Kategorie: Allgemein
21. Januar 2020
Der Europäische Gerichtshof befasst sich derzeit im Rahmen mehrerer Vorabentscheidungsverfahren wieder einmal mit der Zulässigkeit verschiedener nationaler Regelungen zur Vorratsdatenspeicherung. In diesen Verfahren haben zwei Generalanwälte nun ihre Schlussanträge vorgelegt. Diese sind für den EuGH zwar nicht bindend, regelmäßig zeichnet sich in ihnen jedoch die spätere Entscheidung ab, sodass sich hier schon eine nähere Betrachtung lohnt.
Bereits 2014 hatte der EuGH die Richtlinie 2006/24/EG zur Vorratsdatenspeicherung von Telekommunikationsverkehrsdaten für unverhältnismäßig und damit nichtig erklärt (verbundene Rechtssachen C‑293/12 und C‑594/12), ebenso wie im Jahr 2016 verschiedene, auf dieser Richtlinie beruhende nationale Regelungen (verbundene Rechtssachen C‑203/15 und C‑698/15). Das Gericht begründete seine Entscheidungen insbesondere damit, dass eine anlasslose und undifferenzierte Vorratsdatenspeicherung einen unverhältnismäßigen Eingriff in die Grundrechte der Betroffenen darstelle. Trotz dieser eindeutigen Entscheidungen weigerten sich jedoch zahlreiche Mitgliedsstaaten, auf die bereits erlassenen Gesetze zur Vorratsdatenspeicherung zu verzichten. Unter anderem die entsprechenden Gesetze aus Frankreich, Belgien, Großbritannien und Estland sind der Anlass dafür, dass sich der EuGH nun erneut mit dieser Frage beschäftigt.
Bereits vergangene Woche hat der in vier Verfahren (Verbundene Rechtssachen C‑511/18 und C‑512/18, Rechtssache C‑520/18 und Rechtssache C‑623/17) zuständige Generalanwalt Campos Sánchez-Bordona seine jeweiligen Schlussanträge vorgelegt. Neben der Anwendbarkeit der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) behandelt der Generalanwalt vor allem die Frage, unter welchen Umständen eine Vorratsdatenspeicherung zulässig sein könnte. Eine allgemeine und unterschiedslose Speicherung könne jedenfalls – so sah es auch schon der EuGH in den oben genannten Urteilen – nicht zulässig sein.
Der Generalanwalt liefert jedoch zugleich mehrere Situationen bzw. Ausgestaltungsmöglichkeiten nationaler Regelungen, die eine zulässige Vorratsdatenspeicherung ermöglichen könnten. Dies sei beispielsweise bei einer zeitlich beschränkten Speicherung nur solcher Kategorien von Daten denkbar, die für eine wirksame Kriminalitäts- und Terrorismusbekämpfung absolut unerlässlich sind. Wichtig sei auch ein begrenzter Zugang zu diesen Daten, etwa durch eine vorherige gerichtliche Kontrolle. Ausnahmsweise könne eine weitreichende Vorratsdatenspeicherung aber auch denkbar sein, wenn die Mitgliedsstaaten durch zeitlich beschränkte und Rechtsschutzgarantien beinhaltende Notstandsregelungen auf unmittelbare Bedrohungen reagieren müssen.
In einem weiteren Verfahren (Rechtssache C‑746/18) wurden am heutigen Dienstag (21.01.2020) die Schlussanträge von Generalanwalt Giovanni Pitruzella veröffentlicht. Dabei ging es zwar nicht um die Speicherung der Daten an sich, sondern um die Zulässigkeit des Zugangs durch staatliche Behörden zu diesen Daten. Der Generalanwalt weist aber darauf hin, dass der Zugang nur dann gerechtfertigt sein könne, wenn schon die Speicherung dieser Daten nach den unionsrechtlichen Vorgaben zulässig ist. Hinsichtlich der Rechtmäßigkeit der Speicherung verweist dieser nun ebenfalls auf die bisherige Rechtsprechung des EuGH zur allgemeinen und unterschiedslosen Speicherung. Weitere Ausgestaltungsmöglichkeiten hinsichtlich der Zulässigkeit der Speicherung, wie sie in den Schlussanträgen von Generalanwalt Campos Sánchez-Bordona enthalten sind, finden sich hier jedoch nicht.
Nun bleibt abzuwarten, ob der EuGH diesen Ansichten folgen wird, wobei erst in einigen Monaten mit entsprechenden Entscheidungen zu rechnen ist. Von Interesse sind diese Entscheidungen auch deshalb, weil das Bundesverwaltungsgericht erst im September 2019 die deutsche Regelung zur Vorratsdatenspeicherung – welche vergleichsweise kurze Speicherfristen vorsieht – dem EuGH vorgelegt hat. Ob der komplexen rechtlichen Problematik jedoch mit einer neuen Richtlinie zur Vorratsdatenspeicherung begegnet werden kann, wie teilweise von politischer Seite gefordert wird, ist fraglich.
