Kategorie: Allgemein

Wie verträgt sich die Blockchain mit dem Datenschutz?

8. April 2019

Bei Blockchain liegen Daten nicht auf einem zentralen Server, sondern sind dezentral auf Rechnern gespeichert, die sich zu diesem Zweck zu einem Netzwerk zusammengeschlossen haben. Veränderungen an den Daten bzw. Transaktionen müssen von den Rechnern bestätigt werden. Dieses Verfahren sichert die abgelegten Daten besonders gut gegen Manipulationen ab. Damit hat die Blockchain vielfältige Anwendungsmöglichkeiten.

Die Transparenz ist das Kernelement der Blockchain-Technologie. Daraus ergibt sich, dass „sicher“ in Bezug auf den Manipulationsschutz nicht gleichzeitig „sicher“ hinsichtlich des Datenschutzes bedeutet. Denn alle Teilnehmer innerhalb eines Netzwerks haben die Möglichkeit, die in der Blockchain gespeicherten Daten abzurufen. Allerdings ist diese absolute Transparenz nicht immer gewünscht. Kein Unternehmen will Zugang zu sensiblen Daten gewähren.

Mit Blick auf die DSGVO hat Art. 6 DSGVO eine besondere Blockchain-Relevanz, da bei öffentlichen Chains die gesamten Daten öffentlich zugänglich sind. Folglich bedarf der Schutz einer besonderen Beachtung. Das Recht auf Datenaktualisierung in Art. 16 DSGVO beschreibt die Möglichkeit, Daten zu aktualisieren. Es muss möglich sein, einen alten Datensatz durch einen neuen zu ersetzen. Dies könnte auch die Löschung der alten Daten bedeuten. Das wirft Schwierigkeiten innerhalb der Blockchain auf, was besonders im Hinblick auf Art. 17 DSGVO deutlich wird. Art. 17 DSGVO beschreibt das Recht auf Vergessenwerden. Es wird gerne herangezogen, um die Unmöglichkeit einer DSGVO-konformen Blockchain-Anwendung zu belegen; schließlich ist die Manipulationssicherheit der Daten eines der Hauptargumente für Blockchain-Techniken. Jedoch gibt es einige Lösungsmöglichkeiten dieser Problematik wie zum Beispiel die Hash-Funktion, wonach keine personenbezogenen Daten direkt auf der Blockchain gespeichert werden. Durch diese Konstruktion lässt sich die Korrektheit der Daten beweisen, ohne dass Dritte ungewünscht Zugang erhalten.

In heutigen Zeiten, in denen Daten immer stärker zum zentralen Bestandteil von Innovationen werden, stellt die DSGVO einen fundamental wichtigen Rahmen dar, wodurch verdeutlicht wird, dass nicht jede Art von Innovation auch wünschenswert ist. Innovation darf somit nicht ausschließlich dem Wunsch nach Wirtschaftswachstum unterliegen, sondern muss gleichzeitig auch nachhaltig sein und die Grundsätze unserer Demokratie respektieren. Somit bildet die DSGVO ein wichtiges Gegengewicht zur Datenökonomie. Datenwirtschaft und Datenschutz schließen sich nicht aus, sondern sind viel eher komplementär zueinander. Daher ist anzuraten die Technologien so zu gestalten, dass sie nicht nur wirtschaftlich, sondern auch gesellschaftlich sinnvoll sind.

Datenschutzgesetz in Kalifornien

In den USA hat Kalifornien eine Pionierrolle in Sachen Umwelt-und Verbraucherschutz. Wie schon berichtet wurde im Juni 2018 der „California Consumer Privacy Act“ (CCPA) verabschiedet, ein Zusatz zum Zivilgesetzbuch, der die DSGVO als Vorbild nimmt, um den Datenschutz in Kalifornien zu stärken. Der CCPA wird am 1. Januar 2020 in Kraft treten.

