Kategorie: DSGVO

Neue WhatsApp-Datenschutzrichtlinien – Update verschoben

21. Januar 2021

Nachdem der zu Facebook gehörende Instant-Messenger-Dienst WhatsApp viel Kritik für die Einführung der neuen Datenschutzregeln erhalten hat, sogar Jan Böhmermann zum Boykott aufrief und viele Nutzer zu WhatsApp Rivalen wie Threema, Signal oder Telegram wechselten, verschiebt WhatsApp die Einführung der neuen Datenschutzrichtlinie.

Ursprünglich sollten die Nutzer bis zum 8. Februar den neuen Bedingungen zustimmen, wenn sie den Chatdienst weiter nutzen wollten.

Laut WhatsApp sollte durch die Änderung der aktualisierten Nutzungsbedingungen und Datenschutzrichtlinie vor allem die Kommunikation mit Unternehmen, die WhatsApp als Kommunikationstool mit ihren Kunden verwenden, verbessert werden. Nachdem einige Medien jedoch darüber berichteten, dass die Änderung dazu führe, dass WhatsApp nun auch die Daten deutscher Nutzer mit Facebook austauschen und zu Werbezwecken nutzen dürfte, hagelte es Kritik.

WhatsApp selbst teilte nach der Kritik nun mit, dass die geplante Aktualisierung erst ab dem 15. Mai gelten soll. Kein Account solle demnach am 8. Februar gesperrt oder gelöscht werden. An der Ende-zu-Ende Verschlüsselung, mit der weder WhatsApp noch Facebook die privaten Nachrichten seiner Nutzer lesen könne, solle nichts geändert werden. Ebenso wenig daran, dass WhatsApp keine Protokolle seiner Nutzer aufbewahrt oder Standortdaten speichert.

Eine Verschiebung des Datums soll WhatsApp nun dabei helfen, Fehlinformationen darüber, wie Datenschutz und Sicherheit bei WhatsApp funktionieren, auszuräumen.

Tatsächlich ist es so, dass WhatsApp, wenn auch der erfolgreichste Messenger-Dienst weltweit, in Sachen Datenschutz in Deutschland immer wieder in Kritik gerät. Dies vor allem deshalb, da der Austausch von Nutzerdaten mit anderen Unternehmen des Facebook-Konzerns als problematisch eingestuft wird und Facebook dadurch beispielsweise neben den jeweiligen WhatsApp Nutzerdaten auch Zugriff auf die Telefonnummern und sonstigen Informationen aus dem Adressbuch des jeweiligen WhatsApp Nutzers bekommt.

Zulässigkeit der Nennung von Klarnamen in Bewertungsportalen

19. Januar 2021

Mit der Frage, ob eine Kundin ihre persönliche Bewertung einer Bäckereimitarbeiterin in einer Online-Rezension teilen durfte, musste sich vor kurzem das LG Essen (Az.: 4 O 9/20) beschäftigen.

Der Sachverhalt

Auf dem Bewertungsportal einer großen Suchmaschinenbetreiberin hinterließ die Kundin einer Bäckerei nach ihrem Besuch die folgende Bewertung:
“Ich bin hier immer zum Frühstücken und sonst auch immer zufrieden und finde das Team sehr sehr nett aber wurde heute so unfreundlich “bedient” von Frau (T…?)! Nicht schön in einer Bäckerei zu arbeiten aber Menschen derart unfreundlich zu behandeln.”
Die Bäckereiangestellte Frau T. verlangte daraufhin von der Suchmaschinenbetreiberin die Löschung der Rezension, mit Verweis auf das in der DSGVO bestehende Recht auf Löschung – in diesem Fall konkret Art. 17 Abs. 1 lit. d DSGVO.

