Kategorie: Allgemein

Bußgeld für eine Datenlöschung nach Auskunftsbegehren

27. Mai 2020

Die dänische Datenschutzbehörde hat eine Geldbuße in Höhe von 50.000 Dänischen Kronen gegen ein Personalvermittlungsunternehmen empfohlen. Im Gegensatz zu den meisten Mitgliedstaaten kann die Datenschutzbehörde in Dänemark nicht selbst eine Geldbuße verhängen. Die Polizei führt diesbezüglich Ermittlungen durch. Die Entscheidung über die Verhängung einer Geldstrafe wird vom Gericht getroffen werden.

Das Unternehmen hatte personenbezogene Daten, die Gegenstand eines Auskunftsersuchens waren, nach Eingang des Ersuchens und vor der Auskunftserteilung gelöscht. Die dänische Datenschutzbehörde vertritt die Ansicht, dass das Unternehmen den Anforderungen der Datenschutzverordnung (DSGVO), wonach personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden müssen, nicht erfüllt hatte.

Astrid Mavrogenis, Leiterin der dänischen Datenschutzbehörde, ist der Auffassung, dass die Löschung von personenbezogenen Daten, die im direkten Zusammenhang mit der Nichterfüllung eines Auskunftsersuchens stehen, nicht nur ein Verstoß gegen die DSGVO, sondern auch eine Verletzung der Grundrechte darstelle.

E-Mail-Anbieter veröffentlichen Umfrage zur Cookie-Nutzung

„Deutschlands größte E-Mail-Anbieter“, GMX und WEB.DE, haben anlässlich des zweijährigen Jubiläums des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) am 25.05.2020 eine Umfrage zur Sicht deutscher Internetnutzer auf die DSGVO veröffentlicht, welche durch das Meinungsforschungsinstitut YouGov Deutschland GmbH duchgeführt wurde. Im Rahmen der repräsentativen Umfrage wurden im Zeitraum vom 15.-18.05.2020 ingsesamt 2045 deutsche Internetnutzer ab 18 Jahren befragt.

Großteil der Nutzer von Cookie-Hinweisen „genervt“

Statt einer Umfrage zur Sicht deutscher Internetnutzer auf die Datenschutz-Grundverordnung – wie es der Titel vermuten lässt – handelt es sich vielmehr um eine Umfrage zur derzeitigen Cookie-Praxis. Die Teilnhmer der Umfrage wurden unter anderem gefragt, ob sie sich durch regelmäßige Cookie-Hinweise in ihrer Internetnutzung eingeschränkt fühlen, und wenn ja, warum. Aus den gegebenen Antworten wird geschlossen, dass sich 63% der Nutzer durch wiederholt auftretende Cookie-Hinweise „genervt bzw. eingeschränkt“ fühlen. Dabei erscheint interessant, dass sich ein Großteil der Teilnehmer daran stört, dass sie langsamer surfen können (25%), bei Nichtzustimmung die Website nicht nutzen zu können (30% – zur Frage der Rechtmäßigkeit solcher „Cookie-Walls“ lesen sie mehr in unsererm Blog-Beitrag) oder durch Cookie-Hinweise überhaupt erst darauf hingewiesen werden, dass bei der Internetnutzung eine „Überwachung“ bzw. Tracking stattfindet (26%). Deutlicher weniger Nutzer kritisieren hingegen die Verständlichkeit der Hinweise (12%) oder deren wiederholtes Erscheinen (10%). Aus diesen Antworten könnte man auch ablesen, dass nicht die Art und Weise der Cookie-Praxis das Problem darstellt, sondern dass sich die Nutzer zwecks „ungestörtem Nutzererlebnis“ einfach nicht mit Fragen des Schutzes ihrer personenbezogenen Daten beschäftigen möchten.

Dem scheint auch die Antwort von 41% der Teilnehmer zu entsprechen, wonach diese die Cookie-Hinweise gar nicht erst lesen und der Verwendung der Cookies ungeprüft zustimmen. Immerhin 16% lesen die Hinweise und stimmen anschließend ihrer Nutzung zu, und 23% nehmen eine individuelle Cookie-Einstellung vor. Ganze 12% der Nutzer lassen sich von den Cookie-Hinweisen sogar gänzlich von der Nutzung einer Website abbringen und verlassen diese.

