Kategorie: Allgemein

OLG Stuttgart: Verletzung von Informationspflichten (Art. 13 DSGVO) als Wettbewerbsverstoß nach UWG

4. März 2020

Das Oberlandesgericht Stuttgart hat mit seinem Urteil vom 27.02.2020 (2 U 257/19) dazu Stellung genommen, ob der Verstoß gegen die Informationspflichten aus Art. 13 DSGVO einen Wettbewerbsverstoß im Sinne des UWG darstellen und somit einen Unterlassungsanspruch nach § § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG begründen kann. Dies wurde durch das Gericht bejaht.

Voraussetzung für diesen Unterlassungsanspruch ist eine unzulässige geschäftliche Handlung im Sinne des § 3 UWG. Eine solche begeht, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln und wenn der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Erforderlich ist also ein Marktbezug der Vorschrift, gegen welche verstoßen wurde. Dies wurde durch das Gericht mit Blick auf Art. 13 DSGVO, insbesondere deswegen bejaht, weil den Informationen über den Verantwortlichen eine verbraucherschützende Funktion zukomme. Aber auch die Angaben etwa über Zwecke und Dauer der Verarbeitung schützten Informationsinteresse sowie Entscheidungs-und Verhaltensfreiheit der Verbraucher in Bezug auf die Marktteilnahme und begründeten daher einen Marktbezug der Norm.

Des Weiteren befasste sich das Gericht ausführlich mit der Frage, ob den Ansprüchen und Sanktionsmechanismen der DSGVO ein abschließender Charakter zukommt, sodass der Unterlassungsanspruch des UWG von diesen verdrängt wird. Dies verneinte das Gericht und verwies darauf, dass der erforderliche abschließende Charakter insoweit weder aus dem Wortlaut noch aus der Entstehungsgeschichte der Verordnung zu schließen sei. Die Rechtsdurchsetzung bei Verstößen gegen die DSGVO sei demnach auch mittels des wettbewerbsrechtlichen Unterlassungsanspruch möglich.

Mit dieser Entscheidung bewegt sich das OLG Stuttgart im Fahrwasser der bisher überwiegenden Rechtsprechung (etwa OLG Hamburg, Urt. v. 25.10.2018 – 3 U 66/17, LG Würzburg, Beschluss vom 13.9.2018 – 11 O 1741/18 UWG, OLG Naumburg, Urt. v. 7.11.2019 – 9 U 39/18 zur unwirksamen Einwilligung). Wegen der grundsätzlichen Bedeutung der Frage wurde die Revision zugelassen. Insofern ist die weitere Entwicklung aufmerksam zu verfolgen, ist die Streitfrage doch von enormer Relevanz in der unternehmerischen Praxis.

Datenpanne bei Samsung

27. Februar 2020

Am 20. Februar erhielten zahlreiche Nutzer auf der ganzen Welt eine unbekannte Nachricht mit dem Inhalt „1 1“ durch „Find My Mobile“ von Samsung. Nun wurde bekannt, dass es sich dabei um einen Datenpanne bei Samsung handelte.

Aufgeschreckt durch die Find My Mobile-Push Mitteilung wollten die Nutzer sich in ihr Samsung-Konto einloggen, um dort das Passwort zu ändern und bekamen dabei Einsicht in fremde Konten. So konnten Nutzer des Samsung-Dienstes „Find My Mobile“ die eigentlich geschützten Daten fremder Nutzer einsehen. Telefonnummern, E-Mails, Lieferadressen, letzte Bestellungen und sogar die letzten 4 Ziffern der Kreditkarten waren sichtbar.

