Kategorie: Allgemein
18. März 2019
Immer wieder kommt es dazu, dass demokratische Wahlen durch Hackerangriffe beeinflusst werden. Die Angst vor Manipulationsversuchen durch das Internet oder die Medien steigt damit stetig.
In Israel kam es laut Berichten nun wieder zu einem solchen Hackerangriff der die Wahl des Premierministers, welche Anfang April stattfindet, stark beeinflussen könnte. Laut des Berichts eines israelischen Fernsehsenders handelte es sich um einen Hackerangriff des Smartphones von
Benny Gantz, eines Konkurrenten des amtierenden Premierministers Benjamin Netanjahu, welcher angeblich durch den iranischen Geheimdienst durchgeführt wurde. Auch wenn auf dem gehackten Smartphone kein kompromittierendes Material gefunden wurde, wird die Sorge über einen unzulässigen Wahlkampf weiter geschürt.
Der Israelische Staat wies darauf hin, dass der Hackerangriff schon Jahre zurück liegt, jedoch erst jetzt im Laufe des Wahlkampfes an Brisanz gewinnt, da der Iran zu jederzeit in der Lage wäre das gehackte Material zu veröffentlichen.
Bereits im Vorfeld der Wahlen kam es zu Warnungen über den Versuch einer vermeintlichen ausländische Einflussnahme. Der israelische Geheimdienst versicherte, dass Cyberattacken sowie Hackerangriffe aktuell abgewehrt und somit freie demokratische Wahlen gewährleistet werden können.
12. März 2019
Kurz vor den entscheidenden Tagen zur Abstimmung über die Umstände und gegebenenfalls eine Verschiebung des Brexits hat sich Theresa May gestern Abend nochmals mit Jean-Claude Juncker in Straßburg getroffen. Dabei wurde sich, als Ergänzung zum vormaligen Brexit-Abkommen, auf ein „Klarstellungen und rechtliche Garantien“ zur Auffanglösung für Nordirland geeinigt.
Großbritannien soll hierbei die Möglichkeit erhalten, ein Schiedsgericht anzurufen, für den Fall, dass die EU über 2020 hinaus Großbritannien mittels Backstop-Klausel gewissermaßen an die Zollunion „ketten“ sollte. Dieses „rechtlich verbindliche Instrument“, wie es Juncker nennt, soll verdeutlichen, dass die Backstop-Klausel zur irischen Grenze nicht als Dauerlösung angesehen wird. Im Übrigen soll dies auch in einer gemeinsamen politischen Erklärung über die künftigen Beziehungen beider Seiten bekräftigt werden. Die Formulierung der ergänzenden Regelung ist juristisch jedoch schwammig und lässt Raum für Interpretation.
May ist dennoch zuversichtlich die Zustimmung des britischen Parlaments für das „neue“ Abkommen, über das heute Abend abgestimmt werden soll, zu erhalten. Jeremy Corbyn, der Chef der Labour Partei, hat unterdessen angekündigt und dazu aufgefordert auch gegen dieses Abkommen zu stimmen. Weitere Verhandlungen über Anpassungen der jetzigen Version des Austritts-Abkommens hat Juncker aber bereits abgelehnt, und betont dass es keine „Dritte Chance“ geben werde. Bis zum 23. Mai, wenn die EU-Wahlen beginnen, müsse das Königreich die EU verlassen haben.
Die Entscheidungen über das „wie“ und „wann“ des Brexits fallen jedenfalls in den nächsten Tagen, beginnend mit dem heutigen Abend gegen 20 Uhr MEZ. Sollte es heute keine Zustimmung zum Abkommen geben, wird morgen über einen „no-deal“ Brexit zum 29. März (ab 30. März wäre Großbritannien dann ein Drittland im Sinne der DSGVO) abgestimmt. Kann auch hier keine Zustimmung erzielt werden, so wird am 14. März über eine Verschiebung des Austritts abgestimmt. Im Rahmen einer Verschiebung könnte es dann zu einem neuen Referendum kommen und somit der erneuten Entscheidung über die Frage des „ob“ hinsichtlich des Brexits.
Heute verhandelt das Verwaltungsgericht Hannover eine Klage gegen das deutschlandweit erste Streckenradar „Section Control“, welches im November auf der B6 bei Laatzen (Region Hannover) zum Einsatz gekommen ist.
Der Kläger sieht sich in seinem Recht auf informationelle Selbstbestimmung verletzt, da das System ohne Anlass jedes Autokennzeichen erfasst, auch das von vorschriftsgemäß fahrenden Fahrzeugen. Dies könnte ein Verstoß gegen den Datenschutz darstellen.
