Kategorie: DSGVO

Vorratsdatenspeicherung: Neue Debatte nach anstehendem EuGH-Urteil?

20. September 2022

20. September 2022: Der Europäische Gerichtshof (EuGH) urteilt erneut über das Thema Vorratsdatenspeicherung. Diesmal geht es um das diesbezüglich schon länger auf Eis liegende deutsche Gesetz zur Vorratsdatenspeicherung. Wird die Entscheidung des EuGHs frischen Wind in die Diskussion bringen?

Was soll gespeichert werden?

Grundsätzlich meint Vorratsdatenspeicherung das Speichern von Verbindungsdaten. Es handelt sich nicht um explizite Inhalte einzelner Kommunikationen, sondern um die abstrakte Speicherung von Kommunikationseckdaten. So ist also lediglich die Aufklärung und Speicherung im Kontext der folgenden Fragestellungen berührt:

– Wer hat wann mit wem wie lange telefoniert, und von welchem Ort aus?
– Wer hat an wen eine E-Mail geschrieben?
– Mit welcher IP-Adresse war ich wie lange im Internet unterwegs?

Adressaten der Vorratsdatenspeicherung

Speicherverpflichtete wären Kommunikationsunternehmen. Durch eine vorrätige Speicherung soll staatlichen Behörden ein Zugang zu Verbindungsdetails ermöglicht werden. Ein Zugang zu derartigen Informationen soll für zehn Wochen gewährleistet werden. Daneben sei auch ein Zugriff auf Standortdaten für einen Zeitraum von vier Wochen angedacht.

Wird der EuGH seine bisherige Linie beibehalten?

In einem Urteil im Jahr 2016 zu einem schwedischen Gesetz entschied und beanstandete der EuGH, „Eine allgemeine und unterschiedslose Speicherung aller Vorratsdaten ohne konkreten Anlass sei nicht mit den EU-Grundrechten vereinbar”. Dieser strengen Linie blieb der EuGH in seinem Urteil im Jahr 2020 grundsätzlich treu, legte jedoch Ausnahmen für eine Speicherung fest. Staatlichen Behörden solle demnach ein Zugriff unter bestimmten Voraussetzungen ermöglicht werden. Dies solle auf Daten mit Verbindung zu Kriminalitätshotspots, zum nationalen Schutz vor akuter Terrorgefahr sowie der anlasslosen Speicherung von IP-Adressen anzuwenden sein.


Ob der EuGH einen Trend zur Lockerung der Vorratsdatenspeicherung setzt wird sich mit dem ersehnten Urteil zum deutschen Gesetz zeigen.

NRW: Erste Überwachungsstelle für Verhaltensregeln akkreditiert

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat am 14.09.2022 zum ersten Mal eine Überwachungsstelle für Verhaltensregeln nach Artikel 41 Datenschutz-Grundverordnung (DSGVO) akkreditiert (Pressemitteilung).

Hilfreiches Instrument bei Auslegungsfällen

Die DSGVO sieht vor, dass sich Wirtschaftsbranchen selbst Verhaltensregeln zum Umgang mit personenbezogenen Daten auferlegen können, um so die DSGVO zu konkretisieren.  Art. 40 Abs. 2 DSGVO legt die Bereiche fest, für welche konkrete Verhaltensvorgaben gemacht werden können. Dazu gehören beispielsweise die faire und transparente Verarbeitung sowie die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen. Diese Verhaltensregeln (Codes of Conduct, CoC) können dann von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden. Sie dienen dann als Handlungsorientierung für das Unternehmen. So kann erwünschtes Verhalten gefördert bzw. unerwünschte Handlungen minimiert werden. Darüber hinaus können Auslegungsfragen mithilfe solcher Vorgaben einfacher gelöst werden. Eine Vereinfachung der Prozesse führt in der Regel zusätzlich auch zu einer Kostenersparnis. Konkret betreffen die vom LDI NRW akkreditierten Verhaltensregeln Wirtschaftsauskunfteien sowie die die Konkretisierung von Prüf- und Löschfristen für personenbezogene Daten.  

