Kategorie: Aufsichtsbehördliche Maßnahmen
25. Oktober 2012
Nach einem Bericht von Heise-Online wurde der Europäische Gerichtshof ersucht, über die Rechtmäßigkeit der Integration biometrischer Daten in Form von Fingerabdrücken in Reisepässen zu entscheiden und zu beurteilen, ob die Verordnung zur Einführung biometrischer Merkmale in Reisepässen mit den einschlägigen Bestimmungen zum Schutz der Privatsphäre der EU-Bürger vereinbar ist. Neben dem obersten niederländischen Verwaltungsgerichtshof soll sich u.a. das Verwaltungsgericht Gelsenkirchen an den Europäischen Gerichtshof gewandt haben. Dieses hatte zuvor den im Passgesetz aufgenommenen Fingerabdruckzwang als eine “schwere Datenschutzverletzung” eingeordnet. Die Maßnahme sei nicht verhältnismäßig. Außerdem bieten die eingesetzten RFID-Chips nach Ansicht des Gerichts weder die notwendige Haltbarkeit noch die erforderliche Sicherheit. Es würden noch zu häufig Erkennungsfehler bei Grenzkontrollen auftreten. Die Unsicherheiten würden derzeit noch eher zu Unsicherheiten führen, als dass darin eine scharfe Waffe gegen den Terrorismus zu sehen sei.
Derzeit berate das Parlament in Den Haag über einen Regierungsvorstoß, wonach in Ausweisen keine Fingerabdrücke mehr gespeichert werden sollen.
5. September 2012
Die Polizei Berlin nutzte im Zeitraum zwischen 2009 und April 2012 ganze 1408 Male das Instrument der Funkzellenabfrage und fragte dabei 6,6 Millionen Datensätze ab, wie jetzt Spiegel-Online berichtete. Dies soll jedoch nur in 116 Fällen zu brauchbaren Hinweisen in Form von neuen Ermittlungsinhalten geführt haben. Nicht zuletzt dieser Umstand sorgt für Kritik an den Maßnahmen. Die Berliner Piratenpartei fordert durch ihren Chef Christopher Lauer einen restriktive(re)n Umgang mit dem Verfahren. Zum einen gerieten durch die Methode unverhältnismäßig viele Unschuldige in das Visier der Ermittlungsbehörden, nur weil sie sich zu einer bestimmten Zeit an einem Ort befanden, in deren Nähe eine Straftat passierte. Zum anderen sollen die Betroffenen nach dem Dafürhalten der Piraten nach der Abfrage durch die Polizei zumindest über das Geschehen informiert werden.
3. September 2012
Am 31. August 2012 endet die dreijährige Übergangsfrist für die Einrichtung von Kundendatenbanken nach den Vorgaben der novellierten Fassung des Bundesdatenschutzgesetzes (BDSG) aus dem Jahre 2009. Zwar bestehen weiterhin Ausnahmen, beispielsweise das sogenannte „Listenprivileg“, personenbezogene Daten dürfen grundsätzlich jedoch für Werbung und Adresshandel nur noch mit ausdrücklicher Einwilligung der Betroffenen verarbeitet und genutzt werden (Opt In). Betroffen sind insbesondere auch bereits bestehende Datenbanken die personenbezogenen Daten, etwa von Kunden enthalten, also auch Daten, die vor dem 1. September 2009 erhoben wurden. Hier muss nachgewiesen werden können, woher die Daten stammen und im Falle einer behördlichen oder gerichtlichen Überprüfung jeweils eine Dokumentation der insoweit relevanten Geschäftsvorgänge oder entsprechende Einwilligungserklärungen zur Speicherung vorlegt werden. Verstöße gegen die gesetzlichen Vorgaben können nicht nur die Auflage, die entsprechenden Datensätze zu löschen, sondern weiterhin die Verhängung von Bußgeldern bis zu 300.000 Euro sowie – im Falle von besonders schwerwiegenden Verstößen gewerblichen Ausmaßes – sogar die Betriebsstillegung durch die Aufsichtsbehörde nach sich ziehen.
19. Juli 2012
Der Hamburgische Datenschutzbeauftragte für Datenschutz und Informations- freiheit (HmbBfDI) Caspar hat bekannt gegeben, ein Bußgeld in Höhe von 54.000 Euro gegen die Europcar Autovermietung GmbH festgesetzt zu haben, die einen Teil ihrer Flotte ohne Wissen der betroffenen Mieter per GPS hat orten lassen.