Nach Recherchen der New York Times hat das US-Unternehmen Clearview mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram gesammelt. Damit hat das Unternehmen die bisher größte bekannte Gesichtsdatenbank aufgebaut.
Clearview verkauft die Datenbank in Form einer App an seine Kunde. Mit Hilfe der App sollen Millionen Menschen innerhalb von Sekunden erkannt werden können.
Die App wurde im letzten Jahr bereits von 600 Behörden genutzt. Dabei machen insbesondere Strafverfolgungsbehörden von der privaten Datenbank Gebrauch. Die Behörden seien, auch wenn sie nicht genau wüssten wie Clearview arbeite, von den Ergebnissen überzeugt. Unter den Kunden sollen sich auch private Sicherheitsunternehmen befinden.
Der Bericht zeigt zudem die Gefahren der massenhaften Datensammlung des Unternehmens im Hinblick auf den Schutz der Privatsphäre des Einzelnen auf.
So offenbart die App nicht nur den Namen einer Person, sondern liefert auch weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte.
Darüber hinaus ist die Fehleranfälligkeit der Gesichtserkennungssoftwares allgemein bekannt. Es besteht daher durchaus die Möglichkeit, dass eine falsche Person durch die Clearview Datenbank identifiziert wird und im Zweifel ins Visier der Strafverfolgungsbehörden gerät.
Weiterhin ist auch nicht bekannt, wie Clearview die Fotos, die US-Behörden zwecks Gesichtserkennung auf die Server des Unternehmens laden, im datenschutzrechtlichen Sinne schützt. Die Firma Clearview war vor den Recherchen der New York Times praktisch unbekannt und gibt sich Mühe im Hintergrund zu bleiben.
17. Januar 2020
Seit dem 1. Januar gilt die Bonpflicht in Deutschland, das heißt auch für Apotheken, dass sie für ihre Kunden nach dem Erwerb von Medikamenten zwingend ein Kassenbon erstellen und mitgeben müssen.
Problematisch bei Apotheken im Gegensatz zu Bäckereien und Supermärkten ist, dass ihre Kassenbons personenbezogene Daten, wie den Namen, das Geburtsdatum, die Anschrift sowie das erworbene Produkt, enthalten. Es handelt sich hier um sensible Gesundheitsdaten, die einen besonderen Schutz genießen. Damit könnte es zu einem Problem werden, wenn die Kunden ihre Kassenbons vergessen oder verlieren. Die Frage ist, wie weit die datenschutzrechtliche Verantwortung von Apotheken in dieser Hinsicht geht.
Die Bundesvereinigung Deutscher Apothekerverbände e. V. wies darauf hin, dass in der Apotheke bewusst verbliebene personalisierte Bons von der Apotheke datenschutzkonform zu vernichten, also möglichst zu schreddern, sind.
Die Apothekenkammer Berlin erklärt zudem: „Verliert der Kunde einen personalisierten Kassenbon in der Apotheke oder lässt er den Bon bewusst oder versehentlich in der Apotheke liegen, verbleiben diese sensiblen Daten im Hoheitsbereich der Apotheke als datenschutzrechtlich verantwortliche Stelle. Liegt in der Offizin ein solcher personalisierter Bon und wird dies moniert – beispielsweise durch eine Beschwerde bei der zuständigen Berliner Landesdatenschutzbeauftragten –, trifft den Apothekeninhaber oder die Apothekeninhaberin die Beweislast, dass ihn oder sie daran kein Verschulden trifft.“
Die datenschutzrechtliche Verantwortung der Apotheke endet laut Kammer-Info, wenn der Kunde die Apotheke mit dem Bon verlassen hat. Dann sei es Angelegenheit des Kunden, wie er mit dem Bon umgeht: ob er ihn verwahrt, vernichtet oder ob er ihn einfach wegwirft.
Empfehlenswert ist es, überhaupt keine personenbezogene Daten auf die Kassenbons mehr zu drucken.
16. Januar 2020
Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.
Der Bundestag hat mit Beschluss des sogenannten Zweiten
Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen
für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das
Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden
dadurch Anpassungen in rund 150 Gesetzen erforderlich.
Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.
Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.
YouTube möchte Kinderdaten in Zukunft besser schützen und kündigt entsprechende Änderungen an. Hintergrund ist eine Strafe i.H.v. 170 Millionen Dollar mit der Google letztes Jahr sanktioniert wurde. Das Unternehmen hatte Kinderdaten gesammelt und diesen personalisierte Werbung angezeigt, ohne hierfür eine datenschutzrechtliche Rechtfertigung zu besitzen.
