Kategorie: Aufsichtsbehördliche Maßnahmen

Unterschätzen Unternehmen die “Gefahren” der DSGVO?

8. September 2017

Den allermeisten Unternehmen dürfte dieser Einleitungssatz bekannt vorkommen: Bis zum 25.05.2018 sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzusetzen.

Der Studie Veritas 2017 GDPR Report zufolge sind viele (31%) Unternehmen der Meinung, die von der  DSGVO normierten Pflichten bereits abzudecken. Als diese Unternehmen im Rahmen der Studie allerdings zur konkreten Umsetzung der Maßnahmen befragt wurden, trat häufig ein deutlich anderes Bild verbunden mit der Einsicht zutage, eine Compliance mit dem Regelwerk sei nun doch noch nicht erreicht. Nach Abzug dieser Fälle ist ein Ergebnis der Studie, dass letztlich nur 2% der Unternehmen tatsächlich auf die DSGVO vorbereitet sind.

Die befragten Unternehmen sehen bei sich unter anderem in den folgenden Bereichen akuten Nachholbedarf:

  • Etablierung eines Prozesses zur Meldung von Datenverlusten innerhalb von 72 Stunden,
  • Regelungen zur Löschung (jetzt auch “Recht auf Vergessenwerden”),
  • Neue Rechtslage zur Auftragsdatenverarbeitung (künftig nur “Auftragsverarbeitung”).

Angesichts der respektablen Bußgelder der DSGVO bleibt es wohl weiterhin bei dem gebetsmühlenartigen Verweis auf die “Stunde Null”: Stellen Sie bis zum 25.05.2018 sicher, dass Sie auf die Anforderungen der DSGVO (tatsächlich) vorbereitet sind.

G-20-Akkreditierungen – Vermutlich rechtswidrige Daten in der BKA-Datei

1. September 2017

Nach einem Bericht des ARD-Hauptstadtstudio speichert das Bundeskriminalamt (BKA) vermutlich Millionen Daten illegal. Im Zuges des G-20 Gipfels und der Entziehung von Akkreditierungen einiger Journalisten wurde festgestellt, dass einige Eintragungen zu Straftaten in den Datenbanken des BKA schlichtweg falsch sind oder längst hätten gelöscht werden müssen.

In der Behörde der Bundesbeauftragten für den Datenschutz wartet man schon auf die Beschwerden der betroffenen Journalisten. Der unrechtmäßige Entzug von Akkreditierungen zeigt nämlich, dass fehlerhaft gespeicherte Daten extreme Folgen für die berufliche und private Existenz von Bürgern haben können.

Gemäß des § 8 des Bundeskriminalamtgesetzes ist zwar die Speicherung von Ermittlungen, die nicht zu einer Verurteilung vor Gericht geführt haben erlaubt – im Gegenzug wird dafür aber in jedem Einzelfall eine sogenannte Negativprognose gefordert: Es muss konkret begründet werden, warum von der Person auch in Zukunft Straftaten zu erwarten sind und die Speicherung früherer Ermittlungen deshalb wichtig ist. Das diese Negativprogonse überhaupt durchgeführt wird, ist aufgrund der vielen Datensätze fraglich.

Schon einmal hatte der Bundesdatenschutzbeauftragte mit seiner Prüfung einer Datenbank Erfolg.  Im Jahre 2012 überprüfte der damalige Bundesdatenschutzbeauftagte Peter Schaar die Datenbank “PMK-links Z” , in der politisch motivierte Kriminelle gespeichert werden und fand eine Menge an illegal gespeicherten Daten. Dies führte zu einer Löschung seitens des BKA, so dass statt 3819 Personen im März 2012 nur noch 331 Personen im Juli 2015 gespeichert waren.

Delivery Hero – Keine Heldentaten beim Datenschutz

31. August 2017

In immer mehr Städten etablieren sich Lieferdienste, die einem aus dem bevorzugten Restaurant schnell und bequem das Lieblingsessen nach Hause auf die Couch liefern. Für die Inanspruchnahme eines solchen Essenslieferdienstes muss sich der Kunde lediglich ein Benutzerkonto bei dem Anbieter seiner Wahl zulegen und sich hierzu mit seinen persönlichen Daten registrieren. Selbstverständlich sichern die Lieferdienste den Schutz der personenbezogenen Daten und die Achtung des Datenschutzrechts zu.

