Kategorie: DSGVO

Themenreihe datenschutzrechtliche Sanktionen – Teil 2: Strafen in Deutschland

27. September 2019

In diesem Beitrag geht es um die bisher in Deutschland verhängten Sanktionen. Diese werden im Rahmen der unabhängigen Arbeit von den einzelnen Landesdatenschutzbehörden ausgesprochen.

Zurückhaltung bei der Aussprache etwaiger Strafen

Im Laufe des ersten Jahres erschien es dem externen Beobachter bisweilen so, als würden die Landesdatenschutzbehörden den Unternehmen ermöglichen, sich zunächst einmal an die durch die Datenschutzgrundverordnung (DSGVO) konturierten Rahmenbedingungen zu gewöhnen. Strafen wurden lediglich zurückhaltend ausgesprochen. Auch aus aktueller Perspektive besteht ebenfalls noch kein Grund zur Angst vor horrenden Bußgeldern. Die bisher verhängten Geldbußen in Baden-Württemberg waren beispielsweise zwei Bußgeldbescheide in Höhe von jeweils 80.000 Euro. In Berlin war es ein Bußgeldbescheid gegen das Unternehmen Delivery Hero Germany GmbH in Höhe von 195.407 Euro. Beides ist im Vergleich zu dem jährlichen Gewinn eines größeren mittelständischen Unternehmens – überspitzt formuliert – fast unerheblich.

Höhere Strafen in absehbarer Zeit

In der kommenden Zeit könnte sich dies aus aktueller Perspektive jedoch ändern. So hat Berlin nach Angaben der Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dalia Kues die Intention, in absehbarer Zeit ein Bußgeld in Millionenhöhe wegen Verstößen gegen die DSGVO zu verhängen. Mit anderen Worten scheint es so, als würde sich „der Wind drehen“. Dennoch bleibt festzuhalten, dass die Deutschen Behörden grundsätzlich sehr maßvoll bei der Verhängung etwaiger Bußgelder agieren.

Ausblick auf weitere Themen

In der nächsten Woche geht es um Sanktionen die auf internationaler Ebene seit Einführung der DSGVO verhängt wurden.

Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.

Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.

Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.

E-Scooter: „Die Daten fahren mit“

26. September 2019

In immer mehr Städten sind E-Scooter schon unterwegs. Jeder Nutzer sollte sich trotzdem Gedanken darüber machen, dass die Nutzung eines E-Scooters einen erheblichen Eingriff in die Privatsphäre von Nutzern darstellen könnte. Der Hamburger Datenschutzbeauftragte Johannes Caspar bestätigt dies mit seiner Aussage: „Diese neue Form urbaner Mobilität wird von vielen Anbietern nur unter einem erheblichen Eingriff in die Privatsphäre von Nutzern zur Verfügung gestellt.“

Wer diese neue Form urbaner Mobilität leihen will, braucht eine App und eine Registrierung. Bei der Registrierung erheben die E-Scooter-Anbieter nicht nur Kontaktdaten, Kontodaten und Daten zur Nutzung des Internetangebots, sondern auch Standortdaten (Start- und Abstellort sowie Fahrverlauf), Daten von verlinkten Drittanbieterdiensten sowie Daten von Marketing- und Werbepartnern des Anbieters. Auf diese Weise könnten die E-Scooter-Anbieter Bewegungsprofile jedes einzelnen Nutzers erstellen.

Die Bewegungsprofile der Nutzer sind wirtschaftlich von besonderer Bedeutung nicht nur für die Anbieter, sondern auch für Geschäftspartner, Werbetreibende und für lokale Verkäufer von Waren und Dienstleistungen. Der Hamburger Datenschutzbeauftragte kritisierte, dass diese Daten „Treibstoff für digital getriebene Geschäftsprozess“ sind.

Johannes Caspar erklärt zudem, dass die Datenschutzhinweise defizitär seien. Außerdem ist sehr unklar, welche Daten zu welchen Zwecken von den jeweiligen Anbietern erhoben werden. Deswegen sind „die Datenschutzbestimmungen der Anbieter kritisch durchzusehen“. Er empfiehlt: „Bei Verdacht auf Datenschutzverletzungen kann eine Beschwerde bei der örtlichen oder der für den Anbieter zuständigen Datenschutzbehörde eingelegt werden.“

Videoüberwachung mit biometrischer Gesichtserkennung an Bahnhöfen

18. September 2019

Insbesondere nach den Vorfällen in Voerde und Frankfurt am Main wollen die Bundesregierung und die Bahn mehr Videoüberwachung und Polizeipräsenz auf den Bahnhöfen einsetzen, um die Sicherheit an Bahnhöfen zu erhöhen.