Meinungsfreiheit und Betroffenrechte in Einklang bringen

Damit Frau T. tatsächlich ein Recht zur Löschung zusteht, müssen ihre personenbezogenen Daten unrechtmäßig verarbeitet worden sein. Entscheidend ist dabei eine Abwägung zwischen dem Recht der Freien Meinungsäußerung der Kundin und den Betroffenrechten von Frau T. Für eine solche Abwägung muss immer eine Abwägung im konkreten Einzelfall vorgenommen werden. Mit Art. 17 Abs. 3 bietet die DSGVO jedoch bereits selbst Anknüpfungspunkte dafür, wann Betroffenen kein Recht auf Löschung zusteht. Im vorliegenden Fall hat das LG Essen für seine Entscheidung Art. 17 Abs. 3 lit. a DSGVO herangezogen, wonach personenbezogene Daten nicht gelöscht werden müssen, wenn sie “zur Ausübung des Rechts auf freie Meinungsäußerung und Information” verarbeitet werden.

Ergebnis

Das LG Essen verneint damit ein Löschrecht von Frau T. Im Ergebnis muss die Suchmaschinenbetreiberin damit die in Frage stehene Rezension nicht löschen. Um sich nicht in die Gefahr eines Datenschutzverstoßes zu begeben, sollten Nutzer nichtsdestotrotz Vorsicht walten lassen. Im besten Fall sollte auf die Veröffentlichung von personenbezogenen Daten verzichtet werden.

Datenschutzproblem mit “reCAPTCHA”- Dienst von Google

15. Januar 2021

Nicht selten werden Webseiten heutzutage Opfer von massiven Spamangriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen setzt eine Vielzahl dieser Seiten auf sogenannte “Captchas”.

Was ist ein Captcha und wofür wird es verwendet?

Grundsätzlich handelt es sich bei einem Captcha („completely automated public Turing test to tell computers and humans apart“) um ein Tool, das auf Webseiten eingesetzt wird, um Menschen und maschinelle Programme („Bots“) auseinanderzuhalten. Sinn und Zweck dieser Tools ist es die eigene Webseite vor Bot-Angriffen zu schützen, indem man ihnen von vornherein die Zugriffmöglichkeit auf bestimmte Teile der Webseite, oder aber der gesamten Webseite vorenthält. So sollen etwa Manipulationen von Umfragen, übermäßige Serveranfragen oder aber Fake-User aufgehalten werden.

Die gängigsten Erscheinungsformen eines Captchas sind in Form von verschwommenen Buchstaben, einer einfachen Matheaufgabe oder auch einer Bilderreihenfolge. Zumindest in der Theorie sollen diese Aufgaben nur von Menschen gelöst werden können.

Google, „reCAPTCHA“ und ein Datenschutzproblem

Ganz vorne bei Entwicklung und Einsatz dieser Tools ist der Internetriese Google, dessen eigener Captcha-Dienst „reCAPTCHA“ auf über 6 Millionen Webseiten benutzt wird und mittlerweile bereits in seiner dritten Version vorliegt. Doch was in der Theorie wie eine sorgfältige Schutzvorrichtung wirkt, kann für normale Nutzer ein Datenschutzrisiko darstellen. Denn verborgen im Hintergrund von reCAPTCHA läuft ein JavaScript-Element. Ein solches ist in der Lage Benutzerverhalten auszuwerten. So werden neben IP-Adresse auch Daten wie Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer an Google weitergeleitet, ohne dass der Benutzer davon etwas mitbekommt. In den seltensten Fällen wird der Nutzer auf eine solche Analyse hingewiesen. Auch die allgemeine Datenschutzerklärung von Google bietet keine spezifischen Informationen zu reCAPTCHA.

Ein Problem, dass auch das Landesamt für Datenschutzaufsicht Bayern (BayLDA) sieht und in seinen FAQ zutreffend einen Hinweis in Bezug auf reCAPTCHA gibt:

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Betreiber von Webseiten sollten daher im besten Fall auf die Nutzung von reCAPTCHA und anderen Analysetools verzichten, um sich keinem rechtlichen Risiko auszusetzen.

Schmerzhafter Lottogewinn

14. Januar 2021

Ein Lottogewinner gewann nicht nur die Lotterie, sondern auch einen Rechtsstreit vor dem LG Köln. In diesem erwirkte er eine einstweilige Verfügung gegen den Lotterieveranstalter.