Kontrolle obliegt Privatwirtschaft

In Zukunft werde die Einhaltung der CoC dann von einer privaten Überwachungsstelle kontrolliert, die ebenfalls von der Datenschutzaufsichtsbehörde genehmigt wird. Diese Überwachungsstellen arbeiten nach Angabe der Behörde neutral und unabhängig. Sie seien extra dafür geschaffen worden, dass die Einhaltung der Datenschutzregeln von der Branche selbst überwacht wird.

Darüber hinaus hätten Bürger:innen nun eine zentrale Stelle, an die sie sich wenden können, wenn sie meinen, dass die Speicherung ihrer Daten unzulässig erfolgt. Die Überwachungsstelle kann dann auch eine Anpassung für alle an den Verhaltensregeln beteiligten Auskunfteien als Maßnahme herbeiführen.

Ausblick mit Chancen

Zusätzlich bleiben auch die staatlichen Datenschutzaufsichtsbehörden weiterhin zuständig. Das gilt sowohl für die Datenschutzaufsicht über Auskunfteien als auch für die Überwachungsstelle. Möglicherweise werden nun aber in Zukunft auch in anderen Branchen weitere Akkreditierungen folgen. Aus datenschutzrechtlicher Sicht ist es erfreulich, dass diese Möglichkeit zur Schaffung größerer Rechtssicherheit und Kontrolle nun erstmalig genutzt wurde.

OLG Karlsruhe: US-Cloud-Anbieter dürfen bei öffentlichen Vergaben berücksichtigt werden

16. September 2022

Das Oberlandesgericht Karlsruhe (OLG) befasste sich zuletzt mit einer Entscheidung der Vergabekammer Baden-Württemberg. Nach dieser Grundsatzentscheidung (Beschluss vom 07. September 2022, Az. 15 Verg 8/22) dürfen Behörden bei öffentlichen Vergabeverfahren auf die Zusicherungen von IT-Anbietern zur Datenschutz-Konformität ihres Angebots vertrauen. Die Entscheidung der Vergabekammer Baden-Württemberg (vom 13.07.2022, Az. 1 VK 23/22) wird aufgehoben.

Sachverhalt

Zwei Krankenhausgesellschaften schrieben europaweit die Beschaffung einer Software für ein digitales Entlassungsmanagement aus. Als Ausschlusskriterium war ursprünglich u.a. die softwaretechnische Einhaltung eines DSGVO-Vertragsentwurfs vorausgesetzt. Dass die Daten ausschließlich in einem Rechenzentrum innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, bei dem keine Subdienstleister oder Konzernunternehmen in Drittstaaten ansässig sind, war als nur für die Wertung relevantes B-Kriterium ausgestaltet.

Nach der Erteilung des Zuschlags stellte eine Konkurrentin, die sich ebenfalls um den Auftrag bewarb, einen Nachprüfungsantrag bei der zuständigen Vergabekammer Baden-Württemberg. Diese verfügte den Ausschluss der ausgewählten Anbieterin aus dem Vergabeverfahren. Dabei wurde angeführt, dass die Anbieterin von der Angebotswertung auszuschließen sei, weil sie Änderung an den Vergabeunterlagen vorgenommen habe. Das Angebot verstoße somit gegen zwingende gesetzliche Vorgaben der DSGVO. Man verarbeite personenbezogene Daten auf Servern, auf die Drittstaaten Zugriff hätten. Das luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns fungiere als Unterauftragnehmerin. Innerhalb des geschlossenen Auftragsverarbeitungsvertrags sei ein Vorbehalt vorgesehen, der es der US-Tochter erlaube, die im Auftrag des Kunden verarbeiteten personenbezogenen Daten auch ohne bzw. entgegen einer Weisung des Kunden offenzulegen und in ein Drittland zu übermitteln, wenn dies notwendig sei, um Gesetze oder verbindlichen Anordnungen einer staatlichen Behörde einzuhalten.

Die Antragsgegnerin konterte, jede zu weitgehende oder unangemessene Anfrage einer staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der Europäischen Union oder zum geltenden Recht der Mitgliedstaaten stehen, anzufechten. Dies wurde auch vertraglich festgehalten. Es liege schon kein Verstoß gegen Art. 44 ff. DSVGO vor, weil eine theoretische Zugriffsmöglichkeit des Drittstaates keine Übermittlung personenbezogener Daten darstelle. Darüber hinaus verwende man Standardvertragsklauseln und setze durch weitere Vereinbarungen mit der US-Tochter die vom Europäischen Gerichtshof (EuGH) nach der Schrems II-Rechtsprechung geforderten ergänzenden Regelungen um, so die Antragsgegnerin.

