Kategorie: Allgemein

Unverzichtbarkeit betrieblicher Datenschutzbeauftragter während Kurzarbeit

5. Juni 2020

Mit einer Stellungnahme vom 27.05.2020 erklärte der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, dass betriebliche Datenschutzbeauftragte auch während einer (Corona-bedingten) Kurzarbeit im Unternehmen unverzichtbar sind.

Denn auch für den Fall, dass ein Verantwortlicher in seinem Unternehmen Kurzarbeit einführt – dass also entweder in geringerem Umfang weitergearbeitet oder vorübergehend die gesamte Tätigkeit eingestellt wird – bleibt das Unternehmen an sich bestehen. Betriebliche Dateschutzbeauftragte sind insbesondere deswegen weiterhin von Bedarf, da Kunden- und Geschäftsbeziehungen auch während einer Kurzarbeit bestehen bleiben. Somit werden auch weiterhin personenbezogene Daten verarbeitet. Auch bringt die Corona-Pandemie neue datenschutzrechtliche Herausforderungen mit sich. So wurden durch Betriebe vermehrt Home-Office angeordnet oder Konferenzen und Besprechungen per Videosysteme abgehalten. Ebenso mussten teilweise die innerbetrieblichen Kommunikationswege mit neuen elektronischen Systemen und Anbietern sichergestellt werden.
Es obliegt weiterhin dem Verantwortlichen gemäß Art. 38 Abs. 2 der Datenschutz-Grundverordnung (DSGVO), dem Datenschutzbeauftragten zu ermöglichen, Kontroll- und Beratungsaufgaben wahrzunehmen.

Auch die Pflicht, einen Datenschutzbeauftragten nach Bundesdatenschutzgesetz (BDSG) zu benennen, besteht weiter. Dass in § 38 Abs. 1 S. 1 BDSG festgelegt ist, dass Verantwortliche dann einen Datenschutzbeauftragten zu benennen haben, „…soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“, soll nicht heißen, dass damit jegliche kurzzeitige Veränderung in Betriebsabläufen gemeint ist. Vielmehr muss hier eine langfristige Betrachtung der Verarbeitungsvorgänge vorgenommen werden. Solange auch im Anschluss an die Kurzarbeit mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Pflicht zur Bennenung eines Datenschutzbeauftragten nach Bundesdatenschutzgesetz gegeben.

Möglich ist, den Arbeitszeitumfang eines betrieblichen Datenschutzbeauftragten, der vor der Kurzarbeit in Vollzeit tätig war, zu verringern. Es muss jedoch stets gewährleistet sein, dass er seinen datenschutzrechtlichen Pflichten uneingeschränkt nachkommen kann.
Um dies zu gewährleisten, muss dem Datenschutzbeauftragten des Weiteren mit geeigneten Maßnahmen durch den Verantwortlichen ermöglicht werden, telefonisch und/oder per E-Mail erreichbar zu sein und ihre Posteingänge prüfen zu können.

Kategorien: Allgemein · DSGVO
Schlagwörter: , , ,

BGH-Urteil zu Cookies – Cookie Einwilligung II

4. Juni 2020

Der Bundesgerichtshof (BGH) hat am 28.05.2020 entschieden, dass eine Opt-Out Regelung nicht ausreicht, um die Zustimmung von Nutzern zur Speicherung von Daten zu erlangen. Dabei hat der BGH in seiner Entscheidung Cookie-Banner für unrechtmäßig erklärt, wenn diese nur weggeklickt werden können (Urt. v. 28.05.2020, Az. I ZR 7/16). Die Nutzer müssen ihre Einwilligung durch aktives Ankreuzen entsprechender Felder erklären. Laut BGH sei das vorformulierte Einverständnis zum Setzen von Cookies sonst unwirksam.

Cookies sind kleine Dateien, die im Rahmen des Besuchs einer Internetseite an den Browser des Endgeräts gesendet und dort gespeichert werden. Sie dienen dazu, um die Navigation im Internet zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen. Große Tracking-Anbieter, wie Google Analytics, nutzen Cookies um auf diese Weise ein Werbeprofil des Nutzer zu erstellen. 