Bei der Berliner Beauftragten für den Datenschutz häufen sich nun aber Beschwerden gegen solche Lieferdienste. Alleine gegen Delivery Hero (u.a. Foodora, Lieferheld, Pizza.de) liegen bei der Berliner Beauftragten für den Datenschutz 14 Beschwerden vor. Bei diesen Beschwerden geht es darum, dass es den Kunden vielfach nur unter erschwerten Bedingungen ermöglicht wurde das angelegte Kundenkonto wieder zu löschen. So sollten die Kunden als Bedingung für die Löschung etwa einen Identitätsnachweis in Form eines kopierten Personalausweises darbringen. Teilweise wurde sogar gerügt, dass das Löschen des Kundenkontos überhaupt nicht ermöglicht wurde. Dabei ist ein Anspruch auf Löschung der personenbezogenen Daten sogar in § 35 Bundesdatenschutzgesetz normiert. Mittlerweile hat Delivery Hero zumindest bei Lieferheld und Pizza.de den Zwang zur Vorlage des Personalausweises wieder aufgehoben. Auch die komplette Löschung personenbezogener Daten soll nun wieder komplett möglich sein.

Ihre Erfahrungen mit den Essenslieferdiensten brachte die Berliner Beauftragten für den Datenschutz nun auch in den Düsseldorfer Kreis ein und schlug dort vor, bundesweit koordinierte Prüfaktionen bei den Essenslieferdiensten durchzuführen. Damit solle die Sensibilität der Essenslieferdienste für das Thema Datenschutz erhöht werden.

Bundesdatenschutzbeauftragte kritisiert Pilotprojekt der automatischen Gesichtserkennung

24. August 2017

Die Bundesdatenschutzbeauftragte, Andrea Voßhoff, betonte heute in einer Stellungnahme, dass eine automatische biometrische Gesichtserkennung, wie sie seit Anfang August in einem Pilotprojekt am Berliner Bahnhof Südkreuz stattfindet, nur bei Vorliegen einer informierten, umfassenden Einwilligungserklärung der Betroffenen datenschutzrechtlich legitimiert sei.

Die Einwilligungserklärung müsse insbesondere auch die Tatsache umfassen, dass bei dem Projekt ein aktiv sendender Bluetooth-Transponder (iBeacon) verwendet wird, der jeweils als Token an die Teilnehmer ausgehändigt worden war.

Vorausgegangen war die Meldung der Datenschutzorganisation Digitalcourage, die aufgedeckt hatte, dass es sich bei dem ausgeteilten Token eben nicht um eine Art passiven RFID-Chip handelt, sondern um einen sogenannten iBeacon. Mit diesem lassen sich Daten wie Temperatur, Neigung und Beschleunigung messen, speichern und weitergeben und theoretisch aussagekräftige Profile auch außerhalb des Bahnhofs erstellen.

Bis zum Vorliegen derartiger neu eingeholter Einwilligungserklärungen finde der Testlauf laut Voßhoff derzeit ohne Rechtsgrundlage statt und sei daher auszusetzen.

Hamburgischer Beauftragter für den Datenschutz setzt Recht auf Vergessenwerden durch

17. August 2017

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) konnte dieser Tage durchsetzen, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt.

Vorausgegangen waren zahlreiche Beschwerden von Bürgerinnen und Bürgern über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine. Nach Einschätzung des HmbBfDI stellt die Auffindbarkeit von Informationen über die Insolvenzverfahren der Betroffenen bei bloßer Namenssuche einen erheblichen Eingriff in deren Recht auf informationelle Selbstbestimmung dar. Diese Informationspreisgabe könne erhebliche Auswirkungen auf die Teilnahme der Betroffenen am geschäftlichen Verkehr haben, zudem mangele es bei den Nutzern der Suchmaschine häufig am diesbezüglichen Informationsinteresse, wenn sie bei bloßer Namenssuche über die Suchmaschine Informationen aus Insolvenzverfahren erhalten.

Dazu äußerte sich der HmbBfDI, Prof. Dr. Johannes Caspar, erfreut: “In Fällen wie diesem (…) hat das Recht auf Vergessenwerden gegenüber Suchmaschinen eine besondere Bedeutung für die Betroffenen.”

Höchstmögliches Bußgeld wegen unerlaubter Telefonwerbung

9. August 2017

Nachdem sich bei der Bundesnetzagentur rund 2.500 Verbraucher über Werbeanrufe der Energy2day GmbH  über rechtswidrige Werbeanrufe für Energielieferverträge beschwert hatten, verhängte die Behörde in der vergangenen Woche ein Bußgeld in Höhe von 300.00 Euro gegenüber dem Unternehmen. Dies ist das nach Gesetz gegen den Unlauteren Wettbewerb (UWG) höchstmögliche Bußgeld.