Kindervideos sollen ab jetzt immer als solche gekennzeichnet sein. Personalisierte Werbung soll es für diese nicht mehr geben. Zudem hat YouTube Benachrichtigungstöne, Likes und Dislikes entfernt. Live Chats und Kommentare werden ebenso ausgeschaltet. Ob es sich bei dem User tatsächlich um ein Kind handelt spielt dabei keine Rolle. Entscheidend ist, dass ein Video mit entsprechendem Content aufgerufen wird.
Die Markierung als Kindervideo soll zunächst durch die Video-Produzenten selbst erfolgen. YouTube’s KI soll die Plattform jedoch ebenfalls auf betroffene Inhalte überprüfen, bei Bedarf um Korrektur bitten und diese notfalls selbst vornehmen.
Trotz der Anpassungen weißt YouTube auf die kinderfreundlichere Alternative YouTube Kids hin.
15. Januar 2020
Der ADAC hat im Rahmen von zwei Untersuchungen aus den Jahren 2015 und 2019 analysiert, welche Daten von modernen Automodellen erhoben, gespeichert und an den Hersteller weitergeleitet werden. Der ADAC bemängelt, dass dieser Vorgang für Fahrer nicht ausreichend erkennbar sei und fordert mehr Rechte für die Verbraucher.
Welche Daten ein Auto im Einzelnen übermittelt hängt vom jeweiligen Fahrzeugtyp ab. Die vom ADAC erstellte Liste mit betroffenen Daten ist daher nicht allgemeingültig. Eine vollständige Aufzählung kann nur der Hersteller liefern. Von der Übermittlung erfasst sind jedenfalls Daten wie die GPS-Position und Technikdetails vor allem aber auch Daten zum Fahrverhalten der Autobesitzer. Rückschlüsse auf den Fahrstil und auf das Bremsverhalten des Fahrers sind damit ebenso möglich.
Laut ADAC sei es für den Fahrzeugbesitzer nicht ausreichend ersichtlich, dass es zur Datenübertragung bzw. zur Datenerfassung kommt. Auch wie die Hersteller mit den Daten umgehen, würde dem Verbraucher nicht offen kommuniziert. Der ADAC fordert daher mehr Transparenz, freien Datenzugang, Datensicherheit und Entscheidungsbefugnis der Fahrer über ihre eigenen Daten. Notfalls verlangt der Automobilclub neue gesetzliche Reglungen zur Durchsetzung dieser Rechte.
Die DSGVO bietet zumindest für personenbezogene Daten weitreichenden Schutz. Ihre Grundsätze gelten auch für die Automibilbranche. Kommt es zu entsprechenden Verstößen, sind behördliche Sanktionen oder Schadensersatzansprüche nicht auszuschließen. Für die Hersteller wird es daher wichtig sein, rein technische von personenbezogenen Daten zu unterscheiden und letztere rechtskonform zu schützen.
8. Januar 2020
Das Amtsgericht Wertheim verhängte mit Beschluss vom 12.12.2019 (Az.: 1 C 66/19) ein Zwangsgeld in Höhe von 15.000 Euro (ersatzweise ein Tag Zwangshaft für je 500 Euro) gegen ein nach Art. 15 DSGVO auskunftspflichtiges Unternehmen.
Das Unternehmen war zuvor mit Anerkenntnisurteil vom 27.05.2019 (Az.: 1 C 66/19) verurteilt worden, Auskunft über die personenbezogenen Daten des Klägers, die bei dem Unternehmen verarbeitet werden, zu erteilen und diesem über die Informationen nach Art. 15 Abs.1 DSGVO Auskunft zu geben.
Das Gericht begründete seinen Beschluss nun mehr damit, dass das Unternehmen dieser Pflicht nicht vollständig nachgekommen sei. Insbesondere habe das Unternehmen nicht alle erforderlichen Informationen über die Herkunft der Daten des Klägers nach Art. 15 Abs. 1 lit. g) DSGVO erteilt.
Das Unternehmen legte dem Kläger zwecks Auskunftserteilung ein Schriftstück vor, dessen Erhalt der Kläger bestritt. Das Schriftstück gab die Kategorien der verarbeiteten Daten an und benannte als Herkunft der Daten in Klammern eine GmbH mit dem Zusatz „z.B.“.
Unabhängig davon, ob ein solches Schreiben tatsächlich an den Kläger übergegeben wurde, so das Amtsgericht, genüge dieses jedoch nicht den Anforderungen des Art.12 DSGVO. Die Information über die Herkunft der Daten werde in dem Schriftstück nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt. Der Zusatz „z.B.“ mache das Schriftstück vielmehr unklar und irreführend, da für den Betroffenen nicht ersichtlich sei, ob die Daten wirklich von der benannten GmbH stammten.
