Kategorie: Aufsichtsbehördliche Maßnahmen

BayLDA: Achtung auf Kundendaten beim Unternehmensverkauf!

19. August 2015

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nach eigenen Angaben Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem  mittlerweile unanfechtbaren Bußgeld in jeweils fünfstelliger Höhe belegt.

Im konkreten Fall ging es um die unzulässige Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Rahmen eines Asset Deals. Diese erfolgte ohne die explizite Einwilligung der betroffenen Kunden. Damit wurde gegen das Datenschutzgesetz verstoßen, was wegen des Umstandes, dass es sich bei E-Mail-Adressen um personenbezogene Daten handelt, anwendbar ist. Zugleich wurde gegen das Gesetz gegen den unlauteren Wettbewerb verstoßen, wonach ebenfalls eine Einwilligung des Kunden von Nöten ist, wenn der Erwerber die Daten auch zu Werbezwecken verwenden möchte.

Das BayLDA hat klargestellt, dass für die unzulässige Übergabe von Kundendaten sowohl der Veräußerer als auch der Erwerber als sogenannte „verantwortliche Stellen“ die datenschutzrechtliche Verantwortung tragen. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000,- € geahndet werden können.

CNIL fordert weltweites Recht auf Vergessen werden

14. August 2015

Wie die Zeit berichtet, hat die französische Datenschutzbehörde CNIL den Suchmaschinenbetreiber Google aufgefordert, das Recht auf Vergessen werden weltweit umzusetzen.
Im Jahr 2014 hatte der EuGH geurteilt, dass Betroffenen im Rahmen ihres Rechts auf informationelle Selbstbestimmung auch das Recht zusteht digital vergessen zu werden. Hiernach können Bürger der EU Google dazu verpflichten, bestimmte Links zu ihrer Vergangenheit nicht mehr in der Liste der Suchergebnisse aufzuführen.
Google entspricht den Ansprüchen von Betroffenen insoweit, als dass Einträge zu den jeweiligen Personen in der europäischen Version der Suchmaschine nicht mehr erscheinen. Der CNIL geht diese Vorgehensweise jedoch nicht weit genug. Sie fordert von Google, dass Einträge aus der Vergangenheit einer Person weltweit zu entfernen sind.
Hiergegen wehrt sich Google mit dem Argument, dass eine französische Behörde nicht die Zuständigkeit habe anzuordnen, wie die weltweiten Suchergebnisse von Google zu gestalten sein.
Ob und wie die CNIL in dieser Angelegenheiten weiter gegen Google vorgeht, bleibt abzuwarten.

