Kategorie: DSGVO
3. November 2020
Nach einer Studie des Netzwerks Datenschutzexpertise dürfen Autos von Tesla wegen vieler Datenschutzverstöße in der EU nicht zugelassen werden. Der Verfasser der Studie, der frühere schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert, führt die potentiellen Rechtsverletzungen in einem Gutachten auf fast 40 Seiten auf.
Die vielen Kameras und elektronischen Messysteme, die Tesla im Model 3 verbaut hat, stellen personenbezogene Messwerte dar, für deren Inanspruchnahme Tesla keine präzisen Zwecke nennt. Dies stellt einen Verstoß gegen Artikel 5 der DSGVO dar. Als weiteres Beispiel wird die Video- und Ultraschallüberwachung während der Fahrt und im sogenannten „Sentry-Mode“ benannt. Dies ist ein Überwachungsmodus, der aktiviert werden kann, wenn das Auto geparkt ist. Acht Kameras, die rund um das Auto montiert sind, ermöglichen eine Rundumüberwachung der Fahrzeugumgebung in bis zu 250 Meter Entfernung. Über die USB-Schnittstelle können die einlaufenden Daten von vier Kameras dauernd unverfremdet ausgelesen und ausgewertet werden. Personen oder auch Kfz-Nummernschilder seien so klar zu erkennen.
Im Sentry-Mode erfassen die Kameras zudem dauernd die Umgebung. Eine kleine Bewegung im unmittelbaren Umfeld des Fahrzeugs reiche bereits, sodass im Cockpit ein roter Punkt aufleuchtet und dies aufzeichne. Dafür genüge es, dass eine Person oder ein anderes Fahrzeug nahe am Auto sei. Sicherheitsforscher hätten gezeigt, dass sie über eine USB-Schnittstelle sämtliche Kameras im laufenden Betrieb auswerten, Kfz-Kennzeichen erfassen und Gesichtserkennung durchführen konnten.
Dem Gutachten zur Folge „genügt Tesla nicht den Anforderungen an die Datenminimierung und die Erforderlichkeit bei der Datenverarbeitung.“ Tesla sei „insbesondere mitverantwortlich für die nicht erforderliche, umfassende, uneingeschränkte Videoüberwachung“ im Wächtermodus. Ignoriere aber deren Folgen. Das Unternehmen informiere die Betroffenen zudem nicht in einer hinreichend präzisen und verständlichen Sprache über ihre Rechte oder etwa über die Speicherdauer der erhobenen Messwerte.
Die Studie merkt zudem an, dass Tesla Daten in die USA sowie eventuell in weitere Drittstaaten ohne angemessenes Schutzniveau versendet. Damit ignoriere Tesla das jüngst ergangene Urteil des Europäischen Gerichtshofs gegen den Privacy Shield.
Nun seien die deutschen und europäischen Aufsichtsbehörden am Zug. In Deutschland sei vermutlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig, da Tesla als Kontakt für deutsche Kunden eine Adresse in München angegeben habe. Die europäische Hauptniederlassung befinde sich in Amsterdam, somit für ein europäisches Verfahren die niederländische Behörde „Autoriteit Persoonsgegevens“ die zuständige Kontrollinstanz.
KINAST Rechtsanwälte werden von Unternehmensjuristen ausgesprochen häufig empfohlen und stehen unter den Top-3-Datenschutzkanzleien in Deutschland.
Das ergab die Studie „kanzleimonitor.de – Empfehlung ist die beste Referenz 2020/2021“. Der Kanzleimonitor stellt jährlich eine umfassende Anwalts- und Kanzleien-Liste als Auswahlkriterium für die Mandatierung von Wirtschaftskanzleien durch Unternehmensjuristen aller Branchen und Unternehmensgrößen zur Verfügung.
