Kategorie: DSGVO

Cyberangriff bei der Stadt Potsdam?

23. Januar 2020

Laut Pressemitteilung vom 22.01.2020 könnte die Landeshauptstadt Potsdam Opfer eines Cyberangriffs geworden sein. Infolgedessen wurde der Server der Verwaltung vor etwa 48 Stunden offline gestellt.

Der Oberbürgermeister Mike Schubert erklärte: „Wir haben unsere Systeme aus Sicherheitsgründen offline gestellt, weil wir von einer illegalen Cyberattacke ausgehen müssen“. Weiterhin versicherte er: „Wir arbeiten mit Hochdruck daran, dass die betroffenen Systeme der Verwaltung baldmöglichst wieder eingeschaltet werden und wir wieder sicher arbeiten können. Bis dahin bitten wir um Geduld bei allen Anliegen, die die Bürgerserviceeinrichtungen betreffen“.

Hintergrund für die Vermutung eines Cyberangriffs waren laut Schubert „zahlreiche Ungereimtheiten“, die in den letzten 2 Tagen in den zentralen Netzzugängen festgestellt worden sind.  Angeblich wurde, aufgrund einer „Schwachstelle im System eines externen Anbieters“, von außen versucht unberechtigt Daten vom Server der Stadt Potsdam abzurufen. Zusätzlich wurde probiert eine Schadstoffsoftware zu installieren.

Über das Ausmaß der Schäden kann zurzeit noch keine Aussage getroffen werden. Die It-Experten untersuchen momentan die Systeme, versuchen sie wiederherzustellen und die Datensicherheit zu gewährleisten. Die Stadt Potsdam hat Anzeige gegen Unbekannt gestellt und die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA) Brandenburg informiert. Die Verwaltungsvorgänge sind zurzeit stark eingeschränkt. Die Verwaltung ist nicht mehr per E-Mail, sondern nur noch telefonisch erreichbar.

Bundesdatenschutzbeauftragter für Verbot von Gesichtserkennung im öffentlichen Raum

22. Januar 2020

Aufgrund der neuesten Berichte über das US-Unternehmen Clearview, das eine Datenbank mit rund 3 Milliarden frei im Internet verfügbaren Fotos erstellt haben soll und mit dieser nun bei Behörden für einen Gesichtserkennungsdienst wirbt, hat sich Ulrich Kelber, der Bundesdatenschutzbeauftragte, nun klar gegen ein solches Vorgehen in Europa gestellt.

Im Statement gegenüber den Zeitungen des „Redaktionsnetzwerks Deutschland“ stellte Kelber klar, dass die biometrische Gesichtserkennung im öffentlichen Raum einen potenziell sehr weitgehenden Grundrechtseingriff darstelle, der auf jeden Fall durch konkrete Vorschriften legitimiert sein müsste, an der es allerdings bislang fehle. Fraglich sei allerdings auch bereits, ob eine solche Rechtsgrundlage überhaupt verfassungskonform ausgestaltet werden könne.

Kelber befürchtet zudem, dass der Einsatz von Gesichtserkennung im öffentlichen Raum das Verhalten der betroffenen Bürger zu sehr beeinträchtigen könnte, die so beispielsweise auf die Teilnahme an Demonstrationen – und damit auf die Ausübung ihrer Freiheitsrechte – verzichten könnten, um so eine Identifizierung durch Gesichtserkennung zu verhindern.

Letztlich liegt es daher nach Aussage Kelbers daran, den Einsatz von Technologie so zu regulieren, dass eine missbräuchliche und sozialschädliche Nutzung ausgeschlossen wird.

Arztpraxen brauchen erst ab 20 Mitarbeitern einen Datenschutzbeauftragten

16. Januar 2020

Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.

Der Bundestag hat mit Beschluss des sogenannten Zweiten Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden dadurch Anpassungen in rund 150 Gesetzen erforderlich.

Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.

Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.

15.000 EUR Zwangsgeld wegen unzureichender Auskunft nach DSGVO

8. Januar 2020

Das Amtsgericht Wertheim verhängte mit Beschluss vom 12.12.2019 (Az.: 1 C 66/19) ein Zwangsgeld in Höhe von 15.000 Euro (ersatzweise ein Tag Zwangshaft für je 500 Euro) gegen ein nach Art. 15 DSGVO auskunftspflichtiges Unternehmen.