Hamburgischer Datenschutzbeauftragter geht gegen Facebook vor

30. Juli 2015

Erneut gerät das Soziale Netzwerk Facebook in das Visier von Datenschützern. In Kritik gerät Facebook diesmal wegen der Sperrung eines Nutzerkontos. Eine Nutzerin von Facebook hatte ihr Nutzerprofil unter einem Pseudonym eingerichtet, um unter ihrem bürgerlichen Namen nicht gefunden zu werden, wie der Der Hamburgische Datenschutzbeauftragte: Profilnamen bei Facebook frei wählbar mitteilt.
Facebook veranlasste die Sperrung des Nutzerkontos und forderte die Nutzerin auf, ihren richtigen Namen in ihrem Profil anzugeben. Ihre wahre Identität sollte die Nutzerin mit einem amtlichen Lichtbild nachweisen. Darüber hinaus änderte Facebook den Profilnamen der Nutzerin in deren richtigen Namen und forderte die Nutzerin auf dieser Änderung zuzustimmen, um das Konto wieder freizuschalten. Dieses Vorgehen von Facebook veranlasste die Nutzerin dazu die Aufsichtsbehörde einzuschalten.
Der zuständige hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, Prof. Caspar, hat inzwischen eine Anordnung gegen Facebook erlassen, in der Facebook dazu verpflichtet wird, die anonyme Nutzung seines Dienstes zuzulassen. Sowohl die Verwehrung der Möglichkeit ein Profil unter einem Pseudonym zu führen als auch die Aufforderung, sich digital mit einem amtlichen Lichtbildausweis zu identifizieren, verstoße gegen geltendes Recht.
Gemäß § 13 Abs. 6 Telemediengesetz  sind Diensteanbieter wie Facebook dazu verpflichtet, ihren Nutzern die Nutzung ihrer Dienste entweder anonym oder unter einem Pseudonym zu ermöglichen. Dieser Verpflichtung kommt Facebook im vorliegenden Falle jedoch nicht nach.
Ein weiterer Gesetzesverstoß stellt die Aufforderung der Identifizierung mit einem amtlichen Lichtbildausweis dar. Die Erhebung und Nutzung der Daten des Personalausweises darf gemäß § 14 Personalausweisgesetz nur unter bestimmten Voraussetzungen verlangt werden. Die elektronische Identifizierungsfunktion des Personalausweises darf aus Gründen der Datensicherheit nur unter Verwendung eines gültigen Berechtigungszertifikats von dem Diensteanbieter eingesetzt werden.
Auch die Änderung des Namens der Nutzerin von dem Pseudonym in ihren richtigen Namen stellt einen Gesetzesverstoß. Das Grundgesetz garantiert – abgeleitet aus der Würde des Menschen und dem allgemeinen Persönlichkeitsrecht – das Recht auf informationelle Selbstbestimmung. Dieses Grundrecht wird im Bundesdatenschutzgesetz konkretisiert. Danach hat jeder Einzelne das Recht frei zu entscheiden, ob, wann, in welchem Umfang und wem gegenüber er seine personenbezogenen Daten veröffentlicht.
Wie Facebook auf die Anordnung des Hamburgischen Datenschutzbeauftragten reagiert, bleibt abzuwarten.

LIBE-Ausschluss stimmt für Richtlinien-Entwurf zur Vorratsspeicherung von Flugpassagierdaten

17. Juli 2015

Diesen Mittwoch hat der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE-Ausschuss) des Europäischen Parlaments dem Vorschlag der EU-Kommission zur Vorratsdatenspeicherung von Flugpassagierdaten zugestimmt.

Der Richtlinien-Entwurf der EU-Kommission regelt den Umgang mit Flugpassagierdaten (sogenannte „Passenger Name Record“, PNR) von Personen, welche über den Luftweg in die EU ein- und ausreisen. Entsprechend dem Vorschlag der EU-Kommission dürfen die Daten zur Prävention und Verfolgen von schweren Verbrechen wie unter anderem Terrorismus, Menschenhandel, Waffenhandel oder Cyberkriminalität verwendet werden.

Mit einer europaweiten Regelung zum Umgang mit Flugpassagierdaten soll ein einheitliches Sicherheitsniveau für den Flugverkehr aber auch ein einheitliches Sicherheitsniveau hinsichtlich der erhobenen Passagierdaten sichergestellt werden.

Der Entwurf sieht vor, dass Fluggesellschaften die zu den Reisenden vorliegenden PNR an sogenannte „Passenger Information Units“ (PIU) des jeweiligen EU-Mitgliedstaats übermitteln. Die nationalen PIU dürfen die Daten zur Gefahrenabwehr und Strafverfolgung verarbeiten. Dabei sollen die PNR mit nationalen Datenbanken abgeglichen werden und mit anderen Staaten ausgetauscht werden können. Eine Übertragung der Flugdaten an private Unternehmen sowie die Speicherung von besonderen Arten personenbezogener Daten sind nach dem Richtlinien-Entwurf unzulässig.

Die Daten werden zunächst für einen Zeitraum von 30 Tagen vorgehalten. Im Anschluss werden sie zwar “maskiert. Ein Personenbezug lässt sich jedoch für den Zeitraum der Speicherung von 5 Jahren ohne Weiteres herstellen.

