Kategorie: Allgemein

15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach DSGVO

8. Januar 2020

Das Amtsgericht Wertheim verhängte mit Beschluss vom 12.12.2019 (Az.: 1 C 66/19) ein Zwangsgeld in Höhe von 15.000 Euro (ersatzweise ein Tag Zwangshaft für je 500 Euro) gegen ein nach Art. 15 DSGVO auskunftspflichtiges Unternehmen.

Das Unternehmen war zuvor mit Anerkenntnisurteil vom 27.05.2019 (Az.: 1 C 66/19) verurteilt worden, Auskunft über die personenbezogenen Daten des Klägers, die bei dem Unternehmen verarbeitet werden, zu erteilen und diesem über die Informationen nach Art. 15 Abs.1 DSGVO Auskunft zu geben.

Das Gericht begründete seinen Beschluss nun mehr damit, dass das Unternehmen dieser Pflicht nicht vollständig nachgekommen sei. Insbesondere habe das Unternehmen nicht alle erforderlichen Informationen über die Herkunft der Daten des Klägers nach Art. 15 Abs. 1 lit. g) DSGVO erteilt.

Das Unternehmen legte dem Kläger zwecks Auskunftserteilung ein Schriftstück vor, dessen Erhalt der Kläger bestritt. Das Schriftstück gab die Kategorien der verarbeiteten Daten an und benannte als Herkunft der Daten in Klammern eine GmbH mit dem Zusatz „z.B.“.

Unabhängig davon, ob ein solches Schreiben tatsächlich an den Kläger übergegeben wurde, so das Amtsgericht, genüge dieses jedoch nicht den Anforderungen des Art.12 DSGVO. Die Information über die Herkunft der Daten werde in dem Schriftstück nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt. Der Zusatz „z.B.“ mache das Schriftstück vielmehr unklar und irreführend, da für den Betroffenen nicht ersichtlich sei, ob die Daten wirklich von der benannten GmbH stammten.

Weiterhin führte das Gericht aus, dass aus dem Schriftstück auch nicht hervorgehe zu welchem Zeitpunkt und mit welchem Inhalt personenbezogene Daten übermittelt wurden.

Auch genüge es nicht mitzuteilen, welche Art oder Kategorie von Daten verarbeitet wurde. Entscheidend sei im Hinblick auf Art. 15 DSGVO vielmehr die Nennung der konkreten personenbezogenen Daten.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Gesetzliche Neufassung: Steuerberater sind keine Auftragsverarbeiter

Steuerberater sind keine Auftragsverarbeiter. Das hat der deutsche Gesetzgeber mit der Neufassung des § 11 Steuerberatungsgesetz (StBerG) klargestellt, die am 18. Dezember 2019 in Kraft getreten ist.

Mit § 11 Abs. 1 StBerG hat der Gesetzgeber eine Rechtsgrundlage für Datenverarbeitungen durch Steuerberater geschaffen, insbesondere auch für besondere Kategorien personenbezogener Daten ihrer Mandanten, wie Gesundheitsdaten. Nach Abs. 2 der Norm erfolgt die Verarbeitung durch Steuerberater unter Beachtung der Berufspflichten weisungsfrei. Zudem sind sie bei der Verarbeitung sämtlicher personenbezogener Daten Verantwortliche nach der Datenschutzgrundverordnung – und damit keine Auftragsverarbeiter.

Zuvor haben das einige Landesdatenschutzbeauftragte in bestimmten Konstellationen anders gesehen (so der LfDI NRW und der LfDI Baden-Württemberg). Wie in einem früheren Blogbeitrag erläutert, hing die Frage, ob die Tätigkeit eines Steuerberaters eine Auftragsverarbeitung ist, entscheidend von der Art der Tätigkeit ab, die er für seinen Mandanten ausführte. Lohn- und Gehaltsabrechnung wurden aufgrund der Weisungsgebundenheit des Steuerberaters der Auftragsverarbeitung zugeordnet.

Mit der Neufassung des § 11 StBerG können Tätigkeiten wie die Lohnbuchhaltung nicht mehr als Auftragsverarbeitung behandelt werden, wie auch der Gesetzgeber in der Gesetzesbegründung ausdrücklich klarstellt (BT-Drs. 19/14909, S. 58). Die Neuregelung soll dazu dienen die notwendige Rechtssicherheit für alle Beteiligten zu schaffen und so die ordnungsgemäße steuerliche Beratung zu gewährleisten. Sie beseitigt die aus den unterschiedlichen Ansichten der Aufsichtsbehörden entstandenen Rechtsunsicherheiten.