Noch vor Inkrafttreten sollen nun Betroffene mit einem umfangreichen Klagerecht ausgestattet werden. Danach könnten Konsumenten Unternehmen verklagen, wenn diese keine zutreffende Auskunft über gespeicherte Daten liefern oder die Daten von anderen Verbrauchern weiterverkaufen, obwohl sie aufgefordert wurden, dies zu unterlassen.

Die Werbebranche fürchtet sich vor einer Flut von Klagen, bei denen der Kläger gar nicht geschädigt ist, sondern nur wegen der Aussicht auf Geld klagt.  Der Gesetzentwurf wird morgen im Justizausschuss des kalifornischen Senats beraten.

Speicherung von Bodycam-Daten in Cloud

Polizeiaufnahmen mit Hilfe von Bodycams werden teilweise in einer Amazon-Cloud gespeichert. Über die Rechtswidrigkeit dieser Verfahrensweise sind das Bundesinnenministerium und der Bundesdatenschutzbeauftragte geteilter Meinung.

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Speicherung von Bodycam-Daten von Polizeieinsätzen in der Amazon-Cloud. Nunmehr hat das Bundesinnenministerium dazu Stellung bezogen.

Laut Kelber sei es rechtswidrig, die Bildaufnahmen der Bundespolizei auf Servern des amerikanischen Konzerns Amazon zu speichern. Vielmehr habe die Speicherung solch sensibler Daten bei einem deutschen Cloud-Anbieter zu erfolgen. „Wir haben bereits 2018 der Bundespolizei und dem Bundesinnenministerium mitgeteilt, dass wir die Speicherung der Bodycam-Daten in der Amazon-Cloud für rechtswidrig halten“, sagte Kelber. Ein Zugriff von amerikanischen Behörden auf die Daten könne nicht ausgeschlossen werden.

Indes teilt das Bundesinnenministerium diese Meinung nicht. Grund für den Einsatz solcher Bodycams sei es einerseits, mögliche Angreifer abzuschrecken sowie andererseits, Straftäter im Nachhinein besser identifizieren zu können. Die derzeitige Lösung gelte nur übergangsweise bis bundeseigene und für diesen Zweck geeignete Clouds zur Verfügung stünden, sagte der Sprecher des Bundespolizeipräsidiums, Gero von Vegesack. Die gefundene Lösung mit der  Amazon-Cloud sei im Vorfeld über mehrere Monate gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft worden. Laut einer Sprecherin des Bundesinnenministeriums entspreche die Speicherung der Daten bei Amazon deutschen Datenschutz-Standards, da man die Daten „auf deutschen Servern in Deutschland nach deutschem Recht“ speichere. Trotzdem werde derzeit geprüft, „ob es noch andere Möglichkeiten gibt“, etwa eine Speicherung auf der Bundescloud.

Thema: Künstliche Intelligenz bei der 97. Datenschutzkonferenz

5. April 2019

Bei der 97. Datenschutzkonferenz im Hambacher Schloss haben sich die Datenschutzaufsichtsbehörden des Bundes und der Länder unter anderem auch mit dem Thema der künstlichen Intelligenz auseinandergesetzt.

Dabei wurde betont, dass der Einsatz Künstlicher Intelligenz stets unter Beachtung der freiheitlichen Grundrechte der Menschen zu erfolgen hat.

Hierzu erklärt Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: “Ich freue mich, dass die Bundesregierung dafür sorgen möchte, den Grundrechten auch beim Einsatz Künstlicher Intelligenz weiterhin die prägende Rolle zukommen zu lassen. Die Menschenwürde und das in ihr verankerte Grundrecht auf informationelle Selbstbestimmung müssen auch bei der Nutzung solcher Systeme Maßstab unseres Handelns bleiben. Mit der Hambacher Erklärung setzen wir als Datenschutzaufsichtsbehörden ein klares Signal für einen grundrechtsorientierten Einsatz künstlicher Intelligenz.”