OLG widerspricht Vergabekammer

Gemäß Art. 44 S. 1 DSGVO ist jedwede Übermittlung personenbezogener Daten in ein Drittland außerhalb des EWRs nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt. Es stellte sich somit die Frage, ob eine Übermittlung in ein Drittland im Sinne der DSGVO vorlag.

Die Vergabekammer folgte dabei der herrschenden Meinung, dass eine berücksichtigungsfähige Offenlegung auch schon dann anzunehmen sei, wenn nur die abstrakte Möglichkeit bestehe, dass von einem Drittland aus zugegriffen werden kann.

Dieser Augmentation folgt das OLG Karlsruhe nicht. Die Antragsgegnerinnen müssten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen würde bzw. das europäische Tochterunternehmen Anweisungen der US-amerikanischen Muttergesellschaft automatisch Folge leisten würde, so der Senat.

Vertragliche Regelungen waren ausschlaggebend

Somit bleibt aber auch weiterhin ungeklärt, ob der Einsatz von US-Anbietern oder deren Tochtergesellschaften generell zulässig ist. Allerdings spricht das OLG in der Entscheidung den vertraglichen Regelungen einen hohen Stellenwert zu. Dies kann bei der Auslegung zukünftiger Sachverhalte und Vergabeverfahren eine Hilfestellung bieten. Hierbei sollte jedoch beachtet werden, dass es immer auf den konkreten Einzelfall ankommt. Die strenge Rechtsprechung des übergeordneten EuGHs sowie die daraus resultierenden Vorgaben der Kommission sollten immer eingehalten werden.

E-Rezepte künftig auch mit elektronischer Gesundheitskarte (eGK) einlösbar – Wissenswertes rund um die eGK – Teil 2

Letzte Woche ging es in Teil 1 um allgemeine Fragen über die eGK.
In Teil 2 geht es heute um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.

Wie werden die Daten auf der eGK geschützt?

Der Datenaustausch über die eGK findet über die sog. Telematikinfrastruktur (TI) statt. Für diese ist die gematik zuständig. In der TI werden die Gesundheitsdaten zu jedem Zeitpunkt verschlüsselt. Dadurch soll verhindert werden, dass Unbefugte die Daten lesen können. Ein Signaturverfahren schützt die Daten vor unberechtigter Veränderung und stellt die Urheberschaft der Daten sicher.

Zugriff auf die Daten der eGK hat nur ein gesetzlich festgelegter Personenkreis, z.B. (Zahn-)Ärztinnen und (Zahn-) Ärzte.

Möchten diese auf die gespeicherten Gesundheitsdaten des eGK zugreifen, erfolgt dies nach dem sog. „2-Schlüssel-System“. Die Versicherten müssen ihre Daten zunächst mit dem ersten „Schlüssel“ freischalten und dazu einen PIN eingeben. Dann müssen die Ärztinnen und Ärzte ihren zweiten „Schlüssel“ eingeben, dieser besteht aus ihren Heilberufsausweis und ebenfalls einer PIN.

Sollte der eGK einmal verloren gehen, muss dies der Krankenkasse gemeldet werden, damit der Versicherte eine neue eGK bekommt. Die auf dem Chip gespeicherten Daten sind durch ihre Verschlüsselung aber trotzdem vor unbefugten Zugriffen geschützt.

Wie kann man seine E-Rezepte zukünftig mit der eGK abholen?

Wenn man diese Funktion nutzen möchte, kann man zukünftig seine eGK in der Apotheke vorzeigen. Diese wird dann – wie in einer Arztpraxis- eingelesen. Dabei wird geprüft, ob die Karte auch nicht gesperrt und das Authentisierungszertifikat gültig ist. Ist dies gegeben, können die Versichertenstammdaten eingesehen werden. Auch offene Rezepte werden dann angezeigt, die in der Apotheke dann eingelöst werden können.