Gewinner einer hohen Lotteriesumme wollen nicht immer, dass ihr Bekanntenkreis von dem Gewinn in Kenntnis gesetzt wird. Zum Ärger des Gewinners einer sechsstelligen Summe veröffentlichte der Lotterieveranstalter allerdings unbefugt dessen Vor- und Nachnamen in verschiedenen Publikationen und online.

Nachdem der Veranstalter die Abgabe einer Unterlassenserklärung verweigert hatte, erwirkte der Gewinner vor dem LG Köln eine einstweilige Verfügung. In dieser stellte das Gericht fest, dass sich der Verfügungsanspruch aus §§ 823 Abs. 1 und 2 (i.V.m. Art. 6 DSGVO), 1004 BGB, Artt. 1 und 2 GG ergibt. Laut LG Köln verletzt die unzulässige Namensnennung rechtswidrig das Recht auf informationelle Selbstbestimmung und damit das allgemeine Persönlichkeitsrecht des Geschädigten. Auch eine Einwilligung oder sonstige Rechtsgrundlage gem. Art. 6 DSGVO als Basis für eine zulässige Datenverarbeitung lagen nicht vor.

Bevor es dann zu einem Urteil in der Hauptsache kam, einigten sich die Parteien durch einen Vergleich, der unter anderem die Zahlung eines Schmerzensgeldes in Höhe von 8000€ beinhaltete.

Bußgeld in Höhe von 10,4 Mio. Euro wegen Videoüberwachung von Beschäftigten

12. Januar 2021

Die Datenschutzbeauftragte des Landes Niedersachsen (LfD Niedersachsen) hat gegen die notebooksbilliger.de AG wegen Datenschutzverstößen ein Bußgeld in Höhe von 10,4 Millionen Euro verhängt. Dabei handelt es sich um eines der höchsten Bußgelder, das bisher von einer deutschen Aufsichtsbehörde wegen eines Verstoßes gegen Datenschutzbestimmungen verhängt wurde. Der Bußgeldbescheid ist allerdings noch nicht rechtskräftig. Auch hat das Unternehmen seine Videoüberwachung nach Angaben des LfD Niedersachsens mittlerweile in rechtmäßiger Weise ausgestaltet.

Vorwurf: Umfassende Videoüberwachung ohne konkrete Verdachtsmomente

Hintergrund des verhängten Bußgeldes ist die im Unternehmen durchgeführte Videoüberwachung von Beschäftigten, die von der Datenschutzbeauftragten des LfD Niedersachsen – Barbara Thiel – als “schwerwiegend” bezeichnet und für unzulässig erklärt wurde. Mit dem Ziel, Straftaten zu verhindern und aufzuklären habe das Unternehmen eine weiträumige Videoüberwachung eingeführt, die sowohl Arbeitsplätze als auch Verkaufsräume, Lager sowie Aufenthaltsbereiche erfasse. Zudem seien die Aufnahmen oftmals 60 Tage lang gespeichert worden sein.

Der Umfang der Videoüberwachung wurde nun durch das LfD Niedersachsen als unzulässig eingestuft. Zur Verhinderung und Aufdeckung von Straftaten dürfe eine Videoüberwachung nur anlassbezogen erfolgen, und auch nur dann, wenn mildere Mittel wie Taschenkontrollen nicht in Betracht kommen. Im Falle eines begründeten Verdachts dürften einzelne Personen überwacht werden, wobei die Überwachung zeitlich begrenzt werden müsse. Ein Generalverdacht oder eine Präventivfunktion seien hingegen nicht ausreichend, sodass die Überwachung aller Beschäftigter unrechtmäßig sei. Zudem seien hier auch Kunden von der Videoüberwachung betroffen gewesen.