Nachdem der LIEBE-Ausschuss mit 32 zu 27 Stimmen für den Richtlinien-Entwurf gestimmt hat, ist der Weg zu den Trilog-Verhandlungen zwischen EU-Parlament, EU-Kommission und Europäischen Rat geebnet, in dem weitere Einzelheiten verhandelt werden.

Die anlasslose Vorratsdatenspeicherung rückt damit ein Stück näher.

Verdeckte Durchsuchungen auf dem Prüfstand

9. Juli 2015

In dieser Woche verhandelt der Erste Senat des Bundesverfassungsgerichts über sechs zugelassene Verfassungsbeschwerden gegen Regelungen im Bundeskriminalamtgesetze (BKA-Gesetz). Das Gesetz wurde im Jahr 2007 novelliert und enthält seit dem unter anderem Regelungen, die dem Bundeskriminalamt weitreichende Befugnisse zur Abwehr von Gefahren des internationalen Terrorismus einräumen. Insbesondere Maßnahmen zur verdeckten Observation von Wohnraum, Onlinedurchsuchungen und Telekommunikationsüberwachung werden durch die Normen legitimiert. Gestützt werden die Normen auf die Kompetenz des Bundesgesetzgebers zur Abwehr von Gefahren durch den internationalen Terrorismus (Art. 73 Abs. 1 Nr. 9a GG).

Konkret geht es in dem Verfahren um die Frage, ob die Befugnisse des Bundeskriminalamtes – speziell diejenigen zur Wohnraum-, Online- und Telekommunikationsüberwachung – die Privatsphäre der Betroffenen verletzen bzw. im Rahmen welcher Grenzen dies rechtmäßig ist.
Geklagt hatten Gerhart Baum (ehemaliger Bundesinnenminister), Michael Neumann (ehemaliger Herausgeber der Zeit) sowie Verbandsvertreter der Journalisten und Ärzte, wie heise online berichtet.

Die zu überprüfenden Normen sind sehr weit gefasst. So darf das BKA nur dann nicht verdeckt auf dargestellte Weise observieren, wenn es dabei ausschließlich Informationen aus den Kernbereichen der privaten Lebensbereiche der Betroffenen erlangt. Da aber beispielsweise auf nahezu jedem PC Daten aus sämtlichen Lebensbereichen einer Person – sei es dienstliche Infos wie auch privat-intime – vorhanden sind, geht die Überwachung zu weit, so das Kernargument der Beschwerdeführer. Darüber hinaus wird die erlaubte Weiterleitung von Überwachungsdaten an ausländische Dienste und Behörden kritisiert.

Bundestag verabschiedet IT-Sicherheitsgesetz

17. Juni 2015

Vergangene Woche hat der Bundestag den Entwurf eines neuen IT-Sicherheitsgesetzes verabschiedet. Die jüngsten Berichte über den Hacker-Angriff auf den Bundestag verdeutlichen die drohenden Gefahren durch Cyber-Attacken. Mit den nun verabschiedeten Regelungen beabsichtigt der Gesetzgeber solchen Gefahren eine geringere Angriffsfläche zu bieten. Die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von informationstechnischen Systemen (IT-Systemen) zu gewährleisten, ist der Zweck der Neuerungen zum IT-Sicherheitsgesetz.

Die störungsfreie Nutzung von IT-Systemen ist für Staat, Wirtschaft und Gesellschaft von überragender Bedeutung. Dementsprechend gravierend wären die Schadensausmaße, wenn unbefugte Dritte sich Zugriff auf IT-Systeme ­- beispielsweise von Energieversorgern oder Krankenhäusern – verschafften. Vor diesem Hintergrund hat der Gesetzgeber nun den Kreis derer erweitert, die zukünftig bestimmte Sicherheitsstandards umzusetzen haben. Welche Verpflichtungen sich hieraus ergeben, soll im Folgenden kurz dargestellt werden.