Für diese Verfahren soll die Eingabe einer PIN nicht erforderlich sein, damit auch Vertretungsfälle (Versicherter bittet z.B. Angehörigen, das Rezept einzulösen) möglich sind.

E-Rezepte künftig auch mit elektronischer Gesundheitskarte (eGK) einlösbar – Wissenswertes rund um die eGK – Teil 1

9. September 2022

Nachdem das neue, elektronische Rezept (auch E-Rezept) in den letzten Wochen aufgrund datenschutzrechtlicher Bedenken zum Übermittlungsvorgang bereits Gesprächsstoff war, gibt es dazu eine neue Ankündigung. So veröffentlichte die gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte, Nationale Agentur für Digitale Medizin) eine Pressemitteilung, nach der Patientinnen und Patienten künftig auch mit ihrer elektronischen Gesundheitskarte (eGK) E-Rezepte für verschreibungspflichtige Arzneimittel einlösen können.

Wie die eGK eigentlich genau funktioniert und wie man damit seine E-Rezepte abholen soll, erläutern wir im Folgenden in einem zweiteiligen Beitrag.

In Teil 1 werden wir diese Woche zunächst allgemeines über die eGK erklären.

Was genau ist die eGK?

Die elektronische Gesundheitskarte gilt seit dem 01.01.2015 als Berechtigungsnachweis für gesetzlich Versicherte. Sie werden von den jeweiligen Krankenkassen an ihre Versicherten ausgeteilt. Sie dient als Ausweismöglichkeit in einer Arztpraxis oder einem Krankenhaus. Auf ihr können außerdem persönliche Daten gespeichert werden.

Welche Daten werden auf der eGK gespeichert?

Auf der Vorderseite der eGK selbst sind der Name des Versicherten und seine Versichertennummer, sowie ein Lichtbild abgedruckt.
In der Karte befindet sich ein Mikroprozessor-Chip. Auf diesem sind zunächst administrative Daten der Versicherten z.B. Name, Geburtsdatum, Anschrift und Angaben zur Krankenversicherung (Krankenversichertennummer und Versichertenstatus) gespeichert. Diese Daten werden auch Versichertenstammdatenmanagement (VSDM) genannt. Diese Daten auf dem Chip zu speichern ist Pflicht.

Auf Wunsch des Versicherten können zusätzlich Notfalldaten (NFDM) auf der eGK gespeichert werden. Dazu gehören z.B. Informationen zu Arzneimittelunverträglichkeiten, Allergien und chronischen Erkrankungen, sowie Kontaktdaten zu behandelnden Ärzten und zu Angehörigen.

Auch der elektronische Medikationsplan (eMP) und die elektronischen Patientenakte (ePA) können auch Wunsch der Versicherten genutzt werden.

Wie funktioniert die eGK?

Die eGK wird vor ärztlichen Behandlungen eingelesen, wobei die Praxen dann die auf dem Chip gespeicherten, administrativen Daten abrufen können. Bei Bedarf können die Praxen diese Daten aktualisieren. Dadurch wird geprüft, ob ein gültiges Versicherungsverhältnis besteht.

Neue Karten sind außerdem mit einer Near Field Communication (NFC) – Funktion versehen. Dadurch ist mit einem PIN ein kontaktloser Datenaustausch möglich.

Die Rückseite der eGK kann von den Krankenkassen als „Europäische Krankenversicherungskarte“ verwendet werden und macht somit eine unbürokratische Behandlung innerhalb Europas möglich.

In Teil 2 geht es dann nächste Woche um den Datenschutz auf der eGK und darum, wie man künftig mit der eGK E-Rezepte abholen kann.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Phishing mit Energiepauschale

Das BSI warnt momentan auf seinem Twitter-Account vor Phishing-Mails, die dem Empfänger die Auszahlung der Energiepauschale versprechen. Diese Mails sollen Betreffe wie: „Jetzt Energiepauschale sichern!/ Wir überweisen die Energiepauschale /Bereit für Ihren Energiebonus?“ enthalten. In dem vom BSI veröffentlichten Beispiel sieht die Phishing-Mail aus, als wäre ihr Absender die Sparkasse. In dem Schreiben wird über die Auszahlung der Energiepauschale informiert. Dort steht u.a. folgendes geschrieben: „Um ihre Identät sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegebenen Daten […]. Gebe Sie noch heute Ihre aktuellen Daten auf unser Homepage an und erhalten Sie innerhalb der nächsten vier Wochen ihre Auszahlung der Energiepauschale[…]“.