Besondere Schwere des Grundrechtseingriffs betont

Die Datenschutzbeauftragte betonte noch einmal, dass es sich bei der Videoüberwachung von Beschäftigten um einen besonders intensiven Eingriff in das Persönlichkeitsrecht handle, “da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“ Aus diesem Grund muss die Videoüberwachung strengen Kriterien folgen.

notebooksbilliger.de kündigt Einspruch an

Die notebooksbilliger.de AG hat angekündigt, gegen den Bußgeldbescheid juristisch vorzugehen. Der CEO des Unternehmens, Oliver Hellmold, bezeichnet die Höhe des Bußgeldes in Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des Verstoßes als unverhältnismäßig. Auch wird bestritten, dass es zu einer systematischen Überwachung der Beschäftigten gekommen sei. Das Videosystem sei hierfür technisch gar nicht ausgelegt gewesen. Durchaus schwer wiegt der Vorwurf des Unternehmens, die Aufsichtsbehörde habe den Sachverhalt nicht ausreichend ermittelt, insbesondere habe man sich vor Ort kein Bild von der Ausgestaltung der Videoüberwachung gemacht. Stattdessen wolle man ein Exempel statuieren, um “ein möglichst abschreckendes Bußgeldregime in Sachen Datenschutz zu etablieren.“ Ziel des juristischen Vorgehens sei aber nicht nur, die Höhe des Bußgeldes anzugreifen und stellvertretend für alle mittelständischen Unternehmen gegen “ungerechte Verfahren” vorzugehen, sondern auch prüfen zu lassen, “ob die Datenschutzbehörde darauf verzichten konnte, einen konkreten Verstoß einer Leitungsperson im Unternehmen festzustellen.“ Gegenstand der juristischen Auseinandersetzung sollen also auch grundlegende Fragen werden, sodass es sich anbietet, das kommende Verfahren aufmerksam zu verfolgen.

Brexit und Datentransfers: Einigung auf Übergangsregelungen

5. Januar 2021

Zum 01.01.2021 wurde der Brexit nun “endlich” offiziell vollzogen, und noch rechtzeitig vor Ablauf der Übergangsfrist konnten sich die EU und das Vereinigte Königreich (UK) auf ein Handels- und Kooperationsabkommen einigen. Dieses ist zwar bisher lediglich provisorisch in Kraft – es fehlt noch die Bestätigung der verschiedenen Institutionen und Mitgliedsstaaten – jedoch dürfte es sich dabei nur noch um eine Formalie handeln.

Vereinigte Königreich nun ein “Drittstaat”

Mit dem Austritt aus der EU ist das Vereinigte Königreich aus datenschutzrechtlicher Sicht nun ein sog. Drittstaat. Dies bedeutet, dass Datentransfers ins Vereinigte Königreich besonders gerechtfertigt werden müssen. Zu diesem Zweck kommt ein Angemessenheitsbeschluss der Kommission in Betracht (Art. 45 DS-GVO), durch welchen bestätigt wird, dass die Datenschutzbestimmungen des Vereinigten Königreichs ein angemessenes Schutzniveau für die übermittelten Daten gewährleisten. Fehlt es an einem solchen Beschluss, kommen die in Art. 46 Abs. 2 DS-GVO genannten Möglichkeiten zur Rechtfertigung in Betracht. Hier würde wie bei Datentransfers in die USA wohl überwiegend auf die sog. Standardvertragsklauseln zurückgegriffen werden, wobei angesichts der Schrems-II-Entscheidung (wir berichteten) fraglich sein könnte, ob diese allein ausreichend sind.

Angemessenheitsbeschluss in Arbeit

Für Rechtssicherheit auf Seiten der betroffenen Unternehmen – und auch für bürokratische Entlastung – würde demnach ein Angemessenheitsbeschluss sorgen. Bereits seit März 2020 arbeitet die Kommission nach eigenen Angaben an einem solchen Beschluss, bisher wurde dieser jedoch noch nicht erlassen. Selbst wenn die Kommission den Beschluss zeitnah erlässt, würde für zusätzliche Verzögerung sorgen, dass dieser auch noch durch den Europäischen Datenschutzausschuss (EDSA) sowie durch die 27 Mitgliedsstaaten bestätigt werden muss.

