Kategorie: Aufsichtsbehördliche Maßnahmen

Bay LDA veröffentlicht „Best-Practice“ Checkliste für Home-Office

29. Juni 2020

Das Bayerische Landesamt für Datenschutzaufsicht (Bay LDA) hat auf seiner Website eine Checkliste zur selbstständigen Prüfung datenschutzrechtlicher Konformität der Home-Office Regelungen in Unternehmen veröffentlicht.

So habe die Corona-Pandemie viele Unternehmen, Selbstständige und Freiberufler mit der Frage konfrontiert, wie die Arbeitsfähigkeit bei gleichzeitiger Infektionsprävention realisiert werden könne. Insoweit seien viele Home-Office Plätze geschaffen worden.

Die ausgegebene Handreichung solle einen Überblick über die wichtigsten Praxismaßnahmen im Homeoffice entsprechend den geltenden gesetzlichen Datenschutzvorgaben geben. Hierbei sei zu berücksichtigen, dass die aufgeführten Aspekte nicht abschließend seien. Vielmehr entsprächen sie einem Best-Practice-Ansatz, wenngleich nicht zugleich nicht immer alle Punkte notwendig seien. Insoweit sei eine kurze kritische Prüfung des Grundes samt kurzer Dokumentation anzuraten.

Bundesdatenschutzbeauftragter warnt vor Einsatz von WhatsApp

23. Juni 2020

In einer aktuellen Stellungnahme hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger WhatsApp zur Kommunikation benutzen darf.

Hintergrund

Im Rahmen der Corona-Krise haben viele Beschäftigte in Behörden ihre Arbeit ins Homeoffice verlegt. Mit dem Wegfall der persönlichen Kommunikation vor Ort ging eine Zunahme der Kommunikation über WhatsApp einher. Diese erfolgte sowohl zwischen den Mitarbeitern untereinander als auch zwischen Mitarbeitern und Bürgern. Darüber haben sich einzelne Bürger beschwert, was den Bundesdatenschutzbeauftragen zu der Stellungnahme animiert hat.

Kritik

Darin führt er aus, dass allein das Versenden von Nachrichten Metadaten erzeugt, die an WhatsApp Ireland Ltd. – bzw. an das Mutterunternehmen Facebook – übermittelt werden. Die Erzeugung von Metadaten erfolgt unabhängig von der implementierten Ende-zu-Ende-Verschlüsselung. Metadaten sind unter anderem: die Versandzeit der Nachricht, Absender und Empfänger der Nachricht. Diese Metadaten sind unverzichtbar für die Funktionsweise von Messengern.

Gleichzeitig betonte er, dass öffentliche Stellen eine Vorbildfunktion haben, sich datenschutzkonform zu verhalten. Dazu verweist er auf den 27. Tätigkeitsbericht zum Datenschutz 2017 – 2018 vom 08.05.2019. Die Hauptkritikpunkte beziehen sich dabei auf die Übermittlung von Nutzerdaten durch die WhatsApp Ireland Ltd. an Facebook (siehe Blogbeitrag) sowie die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Auf diese Weise können alle Kontaktdaten eines Nutzers verarbeitet werden, die auf dessen Mobiltelefon hinterlegt sind und zwar unabhängig davon, ob der jeweilige Kontakt selbst den Messenger nutzt oder nicht.

Fazit

In „Täglich grüßt das Murmeltier“-Manier werden regelmäßig von verschiedenen Seiten datenschutzrechtliche Bedenken gegenüber dem WhatsApp-Messenger geäußert. Lesen Sie dazu unsere weiteren Beiträge:

Hessische Aufsichtsbehörde prüft Fiebermessung im Apple Store

16. Juni 2020

Seit der coronabedingten Zwangsschließung des Einzelhandels, hat der Großteil der Geschäfte seinen Betrieb wieder aufgenommen. Mit der Öffnung gingen die Einführung präventiver Maßnahmen, wie der obligatorischen Gesichtsmaske und der Limitierung der gleichzeitigen Ladenbesucher, einher. Apple geht in seinen Apple-Stores noch einen Schritt weiter und hat die in anderen Ländern bereits praktizierte Maßnahme der Fiebermessung bei Kunden eingeführt.