Energy2day hatte sich in den Anrufen als örtlicher Energieversorger ausgegeben oder behauptet, es würde mit diesem zusammenarbeiten. Ziel war es, die Verbraucher zum Wechsel ihres Stromlieferanten zu bewegen. Das Unternehmen hatte dazu in der Vergangenheit eine komplexe Vertriebsstruktur aufgebaut und mit einer Vielzahl an Untervertriebspartnern u.a. auch im Ausland zusammengearbeitet, die als Subunternehmer derartige Anrufe getätigt haben.

Inwiefern Energy2day ihrer Aussage nachkommt, kein Telefonmarketing gegenüber Verbrauchern mehr betreiben zu wollen, wird die Bundesnetzagentur beobachten.

Jährliche Schäden von 55 Mrd. Euro durch Datenverlust

27. Juli 2017

Eine repräsentative Studie des Digitalverbandes Bitkom hat ergeben, dass mehr als die Hälfte (53%) der deutschen Unternehmen in den letzten beiden Jahren in irgendeiner Form Opfer von Wirtschaftsspionage, Datenverlust oder -Diebstahl geworden ist. Entsprechend real sei die Gefahr für Unternehmen aller Branchen und Größen. Häufigstes Vorkommnis sei der Diebstahl von IT- oder Telekommunikationsgeräten. Unklar ist dabei, ob die Täter, die häufig “aus den eigenen Reihen” stammen, dabei auf die Smartphones und Laptops selbst oder auf die hierauf gespeicherten Daten abzielen. Immer häufiger (mind. jedes 5. Unternehmen im Betrachtungszeitraum) sei auch das sog. Social Engineering zu verzeichnen, bei dem Mitarbeiter durch Vortäuschung falscher Tatsachen und Identitäten zur Preisgabe sensibler Informationen verleitet werden sollen.

Bemerkenswert ist, dass Unternehmen entsprechende Vorfälle aus Angst vor Imageschäden vergleichsweise selten (lediglich 31%) an Polizei oder andere Stellen melden. Aus datenschutzrechtlicher Sicht ist zu beachten, dass bei dem Verlust personenbezogener Daten nach geltendem und auch nach künftigem Recht eine Meldepflicht bestehen kann, deren Nichtbeachtung bußgeldbewährt ist. Mit der Anwendung der Datenschutz-Grundverordnung ab dem 25.05.2018 stellt sich in diesem Bereich eine drastische Erhöhung ein: Die – aus welchen Gründen auch immer – unterlassene Meldung eines Datenverlusts an die Aufsichtsbehörde kann dann mit einem Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweiten Konzern-Jahresumsatzes (Art. 83 Abs. 4 DSGVO) belegt werden. Diese potentiell immense zusätzliche Belastung kann durch den verordnungskonformen Umgang mit entsprechenden Situationen durch den Datenschutzbeauftragten verhindert werden.

Die Bitkom-Studie verdeutlicht die Notwendigkeit präventiver Maßnahmen wie z.B. die flächendeckende Verschlüsselung von Datenträgern, Installation aktueller Virenscanner-Software sowie regelmäßige Anfertigung von Backups. Neben der “technischen Sicherheit” sind auch organisatorische Maßnahmen, z.B. die regelmäßige Sensibilisierung der Mitarbeiter, äußerst ratsam. Zwar kann auch hierdurch keine 100-prozentige Sicherheit gewährleistet werden. Dem verhältnismäßig geringen Aufwand stehe allerdings eine signifikante Verbesserung gegenüber der Risikolage ohne entsprechende Maßnahmen gegenüber.

Weltweite Geltung des Rechts auf Vergessenwerden?

25. Juli 2017

Zurzeit befasst sich der Europäische Gerichtshof (EuGH) erneut mit dem sogenannten „Recht auf Vergessenwerden“, wie heise berichtet. Hintergrund hierfür ist ein Rechtsstreit zwischen dem US-amerikanischen Suchmaschinenbetreiber Google und der französischen Datenschutzaufsichtsbehörde CNIL. CNIL hatte Google zuvor eine Strafe von € 100.000 auferlegt, da Links aus den Suchmaschinenergebnissen nicht weltweit gelöscht wurden. Um die Strafe gerichtlich prüfen zu lassen, zog Google vor das französische Verwaltungsgericht. Dieses legte die Frage, ob sich der Löschungsanspruch auf weltweite Suchergebnisse erstreckt, nun dem EuGH zur Entscheidung vor.

