Kategorie: DSGVO
4. März 2020
Das Oberlandesgericht Stuttgart hat mit seinem Urteil vom 27.02.2020 (2 U 257/19) dazu Stellung genommen, ob der Verstoß gegen die Informationspflichten aus Art. 13 DSGVO einen Wettbewerbsverstoß im Sinne des UWG darstellen und somit einen Unterlassungsanspruch nach § § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG begründen kann. Dies wurde durch das Gericht bejaht.
Voraussetzung für diesen Unterlassungsanspruch ist eine unzulässige geschäftliche Handlung im Sinne des § 3 UWG. Eine solche begeht, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln und wenn der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Erforderlich ist also ein Marktbezug der Vorschrift, gegen welche verstoßen wurde. Dies wurde durch das Gericht mit Blick auf Art. 13 DSGVO, insbesondere deswegen bejaht, weil den Informationen über den Verantwortlichen eine verbraucherschützende Funktion zukomme. Aber auch die Angaben etwa über Zwecke und Dauer der Verarbeitung schützten Informationsinteresse sowie Entscheidungs-und Verhaltensfreiheit der Verbraucher in Bezug auf die Marktteilnahme und begründeten daher einen Marktbezug der Norm.
Des Weiteren befasste sich das Gericht ausführlich mit der Frage, ob den Ansprüchen und Sanktionsmechanismen der DSGVO ein abschließender Charakter zukommt, sodass der Unterlassungsanspruch des UWG von diesen verdrängt wird. Dies verneinte das Gericht und verwies darauf, dass der erforderliche abschließende Charakter insoweit weder aus dem Wortlaut noch aus der Entstehungsgeschichte der Verordnung zu schließen sei. Die Rechtsdurchsetzung bei Verstößen gegen die DSGVO sei demnach auch mittels des wettbewerbsrechtlichen Unterlassungsanspruch möglich.
Mit dieser Entscheidung bewegt sich das OLG Stuttgart im Fahrwasser der bisher überwiegenden Rechtsprechung (etwa OLG Hamburg, Urt. v. 25.10.2018 – 3 U 66/17, LG Würzburg, Beschluss vom 13.9.2018 – 11 O 1741/18 UWG, OLG Naumburg, Urt. v. 7.11.2019 – 9 U 39/18 zur unwirksamen Einwilligung). Wegen der grundsätzlichen Bedeutung der Frage wurde die Revision zugelassen. Insofern ist die weitere Entwicklung aufmerksam zu verfolgen, ist die Streitfrage doch von enormer Relevanz in der unternehmerischen Praxis.
27. Februar 2020
Am 20. Februar erhielten zahlreiche Nutzer auf der ganzen Welt eine unbekannte Nachricht mit dem Inhalt „1 1“ durch „Find My Mobile“ von Samsung. Nun wurde bekannt, dass es sich dabei um einen Datenpanne bei Samsung handelte.
Aufgeschreckt durch die Find My Mobile-Push Mitteilung wollten die Nutzer sich in ihr Samsung-Konto einloggen, um dort das Passwort zu ändern und bekamen dabei Einsicht in fremde Konten. So konnten Nutzer des Samsung-Dienstes „Find My Mobile“ die eigentlich geschützten Daten fremder Nutzer einsehen. Telefonnummern, E-Mails, Lieferadressen, letzte Bestellungen und sogar die letzten 4 Ziffern der Kreditkarten waren sichtbar.
Laut Samsung handelte es sich dabei um Server-Probleme und die Mitteilung wurde versehentlich an eine begrenzte Anzahl von Galaxy Nutzern gesendet. Eine Sprecherin des Unternehmens erklärte: „Ein technischer Fehler führte dazu, dass eine kleine Anzahl von Benutzern auf die Details eines anderen Benutzers zugreifen konnte. Sobald wir von dem Vorfall erfuhren, wurde die Möglichkeit, sich auf der Website anzumelden, entfernt, bis das Problem behoben wurde.“ Sie fügte hinzu: „Wir werden die von dem Problem betroffenen Personen mit weiteren Einzelheiten kontaktieren.“
Wie groß die Anzahl der „kleinen Anzahl von Benutzern“ war, ist noch unklar. Interessant ist, dass Nutzer, welche den Dienst deaktiviert hatten, die Nachricht ebenfalls erhielten.