Verbesserungswünsche: Einfachheit, Transparenz, zentrale Cookie-Verwaltung

Die Nutzer wurden aber nicht nur nach ihrer Kritik an der gängigen Cookie-Praxis gefragt, sondern auch, welche Verbesserungsvorschläge sie haben. Obwohl 41% die Hinweise gar nicht erst lesen (s.o.), wünschen sich dennoch 39% der Teilnehmer mehr Transparenz darüber, welche ihrer Daten überhaupt erhoben werden, und 31% wünschen sich mehr „Einfachheit und Verständlichkeit bei den Hinweisen und Erklärungen zum Datenschutz“. Andere Teilnehmer wünschen sich hingegen eine grundlegende Änderung der Cookie-Praxis, wobei die Frage gestellt werden muss, ob dies so umsetzbar ist. Dabei geht es einerseits um technische Fragen (25% wünschen sich einheitliche Lösungen, die abgebenene Einwilligungen für mehrere Webseiten speichern), andere Wünsche der Teilnehmer würden hingegen eine Änderung der Rechtslage erfordern. Denn immerhin 33% fordern von der Internet-Industrie, „eine Alternative zur nervigen Cookie-Praxis“ bereitzustellen.

Eine weitere Frage richtet sich wieder an das individuelle Nutzerverhalten. Gefragt ist danach, wie häufig die Nutzer manuell die gespeicherten Cookies löschen. 10% löschen diese sogar mehrmals am Tag, jeweils 9% immerhin einmal am Tag bzw. der Woche, und ebenfalls 9% mehrmals in der Woche. Große Teile der Teilnehmer verlassen sich hingegen bei der Nutzung auf ihre Browser-Einstellungen und löschen die gespeicherten Cookies deswegen selten (29%) oder gar nie (14%).

Zum Abschluss wurden die Teilnehmer gefragt, wie sie die Möglichkeit fänden, ihre Cookie- und Datennutzungseinstellungen bei einem Dienstleister zentral für alle anderen Webseiten speichern zu können, sodass keine individuellen Cookie-Abfragen mehr erforderlich wären. Diese Möglichkeit fänden 27% hilfreich und würden diese nutzen, 34% würden dies vielleicht. Die übrigen Teilnehmer lehnen eine solche Möglichkeit hingegen ab und würden diese sicher (11%) oder doch zumindest wahrscheinlich (10%) nicht nutzen.

Schlussfolgerungen

Welche Schlüsse können nun aus dieser Umfrage gezogen werden? Jan Oetjen, Geschäftsführer von GMX und WEB.DE, sieht aufgrund der aktuellen Regelung – welche auf den Anforderungen der DSGVO beruhe – eine drohende „Klick-Müdigkeit“, denn wer jede Woche dutzende Male nach Einwilligungen für „eher unkritische Daten“ gefragt werde, verliere „schnell den Überblick“. In der Tat ist nach der aktuellen Rechtslage die Einholung einer ausdrücklichen Einwilligung des Nutzers erforderlich, wenn der Betreiber der Website Cookies verarbeiten möchte, die über die „technisch notwendigen“ Erfordernisse hinausgehen. Die Interaktion mit Cookie-Hinweisen kann für den Nutzer sicherlich durch eine vereinfachte optische und technische Gestaltung angenehmer gestaltet werden. Eine „zentralisierte Verwaltung“ aller Cookies wäre für viele Nutzer sicherlich die optimale Lösung. Es stellt sich aber die Frage, welcher Anbieter überhaupt die Entwicklung einer solchen Lösung auf sich nehmen sollte, wenn der Großteil der Nutzer die Verarbeitung seiner Cookies sowieso ungeprüft hinnimmt. Die zentralisierte Verwaltung würde zudem die technische und rechtliche Zusammenarbeit (Joint Control? Auftragsverarbeitung?) verschiedenster Anbieter erfordern.

Stattdessen könnte auch weiter in die Sensibilisierung der Internetnutzer für das Thema Datenschutz investiert werden. Wer sich bewusst ist, wozu die Verarbeitung von Cookies überhaupt dient und welche personenbezogenen Daten hier verarbeitet und eventuell miteinander verknüpft werden, empfindet Cookie-Hinweise vielleicht nicht mehr als lästige Störung des Nutzererlebnisses, sondern als notwendigen Schutz der eigenen Privatsphäre.

Rechtswidrigkeit automatisch generierter Facebook-Profilseiten

26. Mai 2020

Das Landgericht Hamburg hat sich im Urteil vom 13. Februar 2020 (Az. 312 O 372/18) mit der automatischen Erstellung von Facebook-Profilseiten beschäftigt.