Das Unternehmen war zuvor mit Anerkenntnisurteil vom 27.05.2019 (Az.: 1 C 66/19) verurteilt worden, Auskunft über die personenbezogenen Daten des Klägers, die bei dem Unternehmen verarbeitet werden, zu erteilen und diesem über die Informationen nach Art. 15 Abs.1 DSGVO Auskunft zu geben.

Das Gericht begründete seinen Beschluss nun mehr damit, dass das Unternehmen dieser Pflicht nicht vollständig nachgekommen sei. Insbesondere habe das Unternehmen nicht alle erforderlichen Informationen über die Herkunft der Daten des Klägers nach Art. 15 Abs. 1 lit. g) DSGVO erteilt.

Das Unternehmen legte dem Kläger zwecks Auskunftserteilung ein Schriftstück vor, dessen Erhalt der Kläger bestritt. Das Schriftstück gab die Kategorien der verarbeiteten Daten an und benannte als Herkunft der Daten in Klammern eine GmbH mit dem Zusatz „z.B.“.

Unabhängig davon, ob ein solches Schreiben tatsächlich an den Kläger übergegeben wurde, so das Amtsgericht, genüge dieses jedoch nicht den Anforderungen des Art.12 DSGVO. Die Information über die Herkunft der Daten werde in dem Schriftstück nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt. Der Zusatz „z.B.“ mache das Schriftstück vielmehr unklar und irreführend, da für den Betroffenen nicht ersichtlich sei, ob die Daten wirklich von der benannten GmbH stammten.

Weiterhin führte das Gericht aus, dass aus dem Schriftstück auch nicht hervorgehe zu welchem Zeitpunkt und mit welchem Inhalt personenbezogene Daten übermittelt wurden.

Auch genüge es nicht mitzuteilen, welche Art oder Kategorie von Daten verarbeitet wurde. Entscheidend sei im Hinblick auf Art. 15 DSGVO vielmehr die Nennung der konkreten personenbezogenen Daten.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

LDA Brandenburg erklärt automatische Kennzeichenerfassung für unzulässig

7. Januar 2020

Die Landesbeauftragte für Datenschutz in Brandenburg (LDA) hat die automatische Kennzeichenerfassung (KESY) durch die Polizei für unzulässig erklärt.

Seit Jahren wurden an festinstallierten Standpunkten auf den Autobahnen in Brandenburg die Kennzeichen erfasst und gespeichert. Das Kennzeichenerfassungssystem im Aufzeichnungsmodus wurde von der Landesdatenschutzbeauftragten Dagmar Hartge gegenüber der Polizei beanstandet.

Der Grund für die Unzulässigkeit der Datenerhebung beruht auf der fehlenden Rechtsgrundlage. Die Polizei hatte die Datenverarbeitung bisher auf § 100h I 1 Nr. 2 StPO gestützt. Die fünfjährige Prüfung der Landesbeauftragten ergab jedoch, dass beim andauernden Aufnahmemodus nicht nur Beschuldigte (§ 100h I 1 Nr. 2 StPO), sondern überwiegend Unbeteiligte erfasst werden, in deren informationelles Selbstbestimmungsrecht ohne Rechtsgrundlage eingegriffen wird.

Hinzu kommen datenschutzrechtliche Mängel, da die Kennzeichenerfassung von den Staatsanwaltschaften in den Observationsbeschlüssen nicht als konkretes technisches Mittel angegeben worden sind. Indem die Polizei den Umfang der Datenverarbeitung selbst bestimmt hatte, verstieß sie gegen den Grundsatz der Datensparsamkeit und der Erforderlichkeit. Es wurden Daten gespeichert, obwohl sie nicht mehr für ein Ermittlungsverfahren aufbewahrt werden mussten.

Erste Maßnahmen zur Milderung der Datenschutzverstöße wurden von der Polizei bereits eingeleitet. So darf der Aufzeichnungsmodus nicht mehr dauerhaft, sondern nur noch auf konkrete Anordnung der Staatsanwaltschaft eingeschaltet werden. Weiterhin kritisiert wird die dauerhafte Speicherung der Kennzeichendaten.