Weil zwischen dem Ausstritt des Vereinigten Königreichs und dem (möglichen) Erlass des Angemessenheitsbeschlusses eine Lücke entstanden ist, wurde in das Handels- und Kooperationsabkommen eine Übergangsregelung aufgenommen. Diese ermöglicht für die kommenden vier Monate, dass personenbezogene Daten auch ohne ein in den Art. 45 ff. DS-GVO genanntes Instrument übermittelt werden können. Sofern erforderlich und falls keine der beiden Parteien widerspricht, kann sich die Übergangsfrist um weitere zwei Monate – also bis zum 01.07.2021 – verlängern. Bis zu diesem Zeitpunkt ist also für Rechtssicherheit gesorgt.

Und nach Ablauf der Übergangsregelungen?

Was aber passiert, wenn bis zu diesem Datum kein Angemessenheitsbeschluss erlassen wurde? Unmöglich erscheint dies nicht, berücksichtigt man die durch den EuGH gestellten Anforderungen an die Wirksamkeit eines solchen Beschlusses. Auch scheint fraglich, ob die Kommission ein erneutes Szenario wie beim Privacy-Shield riskieren will, also das Abkommen durch den EuGH gekippt wird und dies für erhöhte Rechtsunsicherheit sorgt. Insofern sollten sich die betroffenen Unternehmen auch auf den Worst Case vorbereiten: Dass ab dem 01.07.2021 Instrumente wie die Standardvertragsklauseln herangezogen werden müssen, um Datentransfers in das Vereinigte Königreich rechtfertigen zu können.

Erstes Kohärenzverfahren der europäischen Aufsichtsbehörden – Thema: Bußgeld gegen Twitter

22. Dezember 2020

Nicht selten steht der unterschiedliche Umgang der zuständigen nationalen Aufsichtsbehörden mit Datenschutzverstößen in der Kritik. Insbesondere der irischen Aufsichtsbehörde – welche u.a. für die Big-Tech-Konzerne Facebook und Twitter zuständig ist – wird regelmäßig ein zu lasches Vorgehen gegen die ihr unterstellten Konzerne vorgeworfen, selbst von anderen Behörden. Hintergrund der Kritik ist auch, dass Datenschutzverstöße solcher Big-Player regelmäßig die Bürger aller EU-Staaten betreffen, es aber grundsätzlich in der Hand einer Behörde liegt, die Verstöße zu ahnden. Um hier ein einheitliches Vorgehen der nationalen Behörden zu gewährleisten, wurde in der Datenschutz-Grundverordnung das sog. Kohärenzverfahren geregelt (Art. 63 ff. DS-GVO). In diesem Verfahren tauschen sich die Aufsichtsbehörden – ggf. unter Einbindung der Kommission – untereinander aus, um eine einheitliche Rechtsanwendung sicherzustellen. Besteht diesbezüglich Uneinigkeit, ist es Aufgabe des Europäischen Datenschutzausschusses (EDSA), die Streitigkeiten zwischen den nationalen Behörden über den Umgang mit Datenschutzverstößen beizulegen. Zum ersten Mal hat der EDSA nun einen solchen Beschluss erlassen und sich dabei auch zur Berechnung von Bußgeldern geäußert.

Datenpanne durch Veröffentlichung geschützter Tweets

Grundlage des Kohärenzverfahrens war eine Datenpanne bei Twitter, welche durch eine fehlerhafte Programmierung ausgelöst wurde. Änderten Nutzer auf Android-Geräten ihre zum Account gehörende E-Mail-Adresse, wurden alle geschützten Tweets der Nutzer öffentlich (über die Follower hinaus), ohne dass dies für den Nutzer ersichtlich war. Die Datenpanne wurde im Dezember 2018 bekannt. Insgesamt waren wohl 88.726 Nutzer innerhalb der EU/des EWR von der Datenpanne betroffen. Bei der Überprüfung der Datenpanne durch die zuständige irische Aufsichtsbehörde stellte diese Verstöße gegen Art. 33 Abs. 1 DS-GVO (Verletzung der Mitteilungspflicht gegenüber der Aufsichtsbehörde) und Art. 33 Abs. 5 DS-GVO (Verletzung der entsprechenden Dokumentationspflicht) fest und schlug ein Bußgeld in Höhe von 135.000 bis 275.000 Euro in Bezug auf die Verletzung dieser Kooperationspflichten vor.