Das BSI weist ausdrücklich darauf hin, dass unter keinen Umständen hier Daten angegeben werden sollen. Phishing-Mails sind E-Mails die vorgeben, von einem vertrauenswürdigen Absender zu stammen. Tatsächlich stecken hinter Phishing-E-Mails Kriminelle, die die Empfänger solcher E-Mails zur Weitergabe ihrer Daten, meist ihrer Zahlungsdaten verleiten wollen.

Um die immer professioneller werdenden Phishing-Mails von echten unterscheiden zu können, verweist das BSI auf seine Website. Dort wird erklärt, woran man Phishing-Mails gut erkennen kann. Es lohnt sich häufig auch, die E-Mails besonders sorgfältig zu lesen. So können u.a. Rechtschreibfehler wie in dieser Mail („Identät“) eine Phishing-Mail entlarven.

B2B-Datenschutz: DSGVO auf juristische Personen in Sonderfällen anwendbar?

6. September 2022

Dieser Frage widmete sich das LG Hamburg in einer Entscheidung (324 O 30/20) vom 11. Dezember 2021. In dem Sachverhalt nahmen Kläger die Beklagte wegen Verletzung von Datenschutzpflichten auf Löschung und hilfsweise Sperrung in Anspruch.

Beteiligte

Die Klägerinnen betreiben ein Nachhilfeinstitut. Einer der Klägerinnen ist Geschäftsführer und Anteilseigner dieses Instituts.
Die Beklagte betreibt eine private Website auf der Wirtschaftsinformationen über die Kläger veröffentlicht wurden. Bei den strittigen Informationen handle es sich um gesetzliche Pflichtveröffentlichungen zu Unternehmen aus allgemein zugänglichen Registern, wie dem Handelsregister, Insolvenzbekanntmachungen und dem elektronischen Bundesanzeiger. Bei der Weiterverwendung der Daten seien keine eigenen Daten aufgenommen worden. Es handle sich lediglich um bereits verfügbare Daten aus den öffentlichen Registern, so die Beklagte.

Streitgegenstand

Die Beklagte veröffentlichte auf Ihrer Seite den Namen, die Anschrift sowie den Gewinn des Nachhilfeinstituts. Zudem wurde die Bilanzsumme als auch die namentliche Nennung des Geschäftsführers angezeigt. Beide Kläger seien dem Gericht nach der Auffassung gewesen, dass dies nicht ohne deren Einwilligung erfolgen hätte dürfen. Am 25.04.2019 erfolgte sodann der Widerspruch mit Löschaufforderung nach Art. 17 Abs. 1 DSGVO.

Entscheidungsgründe des LG Hamburg

Das Gericht entschied, dass den Klägern keine Ansprüche auf Löschung und Sperrung gegen die Beklagte wegen der Verarbeitung von personenbezogenen Daten zustünden. Es bezog sich in diesem Kontext auf den Erwägungsgrund 14 der Verordnung. Dieser legt ausdrücklich fest dass die Verordnung nicht für juristische Personen anwendbar sei.

Ausnahme

Das Gericht ist der Auffassung, dass der Anwendungsbereich der DSGVO bei der Verarbeitung von Informationen von juristischen Personen eröffnet sei, wenn die Informationen der juristischen Person sich auch auf die hinter dieser stehenden natürlichen Person beziehen. Dies sei dem Gericht nach der Fall wenn Informationen über juristische Personen gleichzeitig auch Aussagen über die für sie handelnden natürlichen Personen treffen oder die Verarbeitung der Informationen sich unmittelbar auf die natürlichen Personen auswirken und gleichsam auf diese durchschlagen.