Nachdem wir im Bereich Datenschutzrecht (Themenfelder: Erfassung & Verwertung von Informationen, Telekommunikation, Datenverarbeitung, Cloud-Computing, Social Media) im vergangenen Jahr deutschlandweit den 5. Platz belegten, konnten wir uns dieses Jahr nochmals steigern und haben es auf das Podium auf den 3. Platz geschafft (hinter Osborne Clarke und Taylor Wessing). Damit kann sich unsere Kanzlei weiterhin neben zahlreichen Großkanzleien in der absoluten Spitzengruppe im Datenschutzrecht behaupten. Gleich sechs unserer Anwälte sind in der Liste persönlicher Empfehlungen namentlich genannt: Dr. Karsten Kinast, Benedikt Woltering, Tobias Mick, Beate Poloczek, Jan Rübsteck und Orcun Sanli. Des Weiteren erhielten wir auch im Bereich Compliance (Themenfelder: Legal Compliance, Ethical Compliance, Aufbau Compliance-Organisation) mehrere direkte Empfehlungen.
Mit den Empfehlungen im Datenschutzrecht und im Bereich Compliance steht KINAST insgesamt unter den 100 Spitzenkanzleien in Deutschland. Das positive Ergebnis in dieser Studie ist für uns besonders wichtig, weil es sich hier um eine Bewertung aus dem Mandantenkreise handelt und zudem eine Einstufung durch die eigene Berufsgruppe der Juristen erfolgt. Wir bedanken uns für alle Empfehlungen.
28. Oktober 2020
Die britische Datenschutzbehörde (Information Commissioner’s Office kurz ICO) hat gegen die Fluggesellschaft British Airways ein Bußgeld in Höhe von 22 Millionen Euro verhängt. Der hohe Betrag wurde von der Aufsichtsbehörde damit begründet, dass unzureichende Sicherheitsvorkehrungen im Unternehmen vorherrschten und eine sehr hohe Zahl an Personen von einem dadurch möglichen Hackerangriff betroffen war. Im Jahr 2019 kündigte die britische Datenschutzaufsichtsbehörde an, British Airways mit einem Bußgeld in Höhe von 204 Millionen Euro bestrafen zu wollen. Aufgrund der aktuellen Umsatzeinbußen bei British Airways durch die Corona-Pandemie wurde das Bußgeld deutlich gesenkt.
Die Hacker konnten sich Zugang zum Netzwerk verschaffen und hatten Zugriff auf persönliche Daten von über 400.000 Kunden und Mitarbeitern. Sie erlangten u.a. Zugriff auf Namen, Adressen und Kreditkarteninformationen inklusive der Sicherheitscodes sowie Nutzernamen und Passwörter von Mitarbeitern wie Administratoren und von Inhabern von Premium-Vielflieger-Karten.
ICO ist der Ansicht, dass die dem Angriff zugrunde liegenden Sicherheitslücken früher hätten behoben werden müssen. Gängige Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung, Zugriffsrechte und Tests der Infrastruktur hätten nach Ansicht des ICO einen Angriff verhindern können.
22. Oktober 2020
Die Regierung des Vereinigten Königreichs gerät zunehmend unter Druck, eine Regelung über den Datentransfer mit der EU zu erreichen. Gelingt dies nicht, droht das UK zum 31. Dezember dieses Jahres zum unsicheren Drittland zu werden. Verantwortliche und Auftragsverarbeiter, die Daten in das UK übermitteln, müssten dann selbst sicherstellen, dass das Schutzniveau der DSGVO für natürliche Personen nicht untergraben wird.
Am 31. Januar 2020 trat das Vereinigte Königreich aus der EU aus. Das Austrittsabkommen sieht eine Übergangsphase bis zum 31. Dezember 2020 vor, nach der das UK alle EU-Regeln einhält und damit auch die Vorgaben der DSGVO. Nach Ablauf der Übergangsphase wird das UK nach der DSGVO zum EU-Drittland. Datenübermittlungen in Drittländer sind nach den Art. 44 ff. DSGVO nur unter bestimmten weiteren Voraussetzungen zulässig. Für die Zulässigkeit kommt es darauf an, ob in dem Drittland ein angemessenes Schutzniveau sichergestellt werden kann.