Laut Samsung handelte es sich dabei um Server-Probleme und die Mitteilung wurde versehentlich an eine begrenzte Anzahl von Galaxy Nutzern gesendet. Eine Sprecherin des Unternehmens erklärte: „Ein technischer Fehler führte dazu, dass eine kleine Anzahl von Benutzern auf die Details eines anderen Benutzers zugreifen konnte. Sobald wir von dem Vorfall erfuhren, wurde die Möglichkeit, sich auf der Website anzumelden, entfernt, bis das Problem behoben wurde.“ Sie fügte hinzu: „Wir werden die von dem Problem betroffenen Personen mit weiteren Einzelheiten kontaktieren.“

Wie groß die Anzahl der „kleinen Anzahl von Benutzern“ war, ist noch unklar. Interessant ist, dass Nutzer, welche den Dienst deaktiviert hatten, die Nachricht ebenfalls erhielten.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Clearview: Unbefugter erlangte Zugriff auf Kundenliste

Das US-Unternehmen Clearview machte zuletzt Schlagzeilen, weil es die bisher größte bekannte Gesichtsdatenbank aufgebaut hatte. Die Datenbank verkaufte Clearview insbesondere an Strafverfolgungsbehörden, wie Recherchen der New York Times aufdeckten. Wir berichteten darüber ausführlich in einem früheren Blogbeitrag.

Nun sind Clearview offenbar sensible Kundendaten abhanden gekommen. Das geht aus einem Bericht des US-Magazins The Daily Beast hervor. Das Unternehmen soll seine Kunden gewarnt haben, dass ein Unberechtigter Zugang zur Kundenliste, zur Anzahl der Benutzerkonten einzelner Kunden und der jeweiligen Suchvorgänge verschafft habe. Ein Rechtsanwalt des Unternehmens erklärte, es habe kein Zugriff auf Server Clearviews stattgefunden. Der Unberechtigte habe keinen Zugriff auf die Suchverläufe der Kundenkonten bekommen und die Schwachstelle sei mittlerweile geschlossen. Die genauen Umstände der Datenpanne sind unklar, jedenfalls spricht Clearview in der Meldung nicht von einem Hack.

Clearview geriet in die Öffentlichkeit, weil es mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram sammelte. Die Datenbank enthält darüber hinaus Namen von Personen und weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte. Clearview verkaufte die Datenbank in Form einer App an bisher mehr als 600 Behörden. Auch private Sicherheitsunternehmen sollen zu den Kunden von Clearview gehören.

Social-Media-Plafttformen wie Google wehrten sich zuletzt gegen das Vorgehen. So mahnte Google Clearview ab, weil es auf Videomaterial von YouTube zugriff. Twitter forderte Clearview auf, den Abruf von Fotos einzustellen und vorhandenes Material zu löschen.

Lernsieg-App wieder online

25. Februar 2020

Die kritisierte Lernsieg-App, in der Schüler Lehrer und Schulen in Deutschland und Österreich bewerten können, darf mit gleichbleibenden Funktionen wieder online gehen. Datenschützer sehen es als zulässig an, dass Lehrer und Schulen mit bis zu fünf Sternen anonym von den Schülern bewertet werden dürfen. Den Entwicklern der App gehe es um Transparenz und den Leistungsgedanken. Es soll gemeinsam an einem besseren Schulsystem gearbeitet werden.

Im November war die App nach nur wenigen Tagen offline gegangen aufgrund Kritik der österreichischen Lehrer-Gewerkschaft und zahlreicher Hass-Mails.

Die österreichische Datenschutzbehörde hat ihr Verfahren gegen „Lernsieg“ eingestellt. Aus ihrer Sicht stehe die Verarbeitung der Lehrerdaten im Einklang mit den Grundsätzen der DSGVO und die berechtigten Interessen der Allgemeinheit beziehungsweise der Schüler überwiege die Beeinträchtigung des Grundrechts auf Datenschutz der Lehrer. Es bestehe ein legitimes Informationsinteresse der Öffentlichkeit an der Bewertung.