Die intelligente Videoüberwachung und die biometrische Gesichtserkennung an Bahnhöfen können künftig ein wichtiges Unterstützungsinstrument insbesondere für die Bundespolizei sein. Auf diese Sicherheitsmaßnahmen einigten sich der Bundesinnenminister Horst Seehofer und der Bundesverkehrsminister Andreas Scheuer bei einem Treffen mit dem DB-Infrastrukturvorstand Ronald Pofalla.

Für die Modernisierung der Videotechnik an Bahnhöfen sind bis 2023 bereits 70 Millionen Euro vorgesehen. Der Bundesverkehrsminister teilte mit, dass das Verkehrsministerium weitere 50 Millionen Euro ausgeben will, die der Bundestag noch genehmigen muss. Hinzu kommen noch 12,5 Millionen Euro von der Deutschen Bahn (DB).

Der geplante Einsatz der Gesichtserkennung ist sehr umstritten. Datenschützer sind skeptisch, da bisher dafür keine rechtliche Grundlage existiert. Sie halten den Einsatz biometrischer Gesichtserkennungssoftware in Überwachungskameras für rechtswidrig, da die Datenschutzgrundverordnung (DSGVO) die Erhebung biometrischer Daten mit dem Ziel, Personen zu identifizieren, grundsätzlich verbietet.

In welchem Umfang ein Einsatz von Videoüberwachung mit biometrischer Gesichtserkennung geplant sei, ist derzeit nicht bekannt. Eine Bundespolizei-Sprecherin erklärte lediglich, dass es für die Implementierung des Gesichtserkennungssystems an Bahnhöfen „aufgrund der damit verbundenen Grundrechtseingriffe zunächst einer klarstellenden Rechtsgrundlage im Bundespolizeigesetz“ bedürfe.

Die Bundespolizei hatte im Jahr 2017 am Berliner Bahnhof Südkreuz ein hochumstrittenes Pilotprojekt mit Gesichtserkennungssoftware getestet. Trotz die mittelmäßigen Erkennungsraten, wertete die Bundespolizei die Ergebnisse als großen Erfolg. Dazu hat der Bundesdatenschutzbeauftragte Ulrich Kelber mitgeteilt: „Losgelöst von der Frage, wie effektiv diese Art der Überwachung überhaupt ist, fehlt es für eine flächendeckende biometrische Videoüberwachung nach wie vor an einer konkreten gesetzlichen Rechtsgrundlage„.

BAG bestätigt Einsichtsrecht in Gehaltslisten

10. September 2019

In dem Fall ging es um das Einblicksrecht des Betriebsrats in Bruttoentgeltlisten. Der Arbeitgeber betrieb eine Klinik, die einem gekündigten Manteltarifvertrag unterfällt. Die Klinik führte seit einiger Zeit die Bruttoentgeltlisten der Arbeitnehmer in elektronischer Form. Dabei enthielten die Listen die Namen der Arbeitnehmer, deren Dienstart und Unterdienstart, Angaben zum Grundgehalt, zu verschiedenen Zulagen sowie zu weiteren Bezügen. Der Arbeitgeber gewährte dem Betriebsrat nur Einsicht in eine anonymisierte Fassung dieser Listen.

Der Betriebsrat verlangte für seinen Betriebsausschuss Einblick in eine ungeschwärzte Fassung der Bruttoentgeltlisten mit sämtlichen Klarnamen. Nur so lasse es sich feststellen, ob der Arbeitgeber die Vergütungsgrundsätze eingehalten hat.

Das Bundesarbeitsgericht (BAG) sprach dem Betriebsausschuss ein Einsichtnahmerecht in die nicht-anonymisierten Bruttoentgeltlisten zu. Dabei hat das BAG nun entschieden, dass dieses Einblicksrecht auch unter Berücksichtigung datenschutzrechtlicher Vorgaben nicht-anonymisierte Bruttoentgeltlisten umfasst. Der Arbeitgeber ist nach § 80 Abs. 2 S. 2 Betriebsverfassungsgesetz (BetrVG) verpflichtet, dem Betriebsausschuss Einblick in die nicht-anonymisierten Bruttoentgeltlisten zu gewähren. Der Arbeitgeber muss dem Betriebsrat auf sein Verlangen alle für die Betriebsratsarbeit nötigen Unterlagen zur Verfügung stellen. Um zu prüfen, ob die innerbetriebliche Lohngerechtigkeit eingehalten ist, muss der Betriebsrat über die effektiv gezahlten Vergütungen Bescheid wissen. Daher darf der hier zuständige Betriebsausschuss Einblick in die Bruttogehaltslisten mit Namen nehmen.