Diese Fiebermessung wird nun durch den Landesdatenschutzbeauftragten Hessens auf Konformität mit den bestehenden Datenschutzregeln geprüft.

Personenbezogene Daten

Vorab stellt sich die Frage, ob die Körpertemperatur überhaupt ein personenbezogenes Datum ist. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zwar ist die gemessene Körpertemperatur eine individuelle Eigenschaft einer Person, aber das macht diese Eigenschaft nicht automatisch personenbezogen. Für so einen Bezug muss zumindest der Name der gemessenen Person bekannt sein.

Dem Apple-Mitarbeiter ist diese Person jedoch nicht bekannt. Damit ist eine nachträgliche Zuordnung von einer Person und der Körpertemperatur nicht möglich, so dass ein Personenbezug nicht gegeben ist. Eine Zuordnung von Körpertemperatur und personenbezogenen Daten erfolgt auch nicht beim Kauf eines Produktes. Egal, ob mit Kreditkarte, durch Barzahlung oder Apple-ID. Der Kaufvorgang steht in keinem Zusammenhang mit dem Fiebermessen. Dies ist jedoch nur solange gewährleistet, wie der Mitarbeiter beim Fiebermessen keine Verkaufstätigkeiten im Laden vornimmt.

Problematisch könnte jedoch eine Videoüberwachung im Laden sein. Die Videoüberwachung erfasst die gesamte Ladenfläche und eventuell auch den Eingangsbereich des Ladens, wo die Fiebermessung vorgenommen wird. Im ungünstigsten Fall könnte die Kamera die Anzeige der Körpertemperatur aufzeichnen.

Verhältnismäßigkeit

Viel mehr Gewicht kommt hingegen dem Argument der Verhältnismäßigkeit zuteil. Natürlich kann Apple sich auf die Privatautonomie berufen und die Fiebermessung als Bedingung zum Ladenbesuch machen. Auch steht der Datenschutz einer Person nicht über der Gesundheit der Allgemeinheit, so dass die Gesundheit aller Kunden Vorrang genießt. Allerdings stellt die Fiebermessung einen großen Eingriff in die Privatsphäre dar.

Unter dem Aspekt der Gesundheit stellt die Fiebermessung keine besonders wirksame Maßnahme dar. Die lange Inkubationszeit des Covid-19-Virus hat zur Folge, dass Infizierte das Virus vielfach weitergeben können, bis überhaupt erste Fiebersymptome auftreten. Oder sie weisen gar keine Symptome auf. Auch ist eine erhöhte Körpertemperatur nicht immer ein Indiz für eine Covid-19-Infektion, sondern kann auch „nur“ eine normale Erkältung sein. Mithilfe von fiebersenkenden Mitteln können Kunden außerdem mutwillig ihre Erkrankung verschleiern. Damit birgt die Fiebermessung nur eine Scheinsicherheit.

Fazit

Wenn der hessische Datenschutzbeauftrage an dem Argument der Scheinsicherheit festhält und die Fiebermessung als unverhältnismäßig erklärt, könnte er ein Verbot der Fiebermessung aussprechen. Dann müsste Apple diese einstellen oder bei Zuwiderhandlung mit Bußgeldern rechnen.

Welche Maßnahmen zum Schutz vor einer Corona-Infektion zulässig sind, können Sie hier nachlesen.

Datenschutzverstöße beim Homeschooling?

9. Juni 2020

Nachdem der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Lutz Hasse, die Prüfung von Datenschutzverstößen durch Lehrkräfte beim Home-Schooling angekündigt hatte, ist er bei Lehrergewerkschaften, Elternverbänden, Oppositionsparteien und Bildungsministern in Kritik geraten.