„Lernsieg“ erinnert an die Webseite spickmich.de, die vor rund 10 Jahren die Gerichte in Deutschland beschäftigte, weil Lehrer immer wieder erfolglos versuchten, sich auf dem rechtlichen Weg gegen die teils diffamierenden Kommentare auf der Seite zur Wehr zu setzen. Diese Seite wurde inzwischen eingestellt.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Verbände kritisieren Entwurf für „Digitale Gesundheitsanwendungen-Verordnung“ (DiGAV)

19. Februar 2020

Das Bundesministerium für Gesundheit (BMG) hatte im Januar 2020 einen Entwurf für eine „Digitale Gesundheitsanwendungen-Verordnung“ (DiGAV) vorgelegt. Durch diese Verordnung soll für gesetzlich Versicherte nicht nur ein Anspruch auf Versorgung mit digitalen Gesundheitsanwendungen begründet, sondern auch Anforderungen an Funktionstauglichkeit, Sicherheit, Qualität, Nachweis positiver Versorgungseffekte sowie Datenschutz und Datensicherheit dieser digitalen Gesundheitsanwendungen gestellt werden – so das BMG. Digitale Gesundheitsanwendungen sind dabei laut DVG (Digitale-Versorgung-Gesetz) solche Medizinprodukte, deren Hauptfunktionen wesentlich auf digitalen Technologien beruhen.

Verschiedene Verbände haben nun zu der geplanten Verordnung Stellung genommen und sich dabei auch zu den Fragen Datenschutz und Datensicherheit geäußert.

Der AOK-Bundesverband kritisiert in diesem Zusammenhang insbesondere, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) keine eigene Prüfung vornehmen solle, ob die datenschutzrechtlichen Anforderungen durch die Hersteller der Produkte tatsächlich eingehalten werden. Verließe sich das BfArM lediglich auf die Angaben der Hersteller, verkämen die datenschutzrechtlichen Vorgaben zu einem „zahnlosen Tiger“. Zudem sei eine Verschärfung des Grundsatzes der Datenminimierung erforderlich: Hersteller und Anbieter müssten beispielsweise nicht zwingend Kenntnis von der Identität des Nutzers haben.

Die fehlende Überprüfung der Einhaltung des Datenschutzes durch das BfArM wird auch seitens des Deutschen Caritasverbandes kritisiert. Zudem wird bemängelt, dass Datenschutzverstöße keine Sanktionen nach sich ziehen würden.

Ähnliche Kritik äußert auch die Deutsche Gesellschaft für Psychologie e.V. (DGPs). Neben fachspezifischen Anmerkungen weist die DGPs darauf hin, dass die datenschutzrechtlichen Rahmenbedingungen insbesondere in Bezug auf den internationalen Austausch von Nutzerdaten sowie hinsichtlich der wissenschaftlich fundierten Weiterentwicklungsmöglichkeiten der digitalen Gesundheitsanwendungen verschärft werden müssten.

Als zu streng betrachtet die geplanten datenschutzrechtlichen Anforderungen hingegen der Spitzenverband Digitale Gesundheitsversorgung (SVDGV). Dieser kritisiert vor allem, dass die Verarbeitung von Patientendaten nur auf der Grundlage einer ausdrücklichen Einwilligung möglich sei. Auch sollten die Patientendaten zu weiteren als den im Entwurf genannten Zwecke verarbeitet werden dürfen, etwa zur Weiterentwicklung der Gesundheitsanwendungen, aber auch um den Patienten weitere relevante Versorgungsangebote anbieten zu können.

Es bleibt abzuwarten, welche der beteiligten Interessenvertretungen sich mit ihren Anliegen schließlich durchsetzen wird, oder ob überhaupt noch Änderungen an dem Referentenentwurf vorgenommen werden. Eine Fachanhörung im Ministerium war für den heutigen Mittwoch (19.02.2020) geplant.

BfD der evangelischen Kirche zur Nutzung von Microsoft Cloud-Diensten

18. Februar 2020

Der Beauftragte für den Datenschutz (BfD) der Evangelischen Kirche Deutschland hat ein Rundschreiben an alle Landeskirchen und diakonischen Landesverbände verschickt, das Hinweise und Empfehlungen zur datenschutzkonformen Nutzung von Microsoft Cloud-Diensten gibt.

Die Konferenz der Beauftragten für den Datenschutz in der Evangelischen Kirche hatte bereits 2019 die Rahmenbedingungen für einen datenschutzkonformen Einsatz von Microsoft Cloud-Diensten aufgezeigt.