Nachdem die irische Behörde diese Informationen entsprechend Art. 60 Abs. 3 DS-GVO an die anderen europäischen Aufsichtsbehörden übermittelte, erhoben einige Behörden – insbesondere aus Deutschland – Einspruch gegen diese Entscheidung. Gerügt wurde u.a. die Berechnung der Bußgeldhöhe. Der EDSA befasste sich eingehend mit den erhobenen Rügen, wies aber eine Vielzahl davon als unzulässig ab. Geprüft wurde aber insbesondere, ob die Berechnung der Bußgeldhöhe korrekt erfolgte. Dabei stellte der EDSA ausdrücklich fest, dass das Kohärenzverfahren auch dazu dienen soll, die Höhe der Bußgelder in den Mitgliedsstaaten zu vereinheitlichen.

EDSA zur Bußgeldberechnung

Der EDSA weist in seiner Entscheidung ausdrücklich und wiederholt darauf hin, dass es sich um eine Einzelfallentscheidung handelt. Dadurch soll verhindert werden, dass sie in anderen Fällen als Präzedenzfall herangezogen werden kann. Nichtsdestotrotz können aus der Entscheidung Rückschlüsse gezogen werden, insbesondere was die Berechnung der Bußgeldhöhe anbelangt. Wichtig ist aber die Feststellung, dass sich die Aussagen auf die Verletzung der Pflichten aus Art. 33 Abs. 1 und Abs. 5 DS-GVO beziehen, also auf Pflichten im Rahmen der Kooperation mit der Aufsichtsbehörde. Dabei sind insbesondere folgende Feststellungen interessant:

  • Werden Kooperationspflichten verletzt, seien diese Verstöße der Höhe des Bußgeldes zugrunde zu legen, nicht die eigentliche Datenpanne (Veröffentlichung der Tweets).
  • Es müsse berücksichtigt werden, ob die Betroffenen die Absicht hatten, den Personenkreis einzuschränken, welcher von den Daten (Tweets) Kenntnis erlangen soll.
  • Hinsichtllich “Art” und “Umfang” der Verarbeitung sei auf die ursprüngliche Verarbeitung abzustellen, nicht auf die konkrete Datenpanne oder den Datenschutzverstoß (hier also auf die Kommunikation per Tweet).
  • Kenntnis von der Datenpanne (im Sinne des Art. 33 Abs. 1 DS-GVO) habe der Verantwortliche erst, wenn dieser “einen gewissen Grad an Gewissheit” darüber besitze, dass eine Datenpanne aufgetreten ist.
  • Gehört die Verarbeitung personenbezogener Daten zum Kern der Tätigkeiten des Verantwortlichen, müsse man erwarten können, dass dieser geeignete Maßnahmen implementiert hat, um Datenpannen und Abhilfemaßnahmen dokumentieren und somit seinen Pflichten nachkommen zu können. Werden die Kooperationspflichten dennoch verletzt, sei dies nachteilig zu bewerten.
  • Die Aufsichtsbehörde müsse konkret darlegen, aufgrund welcher Kriterien die vorgeschlagene Bandbreite des Bußgeldes (0.25% bis 0.5% des maximalen Bußgeldes) ermittelt wurde.

Letztendlich rügte der EDSA vor allem die Berechnung des Bußgeldes und verwies die Sache zurück an die irische Datenschutzbehörde. Diese müsse die Höhe des Bußgeldes neu berechnen. Darauf hin hat die irische Behörde nun das Bußgeld auf 450.000 Euro erhöht.