Hintergrund der Entscheidung

Das Urteil markiert den Abschluss eines 2014 begonnen Rechtsstreit zwischen der Verbraucherzentrale Bundesverband (vzbv) und dem Gewinnspielanbieter Plant49. Darüber wurde bereits berichtet.

Nun hat der BGH die Rechtsauffassung des EuGH von 2019 bestätigt. Eine aktive und informierte Einwilligung ist für alle technisch nicht notwendigen Cookies auf Webseiten erforderlich.

Ausnahmen für das Einwilligungserfordernis

Eine Ausnahme bilden „zwingend erforderliche“  Cookies. Wann dies genau der Fall sein soll, hängt von dem konkreten Einzelfall ab. Die zwingende Erforderlichkeit kann z.B. bei Nutzereinstellungen wie etwa der Einstellung der Sprache angenommen werden. Das Tracking zu Werbezwecken und zur Profilbildung ist nach Ansicht des BGH jedoch nicht zwingend erforderlich. Hierfür ist eine Einwilligung mittels Opt-In erforderlich. Abzuwarten bleibt, was sich zu dieser Diskussion aus der Urteilsbegründung der BGH-Entscheidung entnehmen lässt. 

Verbraucherschutzverbände rügen Datenschutzverstöße: BGH mit Vorlage an den EuGH

2. Juni 2020

Mit Beschluss vom 28.05.2020 (Az.: I ZR 186/17) hat der BGH entschieden, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob unter Anderem Verbraucherschutzverbände berechtigt sind, Datenschutzverstöße gerichtlich geltend machen zu können. Konkret geht es um die Frage, „ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutzgrundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.“

Der Sachverhalt

In dem Verfahren, das durch den BGH nun bis zur Entscheidung des EuGHs über die Vorlagefrage ausgesetzt wurde, geht es um eine Auseinandersetzung zwischen Facebook Ireland Limited und dem Dachverband der Verbraucherzentralen der Bundesländer. Facebook hatte in seinem Netzwerk im Jahr 2012 ein sog. „App-Zentrum“ installiert, über welches Nutzer Online-Spiele anderer Anbieter spielen konnten. In diesem Rahmen wurde auch auf die erfolgende Datenverarbeitung hingewiesen und eine Einwilligung der Nutzer eingeholt. Diese Einwilligung beurteilte der Verbraucherschutzverband als nicht datenschutzkonform und machte wegen des Rechtsbruchs wettbewerbsrechtliche Unterlassungsansprüche gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend.

Zur Vorlagefrage

Der BGH möchte nun überprüfen lassen, ob Mitbewerber, Verbände u.ä. Verstöße gegen das Datenschutzrecht gerichtlich geltend machen können, obwohl sie nicht in ihren eigenen Rechten verletzt und auch nicht durch die verletzten Betroffenen mit der Geltendmachung ihrer Recht betraut worden sind. Diese Frage werde, so der BGH, in Rechtsprechung und Fachliteratur unterschiedlich beantwortet. Teilweise werde die Auffassung vertreten, Art. 80 DS-GVO enthalte eine abschließende Regelung zur Durchsetzung der in der Verordnung getroffenen datenschutzrechtlichen Bestimmungen. Nationale Regelungen, die dieser Regelung widersprechen, wären damit unionsrechtswidrig. Andere hielten die in der Datenschutzgrundverordnung zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend; somit wären nationale Regelungen, welche die Möglichkeit vorsehen, dass z.B. Verbraucherschutzverbände Datenschutzverstöße als Wettbewerbsverstöße geltend machen können, grundsätzlich möglich.

Der BGH weist auch darauf hin, dass sich der EuGH mit dieser Frage bereits einmal befasst hat. Mit Urteil vom 29.07.2019 (Az.: C-40/17) hatte der EuGH entschieden, dass die gesetzlichen Regelungen einer Klagebefugnis von Verbänden nicht entgegenstehen. Allerdings erging dieses Urteil noch zur Datenschutz-Richtlinie, sodass nicht klar sei, ob diese Frage unter Geltung der Datenschutz-Grundverordnung gleich zu beantworten ist.

Patientendaten von Fresenius Medical Care in Serbien gehackt

28. Mai 2020

Der Dialyseanbieter Fresenius Medical Care (FMC) bestätigt, dass es in Folge eines Hackerangriffs zur illegalen Veröffentlichung von Patientendaten gekommen ist. Die Patientendaten stammen aus einigen Dialysezentren in Serbien.