Die EU-Kommission kann in sogenannten Angemessenheitsbeschlüssen feststellen, dass in einem Drittland ein angemessenes Schutzniveau besteht. Datenexporteure und Datenimporteure können sich bei Datenübermittlungen in das betreffende Land dann auf diesen Angemessenheitsbeschluss berufen. Aktuell führt die EU-Kommission eine Bewertung der Datenschutzrechtslandschaft des Vereinigten Königreichs durch und evaluiert, ob sie einen solchen Angemessenheitsbeschluss erlassen kann. Seit März werden dafür Gespräche geführt und Dokumente vorgelegt.
Am 13.10.2020 veröffentlichte das britische Oberhaus einen Bericht über die zukünftigen Beziehungen des Vereinigten Königreichs zur EU. Dem Bericht zu Folge sieht das Oberhaus die Gefahr, dass die EU-Kommission keinen Angemessenheitsbeschluss für das UK erlassen wird. Deswegen fordert es, dass die britische Regierung auf einen baldigen Abschuss der Bewertung der EU-Kommission drängt.
Grund zur Sorge besteht durchaus. Denn so äußerte Věra Jourová, Vizepräsidentin der EU-Kommission und Kommissarin für Werte und Transparenz, Zweifel, ob das Vereinigte Königreich Änderungen in seiner nationalen Gesetzgebung durchführen wird, die von der Linie der DSGVO abweichen.
Auch bereits existierenden Gesetze des UK könnten dem Angemessenheitsbeschluss entgegenstehen. Der EuGH entschied erst am 6. Oktober 2020 (auch) über Überwachungsgesetze des UK. Laut dem EuGH sind die in den Gesetzen vorgeschriebenen flächendeckenden und pauschalen Speicherungen von Internet- und Verbindungsdaten nicht zulässig. Ausnahmen seien nur möglich, wenn es um die Bekämpfung schwerer Kriminalität oder den konkreten Fall einer Bedrohung der nationalen Sicherheit gehe.
Kommt es nicht zum Erlass eines Angemessenheitsbeschlusses, müssen Verantwortliche und Auftragsverarbeiter, die Daten in dieses Drittland übermitteln wollen, selbst geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorsehen, damit Datenübermittlungen in das Drittland zulässig sind. Als geeignete Garantien kommen Binding Corporate Rules, die Verwendung von Standardvertragsklauseln der EU-Kommission (SCC), genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen und einzeln ausgehandelte Vertragsklauseln in Betracht.
In Bezug auf Standardvertragsklauseln bei Datentransfers in die USA hat der EuGH festgestellt, dass diese wegen der Überwachungsgesetze in den USA ohne weitere Maßnahmen nicht ausreichen, ein angemessenes Datenschutzniveau sicherzustellen. Eine ähnliche Situation könnte sich schlimmmstenfalls zum Jahreswechsel auch bei dem Vereinigten Königreich einstellen.
15. Oktober 2020
Die Europäische Gesellschaft für Datenschutz (EuGD) plant laut Pressemitteilung eine Schadensersatzklage gegen Amazon aufgrund von Datenschutzverstößen. Konkret wirft die EuGD dem Unternehmen vor, rechtswidrig Daten in die USA zu transferieren und so gegen die DS-GVO zu verstoßen.
Dabei soll einerseits ein Antrag der EuGD auf ein Auskunftersuchen gemäß Art. 15 DS-GVO unbeantwortet geblieben sein. Andererseits soll Amazon weiterhin Daten in die USA übertragen. Dies ist seit der Aufhebung des Privacy Shields durch den EuGH nur noch unter Verwendung von geeigneten Garantien erlaubt. Das heißt, Amazon müsse garantieren, dass das in der Europäischen Union bestehende Datenschutzniveau auch in den USA eingehalten wird. Dies ist bei einer Übertragung von Daten in die USA nicht zu bewerkstelligen, da dort personenbezogene Daten von den Geheimdiensten eingesehen werden können.