Dabei hat eine Rechtsanwaltskanzlei gegen Facebook geklagt, da Facebook eine Profilseite ihres Unternehmens erstellt hatte. Die Rechtsanwaltskanzlei hat jedoch nie selbst die Seite erstellt oder jemanden dazu beauftragt. Tatsächlich generiert ein Logarithmus von Facebook automatisch Profilseiten auf Basis öffentlich zugänglicher Informationen.

Das Landgericht gab der Klage der Kanzlei statt. Als Gründe benannte das Gericht unter anderem, dass die Kanzlei sich bewusst gegen einen Facebook-Auftritt entschieden habe. Des Weiteren hat eine Kanzlei ein erhebliches Interesse nicht gegen ihren Willen mit einem solchen Netzwerk in Verbindung gebracht zu werden, da für sie als Anwaltskanzlei Vertraulichkeit, Seriosität und der Schutz von Mandantendaten von wesentlicher Bedeutung sind.

Das Landgericht sah die §§ 823 Abs. 2, 1004 BGB i.V.m. § 4 BDSG a.F., Art. 6 DS-GVO als Rechtsgrundlage des Unterlassungsanspruchs an. Eine Verwendung der personenbezogenen Daten der klagenden Kanzlei (Name, Beruf, Standort) sei sowohl nach § 29 Abs. 1 Nr. 1 BDSG a.F. als auch nach Art. 6 DS-GVO unzulässig. Facebook ist eben kein Suchmaschinenbetreiber, so dass Facebook-Profilseiten nicht mit einer Suchmaschine wie Google oder einem Branchenbuch wie den Gelben Seiten vergleichbar sind.

Das Landgericht führt zudem weiter aus, dass einem Großteil der Facebook-Nutzer nicht bekannt ist, dass Facebook automatisch Profilseiten generiert. Daran ändert auch der Hinweis von Seiten Facebooks nichts, der mit kleiner grauer Schrift auf weißem Hintergrund auf der Profilseite angezeigt wird.

Wenn Sie Ihr Unternehmen hingegen bewusst auf Facebook bewerben möchten, beachten Sie dazu unseren Blogartikel über das Urteil des EuGH C‑210/16 bezüglich Facebook-Fanpages.

Kategorien: Allgemein
Schlagwörter: ,

Thüringen: Erfassen von Kundendaten in „Corona-Listen“

20. Mai 2020

In Thüringen sind im Zuge der Corona-Pandemie bestimmte Dienstleistungsunternehmen, zum Beispiel Gaststätten, dazu verpflichtet, sogenannte „Corona-Listen“ zu führen. Ziel dieser Listen ist, dass im Falle einer möglichen Infektion mit SARS-CoV-2 von Kunden deren Kontaktpersonen festgestellt werden können. Damit können mögliche Infektionsketten nachverfolgt werden. In den „Corona-Listen“ werden personenbezogene Daten der Kunden wie Vor- und Nachname, Telefonnummer, E-Mail-Adresse und Adresse aufgenommen.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, bezog hierzu Stellung. Er mahnte an, dass die Datenschutz-Grundverordnung auch in diesem Fall nicht außer Acht gelassen werden dürfe. Jeder Kunde, der im Rahmen dieser „Corona-Listen“ seine personenbezogenen Daten angibt, muss nach Art. 13 ff DSGVO Informationen über Datenerhebung und -verarbeitung erhalten. Dabei müssen insbesondere der Zweck der Datenverarbeitung und die Speicherdauer angegeben werden. Hasse merkte zur Speicherdauer an, dass diese höchstens zwei bis drei Wochen betragen dürfe.
Es sei davon abzusehen, fortlaufende „Corona-Listen“ auszulegen, bei denen Dritte Einblick in die bereits erfassten Daten anderer Gäste nehmen könnten. Selbiges gilt für das offene Führen von Büchern mit personenbezogenen Daten.

Problematisch ist weiterhin, dass für die Erhebung und Verarbeitung personenbezogener Daten entweder eine Rechtsgrundlage oder die freiwillige Einwilligung der betroffenen Personen vorliegen müssen. Dr. Lutz Hasse meint hierzu: „Eine Rechtsgrundlage kann ich, wie das Sozialministerium auch, derzeit nicht erkennen.“ Eine Pflicht zur Speicherung der personenbezogenen Daten von Kunden in Restaurants und bei Friseuren sei in der Corona-Verordnung Thüringens nicht festgelegt. Damit kann die Erhebung und Verarbeitung der personenbezogenen Daten alleine auf die Einwilligung der betroffenen Personen gestützt werden.
Bezüglich der Einwilligung sieht Hasse kritisch, dass diese mit einem Restaurantbesuch oder Friseurtermin zusammenhängt und zweifelt damit die Freiwilligkeit eine solchen Einwilligung an.