Vor drei Jahren hatte der EuGH das Recht auf Vergessenwerden in seinem Urteil manifestiert. Das Recht auf Vergessenwerden berechtigt Individuen von Suchmaschinenbetreibern die Löschung von Links zu Informationen zu verlangen, die veraltet sind oder ihre Privatsphäre verletzen. Seit Mai 2014 erhielt Google mehr als 2 Millionen dieser Aufforderungen. Sofern nach der Ansicht von Google die Voraussetzungen für die Löschung vorliegen, wird der beanstandete Link aus den Suchmaschinenergebnissen entfernt. Die Löschung findet jedoch nur auf den europäischen Versionen von Google statt. CNIL geht dies jedoch nicht weit genug und fordert eine weltweite Löschung, damit dem Recht auf Vergessen umfassend entsprochen wird. Google hält diese Forderung für absurd. Zum einen werde die Freiheit des Internets beschränkt. Außerdem könnte Google nationales Recht nicht weltweit umsetzen.

Mit Spannung wird deswegen nun die Entscheidung des EuGH erwartet.

Bundesnetzagentur sieht vorerst von Maßnahmen zur Durchsetzung der Vorratsdatenspeicherung ab

29. Juni 2017

Wie die Bundesnetzagentur (BNA) am 28.06.2017 mitteilte, sieht sie bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens über die Verfassungsmäßigkeit der Vorratsdatenspeicherung gegenüber den zur Speicherung verpflichteten Unternehmen von Anordnungen und sonstigen Maßnahmen zur Durchsetzung den in § 113b Telekommunikationsgesetz (TKG) vorgesehenen Speicherpflichten ab. Insbesondere würden keine Bußgeldverfahren eingeleitet werden.

Damit reagiert die BNA auf den Beschluss des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen (OVG NRW) vom 22.06.2017 (Az. 13 B 238/17). Das OVG NRW hatte jüngst beschlossen, dass der Kläger – ein Internetzugangsdiensteanbieter – nicht verpflichtet ist, Telekommunikationsdaten seiner Kunden nach § 113b TKG zu speichern, so lange das Hauptsacheverfahren nicht rechtskräftig entschieden ist. In diesem Beschluss erklärte das Gericht, das Gesetz zur Einführung von Speicherpflichten für Telekommunikationsdiensteanbieter zur Speicherung von Telekommunikationsdaten sei mit geltenden Unionsrecht nicht vereinbar. Konkret verstoße § 113b Abs. 1 TKG gegen Artikel 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG vom 12. Juli 2002.

Gemäß § 113b TKG sind Telekommunikationsanbieter verpflichtet, Standort- und Verkehrsdaten ihrer Kunden für vier bzw. zehn Wochen zu speichern. Bei Zuwiderhandlung dieser Pflichten ist die BNA gemäß § 115 TKG befugt, Anordnungen und Maßnahmen zu treffen, um die Einhaltung dieser Vorschriften sicherzustellen.

Abzuwarten bleibt nun die Entscheidung im Hauptsacheverfahren.

Die TK-Branche begrüßte die Entscheidung sehr. Auch aus datenschutzrechtlicher Sicht sind die jüngsten Entwicklungen positiv zu beurteilen. Eine anlasslose Überwachung sämtlicher Betroffenen ist mit dem Recht auf informationelle Selbstbestimmung nicht vereinbar.

Bayerisches Landesamt für Datenschutzaufsicht veröffentlicht Fragebogen zur Vorbereitung auf EU-DSGVO

29. Mai 2017

Nachdem am 25.05.2017 „Halbzeit“ der Vorbereitungszeit von Unternehmen an die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) erreichte, hat  das Bayerische Landesamt für Datenaufsicht (BayLDA) einen Prüffragebogen veröffentlicht. Der Prüffragebogen vermittelt verantwortlichen Stellen einerseits einen Eindruck darüber, wie ab Mai 2018 Prüfungen durch das BayLDA ablaufen könnten.

Gleichzeitig ist der Prüffragebogen ein gutes Instrument festzustellen, hinsichtlich welcher Aspekte Unternehmen ihre Prozesse und Systeme noch nicht EU-DSGVO-konform gestaltet haben. Zwar enthält die EU-DSGVO viele der bereits bekannten Grundsätze und Prinzipien. Insbesondere hinsichtlich der Rechte der Betroffenen sowie der Dokumentationspflichten bestehen jedoch wesentliche Unterschiede im Vergleich zur jetzigen Rechtslage.

Zwar enthält der Prüffragebogen alle wesentlichen Neuerungen. Jedoch darf sein zweiseitiger Umfang nicht darüber hinwegtäuschen, dass die Anpassung der Systeme und Prozesse eine zeitintensive Aufgabe ist.

1 22 23 24 25 26 35