Nach Hacker-Angriff: Uni Gießen nimmt Normalbetrieb wieder auf

Nachdem Anfang Dezember 2019 bei der Justus-Liebig-Universität Gießen (JLU) ein Hackerangriff auf die IT-Infrastruktur entdeckt wurde und seitdem alle Server abgeschaltet worden waren, nimmt die Universität nun wieder ihren Normalbetrieb auf. Bei dem Angriff handelte es sich vermutlich um die Malware Emotet. Die Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek gingen oder sollen in Kürze wieder online gehen.

Im Rahmen der Wiederherstellungsarbeiten wurden bereits rund 60 Prozent der Studierenden-Passwörter neu vergeben – insgesamt wurden 38.000 Passwörter zurückgesetzt. Der Zugriff auf interne Windowslaufwerke soll im Februar erfolgen.

Durch das frühzeitige Herunterfahren aller Universitätsserver konnte ein Verlust aller wissenschaftlichen Daten und die Datenbestände verhindert werden, versichert ein Sprecher der Hochschule.

Datenpanne bei der Lufthansa Miles and More GmbH

16. Dezember 2019

Am Montag, den 9.12.19, hat sich bei der Miles & More GmbH, der 100- prozentigen Tochtergesellschaft der Lufthansa, eine Datenpanne ereignet. 40 Minuten lang konnten die Kunden die personenbezogenen Daten der anderen Miles & More-Nutzer einsehen, die zu diesem Zeitpunkt gleichzeitig auf der Website eingeloggt waren.

Laut Stellungnahme der Lufthansa sind maximal 9.885 Miles & More-Kunden von dem Vorfall betroffen, die am 9.12.19 zwischen 16:00 und 16:40 Uhr eingeloggt waren. Zu dem Zeitpunkt waren 4100 User aktiv, denen die fremden Daten unfreiwillig angezeigt worden sind. Hinzu kamen die 5785 Nutzer, die dauerhaft angemeldet waren.

Einsehbar waren: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Benutzername, Servicekartennummer, Meilenstand, Transaktionsdaten, Reisepräferenzen, Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Zusätzlich konnten die Kunden sogar die Flugmeilen der anderen User einlösen.
Die Ursache war wohl kein Hackerangriff, sondern ein technisches Problem.

Die Lufthansa hatte E-Mails an ihre Kunden versandt, in denen sie versicherte, dass die Bonusmeilen, die widerrechtlich eingelöst worden sind selbstverständlich wieder gutgeschrieben werden.

Nach Aussage der Pressesprecherin hat die Lufthansa die Aufsichtsbehörde bereits informiert, sodass eine datenschutzrechtliche Bewertung noch aussteht.

Kategorien: DSGVO
Schlagwörter: , , ,

Bußgeld für 1&1: Knapp 10 Millionen Euro Strafe für DSGVO-Verstoß

10. Dezember 2019

Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.

Als Grund nannte Kelber das Fehlen von „hinreichenden technisch-organisatorischen Maßnahmen“ (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.

Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.

Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.

Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.

Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.

Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.

BVerfG wendet Unionsgrundrechte an und konkretisiert das „Recht auf Vergessen“

5. Dezember 2019

Das Bundesverfassungsgericht beschäftigte sich in zwei in vieler Hinsicht spannenden Beschlüssen vom 6. November 2019 mit dem Recht auf Vergessen (1 BvR 16/13 – Recht auf Vergessen I und 1 BvR 276/17, Recht auf Vergessen II). Darin setzt sich das Verfassungsgericht wohl erstmals mit der Frage auseinander, ob und wann es die Charta der Grundrechte der Europäischen Union anwendet und nicht das deutsche Grundgesetz.

Das BVerfG kommt zu dem Ergebnis, dass allein die Unionsgrundrechte anwendbar sind, wenn sich der Rechtsstreit nach unionsrechtlich vollständig vereinheitlichten Regelungen richtet. Dies sei im Datenschutzrecht bereits durch die EU-Datenschutzrichtlinie, erst recht aber durch die Datenschutz-Grundverordnung grundsätzlich erfolgt. Eine Ausnahme gelte für Bereiche, in denen das Unionsrecht den Mitgliedstaaten die Schaffung abweichender Regelungen ermögliche. Ob eine Regelung gestaltungsoffen ist müsse durch Auslegung der konkreten Vorschrift ermittelt werden. Es komme darauf an, ob die Norm auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt sei.