FMC teilte mit, dass „ein Zusammenhang mit einem IT-Vorfall vor einigen Wochen besteht, der Teile der IT-Systeme von Fresenius betroffen hatte, und dass Hacker in der Lage waren, bestimmte Daten zu stehlen“. Diesbezüglich wurden Untersuchungen durchgeführt. Die Betriebsabläufe des Unternehmens in Serbien werden fortgesetzt und die medizinische Versorgung von Patienten in Serbien sei sichergestellt.

Das Unternehmen hat gegen die unbekannten Täter Strafanzeige erstattet und will mit den zuständigen Behörden zusammenarbeiten. Mit den Patienten, die von dem Datendiebstahl und deren illegalen Veröffentlichung betroffen sind, will FMC Kontakt aufnehmen.

Das Unternehmen „bedauert diesen Eingriff in die Privatsphäre einiger Patienten zutiefst und tut sein Möglichstes, um die Veröffentlichung weiterer Daten zu verhindern und Schaden von betroffenen Patienten und anderen Personen bzw. Partnern abzuwenden. Interne und externe Spezialisten arbeiten kontinuierlich daran, weitere potenzielle Angriffe, Datendiebstähle oder illegale Veröffentlichungen von Daten zu verhindern.“

Kategorien: Allgemein · Hackerangriffe · Online-Datenschutz
Schlagwörter:

Bußgeld für eine Datenlöschung nach Auskunftsbegehren

27. Mai 2020

Die dänische Datenschutzbehörde hat eine Geldbuße in Höhe von 50.000 Dänischen Kronen gegen ein Personalvermittlungsunternehmen empfohlen. Im Gegensatz zu den meisten Mitgliedstaaten kann die Datenschutzbehörde in Dänemark nicht selbst eine Geldbuße verhängen. Die Polizei führt diesbezüglich Ermittlungen durch. Die Entscheidung über die Verhängung einer Geldstrafe wird vom Gericht getroffen werden.

Das Unternehmen hatte personenbezogene Daten, die Gegenstand eines Auskunftsersuchens waren, nach Eingang des Ersuchens und vor der Auskunftserteilung gelöscht. Die dänische Datenschutzbehörde vertritt die Ansicht, dass das Unternehmen den Anforderungen der Datenschutzverordnung (DSGVO), wonach personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden müssen, nicht erfüllt hatte.

Astrid Mavrogenis, Leiterin der dänischen Datenschutzbehörde, ist der Auffassung, dass die Löschung von personenbezogenen Daten, die im direkten Zusammenhang mit der Nichterfüllung eines Auskunftsersuchens stehen, nicht nur ein Verstoß gegen die DSGVO, sondern auch eine Verletzung der Grundrechte darstelle.

E-Mail-Anbieter veröffentlichen Umfrage zur Cookie-Nutzung

„Deutschlands größte E-Mail-Anbieter“, GMX und WEB.DE, haben anlässlich des zweijährigen Jubiläums des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) am 25.05.2020 eine Umfrage zur Sicht deutscher Internetnutzer auf die DSGVO veröffentlicht, welche durch das Meinungsforschungsinstitut YouGov Deutschland GmbH duchgeführt wurde. Im Rahmen der repräsentativen Umfrage wurden im Zeitraum vom 15.-18.05.2020 ingsesamt 2045 deutsche Internetnutzer ab 18 Jahren befragt.

