 18 Millionen aus Großbritannien. Die Gefahr der Veröffentlichung der Telefonnummern liegt darin, dass diese durch Onlinekriminelle missbraucht werden können, um Accountpasswörter zurücksetzen und damit Profile kapern zu können. Eine Entfernung dieser Datei soll inzwischen vorgenommen worden sein.
Einen Hackerangriff soll es laut Facebook nicht gegeben haben. Unklar ist momentan noch, wer sie erstellt und öffentlich hochgeladen hat. Bei den Daten solle es sich um alte Daten handeln, die gesammelt worden seien, bevor das Unternehmen im letzten Jahr die Möglichkeit abschaffte, mithilfe der Telefonnummer Freunde zu finden.
Da die Freundessuche nach Telefonnummer regelmäßig dazu missbraucht wurde, Daten abzugreifen, schaltete Facebook diese Funktion bereits im April 2018 ab.
Update: am Freitag, 06.09.19, ist eine Kopie der Datenbank im Internet aufgetaucht, somit sind die Daten derzeit wieder öffentlich einsehbar.
Eine häufige Frage aus der Praxis:
Nach Art. 33 DSGVO müssen für die Datenverarbeitung Verantwortliche bei einer sogenannten Datenpanne, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, eine Meldung an die zuständige Aufsichtsbehörde vornehmen. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, erfolgen.
Exkurs: Eine Datenpanne ist nach Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden .
Viele der Verantwortlichen fragen sich, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führen kann, sie also quasi verpflichtet sind, sich selbst zu belasten.
Die Antwort auf diese Frage findet sich in der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG). Danach darf die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden nur mit deren Zustimmung verwendet werden.
Ein Bußgeldverfahren wird auf Grundlage der Meldung also nicht gegen den Verantwortlichen eingeleitet werden. § 43 Abs. 4 BDSG gilt allerdings nicht, wenn (auch) Dritte die Datenpanne gemeldet haben. Darüber hinaus ist zu beachten, dass § 43 Abs. 4 BDSG nicht unumstritten ist. Nach Ansicht einiger Datenschützer steht diese Bestimmung nicht im Einklang mit den Vorgaben der DSGVO und ist daher nicht anwendbar. Diese Rechtsauffassung wurde allerdings noch nicht gerichtlich bestätigt.
ACHTUNG: Erfolgt keine oder eine verspätete Meldung, kann dies mit einem Bußgeld geahndet werden. Daher empfiehlt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit in einer Pressemitteilung, Datenpannen stets rechtzeitig zu melden. Sollte keine Meldung vorgenommen werden, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, hat eine entsprechende ausführliche Dokumentation zu erfolgen.
2. September 2019
Der europäische Datenschutzausschuss (EDSA) hat kürzlich Leitlinien „zur Verarbeitung personenbezogener Daten durch Videogeräte“ veröffentlicht. Hintergrund ist der zunehmende Einsatz von Videogeräten in den verschiedensten Lebensbereichen. Die Menge der mit Videogeräten erhobenen Daten sowie der Einsatz intelligenter Technologien schränkt die Möglichkeit die eigene Privatsphäre zu bewahren erheblich ein. Die Leitlinien des EDSA enthalten dabei folgende Kernpunkte.
Die Verwendung von Videogeräten kann die Anwendung der DSGVO nur dann auslösen, wenn personenbezogene Daten über das Videogerät erfasst werden. Das ist der Fall, wenn eine Person direkt oder indirekt identifiziert wird. Die Verarbeitung wird nicht von den zuständigen EU-Behörden zum Zwecke der Verhütung, Aufdeckung oder Verfolgung von Straftaten oder der Vollstreckung von strafrechtlichen Sanktionen durchgeführt. Andernfalls fällt die Verarbeitung in den Anwendungsbereich der EU-Richtlinie zur Strafverfolgung. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Videogeräte kommt überwiegend der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f DSGVO in Betracht.
Werden spezielle Datenkategorien (z.B. biometrische Daten) verarbeitet, birgt dies erhöhte Risiken für den Einzelnen. Daher wird eine erhöhte und kontinuierliche Wachsamkeit bei bestimmten Verpflichtungen wie z.B. eine Datenschutzfolgenabschätzung gefordert.
Zur Sicherstellung von Transparenz für die Betroffenen sieht der EDSA ein mehrstufiges Informationssystem („Mehrebenen-Ansatz“) vor. Auf der ersten Informationsebene steht die Verwendung eines Hinweisschildes mit den wichtigsten Angaben. Auf zweiter Informationsebene (idealerweise digital) sollten alle weiteren nach Art. 13 DSGVO erforderlichen Informationen enthalten sein. Einen weiteren wichtigen Punkt stellen die Aufbewahrungsfristen dar. Dabei gilt, dass bei längerer Speicherung der Daten (mehr als 72 Stunden), der Verantwortliche die Erforderlichkeit der Speicherung besonders darlegen muss.
Bei den Leitlinien handelt es sich nicht um unmittelbar bindende Bestimmungen. Allerdings können sie bei der Auslegung innerhalb der DSGVO herangezogen werden.