So werden vor allem folgende sieben datenschutzrechtliche Anforderungen genannt, die beim Einsatz von künstlicher Intelligenz erfüllt sein müssen. Dazu gehören unter anderem ein hohes Maß an Transparenz und Nachvollziehbarkeit der Ergebnisse und der Prozesse maschinengesteuerter Entscheidungen, der Grundsatz der Datenminimierung, die Einhaltung der Zweckbindung, aber auch die Vermeidung von Diskriminierungen und die klare Zurechnung von Verantwortlichkeiten.

Künstliche Intelligenz darf Menschen nicht zum Objekt machen, sie haben deshalb einen Anspruch auf das Eingreifen einer Person.

Anmerkung: Dementsprechend rückt beispielsweise Art. 22 DSGVO in den Fokus.

Danach haben betroffene Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Vorschriften von Art. 22 Abs. 1 DSGVO gelten nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, Art. 22 Abs. 2, lit. a) DSGVO, oder aufgrund von Rechtsvorschriften der EU zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten, Art. 22 Abs. 2, lit. b) DSGVO, oder wenn die betroffene Person ausdrücklich eingewilligt hat, Art. 22 Abs. 2, lit. c) DSGVO. Der Verantwortliche hat in solchen Fällen des Art. 22 Abs. 2 lit a) und b) DSGVO angemessene Maßnahmen zu ergreifen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört (Art. 22 Abs. 3 DSGVO).

LAG Baden-Württemberg zum Umfang der Auskunftsrechte gem. Art. 15 DSGVO

4. April 2019

Mit Urteil vom 20.12.2018 (Az. 17 Sa 11/18) hat sich das Landesarbeitsgericht (LAG) Baden-Württemberg als erstes deutsches Gericht unter Anderem mit der Frage beschäftigt, wie weit das in der DSGVO in Art. 15 Abs. 3 Satz 1 verankerte Recht auf Erteilung einer datenschutzrechtlichen Kopie reicht. In dem zu entscheidenden Kündigungsschutzverfahren hatte ein gekündigter Arbeitnehmer einen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht sowie beantragt, dass die beklagte Arbeitgeberin ihm eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten zur Verfügung stellt. Zudem forderte er das Unternehmen auf, ihm Einsicht in das Whistleblowingsystems zu ermöglichen, dass die Beklagte zum Zwecke der Untersuchung von etwaigen Compliance-Verstößen und möglichen sonstigen Regelverletzungen betreibt.

Hinsichtlich des Antrags auf Auskunftserteilung urteilte das Gericht, dem Kläger die geforderten Auskünfte umfassend zu erteilen. Das Mindestmaß müsse folgende Informationen umfassen:

  • Zwecke der Datenverarbeitung,
  • Empfänger gegenüber denen personenbezogene Daten des Klägers/Anspruchstellers offengelegt werden,
  • Speicherdauer oder Kriterien zur Festlegung der Dauer,
  • Herkunft der personenbezogenen Daten, soweit diese nicht bei dem Kläger selbst erhoben wurden,
  • automatisierte Entscheidungsfindung (inkl. Profiling) sowie aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer Verarbeitung.

Im Grundsatz entsprechen die Informationen dem Wortlaut des Art. 15 Abs. 1 DSGVO. Konträr zu bisherigen Ansichten der Landesdatenschutzbehörden, die es im Rahmen der Auskunft über Empfänger personenbezogener Daten ausreichen lassen, dass die verantwortliche Stelle Empfänger-Kategorien mitteilt sowie dem Gesetzeswortlaut der DSGVO, verurteilte das LAG Baden-Württemberg die Beklagte allerdings auch darauf, dem Kläger Auskunft über jeden einzelnen Empfänger zu geben.
Diese weite Auslegung dürfte für Unternehmen in der Praxis nur mit sehr hohem Aufwand umzusetzen sein und ist insbesondere auch im Hinblick auf den insofern anders lautenden Wortlaut des Art. 15 Abs. 1 DSGVO kritisch zu sehen.