Kategorien: Allgemein
Schlagwörter: , ,

Easyjet kämpft mit Datenleck: 9 Millionen Kunden betroffen

Die Fluggesellschaft räumte ein, dass sie Ziel eines Hackerangriffs geworden ist. Die Angreifer hatten Zugriff auf die Daten von rund neun Millionen Kunden. Auch Kreditkartendaten sind teilweise betroffen.

Dies teilte Easyjet am Dienstag mit. Die Angreifen konnten unter anderem auf E-Mail-Adressen sowie Reisedetails zugreifen. Zum jetzigen Zeitpunkt gebe es keine Hinweise darauf, dass die Daten missbraucht worden seien. Die Airline will alle Betroffenen bis zum 26. Mai über den Angriff informieren, um so das Risiko möglicher Phishing-Attacken einzudämmen. „Wenn Sie nicht kontaktiert werden, dann wurde auf ihre Daten nicht zugegriffen“, betonte die Airline.

Wer nicht darauf warten möchte, kann hier durch Eingabe seiner Email auf der Website „Have I been pwned?“ überprüfen, ob er vom Datenleck betroffen ist.

Bei mehr als 2200 Kunden gelang es den Hackern darüber hinaus die Kreditkartendaten zu erbeuten. Erste Hinweise auf die Attacke hatte Easyjet im Januar 2020. Wer dahinter steckt, ist dem Unternehmen nicht bekannt.

„Es tut uns leid, dass das passiert ist“, verlautbarte das Unternehmen. Die zuständigen Behörden seien informiert.

Ulrich Kelber nimmt Stellung zum zweiten Pandemiegesetz

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.

Mögliche Verfassungswidrigkeit

Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes. 

Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.

Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.

Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.

Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.

Parlament lag Stellungnahme von Kelber vor

Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.

Streit um Videokonferenzsysteme – Microsoft mahnt Berliner Datenschutzbehörde ab

Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.

Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.

Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .

Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung „keine ernsthafte Befassung mit der DSGVO erkennen“ ließe.

Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich „Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie„. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments „Best-Practice zum Homeoffice“ der Bayerischen Datenschutzbehörde.

Schul-Cloud des Hasso-Plattner-Instituts gehackt

Die Cloud-Software des Hasso-Plattner-Instituts (HPI) wird in mehreren Bundesländern eingesetzt. Nach Angaben vom HPI konnten sich Unberechtigte über einen allgemeinen Einladungs-Link bei dem System anmelden und dabei Nutzerdaten von Anwendern einsehen. So wurde im Saarland eine Liste von ca. 100 Namen von Schülern und Lehrern bekannt. Insgesamt sollen bundesweit 13 Schulen betroffen sein, bei denen sich auffällige Nutzer registriert hatten. 

Das HPI wurde vom saarländischen Datenschutzbeauftragten auf eine potentielle Lücke hingewiesen, über die es Hackern möglich war, sich illegal einen Account in der HPI Schul-Cloud anzulegen. Verdächtigte Nutzer sollen dabei in dem Schul-System eine Gruppe erstellt und versucht haben, Schüler und Lehrkräfte in dieses Team einzuladen.

Die Sicherheitslücke der Schul-Cloud wurde nun geschlossen. Die Funktion eines schulweiten Registrierungslinks wurde nach dem Vorfall aus der Software entfernt. Es sollen stattdessen andere Formen der Nutzerregistrierung verwenden werden – wie z.B. ein persönlicher Einladungs-Link. 

Zudem wurde bei der Überprüfung des Vorfalls eine weitere Datenschutzlücke ersichtlich. In einem Ticketsystem zur Entwicklung der Software, waren zum Teil Tickets öffentlich einsehbar, in denen Fehlermeldungen oder Verbesserungsvorschläge von Nutzern erfasst wurden.

Kein besonderer Kündigungsschutz für freiwillige Datenschutzbeauftragte

13. Mai 2020

Im Urteil vom 5. Dezember 2019 (Az.: 2 AZR 223/19) hat sich das Bundesarbeitsgericht mit dem besonderen Kündigungsschutz für Datenschutzbeauftragte befasst.

Grundsätzlich gilt für interne Datenschutzbeauftragte ein besonderer Kündigungsschutz gemäß § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 Satz 1 BDSG. Besonderen Kündigungsschutz genießen zum Beispiel auch Arbeitnehmer in Elternzeit oder Betriebsratsmitglieder. Diese Personengruppen können entweder nicht oder nur aus besonders wichtigem Grund gemäß § 626 BGB gekündigt werden.