Boris Pistorius (SPD), Niedersachsens Innenminister, hält den Betrieb des Streckenradars für rechtmäßig. Die Daten von vorschriftsgemäßen Fahrern werden sofort überschrieben. Laut Ministerium beinhalte das neue Niedersächsische Polizei-und Ordnungsgesetz (NPOG), das noch beschlossen werden muss, eine Rechtsgrundlage für einen Betrieb des Radars nach Erprobungsphase.
Die Frage ist, ob es legitim ist zu Kontrollzwecken alle Kennzeichen zu erfassen. Das Bundesverfassungsgericht hatte sich Anfang Februar bereits mit dieser Frage beschäftigt. Dort ging es jedoch um die Kennzeichenerfassung zu Fahndungszwecken. Es wurde entschieden, dass Kontrollen nicht ins Blaue hinein erfolgen dürfen. Es müssen genaue und vor allem gewichtige Gründe vorliegen, um dieses Mittel verwenden zu dürfen.
Es bleibt abzuwarten, wie das Gericht heute über den Fall entscheidet.
Die Union und SPD einigten sich nach heftiger Kritik in einem Änderungsantrag darauf, dass die Diesel-Fahrverbote in den Städten Deutschlands nur stichprobenartig mit mobilen Geräten und kürzerer Datenspeicherung überwacht werden.
Die ursprünglich vorgesehene Löschfrist von sechs Monaten wurde nun dahin abgeändert, dass die Daten „spätestens zwei Wochen nach ihrer erstmaligen Erhebung zu löschen“ sind und nur für diesen Zweck verwendet werden dürfen. Ebenfalls ist es lediglich erlaubt, dass die Daten aus dem Fahrzeugregister nur kurz in einem Zwischenspeicher der mobilen Geräte abgelegt werden dürfen. Daher scheiden fest installierte Geräte und Videoaufnahmen aus.
Die ursprünglichen Pläne wurden von Kommunen, Ländern und Verbänden kritisiert. Nachbesserungen beim Datenschutz wurden von der Bundesregierung bereits signalisiert. Es ist geplant, die Änderungen des Straßenverkehrsgesetzes gemeinsam mit den Änderungen zu Regelungen für Ausnahmen von Fahrverboten an diesem Donnerstag (14.März) im Bundestag zu verabschieden.
11. März 2019
Das Bundesverfassungsgericht (BVerfG) hat die jährliche Übersicht zu den für das Jahr 2019 erwarteten Entscheidungen veröffentlicht. In dieser finden sich kommende Entscheidungen zu mehreren potentiell datenschutzrelevanten Bereichen. Exemplarisch hierfür sind Klagen gegen die veränderten Möglichkeiten der Bestandsdatenauskunft im Telekommunikationsgesetz (TMG), die Vorratsdatenspeicherung oder das Gesetz über den Bundesnachrichtendienst (BNDG).
Bei einer Anzahl von acht künftigen Entscheidungen des BVerfG mit potentiell datenschutzrechtlichem Bezug entspricht dies im Gesamtkontext aller aufgeführten Entscheidungen beider Senate einer Quote von ca. 11 Prozent.
Ob deshalb tatsächlich, wie teilweise in dieser Art betitelt, von einem „Superjahr richterlicher Entscheidungen“ aufgrund von „Klagen gegen den Präventionsstaat“ ausgegangen werden kann, ist indes, ob der unterschiedlichen Ausgangslage in den jeweiligen Verfahren, fraglich.
Dennoch lässt dies den vorsichtigen Schluss dahingehend zu, dass zumindest dass Bewusstsein für datenschutzrelevante Themen in den letzten Jahren gestiegen und somit an rechtlicher Relevanz gewonnen hat.
Der Hessische Datenschutzbeauftragte hat Antworten zu den am häufigsten gestellten Fragen zur Datenschutz-Grundverordnung (DSGVO) auf seiner Webseite veröffentlicht und sich darin zu einigen kontrovers diskutierten Themen positioniert. Auch wenn dort sicherlich nicht jede offene Frage beantwortet werden kann, ist das FAQ insbesondere für Unternehmen mit Hauptsitz in Hessen lesenswert.