Das LAG Baden-Württemberg verurteilte die Beklagte auch dazu, dem Kläger eine Kopie seiner sämtlichen personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der von ihr vorgenommenen Verarbeitung sind, zur Verfügung zu stellen. Offen ließ das Gericht dabei allerdings, aus welchen Systemen und in welchem Umfang Kopien zu erstellen sind. So ist fraglich, ob damit neben Informationen aus den im Unternehmen eingesetzten Systemen dem Anspruchsteller auch z.B. Kopien aller Mails zur Verfügung gestellt werden müssen, die personenbezogene Daten des Betroffenen beinhalten. Im Ergebnis ist der entsprechend weit formulierte Urteilstenor unter dem Gesichtspunkt der Bestimmbarkeit sowie den zu erwartenden Schwierigkeiten bei einer möglichen Vollstreckung daher eher zweifelhaft.
Da das Gericht hinsichtlich dieser Frage die Revision zum Bundesarbeitsgericht (BAG) zugelassen hat, bleibt abzuwarten, ob eine solche eingelegt wird und der Urteilstenor auch nach einer bundesarbeitsgerichtlichen Entscheidung Bestand haben wird.

Letztlich entschied das LAG Baden-Württemberg, dass dem Kläger auch Einsicht in das Hinweisgebersystem der Beklagten zur gewähren ist und stützte den Anspruch auf § 83 Abs. 1 S. 1 BetrVG. Danach habe der Arbeitnehmer im bestehenden Arbeitsverhältnis das Recht, in die über ihn geführten Personalakten Einsicht zu nehmen. Unter „Personalakte“ sei nach herrschender Meinung jede Sammlung von Unterlagen zu verstehen, die mit dem Arbeitnehmer in einem inneren Zusammenhang stehe, und zwar unabhängig von Form, Material, Stelle und Ort, an dem sie geführt werde. Daher seien auch die Informationen im Rahmen eines Hinweisgebersystems als Bestandteil der Personalakte zu verstehen und dem Arbeitnehmer Einsicht zu gewähren.
Dies gelte auch dann, wenn der Arbeitgeber es den jeweiligen Hinweisgebern ermögliche, Hinweise anonym zu berichten, da der Arbeitgeber dann dafür Sorge zu tragen habe, dass die herausverlangten Informationen keine Rückschlüsse auf Dritte zulassen.
Neben Fragen der Anwendbarkeit des § 83 Abs. 1 S. 1 BetrVG neben Art. 15 DSGVO ergeben sich aus dem Urteil auch Fragen hinsichtlich der technischen Machbarkeit solcher umfassenden Einsichtsrechte, gerade in Bezug auf die Wahrung der Anonymität Dritter.

Im Ergebnis ist abzuwarten, ob die Datenschutzaufsichtsbehörden zu den getroffenen Aussagen im Rahmen des Urteils Stellung beziehen. Stand jetzt sollte jede Auskunftsanfrage gewissenhaft und einzelfallbezogen geprüft und bewertet werden. Auch eine Nachfrage bei der jeweils zuständigen Datenschutzaufsichtsbehörde sollte stets in Betracht gezogen werden.

Datenpanne im Zusammenhang mit Facebook

Zwei mit Facebook kooperierende Unternehmen haben nach Medienberichten Daten öffentlich zugänglich gespeichert. So hätten sowohl das Unternehmen Cultura Colectiva sowie die Entwickler der App „At the Pool“ (personenbezogene) Daten bei frei zugänglichen Amazon-Cloud-Diensten gespeichert.

Darüber hinaus unterstreiche diese Datenpanne das Problem mangelnder Kontrolle des Unternehmens Facebook über die anvertrauten (personenbezogenen) Daten. Aus Unternehmensperspektive bleibt mithin abzuwarten, ob sich hieraus relevante Entwicklungen ergeben und gegebenenfalls eine Beratung einzuholen ist.