Er warnte davor, dass bei Verstößen der Lehrer Bußgelder von bis zu 1.000 Euro verhängt werden könnten. Gleichzeitig müsse jedoch geprüft werden, ob der Lehrer selbst oder vielmehr die Schule, durch eine Duldung des Verstoßes, im Einzelfall verantwortlich ist. Aus datenschutzrechtlicher Sicht seien, so Hasse, vor allem die Verwendung von unsicherer Software, Cloudspeichern und Kommunikationsplattformen bedenklich.

Thüringens Bildungsminister Helmut Holter (Linke) kritisierte diesbezüglich: „Lehrerinnen und Lehrer, die in der Corona-Krise mit hohem Engagement und unter hohem Zeitdruck das Lernen zu Hause organisieren mussten und nach den besten Wegen gesucht haben, den Kontakt zu ihren Schülerinnen und Schülern und zu den Eltern zu halten, sollten nun nicht mit Bußgeldern bedroht werden“. 

Die Gewerkschaft für Erziehung und Wissenschaft (GEW) kritisierte die Ankündigung von Hasse als „Schlag ins Gesicht“ derer, die schnell nach Möglichkeiten gesucht hätten, Schüler im Distanzunterricht gut zu betreuen.

Wie der MDR jetzt berichtete, haben sich der Thüringer Datenschutzbeauftragte und Mitarbeiter des Bildungsministeriums am Montag den 08.06.2020 gemeinsam auf eine Vermeidung von Bußgeldern geeinigt. Sie legten fest, dass sich bei etwaigen Verstößen die Datenschützer zunächst an das Ministerium wenden sollen. Dort kann im Einzelfall geprüft werden, ob sich Bußgelder vermeiden ließen.

Die Thematik rund um Homeschooling und Datenschutz wurde auch in Teil 8 unserer Themenreihe Datenschutz und Corona aufgegriffen und erläutert.

LfDI BW verwarnt Wirtschaftsauskunftei

Neben den vielfach genutzten und in der öffentlichen Berichterstattung präsenten Geldbußen, enthält die DSGVO noch weitere Sanktionsmöglichkeiten. Dazu gehört unter anderem die Verwarnung des Verantwortlichen gemäß Art. 58 Abs. 2 lit. b) DSGVO.

Die Verwarnung wird als „Gelbe Karte“ angesehen. Sie soll den Verantwortlichen darauf aufmerksam machen, dass er durch eine spezielle Datenverarbeitung gegen die Voraussetzungen der DSGVO verstoßen hat. Gemäß Erwägungsgrund 148 S. 1 und 2 zur DSGVO soll die Verwarnung „anstelle einer Geldbuße“ verhängt werden. Damit hat sie also, genau wie die Geldbuße, repressiven Charakter und knüpft an einen Verstoß an. Dieser Verstoß wird von der Aufsichtsbehörde aber nicht als so gravierend angesehen, dass eine Geldbuße angezeigt wäre.

Im vorliegenden Fall hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden Württemberg (LfDI BW), Stefan Brink, eine gebührenpflichtige Verwarnung gegen eine Wirtschaftsauskunftei ausgesprochen. Die Höhe der Gebühr wurde nicht veröffentlicht.

Grundlage für die Verwarnung war die Bildung des sogenannten „Scorewertes“. Der Scorewert wird von Kreditgebern herangezogen, um die Kreditwürdigkeit eines potentiellen Kreditnehmers zu beurteilen. Der Stein des Anstoßes und damit Grundlage für den Ausspruch der Verwarnung ist, dass die Auskunfteien, sofern sie keine Daten über den potentiellen Kreditnehmer finden, diesen automatisch als weniger kreditwürdig eingestufen. Dies hat Auswirkungen auf die Höhe des Kreditrahmens. In der Konsequenz kann dies dazu führen, dass Unternehmen oder Privatpersonen einen geringeren oder auch keinen Kredit bekommen. Darüberhinaus könnte der Eindruck entstehen, dass die niedrige Kreditwürdigkeit darauf beruht, dass es in der Vergangenheit zu Zahlungsrückständen kam, führt der LfDI BW aus.