Entschließungen der 100. Datenschutzkonferenz veröffentlicht

10. Dezember 2020

Bereits am 25. und 26. November 2020 hatten sich die Datenschutzbehörden des Bundes und der Länder (DSK) zu ihrer 100. Sitzung zusammengefunden. Dabei berieten und äußerten sich die obersten Datenschützer zu zahlreichen aktuellen Themen: Nutzung von MS Office 365, Fragen der Datenverarbeitung im Rahmen der Covid-19-Pandemie, Ende-zu-Ende-Verschlüsselung, Umsetzung der ePrivacy-Richtlinie und Zentralisierung der Datenschutz-Aufsicht (alle Entschließungen können hier eingesehen werden).

Nutzung von MS Office 365 zulässig?

Die DSK stellte ihre Ergebnisse zur Untersuchung von Windows 10 in der “Enterprise”-Version vor. Dabei wurde festgestellt, dass es zu Übermittlungen von Telemetriedaten kommen kann. Um diese zu verhindern und eine zulässige Nutzung zu ermöglichen, sollte – so die DSK – die Telemetriestufe “Security” genutzt und mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z.B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sichergestellt werden, dass keine Übermittlung von Telemetriedaten erfolgt.

Im Hinblick auf MS Office 365 kündigte die DSK an, weiterhin im Gespräch mit Microsoft bleiben zu wollen. Hier wurden demnach keine neuen Ergebnisse vorgestellt.

Umsetzung der ePrivacy-Richtlinie angemahnt

Die DSK hat den Gesetzgeber zudem dazu angemahnt, endlich die Vorgaben der sog. ePrivacy-Richtlinie vollständig und ordnungsgemäß in deutsches Recht umzusetzen. Vor dem Hintergrund des BGH-Urteils zur Verwendung von Cookie-Bannern (wir berichteten) sei die Unsicherheit der Webseiten-Betreiber groß, welche rechtlichen Regelungen bei der Verarbeitung nicht-personenbezogener Daten denn nun gelten. Insofern sei der Gesetzgeber dazu verpflichtet, die Vorgaben der ePrivacy-Richtlinie nunmehr vollständig, ordnungsgemäß und im Einklang mit der DSGVO umzusetzen.

Gegen Aufweichung der Ende-zu-Ende-Verschlüsselung

Kritisch äußerte sich die DSK auch zu Vorschlägen des Rates der Europäischen Union, welche die Aufweichung der Ende-zu-Ende-Verschlüsselung im Rahmen vertraulicher privater Kommunikation betreffen. Nach diesen Vorschlägen sollte den Sicherheitsbehörden und Geheimdiensten der Zugriff auf verschlüsselte Kommunikation in Messengerdiensten und anderen Kommunikationsmitteln vereinfacht werden. Die DSK wendet gegen dieses Vorhaben insbesondere ein, dass dies durch Kriminelle und Terroristen leicht umgangen werden könnte, im Gegenteil aber die Digitalisierung in Wirtschaft und Verwaltung beeinträchtigen könne und auch das Vertrauen der Bürger in sichere Kommunikationsmittel gefährde.

Zentralisierung der Datenschutzaufsicht kontraproduktiv

Schließlich äußerte die DSK auch Bedenken gegenüber Forderungen, die Datenschutzaufsicht im nicht-öffentlichen Bereich zu zentralisieren. Diese sei kontraproduktiv, denn eine Zentralisierung führe zu einer Entfernung von den Unternehmen und Bürgern. Auch genießen die Aufsichtsbehörden ein hohes fachliches Ansehen. Statt eine solche Debatte zu führen, sollte die bessere personelle Ausstattung vorangetrieben werden, sodass alle Behörden ihre Aufgaben vollumfänglich erfüllen können.

Datenschutz-Lehrstunde für die AfD

9. Dezember 2020

Das AfD-Meldeportal “Neutrale Schule” bleibt weiterhin ohne Anwendung. Nach einer Verbotsverfügung und einem gescheiterten Eilantrag des Landesverbandes Mecklenburg-Vorpommern wies das VG Schwerin in der Hauptsache die Klage gegen das Verbot der Platform ab.