Steuerberater müssen damit die Pflichten einhalten, denen Verantwortliche im Falle von Verarbeitungen personenbezogener Daten nachzukommen haben, wie etwa Informations- oder Meldepflichten.

Cyberangriff auf Österreichs Außenministerium

7. Januar 2020

Das österreichische Außenministerium wurde in der Nacht auf Sonntag das Ziel eines schweren Angriffs auf seine IT-Systeme. Wie die Behörde in einer mit dem Innenministerium gemeinsam erklärten Stellungnahme darlegte, liegt aufgrund des Ausmaßes des Angriffs die Vermutung nahe, dass ein staatlicher Akteur dafür verantwortlich ist.

Genauere Details zum Ablauf und zur Art des Angriffs sind bis jetzt noch nicht bekannt. Laut Regierungsvertretern wurde der Angriff schnell bemerkt. Trotz eingeleiteter technischer Gegenmaßnahmen dauert dieser jedoch weiterhin an.

Die Ministerien legten dar, dass es einen hundertprozentigen Schutz gegen Cyberangriffe trotz intensiver Sicherheitsvorkehrungen nicht gebe. Dabei verwiesen sie auch auf die jüngst erfolgten Angriffe auf andere europäische Staaten. Anfang 2018 war auch das Datennetzwerk der Bundesregierung von einem ähnlichen Fall betroffen.

Kategorien: Allgemein
Schlagwörter: ,

Nach Hacker-Angriff: Uni Gießen nimmt Normalbetrieb wieder auf

Nachdem Anfang Dezember 2019 bei der Justus-Liebig-Universität Gießen (JLU) ein Hackerangriff auf die IT-Infrastruktur entdeckt wurde und seitdem alle Server abgeschaltet worden waren, nimmt die Universität nun wieder ihren Normalbetrieb auf. Bei dem Angriff handelte es sich vermutlich um die Malware Emotet. Die Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek gingen oder sollen in Kürze wieder online gehen.

Im Rahmen der Wiederherstellungsarbeiten wurden bereits rund 60 Prozent der Studierenden-Passwörter neu vergeben – insgesamt wurden 38.000 Passwörter zurückgesetzt. Der Zugriff auf interne Windowslaufwerke soll im Februar erfolgen.

Durch das frühzeitige Herunterfahren aller Universitätsserver konnte ein Verlust aller wissenschaftlichen Daten und die Datenbestände verhindert werden, versichert ein Sprecher der Hochschule.

Vielen Dank und Frohe Weihnachten

20. Dezember 2019

Liebe Leserinnen und Leser,
wir bedanken uns recht herzlich für Ihr Interesse an unserem Blog in diesem Jahr.

Das erste Jahr nach Einführung der Datenschutzgrundverordnung im Mai 2018 war ein ereignisreiches. Gerichtliche und behördliche Entscheidungen geben sowohl dem deutschen als auch dem europäischen Datenschutzrecht immer mehr Kontur und uns die Möglichkeit Ihnen Neuigkeiten rund um das Thema Datenschutz und Datensicherheit zu präsentieren.

Neben diesen Neuerungen haben auch wir uns weiterentwickelt, um Ihnen den Datenschutz noch näher zu bringen. Seit dem Sommer sind wir nun auf Twitter zu finden und versorgen Sie dort noch schneller mit News. Außerdem haben wir im Herbst unsere erste eigene Datenschutztagung – den datenschutzticker.live veranstaltet und durften Sie in Köln als unsere Gäste live begrüßen.
In diesem Zuge freuen wir uns, Ihnen bekanntzugeben, dass wir auch im Jahr 2020 wieder live sein werden.

Der nächste datenschutzticker.live wird am 12. März 2020 in Wien stattfinden und Sie können sich jetzt bereits dafür vormerken lassen.

Selbstverständlich werden wir Sie auch 2020 wieder mit vielen interessanten Themen und Beiträgen aus der Welt des Datenschutzes und der Datensicherheit auf dem Laufenden halten.
Wir blicken gespannt und voller Vorfreude auf das Jahr 2020 und wünschen Ihnen eine schöne Weihnachtszeit und nur das Beste für das kommende Jahr.