25. Februar 2020
Die kritisierte Lernsieg-App, in der Schüler Lehrer und Schulen in Deutschland und Österreich bewerten können, darf mit gleichbleibenden Funktionen wieder online gehen. Datenschützer sehen es als zulässig an, dass Lehrer und Schulen mit bis zu fünf Sternen anonym von den Schülern bewertet werden dürfen. Den Entwicklern der App gehe es um Transparenz und den Leistungsgedanken. Es soll gemeinsam an einem besseren Schulsystem gearbeitet werden.
Im November war die App nach nur wenigen Tagen offline gegangen aufgrund Kritik der österreichischen Lehrer-Gewerkschaft und zahlreicher Hass-Mails.
Die österreichische Datenschutzbehörde hat ihr Verfahren gegen „Lernsieg“ eingestellt. Aus ihrer Sicht stehe die Verarbeitung der Lehrerdaten im Einklang mit den Grundsätzen der DSGVO und die berechtigten Interessen der Allgemeinheit beziehungsweise der Schüler überwiege die Beeinträchtigung des Grundrechts auf Datenschutz der Lehrer. Es bestehe ein legitimes Informationsinteresse der Öffentlichkeit an der Bewertung.
„Lernsieg“ erinnert an die Webseite spickmich.de, die vor rund 10 Jahren die Gerichte in Deutschland beschäftigte, weil Lehrer immer wieder erfolglos versuchten, sich auf dem rechtlichen Weg gegen die teils diffamierenden Kommentare auf der Seite zur Wehr zu setzen. Diese Seite wurde inzwischen eingestellt.
19. Februar 2020
Das Bundesministerium für Gesundheit (BMG) hatte im Januar 2020 einen Entwurf für eine „Digitale Gesundheitsanwendungen-Verordnung“ (DiGAV) vorgelegt. Durch diese Verordnung soll für gesetzlich Versicherte nicht nur ein Anspruch auf Versorgung mit digitalen Gesundheitsanwendungen begründet, sondern auch Anforderungen an Funktionstauglichkeit, Sicherheit, Qualität, Nachweis positiver Versorgungseffekte sowie Datenschutz und Datensicherheit dieser digitalen Gesundheitsanwendungen gestellt werden – so das BMG. Digitale Gesundheitsanwendungen sind dabei laut DVG (Digitale-Versorgung-Gesetz) solche Medizinprodukte, deren Hauptfunktionen wesentlich auf digitalen Technologien beruhen.
Verschiedene Verbände haben nun zu der geplanten Verordnung Stellung genommen und sich dabei auch zu den Fragen Datenschutz und Datensicherheit geäußert.
Der AOK-Bundesverband kritisiert in diesem Zusammenhang insbesondere, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) keine eigene Prüfung vornehmen solle, ob die datenschutzrechtlichen Anforderungen durch die Hersteller der Produkte tatsächlich eingehalten werden. Verließe sich das BfArM lediglich auf die Angaben der Hersteller, verkämen die datenschutzrechtlichen Vorgaben zu einem „zahnlosen Tiger“. Zudem sei eine Verschärfung des Grundsatzes der Datenminimierung erforderlich: Hersteller und Anbieter müssten beispielsweise nicht zwingend Kenntnis von der Identität des Nutzers haben.
Die fehlende Überprüfung der Einhaltung des Datenschutzes durch das BfArM wird auch seitens des Deutschen Caritasverbandes kritisiert. Zudem wird bemängelt, dass Datenschutzverstöße keine Sanktionen nach sich ziehen würden.
Ähnliche Kritik äußert auch die Deutsche Gesellschaft für Psychologie e.V. (DGPs). Neben fachspezifischen Anmerkungen weist die DGPs darauf hin, dass die datenschutzrechtlichen Rahmenbedingungen insbesondere in Bezug auf den internationalen Austausch von Nutzerdaten sowie hinsichtlich der wissenschaftlich fundierten Weiterentwicklungsmöglichkeiten der digitalen Gesundheitsanwendungen verschärft werden müssten.