Schon zuvor ist Amazon ins Visier der Non-Profit-Organisation noyb geraten. Diese hat festgestellt, dass Amazons Verschlüsselung nicht ausreichend ist. Ebenfalls bemängelt sie, dass Amazon nicht hinreichend seinen Informationspflichten aus Art. 13 DS-GVO nachkommt; konkret in Bezug auf dessen Streamingdienst AmazonPrime. Dies gilt genauso für Informationspflichten in Bezug auf Amazons Alexa – auch diesbezüglich wurden Nutzer nicht ausreichend informiert.
8. Oktober 2020
Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte ein Bußgeld i.H.v. 35,3 Millionen Euro gegen die Modekette H&M. Das bisher höchste verhängte Bußgeld nach Inkrafttreten der DSGVO wurde verhängte, weil H&M umfangreiches Mitarbeiter-Tracking betrieben hatte.
Mindestens seit dem Jahr 2014 wurden im Servicecenter in Nürnberg umfangreiche Angaben über private Lebensumstände eines Teils der Beschäftigten erfasst und entsprechende Notizen auf einem Netzwerklaufwerk dauerhaft gespeichert. Vorgesetzte führten mit Beschäftigen, die wegen eines Urlaubs oder einer Krankheit auch kurzzeitig abwesend waren, „Welcome Back Talks“ durch. Dabei wurden etwa konkrete Urlaubserlebnisse und sogar Krankheitssymptome und Diagnosen abgefragt und gespeichert. Zudem sollen sich Vorgesetzte ein breites Wissen über das Privatleben ihrer Angestellten angeeignet haben, etwa über familiäre Probleme oder religiöse Ansichten. Die gespeicherten Angaben waren für bis zu 50 Führungskräfte des Unternehmens einsehbar. Mit den teilweise akribischen Angaben wurden Profile der Beschäftigten erstellt und zur Analyse der individuellen Arbeitsleistung genutzt.
Die umfassende Speicherung ist aufgeflogen, als im Oktober 2019 aufgrund eines Konfigurationsfehlers die Datenbank für einige Stunden unternehmensweit offen einsehbar war. Auf Verlangen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit legte H&M einen Datensatz von rund 60 Gigabyte vor.
H&M hat sich einsichtig gezeigt, indem ein Konzept mit verschiedenen Abhilfemaßnahmen vorgelegt wurde und den betroffenen Beschäftigten neben einer Entschuldigung ein Schadensersatz in beachtlicher Höhe versprochen wurde. Nach Aussage von Professor Caspar handele es sich um „ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.“ Diese wurde bei der Bemessung der Bußgeldhöhe beachtet.
Ein solches Rekordbußgeld lässt sich durch die Ausarbeitung eines umfassenden Datenschutzkonzepts vermeiden. Wichtig sind insbesondere fachgerechte Schulungen aller Mitarbeiter in Datenschutz- und Compliance-Fragen und die Implementierung eines Datenschutz-Management-Systems. Unstrukturierte Datenerfassungen bergen ein immenses Risiko. Neben der Datenerfassung muss auch die Datennutzung rechtlich einwandfrei gehandhabt werden. Hier hilft besonders die Ausarbeitung eines Berechtigungskonzepts, in dem beschrieben wird, welche Zugriffsregeln für einzelne Mitarbeiter oder Mitarbeitergruppen auf die Daten eines Unternehmens gelten.
Das Unternehmen kündigte an, den Beschluss sorgfältig zu prüfen. Bislang ist nicht davon auszugehen, dass H&M dagegen vorgehen wird. Anders handhabt dies 1&1, das ein Bußgeld in Höhe von rund 10 Millionen Euro zahlen sollte. Hier beginnt der Prozess am Donnerstag, den 08.10.2020, vor dem Landgericht Bonn. Für H&M hätte es noch deutlich teurer werden können. Denn die DSGVO sieht für solche Verstöße einen Bußgeldrahmen von bis zu 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro vor, je nachdem welcher Betrag höher ist.