Interessant ist etwa die Aussage zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich die hessische Behörde der bereits vom Bayerische Landesamt für Datenschutzaufsicht veröffentlichten Ansicht anzunähern. Der Anwendungsbereich der Auftragsverarbeitung ist demnach recht eng auszulegen, nämlich nur auf Fälle, in denen ein Dritter tatsächlich mit der Verarbeitung von Daten beauftragt wird:
„Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“
Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 S.1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes unsicher ist:
„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“
8. März 2019
Art. 85 DSGVO enthält keine eigenständige Regelung des Medienprivilegs, sondern lediglich einen Auftrag an die Mitgliedstaaten der Europäischen Union, sofern erforderlich durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen (sog. Öffnungsklausel). Der kirchliche Gesetzgeber ist dem mit § 55 KDG nachgekommen. Diese Norm regelt, dass die Vorschriften des KDG nur eingeschränkt gelten, soweit personenbezogene Daten von kirchlichen Stellen ausschließlich zu eigenen journalistisch redaktionellen oder literarischen Zwecken verarbeitet werden.
Eine der entscheidenden Fragen in der Praxis ist allerdings,
wer sich auf das Medienprivileg berufen kann.
Neben klassischen kirchlichen Medienunternehmen wie Bistumszeitungen und Radiosender dürften in der Regel auch die Kerntätigkeiten der kirchlichen Pressestellen unter § 55 KDG fallen. Leider ist die Begrifflichkeit des „Medienprivileg“ im KDG weit auszulegen. Daher sei für die Arbeit kirchlicher Kommunikationsabteilungen jeweils der Einzelfall zu betrachten, und zwar anhand des einzelnen zu veröffentlichenden Beitrags. Letztlich kommt es wohl darauf an, ob der einzelne Beitrag als journalistisch-redaktionell […] zu verstehen und insbesondere für einen unbestimmten öffentlichen Personenkreis bestimmt ist.
5. März 2019
Künstliche Intelligenz gilt als die Zukunftstechnologie. Doch lassen sich Datenschutz und Künstliche Intelligenz vereinen? Die Künstliche Intelligenz unterliegt dem Prinzip des „Machine Learning“. Für das selbstständige „Lernen“ muss der Algorithmus eine große Menge an Daten analysieren. Die datenschutzrechtlichen Grundsätze der Transparenz, Zweckbindung und Datenminimierung stehen dabei der Strategie der künstlichen Intelligenz zum Teil entgegen. Wie soll z.B. Big Data dem Grundsatz der Datenminimierung gerecht werden?
Aktuell feiern digitale Assistenten wie z.B. Google Home oder Amazon Echo große Erfolge, indem sie den Alltag erleichtern können. Aus Sicht der Datenschützer ist jedoch fraglich, inwiefern die gesammelten Informationen über die Nutzer weiterverarbeitet werden. In diesem Zusammenhang geriet vor einiger Zeit der Staubsauger-Roboter in die Kritik, indem die Räume durch das Gerät vermessen wurden, wodurch in gewisser Weise eine digitale Karte der Wohnung entstand. So können aus der Größe der Wohnung z.B. Rückschlüsse über Einkommen gezogen werden, sodass die Werbung möglichweise noch individueller auf bestimmte Personen zugeschnitten werden könnte.
Bisher wird mittels Crowd Sourcing der Datenschutz-Problematik entgegengewirkt. Das bedeutet, dass in der Entwicklung ein Satz anonymisierter Daten, welche darüber hinaus mit einer Unschärfe versehen werden, verwendet wird statt einzelner Datensätze, die sich auf eine Person zurückverfolgen lassen. Zudem ist anzumerken, dass KI Datenpannen erkennen kann oder auch für die Risikoanalyse eine wichtige Stütze ist. So können z.B. mit Messgeräten – entwickelt von xbird Gründer Sebastian Sujka – Bewegungsdaten, Schlaf und Ernährungsrhythmen ausgewertet werden und dem Patienten zeigen, was er ändern kann, um den Krankheitsverlauf positiv zu beeinflussen.
Kürzlich fand das 8. Speyerer Forum zur digitalen Lebenswelt, unter dem Thema „Künstliche Intelligenz und die Zukunft des Datenschutzrechts“ statt. Dabei startete die Veranstaltung mit den technischen Einführungen in die künstliche Intelligenz sowie mit der rechtlichen Betrachtung beim Einsatz von künstlich intelligenten Systemen sowohl im Datenschutzrecht als auch im Zivilrecht. Diskutiert wurde unter anderem über die Blockchain-Technologie. Vertreter aus Politik und Wirtschaft diskutierten über die Zukunft und den Einsatz dieser Technologie in der öffentlichen Verwaltung und wagten in einer Podiumsdiskussion einen Blick in die mögliche Zukunft der Verarbeitung von personenbezogenen Daten.