Ihr Team vom datenschutzticker.de

Kategorien: Allgemein

Scharfe Kritik am Gesetzesentwurf zur Änderung des TMG

19. Dezember 2019

Am Mittwoch (18.12.19) musste Bundesjustizministerin Christine Lambrecht (SPD) ihren Referentenentwurf für ein Gesetz „zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ im Bundestag verteidigen. Kritisiert wurde insbesondere die Pflicht der Telemedienanbieter zur Herausgabe von Passwörtern.

Seit letzter Woche steht der Entwurf in der Kritik Bürgerrechte auszuhebeln. Mit dem Gesetzentwurf „zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“, soll neben dem Netzwerkdurchsetzungsgesetz (NetzDG) auch die Strafprozessordnung (StPO) und das Telemediengesetz (TMG) geändert werden. Im Fokus der Kritiker steht ein Auskunftsverfahren, das ins TMG aufgenommen werden soll. Danach müssen Telemedienanbieter wie z.B. E-Mail-Provider, Facebook und Google Bestandsdaten von Nutzern bestimmten Sicherheitsbehörden übermitteln. Dieser Auskunftsanspruch umfasst auch Passwörter der Nutzer.

Problematisch ist allerdings, dass Telemedienanbieter Passwörter ihrer Nutzer nach datenschutzrechtlichen Vorgaben nur verschlüsselt speichern. Im Falle eines solchen Auskunftsverfahrens könnten sie daher keine Klartext-Passwörter an die Behörden herausgeben.

Dieser Vorstoß des Justizministeriums wurde von der Opposition und von Verbänden scharf kritisiert. Der Gesetzesentwurf würde tief in die Privatsphäre der Bürger eingreifen und es den Behörden ermöglichen, eine „Online-Durchsuchung“ durchzuführen.

Die Justizministerin betonte, dass es sich um einen „Referentenentwurf“ handelt. Für sie sei es ganz klar, „dass die Passwortabfrage unter Richtervorbehalt steht“.

Kanzleimonitor 2019/2020: KINAST deutschlandweit unter den TOP 5 Kanzleien im Datenschutzrecht

13. Dezember 2019

KINAST Rechtsanwälte werden im Datenschutzrecht von Unternehmensjuristen ausgesprochen häufig empfohlen!

Das ergab die Studie „kanzleimonitor.de – Empfehlung ist die beste Referenz 2019/2020“. Das Deutsche Institut für Rechtsabteilungen und Unternehmensjuristen (diruj) untersucht jährlich auf empirischer Basis die zwei wichtigsten Auswahlkriterien bei der Mandatierung eines externen Anwalts bzw. Kanzlei für Unternehmensjuristen: Die Erfahrung in der Zusammenarbeit und das daraus resultierende Vertrauen und die Empfehlung von Kollegen.

Nachdem KINAST im Bereich Datenschutzrecht im Jahr 2015 noch als „Hidden Champion“ und in den Folgejahren unter den Top-10 Kanzleien im Datenschutzrecht gelistet war, belegen wir nunmehr deutschlandweit den 5. und im Westen Deutschlands den 4. Platz und finden uns damit neben einigen Großkanzleien als insgesamt höchstgerankte Boutique in der absoluten Spitzengruppe wieder.

Gleich sechs unserer Anwälte sind in der Liste persönlicher Empfehlungen namentlich genannt: Dr. Karsten Kinast, Benedikt Woltering, Tobias Mick, Beate Poloczek, Jan Rübsteck und Orcun Sanli.

Nicht nur im Datenschutzrecht wird unsere Kanzlei von Unternehmensjuristen empfohlen: So hat KINAST auch als Externe Compliancebeauftragte mehrere Empfehlungen erhalten (Themenfelder Legal Compliance, Ethical Compliance und Aufbau Compliance-Organisation).

Das Ergebnis in dieser Studie ist für uns besonders wichtig, weil damit unsere Mandanten unseren klaren Kanzleifokus und unsere hohe Beratungsqualität würdigen. Wir freuen uns über das positive Feedback und bedanken uns für alle Empfehlungen!

Kategorien: Allgemein
Schlagwörter:

Bußgeld für 1&1: Knapp 10 Millionen Euro Strafe für DSGVO-Verstoß

10. Dezember 2019

Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.