Der LfDI BW Brink stellt zudem klar, dass „eine Bewertung der Kreditwürdigkeit nur rechtmäßig ist, wenn diese Bewertung auf einer ausreichenden und zutreffenden Tatsachengrundlage beruht.“

Aufgrund mangelnder Transparenz hinsichtlich der Bildung des Scorewerts waren Auskunfteien schon häufiger in der Kritik. Unter anderem die Schufa musste diesbezüglich in der Vergangenheit bereits Kritik einstecken.

Mitarbeiterüberwachung: Prüfverfahren gegen Zalando wegen möglicher Datenschutzverstöße eingeleitet

5. Juni 2020

Die Berliner Beauftrage für Datenschutz und Informationsfreiheit, Maja Smoltczyk, prüft ob der Online-Modehändler gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat. Dies bestätigte die Aufsichtsbehörde gegenüber Golem.de und verifizierte damit einen Bericht von Business Insider.

Anlass ist der Einsatz der Softwaresysteme „Zalos“ und „Zafeto“ von Zalando, welche über sogenannte MDs (Mobile Datenspeicher) die Arbeitsabläufe der Mitarbeiter in den Logistikzentren steuern. Die Geräte teilen den Mitarbeiter die Aufträge zu, einen bestimmten Artikel aus dem Lager zu entnehmen. Dabei werden über das System die Standzeiten ebenso erfasst wie die Menge und Schnelligkeit der erledigten Aufträge (Picks). Die Ergebnisse werden den Mitarbeitern dann in wiederkehrenden Feedbackgesprächen präsentiert. Das Unternehmen nutzt die Systeme nach eigenen Angaben um ihre Arbeitsabläufe zu optimieren.

„sehr überwachungsintensiv“

Die Software erscheine auf den ersten Blick „sehr überwachungsintensiv“, sagte eine Sprecherin der Behörde gegenüber Business Insider. „Es wirkt so, als sei die Kontrolle sehr engmaschig, die Zalando über die beiden Systeme Zalos und Zafeto über seine Mitarbeiter hat. Jetzt wird geprüft, ob das mit der Datenschutzgrundverordnung vereinbar ist.“

Die Berliner Datenschutzbeauftragte prüft außerdem das von Zalando eingesetzte Feedback-Tool „Zonar“, über das die „Süddeutsche Zeitung“ berichtet hat.

Bußgeld für eine Datenlöschung nach Auskunftsbegehren

27. Mai 2020

Die dänische Datenschutzbehörde hat eine Geldbuße in Höhe von 50.000 Dänischen Kronen gegen ein Personalvermittlungsunternehmen empfohlen. Im Gegensatz zu den meisten Mitgliedstaaten kann die Datenschutzbehörde in Dänemark nicht selbst eine Geldbuße verhängen. Die Polizei führt diesbezüglich Ermittlungen durch. Die Entscheidung über die Verhängung einer Geldstrafe wird vom Gericht getroffen werden.

Das Unternehmen hatte personenbezogene Daten, die Gegenstand eines Auskunftsersuchens waren, nach Eingang des Ersuchens und vor der Auskunftserteilung gelöscht. Die dänische Datenschutzbehörde vertritt die Ansicht, dass das Unternehmen den Anforderungen der Datenschutzverordnung (DSGVO), wonach personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden müssen, nicht erfüllt hatte.

Astrid Mavrogenis, Leiterin der dänischen Datenschutzbehörde, ist der Auffassung, dass die Löschung von personenbezogenen Daten, die im direkten Zusammenhang mit der Nichterfüllung eines Auskunftsersuchens stehen, nicht nur ein Verstoß gegen die DSGVO, sondern auch eine Verletzung der Grundrechte darstelle.

Streit um Videokonferenzsysteme – Microsoft mahnt Berliner Datenschutzbehörde ab

20. Mai 2020

Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.

Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.

Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .

Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung „keine ernsthafte Befassung mit der DSGVO erkennen“ ließe.

Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich „Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie„. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments „Best-Practice zum Homeoffice“ der Bayerischen Datenschutzbehörde.