Großteil der Nutzer von Cookie-Hinweisen „genervt“

Statt einer Umfrage zur Sicht deutscher Internetnutzer auf die Datenschutz-Grundverordnung – wie es der Titel vermuten lässt – handelt es sich vielmehr um eine Umfrage zur derzeitigen Cookie-Praxis. Die Teilnhmer der Umfrage wurden unter anderem gefragt, ob sie sich durch regelmäßige Cookie-Hinweise in ihrer Internetnutzung eingeschränkt fühlen, und wenn ja, warum. Aus den gegebenen Antworten wird geschlossen, dass sich 63% der Nutzer durch wiederholt auftretende Cookie-Hinweise „genervt bzw. eingeschränkt“ fühlen. Dabei erscheint interessant, dass sich ein Großteil der Teilnehmer daran stört, dass sie langsamer surfen können (25%), bei Nichtzustimmung die Website nicht nutzen zu können (30% – zur Frage der Rechtmäßigkeit solcher „Cookie-Walls“ lesen sie mehr in unsererm Blog-Beitrag) oder durch Cookie-Hinweise überhaupt erst darauf hingewiesen werden, dass bei der Internetnutzung eine „Überwachung“ bzw. Tracking stattfindet (26%). Deutlicher weniger Nutzer kritisieren hingegen die Verständlichkeit der Hinweise (12%) oder deren wiederholtes Erscheinen (10%). Aus diesen Antworten könnte man auch ablesen, dass nicht die Art und Weise der Cookie-Praxis das Problem darstellt, sondern dass sich die Nutzer zwecks „ungestörtem Nutzererlebnis“ einfach nicht mit Fragen des Schutzes ihrer personenbezogenen Daten beschäftigen möchten.

Dem scheint auch die Antwort von 41% der Teilnehmer zu entsprechen, wonach diese die Cookie-Hinweise gar nicht erst lesen und der Verwendung der Cookies ungeprüft zustimmen. Immerhin 16% lesen die Hinweise und stimmen anschließend ihrer Nutzung zu, und 23% nehmen eine individuelle Cookie-Einstellung vor. Ganze 12% der Nutzer lassen sich von den Cookie-Hinweisen sogar gänzlich von der Nutzung einer Website abbringen und verlassen diese.

Verbesserungswünsche: Einfachheit, Transparenz, zentrale Cookie-Verwaltung

Die Nutzer wurden aber nicht nur nach ihrer Kritik an der gängigen Cookie-Praxis gefragt, sondern auch, welche Verbesserungsvorschläge sie haben. Obwohl 41% die Hinweise gar nicht erst lesen (s.o.), wünschen sich dennoch 39% der Teilnehmer mehr Transparenz darüber, welche ihrer Daten überhaupt erhoben werden, und 31% wünschen sich mehr „Einfachheit und Verständlichkeit bei den Hinweisen und Erklärungen zum Datenschutz“. Andere Teilnehmer wünschen sich hingegen eine grundlegende Änderung der Cookie-Praxis, wobei die Frage gestellt werden muss, ob dies so umsetzbar ist. Dabei geht es einerseits um technische Fragen (25% wünschen sich einheitliche Lösungen, die abgebenene Einwilligungen für mehrere Webseiten speichern), andere Wünsche der Teilnehmer würden hingegen eine Änderung der Rechtslage erfordern. Denn immerhin 33% fordern von der Internet-Industrie, „eine Alternative zur nervigen Cookie-Praxis“ bereitzustellen.

Eine weitere Frage richtet sich wieder an das individuelle Nutzerverhalten. Gefragt ist danach, wie häufig die Nutzer manuell die gespeicherten Cookies löschen. 10% löschen diese sogar mehrmals am Tag, jeweils 9% immerhin einmal am Tag bzw. der Woche, und ebenfalls 9% mehrmals in der Woche. Große Teile der Teilnehmer verlassen sich hingegen bei der Nutzung auf ihre Browser-Einstellungen und löschen die gespeicherten Cookies deswegen selten (29%) oder gar nie (14%).

Zum Abschluss wurden die Teilnehmer gefragt, wie sie die Möglichkeit fänden, ihre Cookie- und Datennutzungseinstellungen bei einem Dienstleister zentral für alle anderen Webseiten speichern zu können, sodass keine individuellen Cookie-Abfragen mehr erforderlich wären. Diese Möglichkeit fänden 27% hilfreich und würden diese nutzen, 34% würden dies vielleicht. Die übrigen Teilnehmer lehnen eine solche Möglichkeit hingegen ab und würden diese sicher (11%) oder doch zumindest wahrscheinlich (10%) nicht nutzen.