Als Grund nannte Kelber das Fehlen von „hinreichenden technisch-organisatorischen Maßnahmen“ (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.

Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.

Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.

Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.

Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.

Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.

BVerfG schärft das „Recht auf Vergessen“

5. Dezember 2019

Die Beschlüsse Recht auf Vergessen I und II ergingen am selben Tag und stehen in direktem Zusammenhang. Während im ersten Blogeintrag die Grundsätze der Anwendbarkeit von Unionsgrundrechten und deutschem Grundgesetz aufgezeigt wurden, wird im Folgenden auf den Beschluss ‚Recht auf Vergessen I‘ eingegangen. In diesem schärft das BVerfG das Recht auf Vergessen.

Der Sachverhalt

Im zugrundeliegenden Fall begehrte der Beschwerdeführer die Löschung eines Artikels, der auf Spiegel Online kostenlos zum Abruf bereitgehalten wurde und bei Google bei Eingabe seines Namens unter den ersten Treffern auftauchte. Der Beschwerdeführer wurde 1982 wegen Mordes und versuchten Mordes zu einer lebenslangen Freiheitsstrafe verurteilt und 2002 auf der Haft entlassen. Während das Landgericht dem Beschwerdeführer noch einen Unterlassungsanspruch gegen die Veröffentlichung des Berichts zugestand und die Berufung erfolglos blieb, wies in der Revision der BGH die Klage ab.

Die rechtliche Würdigung

Das BVerfG stellt zunächst fest, dass die Verarbeitung zu journalistischen Zwecken in den Bereich des Medienprivilegs fällt, für das Art. 85 DSGVO eine Öffnungsklausel vorsieht. Wegen des weitgehenden Gestaltungsspielraums der Mitgliedstaaten, sei hier das deutsche Grundgesetz anwendbar. Gleichwohl könnten die Garantien der Unionsgrundrechte als Auslegungshilfe Berücksichtigung finden.

Bevor das BVerfG in die grundrechtliche Abwägung einsteigt setzt es sich dezidiert mit dem Recht auf Vergessen auseinander. Dieses leitet es aus dem allgemeinen Persönlichkeitsrecht in Abgrenzung zum Recht auf informationelle Selbstbestimmung ab. Allein Ersteres umfasse den Schutz vor der Verarbeitung personenbezogener Berichte und Informationen als Ergebnis eines Kommunikationsprozesses. In der Folge wägt das BVerfG das Recht auf Vergessen des Beschwerdeführers mit der Meinungsfreiheit und der Pressefreiheit von Spiegel Online ab. Während für aktuelle Berichterstattungen über Straftaten in der Regel dem Informationsinteresse Vorrang einzuräumen sei, könne ein zunehmender zeitlicher Abstand das Ergebnis verändern. Hierbei könne keine allgemeine Frist fixiert werden. Es müsse das Interesse an der Wiedereingliederung des Straftäters in die Gesellschaft berücksichtigt werden.

Bei der Abwägung sei insbesondere einzustellen, dass die Informationen für jedermann unmittelbar und dauerhaft abrufbar sind. Das BVerfG zählt ein Reihe weiterer in der Abwägung maßgeblicher Gesichtspunkte auf. So seien die Wirkungen, die zurückliegende Berichte auf das Privatleben und die Entfaltungsmöglichkeiten der Person haben, zu berücksichtigen. Auch komme es darauf an, ob das Ereignis für sich allein oder in gesellschaftlichem Kontext steht. Zudem komme es darauf an, ob das Verhalten des Betroffenen von einem „Vergessenwerdenwollen“ getragen sei. Die Belastungswirkung für den Betroffenen bestimme sich auch danach, ob der Bericht breitenwirksam gestreut wird, indem er durch Suchmaschinen leicht auffindbar ist. Das BVerfG stellt aber klar, dass es kein Recht auf Vergessenwerden in einem grundsätzlich allein von den Betroffenen beherrschbaren Sinn gebe.

Das Ergebnis

Die Entscheidung des BGH halte diesen Anforderungen nicht stand. Sie habe insbesondere die zeitliche Distanz zum Strafverfahren und die konkrete Situation des Beschwerdeführers nicht hinreichend gewürdigt.