LDI NRW veröffentlicht den Jahresbericht 2019

13. Mai 2020

Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen (im Folgenden: LDI), Helga Block, hat heute den Jahresbericht für 2019 veröffentlicht. Gleichzeitig gab sie auch den Leitungswechsel bekannt, da sie 2020 ihren gesetzlichen Ruhestand antreten wird.

Die datenschutzrechtlichen Eingaben sind, im Vergleich zum Vorjahr, auf über 12.500 weiter angestiegen. Über 2200 Datenpannen wurden in der Zeit gemeldet. Obwohl bereits einige Grundsatzfragen durch das LDI geklärt werden konnten, besteht weiterhin Klärungsbedarf zu den Vorgaben und der Anwendung der DSGVO.

Die Landesbeauftragte hatte sich 2019 schwerpunktmäßig u.a. mit der Evaluation zur DSGVO und den datenschutzrechtlichen Fragen zur inneren Sicherheit, zum Internet und zu den Medien befasst. Besonders kritisierte Helga Block die umfangreichen Eingriffe in die informationelle Selbstbestimmung durch die strategische Fahndung der Polizei. Bei dieser wurden pro Fahndung jeweils 5000 Menschen Teil von Kontrollen und Identitätsfeststellungen, ohne dass das angestrebte Ziel erreicht worden ist. Ein weiteres zentrales Thema war die Veröffentlichung von Informationen zu Entscheidungen des Europäischen Gerichtshofes zum Betrieb von Facebook-Fanpages und zur Einbindung von Social Plugins auf Websites.

Abschließend äußerte sich Helga Block zur aktuellen Situation: „Die Vorlage dieses Berichtes fällt angesichts der Corona-Pandemie in eine Krisenzeit, in der die Freiheitsrechte durch Maßnahmen der Gesundheitsfürsorge stark eingeschränkt werden. Der Schutz der Grundrechte, zu denen auch das Recht auf informationelle Selbstbestimmung gehört, ist auch und gerade in einer solchen schweren Krise ein wesentliches Merkmal unserer freiheitlich-demokratischen Grundordnung, die es zu schützen gilt.“

Perspektivisch sprach sich die Landesbeauftragte für den kommenden Berichtszeitraum für die Wahl eines Ländervertreters aus, der im Europäischen Datenschutzausschuss neben dem Bundesbeauftragten an den Ausschusssitzungen teilnehmen kann.

DSGVO-Sanktion gegen Tennisverband wegen Datenverkauf

10. März 2020

Die niederländische Aufsichtsbehörde verhängte gegen den Tennisverband „Koninklijke Nederlandse Lawn Tennisbond“ (KNLTB) eine Geldbuße von 525.000 EUR, weil er die personenbezogenen Daten seiner Mitglieder verkauft hatte. Im Jahr 2018 stellte KNLTB unrechtmäßig die personenbezogenen Daten einiger tausend seiner Mitglieder zwei Sponsoren zur Verfügung.

Darunter waren der Name, das Geschlecht und die Adresse der Mitglieder. Die Sponsoren nutzten die Daten dazu um an die betroffenen Personen heranzutreten und ihnen tennisbezogene und andere Angebote unterbreiten zu können. Ein Sponsor erhielt personenbezogene Daten von 50.000, der andere von mehr als 300.000 Mitgliedern. Die Sponsoren wandten sich per Post oder Telefon an einige dieser KNLTB-Mitglieder.

Der Tennisverband hat sich auf das berechtigte Interesse am Verkauf der Daten berufen. Die niederländischen Aufsichtsbehörden waren anderer Ansicht und entschieden, dass KNLTB keine Grundlage für die Weitergabe dieser personenbezogenen Daten an die Sponsoren hatte. Daher war die Übermittlung der personenbezogenen Daten rechtswidrig. Das verhängte Bußgeld von 525.000 Euro ist allerdings noch nicht rechtskräftig, weil der Tennisverband Rechtsmittel eingelegt kann.

1 2 3 4 22