Danach bedarf es folgender Voraussetzungen:

  • Verschlüsselung der Daten
  • Unterbindung von Telemetriedaten mit Bezug auf personenbezogene Daten
  • Abschluss eines Auftragsverarbeitungsvertrags mit Microsoft
  • Abschluss einer Zusatzvereinbarung, mit der sich Microsoft der kirchlichen Datenschutzaufsicht unterstellt

Die Zusatzvereinbarung stellt sicher, dass im Falle einer unrechtmäßigen Datenverarbeitung die kirchliche Aufsichtsbehörde zu informieren ist. Sie ist von Microsoft bereits in mehreren Fällen unterzeichnet worden und dem Rundschreiben des BfD als Anlage ebenfalls beigefügt.

Leichter Zugriff auf Millionen von Patientendaten

Wie bereits berichtet, war erst vor ein paar Tagen ein Datenleck beim Deutschen Roten Kreuz bekannt geworden. Dieses hatte Hackern den Zugriff auf ca. 100.000 Gesundheitsdaten ermöglicht.

Zusätzlich hat das C‘t Computermagazin herausgefunden, dass Millionen von Patientendaten nicht ausreichend gesichert sind und eine erhöhte Gefahr für Hackerangriffe besteht. Grund dafür ist erneut die Verwendung von zu schwachen Passwörtern.

Die von den Medizinern beauftragten IT-Dienstleiter raten den Praxen zu einfachen Passwörtern (wie z.B. „praxis123“), um den Mitarbeitern die Arbeit mit der Software zu erleichtern. Diese Kennwörter sind jedoch aufgrund der fehlenden Komplexität für Hacker leicht zu knacken. Nach Berechnungen des NDR sind dadurch ca. 8,5 Millionen Patienten-Datensätze akut bedroht.

Laut Ronald Eikenberg von der Computerzeitschrift C’t wird bereits eine Patientenakte auf dem Schwarzmarkt mit bis zu 2000 € gehandelt. Nach dem Erwerb der Patientendaten werden die Personen mitunter mit der Veröffentlichung der Krankheitsinformationen erpresst. Oft ermöglichen die Informationen auch einen Rückschluss auf weitere, weniger sensible Zugangsdaten. In vielen Fällen erfahren die Patienten erst Jahre später von dem Datendiebstahl.

Ärzte und Therapeuten kennen sich selten mit dem Thema Datensicherheit aus und müssen sich „blind“ auf die beauftragten IT-Dienstleister verlassen. Eine Hilfestellung dazu, welches EDV- Unternehmen einen geeigneten Schutz für die sensiblen Daten bietet, gibt es nicht. Daher fordert die Vereinigung der niedersächsischen Kassenärzte, dass der Gesetzgeber ein Gütesiegel oder Zertifikat einführt, dass vertrauenswürdige EDV- Unternehmen auszeichnet.

Kennzeichenfahndung der brandenburgischen Landespolizei weiter unter Kritik von Datenschützern

14. Februar 2020

Die brandenburgische Landesbeauftragte für den Datenschutz bemängelt die Kennzeichenfahndungspraxis der Landespolizei. Diese nutzt seit mehreren Jahren festinstallierte Kfz-Kennzeichnen-Scanner, die schon länger Anlass zur Kritik von Datenschützern sind. Anfang Februar erklärte der Polizeipräsident, das Verfahren zugunsten des Datenschutzes nachgebessert zu haben. Für die Landesdatenschutzbeauftragte weist die Fahndungspraxis jedoch weiterhin erhebliche Mängel auf.

Zunächst bestehen Zweifel, ob man das System mit dem Namen „KESY“ mit einer ausreichenden Rechtsgrundlage einsetze. Zudem habe man nach erneuten Kontrollen festgestellt, das auch das Löschkonzept den Datenschutzstandards nicht entspreche. So wurden nach Angaben der Ermittler nur Daten gelöscht die vor dem 19. Juni 2019 erhoben wurden. Noch problematischer sei jedoch, dass der komplette, bis zum Stichtag gespeicherte Datenbestand auf andere Datenträger übertragen wurde. So sollen eventuelle Anfragen der Staatsanwaltschaft noch bearbeitet werden können. Eine tatsächliche Löschung sei also gar nicht erfolgt.