Die Alternative für Deutschland hatte bereits im letzten Jahr in Mecklenburg-Vorpommern ein Portal ins Leben gerufen, in welchem Schüler ihre Lehrer melden konnten, wenn diese durch politische Aussagen gegen das Neutralitätsgebot verstoßen. Laut AfD soll dies “die Indoktrinierung unserer Kinder verhindern und damit eine unbeeinflusste politische Meinungsbildung ermöglichen”.

Das VG Schwerin bestätigte nun die Entscheidung des Landesdatenschutzbeauftragten des Landes Mecklenburg-Vorpommern. Das Online-Portal “Neutrale Schule” verstoße gegen Art. 9 Abs. 1 DS-GVO. Nach dieser Vorschrift ist unter anderem die Verarbeitung personenbezogener Daten untersagt, aus denen politische Meinungen oder weltanschauliche Überzeugungen hervorgehen. Mangels einer ausdrücklichen Einwilligungen seitens der betroffenen Personen oder eines offensichtlichen Öffentlichmachens dieser Daten sei eine Ausnahme gemäß Art. 9 Abs. 2 DS-GVO unbegründet. Auch sei die Verarbeitung nicht zur Geltendmachung von Rechtsansprüchen oder aus Gründen eines erheblichen öffentlichen Interesses erforderlich.

Gegen das Urteil vom 26. November 2020 (Az. 1 A 1598/19 SN) kann die AfD vor der Oberverwaltungsgericht Mecklenburg-Vorpommern in Berufung gehen.

Anders als im Falle der “Neutralen Schule” wurde im Bezug auf die App “Lernsieg” entschieden. Diese bietet die Möglichkeit eine generelle Evaluation von Lehrern abzugeben. Im wesentliche Unterschied zur “Neutralen Schule” bestätigte die zuständige Datenschutzbehörde hier ein legitimes Informationsinteresse der Öffentlichkeit an der Bewertung.

Italienische Datenschutzbehörde verhängt Bußgeld gegen Vodafone

25. November 2020

Die italienische Datenschutzaufsichtsbehörde (Garante per la protezione dei dati personali) hat Vodafone zur Zahlung einer Geldbuße von über 12,25 Mio. € verurteilt, weil das Unternehmen die personenbezogenen Daten von Millionen von Nutzern illegal für Telemarketingzwecke verarbeitet hat.

Die Datenschutzaufsichtsbehörde leitete ein Untersuchungsverfahren ein, nachdem sich Betroffene über unerwünschte Werbeanrufe von Vodafone oder Firmen aus dem Vermarktungsnetzwerk des Telekommunikationsunternehmens beschwert hatten. Die Aufsichtsbehörde stellte fest, dass Werbeanrufe ohne Einwilligung der Betroffenen erfolgten. Weitere Verstößen wurden bei der Verwaltung der von externen Providern beschafften Listen von Kontaktdaten gefunden. Zudem wurden Mängel bei der Erfüllung der Rechenschaftspflicht sowie der technischen und organisatorischen Maßnahmen festgestellt.  

Neben der Zahlung der Geldbuße muss das Unternehmen eine Reihe von Maßnahmen ergreifen, die von der Behörde festgelegt wurden, um die nationalen und europäischen Rechtsvorschriften zum Datenschutz einzuhalten. Hierzu gehören die Schaffung eines Dokumentationssystems, mittels dessen sich nachverfolgen lässt, ob die Verarbeitung personenbezogener Daten im Kontext des Telefonmarketings entsprechend der gültigen Regelungen erfolgt und eine Stärkung bestehender Sicherheitsmechanismen, um unerlaubten Zugriffen auf und unrechtmäßiger Verarbeitung von Kundendaten vorzubeugen. Vodafone wurde zudem aufgefordert Maßnahmen zu ergreifen, um auch auf Anfragen von Kunden zur Ausübung ihrer Rechte umfassend reagieren zu können.

Schließlich hat die Behörde Vodafone jede weitere Verarbeitung von Daten zu Werbezwecken untersagt, die durch den Erwerb von Listen von Dritten erfolgt, ohne dass diese eine spezifische und informierte Einwilligung der Nutzer für die Übermittlung ihrer Daten eingeholt haben.

1 2 3 12