Ein wichtiger Grund kann zum Beispiel in der Unzumutbarkeit des Fortführens des Arbeitsverhältnisses liegen. Durch die besondere Stellung des Datenschutzbeauftragten soll ein effektiver und ungestörter Datenschutz gewährleistet werden.

Im zugrundliegenden Urteil ist die Gesamtanzahl der Beschäftigten des Unternehmens unter den zum damaligen Zeitpunkt maßgeblichen Schwellenwert von zehn Mitarbeiter gesunken. Das Unternehmen wollte daraufhin seinen internen Datenschutzbeauftragten kündigen.

Das Bundesarbeitsgericht hat diese Kündigung als wirksam eingestuft. Als Begründung führte das Gericht an, dass maßgeblich für die Pflicht zur Benennung eines Datenschutzbeauftragten die Anzahl der Beschäftigten ist. Diese Pflicht entfällt nach aktueller Rechtslage, wenn die Gesamtanzahl der Beschäftigten unter 20 sinkt.

Dem Urteil kommt momentan besondere Relevanz zu teil, da am 26. November 2019 das zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) in Kraft getreten ist. Dadurch stieg der Schwellenwert für die zwingende Benennung eines Datenschutzbeauftragen gemäß § 38 Abs. 1 Satz 1 BDSG von zehn auf 20 Mitarbeiter.

Damit gelten Datenschutzbeauftragte in Unternehmen ab zehn Mitarbeitern, aber unter 20 Mitarbeitern, als freiwillige Datenschutzbeauftragte, da für deren Bestellung keine gesetzliche Pflicht mehr vorliegt. Für diese Datenschutzbeauftragten entfällt der besondere Kündigungsschutz, der normalerweise erst nach Abberufung beginnt, ab dem 27. November 2020 automatisch. Ab diesem Datum an gelten Datenschutzbeauftragte in so einem Unternehmen als „normale“ Mitarbeiter, die den entsprechenden gesetzlichen Bestimmungen unterliegen.

Wenn Sie keine Mitarbeiter haben, die Sie zum internen Datenschutzbeauftragten ernennen können oder wollen, können Sie sich hier über externe Datenschutzbeauftragte informieren.

LDI NRW veröffentlicht den Jahresbericht 2019

Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen (im Folgenden: LDI), Helga Block, hat heute den Jahresbericht für 2019 veröffentlicht. Gleichzeitig gab sie auch den Leitungswechsel bekannt, da sie 2020 ihren gesetzlichen Ruhestand antreten wird.

Die datenschutzrechtlichen Eingaben sind, im Vergleich zum Vorjahr, auf über 12.500 weiter angestiegen. Über 2200 Datenpannen wurden in der Zeit gemeldet. Obwohl bereits einige Grundsatzfragen durch das LDI geklärt werden konnten, besteht weiterhin Klärungsbedarf zu den Vorgaben und der Anwendung der DSGVO.

Die Landesbeauftragte hatte sich 2019 schwerpunktmäßig u.a. mit der Evaluation zur DSGVO und den datenschutzrechtlichen Fragen zur inneren Sicherheit, zum Internet und zu den Medien befasst. Besonders kritisierte Helga Block die umfangreichen Eingriffe in die informationelle Selbstbestimmung durch die strategische Fahndung der Polizei. Bei dieser wurden pro Fahndung jeweils 5000 Menschen Teil von Kontrollen und Identitätsfeststellungen, ohne dass das angestrebte Ziel erreicht worden ist. Ein weiteres zentrales Thema war die Veröffentlichung von Informationen zu Entscheidungen des Europäischen Gerichtshofes zum Betrieb von Facebook-Fanpages und zur Einbindung von Social Plugins auf Websites.

Abschließend äußerte sich Helga Block zur aktuellen Situation: „Die Vorlage dieses Berichtes fällt angesichts der Corona-Pandemie in eine Krisenzeit, in der die Freiheitsrechte durch Maßnahmen der Gesundheitsfürsorge stark eingeschränkt werden. Der Schutz der Grundrechte, zu denen auch das Recht auf informationelle Selbstbestimmung gehört, ist auch und gerade in einer solchen schweren Krise ein wesentliches Merkmal unserer freiheitlich-demokratischen Grundordnung, die es zu schützen gilt.“

Perspektivisch sprach sich die Landesbeauftragte für den kommenden Berichtszeitraum für die Wahl eines Ländervertreters aus, der im Europäischen Datenschutzausschuss neben dem Bundesbeauftragten an den Ausschusssitzungen teilnehmen kann.

1 2 3 4 5 158