Eine wesentliche Neuerung des Gesetzesentwurfs liegt in den eingeführten Pflichten der Betreiber sogenannter „Kritischer Infrastrukturen“. Adressaten der Regelungen sind entsprechend der Definition Anbieter solcher Dienstleistungen, die den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Ernährung sowie dem Finanz- und Versicherungswesen angehören.

Nach Inkrafttreten des Entwurfes des IT-Sicherheitsgesetzes wird der Gesetzgeber in einer Rechtsverordnung konkrete Dienstleistungen dieser Sektoren festlegen, so dass sich auf dieser Grundlage genau bestimmen lässt, wer Betreiber einer Kritischen Infrastruktur ist.

Von dem Anwendungsbereich des IT-Sicherheitsgesetzes ausgenommen sind jedenfalls sogenannte „Kleinstunternehmen“. Kleinstunternehmen im Sinne der Vorschriften des IT-Sicherheitsgesetzes sind solche, bei denen weniger als 10 Personen beschäftigt sind und deren Jahresumsatz unter dem Betrag von € 2 Mio. liegt.

Gehört ein Unternehmen zukünftig hingegen zu den Betreibern Kritischer Infrastrukturen treffen ihn besondere Pflichten, die er gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als zuständige Stelle zu erfüllen hat.

Zukünftig besteht die Verpflichtung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen für IT-Systeme einzuführen. Eine organisatorische und technische Vorkehrung ist angemessen, wenn die Belastung, welche für das Unternehmen durch ihre Implementierung entsteht, im Verhältnis zu dem Ziel , welches durch sie erreicht werden soll, nicht unverhältnismäßig groß ist. Diese Vorgabe der technischen und organisatorischen Vorkehrungen hat der Gesetzgeber bewusst offen formuliert. An dieser Stelle haben Branchen- und Interessenverbände der betroffenen Adressaten die Möglichkeit, eigene Maßstäbe zu definieren. Aufgrund ihres branchenspezifischen Fachwissens sollen die Interessenverbände gut die Angemessenheit von Vorkehrungen beurteilen können.

Die Verwendung von Mindeststandards haben die einzelnen Unternehmer alle zwei Jahre gegenüber dem Bundesamt nachzuweisen. Die Nachweise können durch Zertifikate, Prüfungen oder Sicherheitsaudits erbracht werden. Auch hier hat der Gesetzgeber den Branchenverbänden einen Gestaltungsspielraum bezüglich der konkreten Anforderungen an mögliche Nachweise eingeräumt.

Des Weiteren haben Unternehmen innerhalb von sechs Wochen nach Inkrafttreten des Gesetzes eine Kontaktstelle einzurichten, über welche die Korrespondenz mit dem Bundesamt abgewickelt werden soll.

Schließlich normiert das Gesetz eine Meldepflicht für Bertreiber Kritischer Infrastrukturen gegenüber dem Bundesamt. Treten erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, ihrer Komponenten oder Prozesse, auf, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, muss dies dem Bundesamt durch die Kontaktstelle gemeldet werden.

Für Diensteanbieter im Sinne des Telemediengesetzes sei schließlich erwähnt, dass die nicht-Verwendung der Mindeststandards bußgeldbewehrt ist.

Ob es letztendlich tatsächlich zu einer erhöhten Sicherheit von IT-Systemen kommt, bleibt abzuwarten.

Luxemburgische Regierung erstattet Anzeige in BND-Spähaffäre

21. Mai 2015

Die Praktiken der BND-NSA-Späh-Affäre hat nun die Regierung Luxemburgs dazu bewogen, Anzeige gegen Unbekannt zu stellen. Zuvor hatte der Abgeordenete des österreichischen Parlaments Peter Pilz auf seiner Facebookseite ein Schreiben der deutschen Telekom veröffentlicht, in der vier Transitleitungen zu Überwachungszwecken offen gelegt worden waren. Da in diesen Luxemburg als Zielstaat offenbart wurde, sah sich die Regierung des Nachbaarstaates dazu veranlasst juristisch gegen die unbekannten Verantwortlichen vorzugehen. “Deutsche Sicherheitskreise” wiesen die Vorwürfe zurück, mit der Erklärung, dass Anfangs- und Endpunkte einer angezapften Strecke nichts über Anfang und Ende der durchgeleiteten Telekommunikationsverbindungen verrieten.