Ein weiterer Kritikpunkt ist das Fehlen eines Konzepts zum Umgang mit Auskunftsrechten von erfassten Personen. Bis heute besteht ein derartiges Konzept nicht. Die Behörden weisen lediglich auf ein anhängiges Beschwerdeverfahren am Landesverfassungsgericht hin.

Außerdem kommentiert die Datenschutzbeauftragte den Plan der Behörden technisch organisatorische Maßnahmen zum Schutz der Daten von Betroffenen einzusetzen. Die Polizeibehörde habe diese zwar angekündigt, es jedoch unterlassen genauere Angaben zu machen, wann und wie diese implementiert werden sollen.

Sensible Patientendaten beim Deutschen Roten Kreuz gehackt

13. Februar 2020

Laut Berichten der Süddeutschen Zeitung, des BR und des RBB hat ein 18-jähriger Hacker problemlos auf zehntausende Patientenakten von Kreisverbänden des Deutschen Roten Kreuzes zugreifen können. Betroffen waren dabei nicht nur Stammdaten, sondern auch sensible Patienten- und Krankeninformationen.

Der Hacker hatte die Webseite eines Kreisverbandes in Brandenburg bereits im November letzten Jahres gehackt und einen der Verbände über die Sicherheitslücken informiert. Um aufzuzeigen wie einfach er dabei vorgehen konnte, fertigte er ein drei minütiges Beweisvideo an. Darauf greift er auf das DRK-Fahrdienst-System in Frankfurt (Oder) zu. Neben der Einsicht der Patientendaten wäre es für den Hacker an dieser Stelle leicht gewesen Fahrten zu löschen.

Das DRK sperrte daraufhin die betroffene Seite. Eine Meldung bei den zuständigen Behörden blieb jedoch aus. Der Hacker griff darauf Mitte Januar erneut auf die Daten zu und informierte Journalisten über die Sicherheitslücken.

Laut DRK-Generalsekretariat und der Landesverband Brandenburg sind die Vorfälle regional begrenzt. Außerdem bestehe keine einheitliche IT-Struktur. Die Vorfälle werden aber zum Anlass genommen alle Webseiten der Landesverbände und der Schwesternschaften der DRK auf ihre Datensicherheit zu überprüfen.

Die Betreiber der Seite hatten zu schwache Passwörter genutzt. Zudem handelte es sich um eine für diesen Typ von Datenbaken bereits bekannte Sicherheitslücke.

Start von Facebook Dating in Europa verspätet sich aus Datenschutzgründen

Eigentlich sollte Facebooks Datingdienst am 13. Februar und damit pünktlich einen Tag vor Valentinstag in Europa verfügbar sein. Daraus wird aber nichts, wie die irische Datenschutzkommission (DPC) am 12. Februar bekanntgab. Erst 10 Tage vor dem geplanten Start, am 3. Februar, wurde die DPC von Facebooks EU-Headquarter in Irland über den geplanten Start von Facebook Dating informiert. Die DPC monierte, dass ihr keine Informationen und Dokumentationen über die Datenschutz-Folgenabschätzung (DPIA) oder den bei Facebook Irland abgelaufenen Entscheidungsfindungsprozessen vorgelegt wurden. Um die Beschaffung der erforderlichen Unterlagen zu beschleunigen hat die DPC am vergangenen Montag eine Inspektion in den Büros von Facebook Irland durchgeführt und Dokumente gesammelt. Am daraufolgenden Tag teilte Facebook der Datensschutzbehörde mit, dass die Einführung des Features verschoben wurde.

In den USA wurde das Dating-Feature bereits im September gelauncht. EU-Bürger müssen bis auf Weiteres auf anderen Plattformen auf Partnersuche gehen. Aber auch die stehen im Fokus von Untersuchunngen: So legten norwegische Verbraucherschützer gegen die Dating-App Grindr Beschwerde ein, auch Lovoo stand bereits in der Kritik und aktuell ermittelt die irische Datenschutzkommission, ob der Umgang mit personenbezogenen Daten der Dating-App Tinder im Einklang mit dem Datenschutzrecht steht.

1 2 3 4 152