Schlussfolgerungen

Welche Schlüsse können nun aus dieser Umfrage gezogen werden? Jan Oetjen, Geschäftsführer von GMX und WEB.DE, sieht aufgrund der aktuellen Regelung – welche auf den Anforderungen der DSGVO beruhe – eine drohende „Klick-Müdigkeit“, denn wer jede Woche dutzende Male nach Einwilligungen für „eher unkritische Daten“ gefragt werde, verliere „schnell den Überblick“. In der Tat ist nach der aktuellen Rechtslage die Einholung einer ausdrücklichen Einwilligung des Nutzers erforderlich, wenn der Betreiber der Website Cookies verarbeiten möchte, die über die „technisch notwendigen“ Erfordernisse hinausgehen. Die Interaktion mit Cookie-Hinweisen kann für den Nutzer sicherlich durch eine vereinfachte optische und technische Gestaltung angenehmer gestaltet werden. Eine „zentralisierte Verwaltung“ aller Cookies wäre für viele Nutzer sicherlich die optimale Lösung. Es stellt sich aber die Frage, welcher Anbieter überhaupt die Entwicklung einer solchen Lösung auf sich nehmen sollte, wenn der Großteil der Nutzer die Verarbeitung seiner Cookies sowieso ungeprüft hinnimmt. Die zentralisierte Verwaltung würde zudem die technische und rechtliche Zusammenarbeit (Joint Control? Auftragsverarbeitung?) verschiedenster Anbieter erfordern.

Stattdessen könnte auch weiter in die Sensibilisierung der Internetnutzer für das Thema Datenschutz investiert werden. Wer sich bewusst ist, wozu die Verarbeitung von Cookies überhaupt dient und welche personenbezogenen Daten hier verarbeitet und eventuell miteinander verknüpft werden, empfindet Cookie-Hinweise vielleicht nicht mehr als lästige Störung des Nutzererlebnisses, sondern als notwendigen Schutz der eigenen Privatsphäre.

Rechtswidrigkeit automatisch generierter Facebook-Profilseiten

26. Mai 2020

Das Landgericht Hamburg hat sich im Urteil vom 13. Februar 2020 (Az. 312 O 372/18) mit der automatischen Erstellung von Facebook-Profilseiten beschäftigt.

Dabei hat eine Rechtsanwaltskanzlei gegen Facebook geklagt, da Facebook eine Profilseite ihres Unternehmens erstellt hatte. Die Rechtsanwaltskanzlei hat jedoch nie selbst die Seite erstellt oder jemanden dazu beauftragt. Tatsächlich generiert ein Logarithmus von Facebook automatisch Profilseiten auf Basis öffentlich zugänglicher Informationen.

Das Landgericht gab der Klage der Kanzlei statt. Als Gründe benannte das Gericht unter anderem, dass die Kanzlei sich bewusst gegen einen Facebook-Auftritt entschieden habe. Des Weiteren hat eine Kanzlei ein erhebliches Interesse nicht gegen ihren Willen mit einem solchen Netzwerk in Verbindung gebracht zu werden, da für sie als Anwaltskanzlei Vertraulichkeit, Seriosität und der Schutz von Mandantendaten von wesentlicher Bedeutung sind.

Das Landgericht sah die §§ 823 Abs. 2, 1004 BGB i.V.m. § 4 BDSG a.F., Art. 6 DS-GVO als Rechtsgrundlage des Unterlassungsanspruchs an. Eine Verwendung der personenbezogenen Daten der klagenden Kanzlei (Name, Beruf, Standort) sei sowohl nach § 29 Abs. 1 Nr. 1 BDSG a.F. als auch nach Art. 6 DS-GVO unzulässig. Facebook ist eben kein Suchmaschinenbetreiber, so dass Facebook-Profilseiten nicht mit einer Suchmaschine wie Google oder einem Branchenbuch wie den Gelben Seiten vergleichbar sind.

Das Landgericht führt zudem weiter aus, dass einem Großteil der Facebook-Nutzer nicht bekannt ist, dass Facebook automatisch Profilseiten generiert. Daran ändert auch der Hinweis von Seiten Facebooks nichts, der mit kleiner grauer Schrift auf weißem Hintergrund auf der Profilseite angezeigt wird.

Wenn Sie Ihr Unternehmen hingegen bewusst auf Facebook bewerben möchten, beachten Sie dazu unseren Blogartikel über das Urteil des EuGH C‑210/16 bezüglich Facebook-Fanpages.