22. Bericht des Landesdatenschutzbeauftragten NRW zu Datenschutz und Informationsfreiheit veröffentlicht

13. Mai 2015

Alle zwei Jahre legt der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen den Datenschutz- und Informationsfreiheitsbericht vor. Der 22. Bericht, der den Zeitraum vom 1. Januar 2013 bis 31. Dezember 2014 berücksichtigt, ist heute vom Landesdatenschutzbeauftragten NRW, Ulrich Lepper, veröffentlicht worden.

In dem 156 Seiten starken Dokument setzt sich die Behörde mit zahlreichen Fragen des Datenschutzes auseinander, deren Problematik nicht nur Fachleute jüngst beschäftig hat und noch weiterhin beschäftigen wird, sondern auch in der breiten Masse intensiv und medial diskutiert wird und wurde.

Folgerichtig zieht der Bericht auch gleich zu Beginn Lehren aus den Snowden-Enthüllungen und warnt eindringlich vor einem zunehmenden Überwachungsstaat, der für die öffentliche Sicherheit Freiheitsrechte opfert. In diesem Kontext leitet der Bericht über zu den viel diskutierten Themen Vorratsdatenspeicherung, Funkzellenabfragen und öffentlicher wie privater Videoüberwachung, die auf öffentlichen Plätzen Lepper selbst kürzlich als „No-Go“ bezeichnete. Einer Diskussion zum novellierten Verfassungsschutzgesetz NRW schließt sich die generelle Frage nach der Datensicherheit in der öffentlichen Landesverwaltung an, welcher die Landesdatenschützer nicht zuletzt Versäumnisse im Datenschutz hinsichtlich der Nutzung von sozialen Medien für Bürgeranfragen vorwerfen.

Im Bereich neuer Entwicklungen im Dienstleistungs- und Warensektor stehen verhaltensbezogene Versicherungstarife am Beispiel von Kfz- und Krankenversicherungen, die nach vorteilhafter Bewertung von persönlichen Verhaltensdaten der Versicherungsnehmer günstigere Beiträge gewähren, ebenso in der Kritik der Landesdatenschützer wie automatische Funktionen in modernen Kraftfahrzeugen, bei denen personenbezogene Aussagen über das Fahrverhalten erhoben werden können, und zuletzt modernen „Smart-TVs“, welche Daten über die Mediennutzung des Rezipienten zu erheben und übermitteln in der Lage sind.

Auch dem europäischen Datenschutz wird ein eigenes Kapitel gewidmet. So wird die Entscheidung des Europäischen Gerichtshofs zu Internet-Suchmaschinen, nach der Bürger ein Recht auf Unsichtbarkeit haben, reflektiert. Wie schon im Bericht von 2013 wird insbesondere auch die immer noch ausstehende europäische Datenschutzreform, allem voran die EU-Grundverordnung, thematisiert. Auch die Düsseldorfer Behörde begegnet der EU-Initiative nach wie vor mit Skepsis.

Eine „Abfuhr“ für das herkömmliche System der Datenschutzkontrolle sieht Lepper durch die geplante Änderung des Unterlassungsklagegesetzes, wonach u.a. künftig auch Verbraucherschutzverbände bei Datenschutzverstößen durch Unternehmen Klagebefugnis erhalten sollen.

Wichtige Instrumente für Datenschutz in der Fläche sieht Lepper einerseits in freiwilligen Zertifizierungen von Unternehmen, welche die Behörde ausdrücklich begrüßt, aber auch in der Information und Aufklärung von Bürgern, die so für eigene Rechtewahrnehmung sensibilisiert werden.