Fazit

Im vorliegend Sachverhalt träfe diese Ausnahme laut dem LG Hamburg auf die Klägerinnen zu. Der Firmenname und der Geschäftssitz bezögen sich auf ihre Geschäftsführer. Zudem sei ihr Geschäftssitz mit der Wohnanschrift der Geschäftsführer identisch.
Als Anspruchsgrundlagen kämen lediglich Art. 17 Abs. 1 lit. d und lit. c DSGVO in Betracht, so das LG Hamburg. Im Ergebnis des Gerichts fällt die jeweils vorzunehmende Interessenabwägung jedoch zugunsten der Beklagten aus.

LAG Rheinland-Pfalz: Datenweitergabe zwischen Arbeitgebern

31. August 2022

Das LAG Rheinland-Pfalz hat am 05.07.2022 (Az. Az. 6 Sa 54/22) entschieden, dass ein Arbeitgeber ein berechtigtes Interesse an der Weitergabe von Informationen über seine ehemalige Arbeitnehmerin an ihren neuen Arbeitgeber haben könne.

Der Sachverhalt

Hintergrund der Entscheidung waren verschiedene Äußerungen, die der ehemalige Arbeitgeber der Klägerin gegenüber deren neuen Arbeitgeber getätigt habe. Unter anderem behauptete der beklagte Arbeitgeber, dass die Klägerin verschiedene Pflichtverletzungen während der Anstellungen verübt habe.

Das Ziel des beklagten Arbeitgebers sei es gewesen, den neuen Arbeitgeber und dessen Kunden vor einem möglichen Schaden zu schützen. Gegen die getätigten Äußerungen wollte die Arbeitnehmerin einen Unterlassungsanspruch geltend machen.

Die Entscheidung

Das LAG stellte fest, dass ein Arbeitnehmer vor der Offenlegung von personenbezogenen Daten durch das allgemeine Persönlichkeitsrecht geschützt sei. Dieser Schutz erstrecke sich auch auf Daten, die der Arbeitgeber in zulässiger Weise erlangt habe. Grundsätzlich habe jedermann das Recht selbst darüber zu entscheiden, „(…) wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.“ (LAG Rheinland-Pfalz, Urteil vom 05.07.2022, Az. 6 Sa 54/22, Rn. 43)

Außerdem, so das Gericht, müsse der Arbeitgeber vor Weitergabe der Informationen eine Abwägung zwischen seinem Interesse an der Weitergabe und dem allgemeinem Persönlichkeitsrecht des Arbeitnehmers vornehmen. Nach Beendigung des Arbeitsverhältnisses treffe den Arbeitgeber einerseits eine Fürsorgepflicht. Andererseits könne der Arbeitgeber aber ein Interesse daran haben, „(…) andere Arbeitgeber bei der Wahrung ihrer Belange zu unterstützen.“ (LAG Rheinland-Pfalz, Urteil vom 05.07.2022, Az. 6 Sa 54/22, Rn. 43)

Das Fazit

In seiner Argumentation folgte das LAG einer älteren Entscheidung des BAG (BAG, Urteil vom 18.12.1984, Az. 3 AZR839/83). Dieses hatte bereits über das berechtigte Interesse des Arbeitgebers an einer Informationsweitergabe entschieden. Das LAG lies es offen, ob die zwischenzeitlich eingetretenen Entwicklungen auf dem Gebiet des Datenschutzrechtes möglicherweise das Auskunftsrecht des Arbeitgebers, dass nach Durchführung der Interessenabwägung bestehen könne, tangieren. Jedenfalls habe der ehemalige Arbeitgeber in diesem Fall kein Interesse an der Weitergabe der Informationen. Demnach bestehe der Unterlassungsanspruch der Klägerin.