Weiterhin führte das Gericht aus, dass aus dem Schriftstück auch nicht hervorgehe zu welchem Zeitpunkt und mit welchem Inhalt personenbezogene Daten übermittelt wurden.
Auch genüge es nicht mitzuteilen, welche Art oder Kategorie von Daten verarbeitet wurde. Entscheidend sei im Hinblick auf Art. 15 DSGVO vielmehr die Nennung der konkreten personenbezogenen Daten.
Steuerberater sind keine Auftragsverarbeiter. Das hat der deutsche Gesetzgeber mit der Neufassung des § 11 Steuerberatungsgesetz (StBerG) klargestellt, die am 18. Dezember 2019 in Kraft getreten ist.
Mit § 11 Abs. 1 StBerG hat der Gesetzgeber eine Rechtsgrundlage für Datenverarbeitungen durch Steuerberater geschaffen, insbesondere auch für besondere Kategorien personenbezogener Daten ihrer Mandanten, wie Gesundheitsdaten. Nach Abs. 2 der Norm erfolgt die Verarbeitung durch Steuerberater unter Beachtung der Berufspflichten weisungsfrei. Zudem sind sie bei der Verarbeitung sämtlicher personenbezogener Daten Verantwortliche nach der Datenschutzgrundverordnung – und damit keine Auftragsverarbeiter.
Zuvor haben das einige Landesdatenschutzbeauftragte in bestimmten Konstellationen anders gesehen (so der LfDI NRW und der LfDI Baden-Württemberg). Wie in einem früheren Blogbeitrag erläutert, hing die Frage, ob die Tätigkeit eines Steuerberaters eine Auftragsverarbeitung ist, entscheidend von der Art der Tätigkeit ab, die er für seinen Mandanten ausführte. Lohn- und Gehaltsabrechnung wurden aufgrund der Weisungsgebundenheit des Steuerberaters der Auftragsverarbeitung zugeordnet.
Mit der Neufassung des § 11 StBerG können Tätigkeiten wie die Lohnbuchhaltung nicht mehr als Auftragsverarbeitung behandelt werden, wie auch der Gesetzgeber in der Gesetzesbegründung ausdrücklich klarstellt (BT-Drs. 19/14909, S. 58). Die Neuregelung soll dazu dienen die notwendige Rechtssicherheit für alle Beteiligten zu schaffen und so die ordnungsgemäße steuerliche Beratung zu gewährleisten. Sie beseitigt die aus den unterschiedlichen Ansichten der Aufsichtsbehörden entstandenen Rechtsunsicherheiten.
Steuerberater müssen damit die Pflichten einhalten, denen Verantwortliche im Falle von Verarbeitungen personenbezogener Daten nachzukommen haben, wie etwa Informations- oder Meldepflichten.
7. Januar 2020
Das österreichische Außenministerium wurde in der Nacht auf Sonntag das Ziel eines schweren Angriffs auf seine IT-Systeme. Wie die Behörde in einer mit dem Innenministerium gemeinsam erklärten Stellungnahme darlegte, liegt aufgrund des Ausmaßes des Angriffs die Vermutung nahe, dass ein staatlicher Akteur dafür verantwortlich ist.
Genauere Details zum Ablauf und zur Art des Angriffs sind bis jetzt noch nicht bekannt. Laut Regierungsvertretern wurde der Angriff schnell bemerkt. Trotz eingeleiteter technischer Gegenmaßnahmen dauert dieser jedoch weiterhin an.
Die Ministerien legten dar, dass es einen hundertprozentigen Schutz gegen Cyberangriffe trotz intensiver Sicherheitsvorkehrungen nicht gebe. Dabei verwiesen sie auch auf die jüngst erfolgten Angriffe auf andere europäische Staaten. Anfang 2018 war auch das Datennetzwerk der Bundesregierung von einem ähnlichen Fall betroffen.
Nachdem Anfang Dezember 2019 bei der Justus-Liebig-Universität Gießen (JLU) ein Hackerangriff auf die IT-Infrastruktur entdeckt wurde und seitdem alle Server abgeschaltet worden waren, nimmt die Universität nun wieder ihren Normalbetrieb auf. Bei dem Angriff handelte es sich vermutlich um die Malware Emotet. Die Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek gingen oder sollen in Kürze wieder online gehen.
Im Rahmen der Wiederherstellungsarbeiten wurden bereits rund 60 Prozent der Studierenden-Passwörter neu vergeben – insgesamt wurden 38.000 Passwörter zurückgesetzt. Der Zugriff auf interne Windowslaufwerke soll im Februar erfolgen.
Durch das frühzeitige Herunterfahren aller Universitätsserver konnte ein Verlust aller wissenschaftlichen Daten und die Datenbestände verhindert werden, versichert ein Sprecher der Hochschule.