Kategorien: Allgemein
Schlagwörter: ,

Die Streetview-Fahrzeuge von Google sind wieder auf Deutschlands Straßen unterwegs

3. April 2019

Vor rund 10 Jahren starteten die Google Fahrzeuge, um weltweit die Straßen und Häuserfronten abzulichten und sie direkt in Google Maps den Nutzern zur Verfügung zu stellen. Seitdem wurden in Deutschland keine neuen Aufnahmen veröffentlicht, weshalb noch heute die verpixelten Aufnahmen vorzufinden sind.

Seit dem 28. März sind die auffälligen Fahrzeuge laut einer Informationsseite von Google wieder in Deutschland unterwegs.
Das dabei gewonnene Bildmaterial wird laut Google aber nicht veröffentlicht, sondern dient dazu, Google Maps zu verbessern.

Google Maps führt die Aktualisierung durch, um sicher zu gehen, für seine Nutzer „die richtigen Straßennamen, Straßenschilder, Streckenführungen und Informationen über Geschäfte und andere Orte […], zu verwenden.“

Auf seiner Informationsseite nennt Google zwar Bezirke, die von den Kameraautos befahren werden sollen. Genauere Zeit- und Ortsangaben finden sich dort aber nicht. Lediglich die Information, dass die Fahrten noch bis November diesen Jahres stattfinden sollen.

Kategorien: Allgemein
Schlagwörter: ,

Bundesjustizministerin Barley sieht Zuckerberg Initiative kritisch

2. April 2019

Facebook-Chef Mark Zuckerberg hatte am vergangenen Wochenende eine Debatte über eine einheitliche, weltweit geltende Regulierung im Internet angestoßen. Als Vorbild hierfür hob er die Datenschutzgrundverordnung hervor und betonte „Ich bin überzeugt, dass anstelle nationaler Regulierungen ein gemeinsamer globaler Rahmen notwendig ist, um eine Fragmentierung des Internets zu verhindern, damit Unternehmer nützliche Produkte entwickeln können und alle Menschen den gleichen Schutz erhalten“

Bundesjustizministerin Barley zeigte sich nach einem Treffen in Berlin allerdings nicht überzeugt von dem Modell des Facebook-Chefs und sieht die Vorschläge kritisch: „Mark Zuckerberg spricht seit einem Jahr über die Verantwortung von Facebook für Gesellschaft, Demokratie und die Privatsphäre von mehr als zwei Milliarden Menschen. Doch zu spüren ist davon wenig.“ Facebook habe durch sein Verhalten und kontinuierlich bekannt werdende „Sicherheitsskandale“ viel Vertrauen verspielt.

Zudem kritisierte Barley auch, dass Facebook plane, die Infrastruktur hinter den Chatdiensten WhatsApp und Messenger sowie der Messengerfunktion von Instagram zusammenzulegen. Dies widerspreche den ursprünglichen Ankündigungen. Sie warnte: „Bei der Zusammenführung dieser Dienste bestehen ganz erhebliche kartellrechtliche und datenschutzrechtliche Fragen.“

Kursänderung der Aufsichtsbehörden

29. März 2019

Viele Unternehmen gingen kurz nach dem Inkrafttreten der DSGVO von einem strikten Verhalten der Datenschutzaufsichtsbehörden aus. Inzwischen wundern sich nun immer mehr über deren Zurückhaltung.

Obwohl München zu einem der beliebtesten IT-Standorten Europas gehört und viele Unternehmen der IT-Branche Zweigniederlassungen dort unterhalten, gestaltet sich das Hauptgeschäft des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) primär durch Beratungen. Sanktionen hingegen bildeten bis jetzt ehr die Ausnahme. Dieses Verhältnis soll sich durch die Landespolitik nun ändern.