Telegram führt Nutzerumfrage zum Datenschutz durch

Die Messenger-App Telegram befragt aktuell seine Nutzerinnen und Nutzer zum Datenschutz. Konkret geht es darum, „wie die Daten der deutschen Telegram-Nutzer mit den deutschen Behörden, einschließlich der deutschen Polizei (BKA), geteilt werden können (oder nicht).“ Weiter heißt es: „Wir führen diese Abstimmung durch, um herauszufinden, ob unsere deutschen Nutzer unsere aktuelle Datenschutzerklärung unterstützen oder ob sie die Zahl der Fälle, in denen Telegram potenziell Daten an Behörden weitergeben kann, verringern oder erhöhen möchten. Wir stellen drei Optionen zur Wahl.
OPTION 1: Keine Änderungen. IP-Adressen und Telefonnummern von Terrorverdächtigen darf Telegram weiterhin nur aufgrund einer Gerichtsentscheidung weitergeben. Diese Option ist bereits in der aktuellen Datenschutzerklärung von Telegram enthalten.
OPTION 2: Auf Anfrage der deutschen Polizeibehörden darf Telegram IP-Adressen und Telefonnummern von Verdächtigen schwerer Straftaten offenlegen, auch wenn diese nicht durch eine Gerichtsentscheidung gestützt ist. Diese Option wäre, sofern sie Zustimmung findet, komplett neu für Telegram und erfordert deswegen eine Änderung unserer Datenschutzerklärung für Nutzer aus Deutschland.
OPTION 3: Unter keinen Umständen darf Telegram Nutzerinformationen weitergeben, inkl. IP-Adressen und Telefonnummern von Terrorverdächtigen. Wenn diese Option unterstützt wird, ändert Telegram seine Datenstruktur und die Datenschutzerklärung für Nutzer aus Deutschland.

Die Aktion folgt nach Aufforderungen des Bundesinnenministeriums, das eine engere Zusammenarbeit mit Telegram wünscht. Grund dafür ist, dass sich Telegram in den letzten Jahren als Plattform für Menschen mit extremistischem Gedankengut etabliert hatte. Auf Telegram soll es u.a. zu Gewalt- und Mordaufrufen gegen Personen gekommen sein, die Betreiber von Telegram würden illegale Inhalte kaum löschen.

Telegram hat seinen Sitz in Dubai, in den Vereinigten Arabischen Emiraten. Dies hatte für die Bundesregierung in zwei Bußgeldverfahren gegen Telegram zu Problemen geführt, die Bußgeldbescheide zustellen zu können.

Welche Folgen Telegram aus der Umfrage ziehen will, bleibt zunächst offen. Denn auch gegen den Willen seiner Nutzer ist Telegram durch seine Nutzung in Deutschland den deutschen Datenschutzgesetzen unterworfen.

Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?

23. August 2022

Am 18. August 2022 informierte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, in einer Pressemitteilung über eine drohende Abmahnwelle. Tausende von Websites-Betreiber seien nach dem TLfDI bereits von Abmahnungen betroffen.

I. Hintergrund der Abmahnungen

Google Fonts ist ein kostenloser Dienst des US-Anbieters Google. Dieser stellt kostenlose Schriftarten zur freien Verfügung bereit. Problematisch wird es an der Stelle, an der Google Fonts dynamisch auf Websites eingebettet werden. Durch die dynamische Einbindung des Dienstes werden Schriftarten von Servern aus den USA in den Browser der Besucher(innen) geladen. Dabei werden personenbezogene Daten wie die IP-Adresse der Besucher in die Vereinigten Staaten übermittelt. Eine Einbettung der Fonts kann auch durch andere Google Dienste, z.B. Google Maps, erfolgen.

II. Warum ist die Übermittlung problematisch?

Nach dem TLfDI müsste einer solchen Übermittlung der Daten, nach der DSGVO, mindestens eine Einwilligung der Nutzer vorangehen. Dies soll in den Sachverhalten überwiegend nicht der Fall gewesen sein. Zudem handle es sich bei der Übermittlung von Daten in die USA um einen Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet. Dazu komme nicht minder die Tatsache, dass eine solche zustimmungslose und automatische Weiterleitung der IP-Adressen an Google eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts darstelle. So das Landgericht München I im Endurteil vom 20. 01. 2022.

III. Was könnte ein Lösungsansatz sein?

Das TLfDI gibt Empfehlungen zur Nutzung von Google Fonts. In „Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen“ wird das lokale Speichern von Schriftarten und sodann die Einbindung in den eigenen Internetauftritt geraten.
Für viele Websites-Betreiber war diese Thematik bisher ein blinder Fleck im Kontext des Datenschutzrechts und dem technischen Verständnis von Google Fonts. Es ist also ratsam die eigene Website bezüglich der Einbindung von Google Fonts zu überprüfen.

1 2 3 29