Die Übermittlung der Ortungsdaten soll nach der ersten Einlassung des Unternehmens dazu gedient haben, Diebstähle aufzuklären. Außerdem habe man damit kontrollieren wollen, ob sich der Mieter noch im zulässigen Gebiet befindet, da die Benutzung der Fahrzeuge in verschiedenen Ländern vertraglich ausgeschlossen ist. Neben dem Standort seien Datum, Zeit und auch die Geschwindigkeit der Fahrzeuge erhoben worden. Bei weiteren Vor-Ort-Ermittlungen habe die Aufsichtsbehörde jedoch überdies feststellen müssen, dass auch ohne Anlass zusätzlich alle 48 Stunden eine Ortung der Fahrzeuge vorgenommen wurde und eine automatische Übermittlung der Daten erfolgte, sobald ein Fahrzeug ein Hafengebiet befährt.
Mittlerweile habe Europcar die regelmäßige Ortung alle 48 Stunden abgestellt. Über die Übermittlung der Ortungsdaten in den anderen Fällen sollen Mieter jetzt im Vorfeld informiert werden, indem sie ihr im Rahmen des Mietvertrags zustimmen müssen. Dadurch sollen heimliche Überwachungen ausgeschlossen werden.
„Der Einsatz von Ortungssystemen bei Mietfahrzeugen setzt zumindest eine vollständige Information über Art und Weise der Ortung sowie die ausdrückliche Einwilligung der Betroffenen in das Tracking voraus. Jeder Mieter muss das Recht haben, selbst darüber zu entscheiden, ob er Fahrzeuge anmieten will, deren Nutzung beim Vermieter oder dessen Vertragspartnern unmittelbar eine individuelle digitale Nutzungsspur hinterlässt. Diese Vorgaben werden nun von Europcar erfüllt“, so Caspar.
11. November 2011
Der
Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Caspar hat
angekündigt, rechtliche Schritte gegen Facebook vorzubereiten. Er begründete dies mit der Weigerung des sozialen Netzwerkes, die Funktion der
automatischen Gesichtserkennung mit deutschen und europäischen Regelungen in Einklang zu bringen. Anstelle der zwingenden Information und gleichermaßen zwingenden Einholung einer Einwilligung des Betroffenen in die Erhebung und Verarbeitung biometrischer Daten, soll Facebook nun – entgegen vorheriger Aussagen – angekündigt haben, sich mit einer Ankreuzlösung begnügen zu wollen und den Betroffenen so die Möglichkeit zu geben, in alle Nutzungsbedingungen des Netzwerkes nebst Datenverwendungsrichtlinien einzuwilligen. Diese Bezugnahme auf die Nutzungsbedingungen reiche jedoch zur Legitimation der Erhebung und Verarbeitung biometrischer Gesichtsprofile der Nutzer nicht aus. Es bleibe völlig unklar, ob und inwieweit die Nutzer im Rahmen dieser Datenverwendungsrichtlinien über die Gesichtserkennungsfunktion und die biometrische Datenbank informiert werden sollen. Außerdem sei dieses Verfahren offensichtlich nur auf Nutzer ausgerichtet, die sich zukünftig bei Facebook registrieren. Bisher registrierte Nutzer – in Deutschland rund 20 Millionen – blieben unberücksichtigt.
“Nach monatelangen Verhandlungen, die wir mit Facebook geführt haben, ist das Ergebnis enttäuschend. Weiterhin liegt ein Verstoß gegen europäisches und nationales Datenschutzrecht vor. Dieser muss nun abgestellt werden. Um künftig sicherzustellen, dass die neue Technologie der Gesichtserkennung in einer Weise eingesetzt wird, die das informationelle Selbstbestimmungsrecht der Nutzer achtet, werden wir die uns zur Verfügung stehenden rechtlichen Instrumente einsetzen. In Betracht kommen die Verhängung eines Bußgeldes wie auch der Erlass einer Ordnungsverfügung.“, so Caspar. (sa)
13. September 2011
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Lepper hat bekannt gegeben, gegen die Easycash GmbH – ein Dienstleistungsunternehmen, das Lastschriftverfahren im Rahmen der EC-Kartenzahlung für Einzelhändler abwickelt – ein Bußgeld in Höhe von 60.000 Euro verhängt und damit die unzulässige Weitergabe von rund 400.000 Kontodaten und Daten über Ort, Zeitpunkt und Höhe von Zahlungsvorgängen sanktioniert zu haben. Diese Daten wurden einem Schwesterunternehmen der Easycash GmbH, das Kunden- und Bonusprogramme anbietet, zur statistischen Auswertung übermittelt.