Während 2017 noch ca. 3.700 Beratungsanfragen beim BayLDA zu verzeichnen waren, sind die Anfragen im Jahr 2018 inzwischen auf ca. 9.200 angestiegen. Das bedeutet ca. 384 Anfragen pro Personalstelle. Dies warf die Frage auf, ob eine Beratung überhaupt zu den Pflichtaufgaben der Behörden gehören.

Der Leiter des BayLDA Thomas Kranig sieht den Ansturm der Anfragen grundsätzlich positiv, da die Datenschutzaufsichtsbehörde somit Einblicke in die Umsetzung der DSGVO durch die Unternehmen erlangt. Aufgrund der Masse müssen Anfragen jedoch immer wieder aus Kapazitätsgründen abgelehnt werden. Der Grund für die Kapazitätsproblematik geht daraus hervor, dass die Personalstellen gegenwärtig nicht aufgestockt werden. Der BayLDA muss somit die Beratungstätigkeit „weitgehend einstellen“.

Anderen Datenschutzaufsichtsbehörden ergeht es ähnlich. Die niedersächsische Landesdatenschutzbeauftragte stellte die Beratung bereits im November weitgehend ein. Ausschließlich Vereine und Verbände werden mittels einer eigenen Hotline noch weiter beraten.

BVerwG: Videoüberwachung in Zahnarztpraxis regelmäßig unzulässig

Das Bundesverwaltungsgericht hat am 27. März entschieden, dass eine Videoüberwachung in einer Zahnarztpraxis die ungehindert betreten werden kann, strengen Anforderungen an die datenschutzrechtliche Erforderlichkeit unterliegt.

Die Zahnärztin klagte in diesem Fall gegen eine Anordnung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg). Die Praxis kann durch Öffnen der Tür ungehindert betreten werden. Der Empfangstresen ist nicht besetzt. Oberhalb des Tresens hat die Klägerin eine Videokamera angebracht. Die aufgenommenen Bilder konnte sie in Echtzeit auf Monitoren in ihren Behandlungszimmern verfolgen. Eine Aufzeichnung hat nicht stattgefunden.

Der Landesdatenschutzbeauftragte hatte die Zahnärztin verpflichtet die Kamera so auszurichten, dass keine Patienten gesehen werden können. Insoweit ist die nach erfolglosem Widerspruch erhobene Klage in den Vorinstanzen erfolglos geblieben. Die DSGVO ist in diesem Fall nicht anwendbar, da die datenschutzrechtliche Anordnung vor dem 25.05.2018 erlassen wurde.

Jedoch ist an dieser Stelle zu erwähnen, dass der aktuell gültige § 4 Abs. 1 S. 1 BDSG mit dem damaligen § 6b Abs. 1 S. 1 BDSG inhaltsgleich übernommen worden ist. Nach Absatz 1 dieser Vorschrift setzte die Beobachtung durch ein Kamera-Monitor-System auch ohne Speicherung der Bilder voraus, dass diese zur Wahrnehmung berechtigter Interessen des Privaten erforderlich ist und schutzwürdige Interessen der Betroffenen nicht überwiegen. Ebenso muss nach der DSGVO bei einer Videoüberwachung eine Interessenabwägung stattfinden. Die Zahnärztin konnte jedoch nicht darlegen, wieso eine Videoüberwachung erforderlich war. Anders wäre der Fall gewesen, wenn sie in der Vergangenheit mehrere Straftaten in der Praxis erlebt hätte.

Die Videoüberwachung ist nicht notwendig, um Patienten, die nach der Behandlung aus medizinischen Gründen noch einige Zeit im Wartezimmer sitzen, in Notfällen betreuen zu können. Schließlich sind die Angaben der Klägerin, ihr entstünden ohne die Videoüberwachung erheblich höhere Kosten, völlig pauschal geblieben.

1 2 3 4 136