Kategorien: Allgemein
Schlagwörter: ,

Thüringen: Erfassen von Kundendaten in „Corona-Listen“

20. Mai 2020

In Thüringen sind im Zuge der Corona-Pandemie bestimmte Dienstleistungsunternehmen, zum Beispiel Gaststätten, dazu verpflichtet, sogenannte „Corona-Listen“ zu führen. Ziel dieser Listen ist, dass im Falle einer möglichen Infektion mit SARS-CoV-2 von Kunden deren Kontaktpersonen festgestellt werden können. Damit können mögliche Infektionsketten nachverfolgt werden. In den „Corona-Listen“ werden personenbezogene Daten der Kunden wie Vor- und Nachname, Telefonnummer, E-Mail-Adresse und Adresse aufgenommen.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, bezog hierzu Stellung. Er mahnte an, dass die Datenschutz-Grundverordnung auch in diesem Fall nicht außer Acht gelassen werden dürfe. Jeder Kunde, der im Rahmen dieser „Corona-Listen“ seine personenbezogenen Daten angibt, muss nach Art. 13 ff DSGVO Informationen über Datenerhebung und -verarbeitung erhalten. Dabei müssen insbesondere der Zweck der Datenverarbeitung und die Speicherdauer angegeben werden. Hasse merkte zur Speicherdauer an, dass diese höchstens zwei bis drei Wochen betragen dürfe.
Es sei davon abzusehen, fortlaufende „Corona-Listen“ auszulegen, bei denen Dritte Einblick in die bereits erfassten Daten anderer Gäste nehmen könnten. Selbiges gilt für das offene Führen von Büchern mit personenbezogenen Daten.

Problematisch ist weiterhin, dass für die Erhebung und Verarbeitung personenbezogener Daten entweder eine Rechtsgrundlage oder die freiwillige Einwilligung der betroffenen Personen vorliegen müssen. Dr. Lutz Hasse meint hierzu: „Eine Rechtsgrundlage kann ich, wie das Sozialministerium auch, derzeit nicht erkennen.“ Eine Pflicht zur Speicherung der personenbezogenen Daten von Kunden in Restaurants und bei Friseuren sei in der Corona-Verordnung Thüringens nicht festgelegt. Damit kann die Erhebung und Verarbeitung der personenbezogenen Daten alleine auf die Einwilligung der betroffenen Personen gestützt werden.
Bezüglich der Einwilligung sieht Hasse kritisch, dass diese mit einem Restaurantbesuch oder Friseurtermin zusammenhängt und zweifelt damit die Freiwilligkeit eine solchen Einwilligung an.

Kategorien: Allgemein
Schlagwörter: , ,

Easyjet kämpft mit Datenleck: 9 Millionen Kunden betroffen

Die Fluggesellschaft räumte ein, dass sie Ziel eines Hackerangriffs geworden ist. Die Angreifer hatten Zugriff auf die Daten von rund neun Millionen Kunden. Auch Kreditkartendaten sind teilweise betroffen.

Dies teilte Easyjet am Dienstag mit. Die Angreifen konnten unter anderem auf E-Mail-Adressen sowie Reisedetails zugreifen. Zum jetzigen Zeitpunkt gebe es keine Hinweise darauf, dass die Daten missbraucht worden seien. Die Airline will alle Betroffenen bis zum 26. Mai über den Angriff informieren, um so das Risiko möglicher Phishing-Attacken einzudämmen. „Wenn Sie nicht kontaktiert werden, dann wurde auf ihre Daten nicht zugegriffen“, betonte die Airline.

Wer nicht darauf warten möchte, kann hier durch Eingabe seiner Email auf der Website „Have I been pwned?“ überprüfen, ob er vom Datenleck betroffen ist.

Bei mehr als 2200 Kunden gelang es den Hackern darüber hinaus die Kreditkartendaten zu erbeuten. Erste Hinweise auf die Attacke hatte Easyjet im Januar 2020. Wer dahinter steckt, ist dem Unternehmen nicht bekannt.

„Es tut uns leid, dass das passiert ist“, verlautbarte das Unternehmen. Die zuständigen Behörden seien informiert.

Ulrich Kelber nimmt Stellung zum zweiten Pandemiegesetz

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.

Mögliche Verfassungswidrigkeit

Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes. 

Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.

Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.

Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.

Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.

Parlament lag Stellungnahme von Kelber vor

Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.

1 2 3 4 5 6 159