Den vollständigen 22. Datenschutz- und Informationssicherheitsbericht des Landesdatenschutzbeauftragten des Landes Nordrhein-Westfalen finden Sie hier.

USA: Weiterer Schritt Richtung Totalüberwachung

7. Mai 2015

Wie Medien berichten, will das US-Ministerium für Heimatschutz sämtliche Kfz-Kennzeichen in den USA überwachen lassen.

Um dies zu ermöglichen, hat das Ministerium in einer Art Ausschreibung um konkrete Angebote von privaten Firmen gebeten, die technisch und logistisch in der Lage sind, täglich Millionen von Kennzeichen zu scannen und die Daten zu speichern. Das Ministerium erwägt, Lizenzen für rund 3.000 Rechner zu erwerben, von denen auf die erfassten Daten überall im Land zugegriffen werden kann. Wie heise online mitteilt, sollen die privaten Überwachungsfirmen die erfassten Daten nahezu ohne Löschungsfristen, also für immer, speichern dürfen. Wenige Ausnahmen beschränken sich auf Daten im Zusammenhang mit Straftaten. Hier sollen die Daten „nur“ bis zur Verjährung der Tat gespeichert werden dürfen. Bei anderen, nicht näher beschriebenen, „Untersuchungen“ solle die Vorhaltefrist fünf Jahre betragen dürfen.

Eine Rechtfertigung für ein solch umfangreiches Vorgehen und tiefes Eingreifen in die Privatsphäre seiner Bürger sieht die Behörde in der – jedenfalls in den USA scheinbar stets greifenden – Bedrohung der nationalen Sicherheit. Natürlich verfolgt das Ministerium ausschließlich Zwecke zum Vorgehen gegen Waffenschmuggel, Drogenschmuggel und illegale Einwanderung. Aber auch Kinderpornographie, Kindermissbrauch, Betrug und Finanzverbrechen – also eigentlich nahezu alle Verbrechen – sollen durch das Erfassen, Speichern und Auswerten von Fahrzeugdaten bekämpft und eingedämmt werden, wie heise online weiter mitteilt.

Nachrichten wie diese werfen die Frage auf, ob es in den USA denn überhaupt keine Interessenabwägungen gibt und ob der Zweck wirklich alle Mittel heiligt.

Veröffentlichung des Tätigkeitsberichts des Bayerischen Landesamtes für Datenschutzaufsicht

26. März 2015

In dieser Woche hat das Bayerische Landesamt für Datenschutzaufsicht seinen Tätigkeitsbericht für die Jahre 2013 und 2014 veröffentlicht. Neben einem Überblick über die allgemeine Tätigkeit der 17 Personen umfassenden Behörde werden hier zahlreiche Einzelfälle zu Datenschutzthemen der letzten Jahre dargestellt. So schildert der Bericht unter anderem die Bemühungen der Behörde, zu prüfen, welche Daten Smart TVs über ihre Nutzer an Hersteller und Dritte melden. Zu diesem Thema, welches auch medial in den letzten Monaten Beachtung fand, führte die Behörde eigene Tests durch, deren Ergebnisse letzten Monat veröffentlicht wurden. In diesen konnte dargelegt werden, dass bereits beim Einschalten des Fernsehers Daten an verschiedene Server verschickt wurden und letztlich eine komplette Ausforschung des TV-Verhaltens möglich ist. Auch zu weiteren Themen wie Fahrzeugdaten, Videoüberwachung und Beschäftigtendatenschutz gibt die Behörde einen interessanten Einblick in ihre Tätigkeit. Insgesamt zeigt sich, dass Bürger immer öfter den Kontakt zu den Aufsichtsbehörden suchen und diese dann auch eigene Ermittlungen durchführen und in vielen Fällen auch Bußgelder verhängen. Die staatliche Aufsicht über die Einhaltung des Datenschutzes, dieser Eindruck entsteht, wurde in den letzten Jahren immer engmaschiger und effektiver.

1 23 24 25 26 27 31