Der Sachverhalt

Im zugrundeliegenden Fall des Beschlusses „Recht auf Vergessen II“ begehrte die Beschwerdeführerin die Unterlassung der Anzeige eines Suchergebnisses von Google. Bei der Eingabe ihres Namens erschien als Suchergebnis ein Transkript eines Beitrags des Fernsehmagazins „Panorama“ von 2010. Der Beschwerdeführerin wurde darin ein unfairer Umgang mit ihren Mitarbeitern vorgeworfen. Das Landgericht verurteilte Google dazu den Link zu entfernen. Das OLG wies die Berufung ab.

Die rechtliche Würdigung

Nach den Ausführungen des BVerfG betrifft der Rechtsstreit eine unionsrechtlich vereinheitlichte Materie, weswegen die Unionsgrundrechte anwendbar seien. Dies sei Konsequenz der Übertragung von Hoheitsbefugnissen auf die EU. Die Anwendung deutscher Grundrechte würde das Ziel der Rechtsvereinheitlichung konterkarieren. Dem Grundgesetz komme insofern nur eine Reservefunktion zu. Während der EuGH für die letztverbindliche Auslegung des Unionsrechts zuständig sei, habe das BVerfG die Kompetenz über die richtige Anwendung der Unionsgrundrechte.

Das Recht auf Achtung des Privatlebens aus Art. 7 und 8 CRC beschränke sich nicht auf höchstpersönliche oder besonders sensible Sachverhalte, sondern schließe auch geschäftliche und berufliche Tätigkeiten ein. Zwar könne sich Google selbst nur auf die unternehmerische Freiheit berufen. In der Abwägung seien jedoch auch die Grundrechte der Inhalteanbieter einzustellen, um deren Veröffentlichung es geht. Zudem müssten Zugangsinteressen der Internetnutzer berücksichtigt werden. Das BVerfG arbeitet sodann detailliert heraus, dass ein Schutzanspruch gegenüber einem Suchmaschinenbetreiber weiter reichen kann als gegenüber dem Inhalteanbieter, wenn im Verhältnis zwischen zwischen Betroffenen und Inhalteanbieter nach innerstaatlichem Fachrecht allein die inhaltliche Richtigkeit eines Beitrags ohne Berücksichtigung seiner Verbreitungswirkungen im Internet maßgeblich ist und deshalb der hierdurch entstehende Schutzbedarf der Betroffenen auf dieser Ebene noch nicht erfasst wird.

Das Ergebnis

Die klageabweisende Entscheidung des OLG beanstandet das BVerfG nicht. Die Beschwerdeführerin habe damals ihre Zustimmung zu dem Beitrag gegeben. Ein Zeitablauf könne zwar dazu führen, dass die Verbreitung von Beiträgen durch Suchmaschinen unzumutbar wird, denn es müsse die Chance eines In-Vergessenheit-Geratens belastender Informationen geben. Allerdings sie die Beschwerdeführerin weiterhin unternehmerisch tätig und der Zeitraum von sieben Jahren nicht übermäßig lang.

Zum Beschluss „Recht auf Vergessen I“ folgt ein weiterer Blogeintrag.

EU-Parlament bestätigt den neuen EU-Datenschutzbeauftragten

2. Dezember 2019

Der polnische Jurist, Wojciech Wiewiórowski ist der neue EU-Datenschutzbeauftragte. Er war seit Dezember 2014 stellvertretender Europäischer Datenschutzbeauftragter. Der Ausschuss für Justiz und Bürgerrechte im EU-Parlament bestätigte Wojciech Wiewiórowski nun für eine fünfjährige Amtszeit als Europäischer Datenschutzbeauftragter. Wiewiórowski hatte das Amt zuvor bereits übergangsweise übernommen, nachdem sein Amtsvorgänger Giovanni Buttarelli diesen Sommer gestorben war.

Der neue EU-Datenschutzbeauftragte will eine „intelligente, innovative öffentliche EU-Verwaltung“ aufbauen. Wojciech Wiewiórowski nennt als große Herausforderung seiner Amtszeit den Umgang mit Künstlicher Intelligenz oder Quantum Computing und deren Auswirkung auf die Privatsphäre. Zudem kündigte der neue Amtsträger im Rahmen der Strafverfolgung neue Richtlinien zum Datenschutz an.

„Ich schätze die Freiheit und Würde des Einzelnen aufgrund meiner eigenen Erfahrungen, und mir ist bewusst, wie wertvoll und zerbrechlich sie sind“, betont der neue Datenschutzbeauftragte in einer öffentlichen Stellungnahme.

1 2 3 4