Der Europäische Gerichtshof (EuGH) in Luxemburg entschied mit am 06.10.2020 veröffentlichten Urteil, dass eine flächendeckende und pauschale Speicherung von Kommunikations- und Standortdaten bei der Nutzung von Telekommunikationsdiensten unzulässig ist. Anlass hierzu war, dass der belgische Verfassungsgerichtshof, der französische Staatsrat und das britische Gericht für Ermittlungsbefugnisse anfragten, ob die europäische Datenschutzrichtlinie für elektronische Kommunikation auch auf Maßnahmen zur Terrorabwehr angewendet werden kann.
Eine Ausnahme des Verbotes der flächendeckenden und pauschalen Speicherung von Kommunikations- und Standortdaten soll in Fällen der Bekämpfung schwerer Kriminalität sowie bei konkreten Bedrohungen der nationalen Sicherheit gelten. Voraussetzung für einen solchen Ausnahmefall ist, dass sich ein EU-Mitgliedstaat in einer ernsten Bedrohungslage für die nationale Sicherheitslage befände, die allgemein, aktuell und vorhersehbar sei. Unklar bleibt, was genau als „ernsthafte Bedrohung“ definiert werden darf und was nicht. Auch hier gilt, dass die Datenspeicherung und -übermittlung streng zweckgebunden und zeitlich begrenzt sein muss. Eine Beschränkung auf das unbedingt notwendige Maß ist erforderlich. Eine Nachprüfung durch Gerichte oder unabhängige Behörden soll jederzeit möglich sein können.
Gleiches gilt bei Ermittlungen gegen schwere Straftaten und bei einer Bedrohung der öffentlichen Sicherheit.
Weiterhin hält der EuGH eine Vorratsdatenspeicherung für rechtmäßig, wenn sie sich auf bestimmte Personengruppen oder bestimmte Gebiete bezieht und auf einen bestimmten Zeitraum begrenzt ist. Hier sollen Behörden Provider überdies über diese bestimmten Zeiträume hinaus zur Datenspeicherung anhalten können. Hierbei ist wieder Voraussetzung, dass die Vorratsdatenspeicherung Maßnahmen zur Aufklärung von schweren Verbrechen oder von Angriffen auf die nationale Sicherheit dient, oder wenn solche konkreten Anlassfälle vermutet werden.
In Deutschland wird die Vorratsdatenspeicherung momentan ohnehin aufgrund eines früheren Urteils des EuGH ausgesetzt. Ein gesondertes Verfahren vor dem EuGH hierzu ist derzeit noch anhängig.
30. September 2020
Laut Berichten hat Airbnb mit enormen Sicherheitsproblemen zu kämpfen. Viele Airbnb-Hosts melden, dass ihnen nachdem sie sich in ihr Airbnb Account eingeloggt hätten, Postfächer von anderen Hosts angezeigt worden seien. Die Airbnb-Hosts können die Gastgebernamen, Profilbilder, Buchungseinnahmen, Anzahl der Buchen von den letzten 30 Tagen und sogar die Codes, welche den Zugang zum gemieteten Objekt ermöglichen, sehen.
Nach einigen Berichten soll der Airbnb-Support empfohlen haben, sich neu einzuloggen, die Cookies zu löschen oder den Browser zu wechseln. In manchen Fällen wurde das Problem durch das Abmelden und erneute Anmelden verhindert, dies betrifft jedoch nicht alle Fälle.