Künftig wird man sich also damit weiter und intensiver befassen müssen, auf welchem Wege sich Datenschutz und Künstliche Intelligenz vereinen lassen. Jedenfalls wird KI nicht mehr aus den Alltag wegzudenken sein, sodass sich noch viele rechtliche Fragen eröffnen werden, die die Gesetzgebung vor eine besondere Hürde stellen.
1. März 2019
Einer Pressemeldung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg vom 28. Februar 2019 zufolge hat dessen Bußgeldstelle mit Bescheid vom 25.02.2019 gegen den früheren Landesvorsitzenden der Jusos Baden-Württemberg eine Geldbuße in Höhe von 2.500,- Euro wegen eines Verstoßes gegen die Zweckbindung bei der Verarbeitung von personenbezogenen Daten verhängt. Der Datenschutz sei auch bei Parteiarbeit zu beachten.
Hintergrund für den Bußgeldbescheid war, dass der frühere Juso-Landesvorsitzende anlässlich des sog. „Kleinen Landesparteitages“ der SPD Baden-Württemberg im Vorfeld eine Liste aller 168 Delegierten des Parteitages an einen Kreis von etwa zehn Vertrauten gesendet hatte. Diese gehörten zum Teil dem Landesvorstand an, zum Teil bekleideten die Empfänger aber auch ein politisches Amt. Die Liste hatte er vom damaligen Juso-Landesgeschäftsführer erhalten, die dieser mithilfe der SPD-Mitgliederverwaltungssoftware erstellt hatte. Die Liste enthielt Vor- und Nachnamen der Delegierten, Alter, Wohnort sowie den jeweiligen Orts- und Kreisverband, dem die Delegierten angehörten. Die Empfänger sollten mithilfe der Liste mit den jeweiligen Delegierten in ihrem Kreis oder Ortsverband bzw. in ihrem Bekanntenkreis sprechen und dem Landesvorsitzenden sodann ein Stimmungsbild zu einem für den Landesparteitag eingebrachten Antrag zum Thema Wohnungsbau vermitteln.
Der damalige Juso-Landesvorsitzende habe dabei verkannt, dass die Delegiertenliste nur für die organisatorische Abwicklung des Parteitages bestimmt sei. Die Verwendung der Liste zur innerparteilichen Meinungsbildung sei deshalb zweckwidrig und unzulässig. Der frühere Juso-Landesvorsitzende habe mit dem Versenden der Liste gegen das BDSG a. F. verstoßen und in fahrlässiger Weise unbefugt personenbezogene Daten verarbeitet. Das BDSG a. F. und nicht die DSGVO sei anwendbar, weil die Versendung der Liste am 27.04.2018 und damit vor Wirksamwerden der DSGVO erfolgt sei.
Im Rahmen der Festlegung der Höhe des Bußgeldes wurde zu Gunsten des früheren Juso-Landesvorsitzenden seine aktive Mitwirkung an der Aufklärung des Sachverhalts berücksichtigt. Der früher Juso-Landesvorsitzende hatte sich selbst frühzeitig an die Aufsichtsbehörde gewandt und die Abläufe umfassend erläutert. Auch der Umstand, dass der Verstoß im Zusammenhang mit einer ehrenamtlich ausgeübten Tätigkeit und lediglich fahrlässig begangen worden sei, wurde zu seinen Gunsten berücksichtigt. Zu seinem Nachteil wurde berücksichtigt, „dass er sich und seinen Vertrauten einen politischen Vorteil gegenüber den sonstigen Beteiligten am Landesparteitag verschaffte (…)“. Weitere dem früheren Juso-Landesvorsitzenden angelastete Verstöße haben keinen Anlass für weitere Sanktionierungen geboten.
Der LfDI Baden-Württemberg Herr Dr. Stefan Brink äußerte sich zu dem Fall abschließend: „Bei der Organisation von innerparteilichen Abläufen haben die politischen Parteien Gestaltungsräume. Die interne Parteiarbeit kann jedoch kein „blinder Fleck“ für den Datenschutz sein. Auch zwischen Parteimitgliedern wirkt das Datenschutzrecht, auch parteiintern sind die Rechte und Pflichten des Datenschutzes zu beachten“. Weitere Klärungs- und Schulungsmaßnahmen hinsichtlich des Umgangs von Parteien mit Mitgliederdaten wurden vom LfDI Baden-Württemberg Dr. Brink angekündigt. Parteien sollten daher ihre bisherige Datenschutzpraxis auf etwaige Schwachstellen überprüfen, insbesondere da aktuell sowohl hinsichtlich älterer Sachverhalte nach BDSG a. F. als auch für Verstöße nach DSGVO nicht unerhebliche Bußgelder drohen, welche auch gegen Einzelpersonen verhängt werden können.