BVerfG wendet Unionsgrundrechte an und konkretisiert das „Recht auf Vergessen“

Das Bundesverfassungsgericht beschäftigte sich in zwei in vieler Hinsicht spannenden Beschlüssen vom 6. November 2019 mit dem Recht auf Vergessen (1 BvR 16/13 – Recht auf Vergessen I und 1 BvR 276/17, Recht auf Vergessen II). Darin setzt sich das Verfassungsgericht wohl erstmals mit der Frage auseinander, ob und wann es die Charta der Grundrechte der Europäischen Union anwendet und nicht das deutsche Grundgesetz.

Das BVerfG kommt zu dem Ergebnis, dass allein die Unionsgrundrechte anwendbar sind, wenn sich der Rechtsstreit nach unionsrechtlich vollständig vereinheitlichten Regelungen richtet. Dies sei im Datenschutzrecht bereits durch die EU-Datenschutzrichtlinie, erst recht aber durch die Datenschutz-Grundverordnung grundsätzlich erfolgt. Eine Ausnahme gelte für Bereiche, in denen das Unionsrecht den Mitgliedstaaten die Schaffung abweichender Regelungen ermögliche. Ob eine Regelung gestaltungsoffen ist müsse durch Auslegung der konkreten Vorschrift ermittelt werden. Es komme darauf an, ob die Norm auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt sei.

Der Sachverhalt

Im zugrundeliegenden Fall des Beschlusses „Recht auf Vergessen II“ begehrte die Beschwerdeführerin die Unterlassung der Anzeige eines Suchergebnisses von Google. Bei der Eingabe ihres Namens erschien als Suchergebnis ein Transkript eines Beitrags des Fernsehmagazins „Panorama“ von 2010. Der Beschwerdeführerin wurde darin ein unfairer Umgang mit ihren Mitarbeitern vorgeworfen. Das Landgericht verurteilte Google dazu den Link zu entfernen. Das OLG wies die Berufung ab.

Die rechtliche Würdigung

Nach den Ausführungen des BVerfG betrifft der Rechtsstreit eine unionsrechtlich vereinheitlichte Materie, weswegen die Unionsgrundrechte anwendbar seien. Dies sei Konsequenz der Übertragung von Hoheitsbefugnissen auf die EU. Die Anwendung deutscher Grundrechte würde das Ziel der Rechtsvereinheitlichung konterkarieren. Dem Grundgesetz komme insofern nur eine Reservefunktion zu. Während der EuGH für die letztverbindliche Auslegung des Unionsrechts zuständig sei, habe das BVerfG die Kompetenz über die richtige Anwendung der Unionsgrundrechte.

Das Recht auf Achtung des Privatlebens aus Art. 7 und 8 CRC beschränke sich nicht auf höchstpersönliche oder besonders sensible Sachverhalte, sondern schließe auch geschäftliche und berufliche Tätigkeiten ein. Zwar könne sich Google selbst nur auf die unternehmerische Freiheit berufen. In der Abwägung seien jedoch auch die Grundrechte der Inhalteanbieter einzustellen, um deren Veröffentlichung es geht. Zudem müssten Zugangsinteressen der Internetnutzer berücksichtigt werden. Das BVerfG arbeitet sodann detailliert heraus, dass ein Schutzanspruch gegenüber einem Suchmaschinenbetreiber weiter reichen kann als gegenüber dem Inhalteanbieter, wenn im Verhältnis zwischen zwischen Betroffenen und Inhalteanbieter nach innerstaatlichem Fachrecht allein die inhaltliche Richtigkeit eines Beitrags ohne Berücksichtigung seiner Verbreitungswirkungen im Internet maßgeblich ist und deshalb der hierdurch entstehende Schutzbedarf der Betroffenen auf dieser Ebene noch nicht erfasst wird.

Das Ergebnis

Die klageabweisende Entscheidung des OLG beanstandet das BVerfG nicht. Die Beschwerdeführerin habe damals ihre Zustimmung zu dem Beitrag gegeben. Ein Zeitablauf könne zwar dazu führen, dass die Verbreitung von Beiträgen durch Suchmaschinen unzumutbar wird, denn es müsse die Chance eines In-Vergessenheit-Geratens belastender Informationen geben. Allerdings sie die Beschwerdeführerin weiterhin unternehmerisch tätig und der Zeitraum von sieben Jahren nicht übermäßig lang.

Zum Beschluss „Recht auf Vergessen I“ folgt ein weiterer Blogeintrag.

1 2 3 4 150