Das Gewähren von Einblick in die personifizierten Gehaltslisten stellt eine Verarbeitung personenbezogener Daten im Sinne des Datenschutzrechts dar. Das Beschäftigungsdatenschutzrecht erlaubt jedoch eine solche Verarbeitung, wenn diese zur Ausübung der sich aus dem BetrVG ergebenden Rechte und Pflichten des Betriebsrats nötig ist. Das ist vorliegend der Fall, da der Betriebsrat sonst nicht seinen betriebsverfassungsrechtlichen Pflichten nachkommen kann.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Bußgeld bei Meldung einer Datenpanne?

5. September 2019

Eine häufige Frage aus der Praxis:

Nach Art. 33 DSGVO müssen für die Datenverarbeitung Verantwortliche bei einer sogenannten Datenpanne, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, eine Meldung an die zuständige Aufsichtsbehörde vornehmen. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, erfolgen.

Exkurs: Eine Datenpanne ist nach Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden .

Viele der Verantwortlichen fragen sich, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führen kann, sie also quasi verpflichtet sind, sich selbst zu belasten.

Die Antwort auf diese Frage findet sich in der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG).  Danach darf die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden nur mit deren Zustimmung verwendet werden.

Ein Bußgeldverfahren wird auf Grundlage der Meldung also nicht gegen den Verantwortlichen eingeleitet werden. § 43 Abs. 4 BDSG gilt allerdings nicht, wenn (auch) Dritte die Datenpanne gemeldet haben. Darüber hinaus ist zu beachten, dass § 43 Abs. 4 BDSG nicht unumstritten ist. Nach Ansicht einiger Datenschützer steht diese Bestimmung nicht im Einklang mit den Vorgaben der DSGVO und ist daher nicht anwendbar. Diese Rechtsauffassung wurde allerdings noch nicht gerichtlich bestätigt.

ACHTUNG: Erfolgt keine oder eine verspätete Meldung, kann dies mit einem Bußgeld geahndet werden. Daher empfiehlt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit in einer Pressemitteilung, Datenpannen stets rechtzeitig zu melden. Sollte keine Meldung vorgenommen werden, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, hat eine entsprechende ausführliche Dokumentation zu erfolgen.

Europäischer Datenschutzbeauftragter Giovanni Buttarelli gestorben

27. August 2019

Im Alter von 62 Jahren ist vergangene Woche Europas oberster Datenschützer Giovanni Buttarelli verstorben – dies gab die Behörde des Europäischen Datenschutzbeauftragten (EDPS) kürzlich bekannt. „Wir sind alle zutiefst traurig über den tragischen Verlust eines solchen netten und brillanten Menschen“, teilte die Behörde mit.

Buttarelli war zunächst als Richter und Generalsekretär der Datenschutzaufsichtsbehörde in Italien tätig bevor er 2009 zunächst stellvertretend und dann 2014 das Hauptamt des Europäischen Datenschutzbeauftragten übernahm. Seine Amtszeit hätte noch bis Dezember 2019 gedauert.

Während seiner Amtszeit stärkte er das Amt des Europäischen Datenschutzbeauftragten, dass durch die Einführung der DSGVO globales Gewicht erhielt. So entsprach das Inkrafttreten der DSGVO auch den Hauptanliegen seiner Tätigkeit, nämlich der erhöhte Schutz der Privatsphäre jedes Einzelnen sowie die Einhaltung des Datenschutzes durch globale Konzerne und Großunternehmen.

Datenschutzvorfall bei „Biostar 2“

19. August 2019

Medienberichten zufolge haben Hacker aus Israel eine Datenbank aufgespürt, in der circa eine Millionen Fingerabdrücke sowie andere biometrische Daten nahezu ungeschützt abgelegt sind.

Ausweislich des Berichtes handelt es sich hierbei um eine Datenbank für die Software „Biostar 2“. Diese wird von dem koreanischen Unternehmen Suprema Inc. entwickelt und verkauft. Mittels dieser Software wird Unternehmen die Verwaltung der Zugangskontrolle mittels intelligenter Türschlösser ermöglicht. Zu diesem Zweck werden beispielsweise Fingerabdrücke oder sonstige biometrische Daten im System hinterlegt.