Airbnb sagte: „Am Donnerstag führte ein technisches Problem dazu, dass eine kleine Gruppe von Benutzern versehentlich begrenzte Mengen an Informationen aus den Konten anderer Benutzer anzeigt“. „Wir haben das Problem schnell behoben und implementieren zusätzliche Kontrollen, um sicherzustellen, dass es nicht erneut auftritt. Wir gehen davon aus, dass persönliche Informationen nicht missbraucht wurden und Zahlungsinformationen zu keinem Zeitpunkt verfügbar waren.“
Der Digitalverband „Bitkom“ hat am gestrigen Dienstag (29.09.2020) die Ergebnisse einer repräsentativen Umfrage vorgestellt, die unter mehr als 500 deutschen Unternehmen durchgeführt wurde. Dabei wird deutlich, dass längst noch nicht alle Unternehmen die „neuen“ Datenschutzanforderungen umgesetzt haben. Gleichzeitig kritisieren die Teilnehmer die gesetzlichen Vorgaben sowie die Tätigkeit der Aufsichtsbehörden und monieren, die Datenschutz-Grundverordnung (DS-GVO) stelle ein Hindernis für technologische Innovationen dar.
Mehraufwand, Kritikpunkte und Verbesserungsvorschläge
Die wohl wichtigste Erkenntnis stellt die Bitkom direkt vorweg: auch mehr als zwei Jahre nach dem Inkrafttreten der DS-GVO haben noch längst nicht alle befragten Unternehmen die „neuen“ datenschutzrechtlichen Vorgaben umgesetzt (nur 20% haben sie vollständig implementiert, 37% größtenteils, 35% teilweise und 6% beginnen erst mit der Umsetzung), und ganze 89% der Teilnehmer halten sie ohnehin für praktisch nicht vollständig umsetzbar. Zurecht bezeichnet Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung, diese Zahlen als ernüchternd.
Wie kommt es zu diesen Zahlen und der scheinbar allgemeinen Unzufriedenheit mit dem geltenden datenschutzrechtlichen Regelwerk? Neben der bereits erwähnten Frage, ob die Vorgaben überhaupt praktisch vollständig umsetzbar sind, werden folgende Punkte moniert: anhaltende Rechtsunsicherheit durch die gesetzlichen Vorschriften (74%), zu viele Änderungen oder Anpassungen bei der Auslegung (68%), fehlende Umsetzungshilfen durch die Aufsichtsbehörden (59%), uneinheitliche Auslegungsergebnisse innerhalb der EU (45%) und fehlendes Fachpersonal (26%).
All diese Probleme führten laut 36% der Teilnehmer seit dem Inkrafttreten der DS-GVO zu einem Mehraufwand, und 35% erwarten künftig noch eine Zunahme. Auch wirke sich das neue Datenschutzrecht auf die Umsetzung verschiedenster technologischer Innovationen aus: Datenpools könnten nicht aufgebaut (41%), Big Data oder künstliche Intelligenz nicht genutzt (31%), Geschäftsprozesse nicht digitlalisiert (24%) und neue Datenanalysen nicht verwendet werden (20%). Insgesamt seien bei 56% der befragten Unternehmen „neue, innovative Projekte wegen der DS-GVO gescheitert“, für 71% mache die DS-GVO Geschäftsprozesse komplizierter.
So fällt dann auch die Bewertung des geltenden europäischen Datenschutzrechts erst einmal negativ aus. Für 92% der Teilnehmer sind Nachbesserung an den bestehenden Regeln erforderlich, beispielsweise eine „praxisnähere“ Gestaltung der Informationspflichten (91%), verständlichere Regelungen (85%) oder auch eine bessere Unterstützung durch die Aufsichtsbehörden (83%). Laut 12% der befragten Unternehmen führe die DS-GVO sogar zu einer Gefahr für die eigene Geschäftstätigkeit.
Datenschutz in der Pandemie
Auch in Zeiten der Covid-19-Pandemie erschwere das Datenschutzrecht die tägliche Arbeit bzw. die Umstellung insbesondere auf die Tätigkeit im Home Office. So würde wegen datenschutzrechtlicher Bedenken auf Kollaborationstools verzichtet (23%) bzw. diese nur eingeschränkt genutzt (17%), bei Cloud-Diensten würden 2% der Teilnehmer verzichten und 26% diese nicht vollumfänglich nutzen. Auch Videotelofonie werde eingeschränkt (10%) oder gar nicht genutzt (3%). Dasselbe gelte für Messanger-Dienste (4%). Um die Arbeit im Home Office dennoch besser koordinieren und kontrollieren zu können, haben 42% der befragten Unternehmen Leitlinien hierfür erstellt (20% hatten solche bereits vor der Pandemie implementiert) und bei 37% der Teilnehmer sind solche in Planung oder Diskussion. Nur 6% schließen solche Leitlinien grundsätzlich aus, in 13% der Unternehmen ist Home Office ohnehin untersagt.