Der Landesdatenschutzbeauftragte Baden-Württemberg (LfDI BW) hat sich in seinem aktuellen Tätigkeitsbericht kritisch zum Adresshandel geäußert.
Beim Adresshandel werden Daten potenzieller Kunden durch ein Unternehmen aus allgemein zugänglichen Quellen, wie bspw. Telefonbücher, Branchenverzeichnisse, Zeitungen und Messekataloge, Teilnehmerverzeichnisse, öffentliche Register (Handelsregister, Vereinsregister) zu Werbezwecken entnommen und ggf. weiterverkauft. Das die Daten erwerbende Unternehmen nutzt diese dann bspw. für Werbeansprachen per Post. Nach der alten Rechtslage bestand ein sogenanntes “Listenprivileg” (§ 28 BDSG-alt). Hiernach durften Listendaten – z.B. Name und Anschrift – grundsätzlich auch ohne Einwilligung der Betroffenen zu Werbezwecken genutzt werden.
Dieses ausdrücklich geregelte Listenprivileg wurde im Zuge der Einführung von DSGVO und BDSG-neu nicht übernommen. Die Frage der Zulässigkeit des Adresshandels richtet sich somit nach den allgemeinen Vorschriften. Sofern keine Einwilligung im Sinne von Art. 7 DSGVO vorliegt kann der Adresshandel also nur über Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden. Hierfür müsste ein berechtigtes Interesse des Verantwortlichen oder eines Dritten gegeben sein, das im konkreten Fall im Zuge einer Abwägung nicht hinter den Interessen der betroffenen Person zurückstehen muss, weil die Interessen der betroffenen Person schutzwürdiger sind.
In seinem 34. Tätigkeitsbericht 2018 hat der LfDI BW nun konkret Stellung zu dieser Frage bezogen und das berechtigte Interesse im Rahmen des Adresshandels grundsätzlich verneint. Als problematisch erachtet der LfDI BW vor allem die entgegenstehenden Interessen der betroffenen Person und führt hierzu auf S. 118 f. des Berichts aus:
„Die Interessen oder die Grundrechte und
Grundfreiheiten der betroffenen Person dürfen nicht überwiegen; dabei sind die
vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu
dem Verantwortlichen beruhen, zu berücksichtigen. Insbesondere dann, wenn
personenbezogene Daten in Situationen verarbeitet werden, in denen eine
betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung
rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das
Interesse des Verantwortlichen überwiegen (ErwG 47).“
Der LfDI BW nimmt
beim Adresshandel an, dass
„Der Betroffene […] gerade nicht davon aus[geht], dass ein Unternehmen, mit dem er geschäftlichen Kontakt hat, ungefragt seine Kundendaten an andere, ihm völlig fremde Unternehmen verkauft oder vermietet und er von dort plötzlich unerwünschte Werbung bekommt. Zudem hat der Betroffene – […] ein sehr starkes Interesse daran, dass seine Kundendaten nicht zu einer grenzenlos gehandelten Ware verkommen, auf die er keinerlei Einfluss mehr hat. Der Betroffene hat auch aus dem Gesichtspunkt der Transparenz (Art. 5 Abs. 1 Buchstabe a DS-GVO) heraus ein überwiegendes Interesse daran, Herr (oder Frau) seiner Daten zu bleiben. Dies gilt umso mehr bei angereicherten Adressdaten, die regelmäßig ein ziemlich konkretes Persönlichkeitsprofil des Betroffenen abbilden.“
Laut LfDI BW sieht die Rechtslage auch dann nicht anders aus, wenn der Betroffene selbst seine Adressdaten veröffentlicht (bspw. im Telefonbuch), denn auch hier sei nicht davon auszugehen, dass ein Handel mit diesen Daten gewünscht sei.
Zwar ist noch offen, ob sich auch andere Aufsichtsbehörden dieser Meinung des LfDI BW anschließen werden. Um sich abzusichern, sollten Verantwortliche jedoch vorsichtshalber vor der Durchführung des Handels und Verkaufs von Adressdaten Einwilligungen der Betroffenen nach Art. 6 I lit. a), 7 DSGVO einholen.