Der Vorfall bezöge sich auf mehr als 27 Millionen Datensätze sowie 23 Gigabyte Daten. Diese seien durch Kunden durch lediglich unzureichende Passworte, wie beispielsweise „abcd1234“, gesichert worden. Darüber hinaus seien von Unternehmensseite ebenfalls unzureichende Maßnahmen die zur Sicherung der Daten vorgenommen worden.

Aus datenschutzrechtlicher Perspektive ist die Vertraulichkeit personenbezogener Daten elementar wichtig. Dies zeigt bereits, dass Integrität und Vertraulichkeit personenbezogener Daten einer der Grundsätze für jede Datenverarbeitung im Sinne der DSGVO ist (vgl. Art. 5 Abs. 1 lit f) DSGVO).

„Lovoo“ steht wegen fehlenden Datenschutzes in der Kritik

12. August 2019

Journalisten des Bayerischen Rundfunks (BR) haben festgestellt, dass der Partnervermittlungsdienst „Lovoo“ lediglich über unzureichende Maßnahmen zum Schutz personenbezogener Daten verfügt.

So hätten die Journalisten des BR die Standorte von Nutzern des Dienstes mittels einer „Radarfunktion“ für einen Zeitraum von mehreren Tagen aufgezeichnet. Mit diesen Daten hätte man Bewegungsprofile erstellen und Rückschlüsse auf Wohn- und Arbeitsorte ziehen können. Darüber hinaus ließen sich diese Informationen mit weiteren Profilinformationen wie der sexuellen Orientierung oder hinterlegten Bildern kombinieren.

Die Kritik des BR resultiert daraus, dass der Nutzerstandort mittels eines geometrischen Messverfahrens wohl wesentlich genauer bestimmen lässt als von „Lovoo“ angegeben. Durch die konkrete Lokalisierbarkeit etwaiger Nutzer steigt die Gefahr des Missbrauchs dieser Daten. Das Risiko ist umso größer, da es sich bei den potentiell abgefragten Daten um besonders sensible, mithin schutzwürdige Daten handelt.

„Lovoo“ selbst nahm in einer Pressemitteilung zum potentiell unzureichenden Datenschutz Stellung. Das Unternehmen erläuterte, dass bereits vor Veröffentlichung der Ergebnisse durch den BR Maßnahmen zur Behebung des Problems ergriffen worden wären. So könnten Nutzer nun lediglich in einem Umkreis von maximal 1000 Meter lokalisiert werden. Darüber hinaus sei die mehrfache Abfrage des Standorts von Nutzern in der Umgebung eingeschränkt worden.

Kategorien: Allgemein · DSGVO · Social Media · Tracking

Neue Stellungnahme des Hessischen Datenschutzbeauftragten über Microsoft Office

8. August 2019

Anfang Juli 2019 hatte die hessische Datenschutzbehörde Schulen die Nutzung von Microsoft Office 365 untersagt. In seiner Stellungnahme erklärte der Hessische Beauftragte für Datenschutz und Informationsfreiheit, dass es unzulässig sei, das Programm an hessischen Schulen einzusetzen, sofern dort personenbezogene Daten in der europäischen Cloud gespeichert werden.

Am 2. August 2019 folgte eine zweite Stellungnahme zum Einsatz von Microsoft Office 365 in hessischen Schulen. Der Landesdatenschutzbeauftragte erklärte darin: „Seither fanden intensive Gespräche mit Microsoft über die Datenschutzkonformität der schulischen Anwendung von Office 365 statt, die zu einer datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten.“ Im Rahmen dieser Einschätzung erweist sich diese Überprüfung als außerordentlich komplex und aufwendig, da eine Vielzahl rechtlicher und technischer Fragen zu klären war.

In seiner zweiten offiziellen Stellungnahme hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit sich nach intensiven Gesprächen mit Microsoft dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen zum gegenwärtigen Zeitpunkt zu dulden. Die Einschätzung betrifft die Version ab 1904 (für die Produkte Office 365 ProPlus, Office 365 Online und Office 365 Apps) und der Landesdatenschutzbeauftragte betont, dass Schulen Office 365 einsetzen dürfen, wenn sie die Übermittlung jedweder Art von Diagnosedaten unterbinden.

Zu gegebener Zeit wird der Landesdatenschutzbeauftragte weitere Vorgaben hinsichtlich der Parameter machen, die als Grundlage für die Nutzung der Cloud umzusetzen sind. Dazu wird auch Microsoft Schulen Handlungsanleitungen zur Verfügung stellen.

Allerdings können sich die Schulen, die den Erwerb beabsichtigen, ebenfalls auf die Duldung berufen, aber tragen das finanzielle Risiko, falls die weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 in hessischen Schulen führen sollte.

1 2 3