Die teilnehmenden Unternehmen wurden aber nicht nur nach den unmittelbaren Auswirkungen der Pandemie gefragt, sondern auch danach, wie diese besser bewältigt werden könnte. So geben 62% der Teilnehmer an, mehr Möglichkeiten zur Datennutzung könnten helfen; Deutschland übertreibe es beim Datenschutz (40%). Aus diesem Grund könnten dann auch eigene Corona-Maßnahmen aus Datenschutzgründen nicht umgesetzt werden (10%). So sei in keinem der befragten Unternehmen eine eigene Corona-Tracing-App im Einsatz, in 22% der Unternehmen mit mehr als 500 Mitarbeiten sei dies aber geplant oder werde immerhin diskutiert.
Nicht nur Kritik, sondern auch positive Aspekte
Immerhin sehen die befragten Unternehmen auch positive Eigenschaften an der Datenschutz-Grundverordnung. So setze sie weltweit Maßstäbe für den Umgang mit Personendaten (69%), schaffe einheitliche Wettbewerbsbedingungen innerhalb der EU (66%) und führe gar zu einem Wettbewerbsvorteil für europäische Unternehmen (62%). So sehen dann auch 20% der Unternehmen insgesamt Vorteile für die eigene Geschäftstätigkeit.
Dass die durch die Bitkom befragten Unternehmen ganz überwiegend erheblichen Mehraufwand durch die Vorgaben der DS-GVO verzeichnen, überrascht nicht. Über Jahrzehnte hat das Thema „Datenschutz“ in deutschen Unternehmen ein Schattendasein gefristet, nicht unbedingt wegen fehlender gesetzlicher Regelungen, sondern auch bedingt durch eine lasche Kontrolle seitens der Aufsichtsbehörden bzw. eines geringen Risikos durch Bußgelder. Dies ist unter Wirkung der DS-GVO nun anders. Betrachtet man auch die dargestellten positiven Effekte, so scheint es nicht ausgeschlossen, dass deutsche und europäische Unternehmen – nach einem durchaus verständlichen Stotterstart – langfristig durch das neue Datenschutzrecht profitieren könnten. Sicherlich muss aber auch immer wieder evaluiert werden, welche Regelungen des Datenschutzrechts Sinn ergeben, und welche eher „gut gemeint“ waren, in der Praxis aber ihren Schutzauftrag nicht erfüllen.
24. September 2020
Die norwegische Datenschutzbehörde hat gegen die norwegische öffentliche Straßenverwaltung eine Geldbuße in Höhe von 37.400 EUR verhängt, da personenbezogene Daten für Zwecke verarbeitet wurden, die nicht mit den ursprünglich angegebenen Zwecken vereinbar waren.
Die norwegische öffentliche Straßenverwaltung nutzte das durch Verkehrskameras gewonnene Videomaterial zur Überwachung von Vertragspartnern, Mitarbeitern und Subunternehmen. Die Behörde stellt klar, dass der eigentliche Zweck der Verarbeitung personenbezogener Daten durch die Verkehrskameras die Gewährleistung der Verkehrssicherheit und des optimalen Verkehrsflusses den Straßen entlang ist. In diesem Fall wurden die Videoaufnahmen jedoch zur Dokumentation von Vertragsverletzungen verwendet. Die norwegische Datenschutzbehörde hat hervorgehoben, dass diese Datenverarbeitung für die Betroffenen erhebliche Nachteile mit sich bringe und im Widerspruch zu den Erwartungen der Betroffenen an die Verarbeitung ihrer personenbezogenen Daten stehe.