“Wer Zahlungsvorgänge quasi als Treuhänder für Einzelhandelsunternehmen abwickelt, muss besonders sorgfältig mit diesen Daten umgehen. Er darf so sensible Daten über Zahlungsverhalten und Kontoverbindungen, die durchaus auch Profilbildungen erlauben würden, nicht für andere Zwecke an Dritte übermitteln. Deswegen musste ich hier einschreiten”, kommentierte Lepper sein Vorgehen. Er zeigte sich jedoch erfreut, dass sich das Unternehmen in Datenschutzfragen kooperativ gezeigt und das Bußgeld bereits gezahlt habe. Außerdem habe Easycash nicht nur die Weitergabe von Kontoverbindungsdaten an Dritte umgehend eingestellt, sondern auch die von ihm geforderten Änderungen umgesetzt. (sa)
19. August 2011
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins – wie z.B. den “Gefällt-mir”-Button – auf ihren Websites zu entfernen. Sollten die Websitebetreiber bis Ende September 2011 dieser Aufforderungen nicht nachkommen, kündigte das ULD weitergehende Maßnahmen an. Dazu können nach Durchlaufen der Anhörungs- und Verwaltungsverfahren bei öffentlichen Stellen Beanstandungen i.S.v. § 42 Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) zählen, bei privaten Stellen wiederum kommen Untersagungsverfügungen gem. § 38 Abs. 5 Bundesdatenschutzgesetz (BDSG) sowie Bußgeldzahlungen in Betracht.
Das ULD ist nach technischer und rechtlicher Analyse zu dem Ergebnis gekommen, dass derartige Angebote gegen das Telemediengesetz, das BDSG bzw. das LDSG SH verstoßen, da die Nutzung der Facebook-Dienste eine Weitergabe von Verkehrs- und Inhaltsdaten in die USA bedingt und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots (“Reichweitenanalyse”) erfolgt. Wer einmal bei Facebook war oder ein Plugin genutzt habe, müsse davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook würde eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen, was gegen deutsches und europäisches Datenschutzrecht verstoße. Der betroffene Nutzer erhalte weder eine hinreichende Information über den Umgang mit seinen Daten noch ein Wahlrecht. Des weiteren seien die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook schlichtweg unzureichend. (sa)
Update: Nach der massiven Kritik des ULD an den Fanpages und den “Gefällt-mir”-Buttons von Facebook beenden auch erste öffentliche Stellen in Niedersachen ihre Teilnahme an dem sozialen Netzwerk. Dafür bedurfte es keines öffentlichen Aufrufes durch den Landesbeauftragten für den Datenschutz Niedersachsen. Dieser schloss sich zwar explizit der Rechtsauffassung des ULD an, räumte allerdings gleichzeitig ein, nicht über die personelle Kapazität zu verfügen, um die rund 300.000 Unternehmen, mehr als 1000 Kommunen und zahlreichen Behörden zu kontrollieren. Dennoch fühlen sich viele öffentliche Stellen verpflichtet, den Datenschutz einzuhalten und reagierten. Medienangaben zufolge hat beispielsweise bereits der Landkreis Friesland seine Facebook-Seite abgeschaltet und mehrere Kommunen sollen erwägen, implementierte “Gefällt-mir”-Buttons zu entfernen. (sa)
26. Mai 2011
Die Postbank AG hat bis Herbst 2009 freiberuflichen Handelsvertretern den Zugang zu Kontodaten ihrer Kunden ermöglicht.
Handelsvertreter konnten wichtige Daten und Informationen über das Privatleben der Kunden durch ihre Kontobewegungen herausfinden und sie für Betriebs- bzw. Werbungszwecke verwenden. „Diese Daten dürfen weder von Banken und erst recht nicht von Handelsvertretern für Werbezwecke ausgewertet werden“, sagt der NRW-Datenschutzbeauftragte, Ulrich Lepper und sanktionierte dieses Verhalten Anfang Mai dieses Jahres mit einem Bußgeld in Höhe von 120.000 Euro. Das Geschehen wurde aufgrund eines Berichts der Stiftung Warentest im Oktober 2009 aufgedeckt.
„Die Postbank ist eindeutig zu weit gegangen. Ich frage mich, was das Bankgeheimnis noch wert sein soll, wenn rund 4000 freiberufliche Außendienstmitarbeiter weit über eine Million Kontodatensätze von Kundinnen und Kunden abrufen können“, betont Lepper.
Seit November 2009 ist der Zugang zu Kundendaten von der Postbank untersagt.