Als zu streng betrachtet die geplanten datenschutzrechtlichen Anforderungen hingegen der Spitzenverband Digitale Gesundheitsversorgung (SVDGV). Dieser kritisiert vor allem, dass die Verarbeitung von Patientendaten nur auf der Grundlage einer ausdrücklichen Einwilligung möglich sei. Auch sollten die Patientendaten zu weiteren als den im Entwurf genannten Zwecke verarbeitet werden dürfen, etwa zur Weiterentwicklung der Gesundheitsanwendungen, aber auch um den Patienten weitere relevante Versorgungsangebote anbieten zu können.
Es bleibt abzuwarten, welche der beteiligten Interessenvertretungen sich mit ihren Anliegen schließlich durchsetzen wird, oder ob überhaupt noch Änderungen an dem Referentenentwurf vorgenommen werden. Eine Fachanhörung im Ministerium war für den heutigen Mittwoch (19.02.2020) geplant.
13. Februar 2020
Eigentlich sollte Facebooks Datingdienst am 13. Februar und damit pünktlich einen Tag vor Valentinstag in Europa verfügbar sein. Daraus wird aber nichts, wie die irische Datenschutzkommission (DPC) am 12. Februar bekanntgab. Erst 10 Tage vor dem geplanten Start, am 3. Februar, wurde die DPC von Facebooks EU-Headquarter in Irland über den geplanten Start von Facebook Dating informiert. Die DPC monierte, dass ihr keine Informationen und Dokumentationen über die Datenschutz-Folgenabschätzung (DPIA) oder den bei Facebook Irland abgelaufenen Entscheidungsfindungsprozessen vorgelegt wurden. Um die Beschaffung der erforderlichen Unterlagen zu beschleunigen hat die DPC am vergangenen Montag eine Inspektion in den Büros von Facebook Irland durchgeführt und Dokumente gesammelt. Am daraufolgenden Tag teilte Facebook der Datensschutzbehörde mit, dass die Einführung des Features verschoben wurde.
In den USA wurde das Dating-Feature bereits im September gelauncht. EU-Bürger müssen bis auf Weiteres auf anderen Plattformen auf Partnersuche gehen. Aber auch die stehen im Fokus von Untersuchunngen: So legten norwegische Verbraucherschützer gegen die Dating-App Grindr Beschwerde ein, auch Lovoo stand bereits in der Kritik und aktuell ermittelt die irische Datenschutzkommission, ob der Umgang mit personenbezogenen Daten der Dating-App Tinder im Einklang mit dem Datenschutzrecht steht.
11. Februar 2020
Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, „ob die anderen drinbleiben dürfen.“ Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der „Twexit“ des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung „Sozialer Netzwerke„. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.
In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um „die Behörden [zu] zwingen, mit dem Twittern aufzuhören.“ Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem „in der zweiten Jahreshälfte […] Unternehmen ansehen.“ Er ist sich sicher durch „Druck auf die Unternehmen“ zu erreichen, dass „die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben“ und so an „den formal nötigen Vertrag“ kommen werden.
28. Januar 2020
Während die EU-Kommission über
ein zeitweiliges Verbot der Verwendung von Gesichtserkennung zum Schutz der
Persönlichkeitsrechte nachdenkt, hat die britische Polizei als Teil eines
risikoorientierten Plans zur Regulierung der künstlichen Intelligenz den
Einsatz der datenschutzfeindlichen Technologie vorangetrieben und die operative
Nutzung der Live-Gesichtserkennungskameras in der britischen Hauptstadt erlaubt.
Die britische Polizei erklärte,
dass die Technologie dabei helfen würde, Verdächtige schnell zu identifizieren
und festzunehmen sowie schwere Verbrechen unter anderem Waffen- und
Messerverbrechen zu bekämpfen. Die
Kameras würden in Vierteln eingesetzt, in denen es wahrscheinlich sei, dass
sich bestimmte Verdächtigte aufhalten.
Die Technologie, die die Polizei einsetzen
wird, geht über die verwendeten Gesichtserkennungssysteme hinaus, die ein Foto
mit einer Datenbank abgleichen, um eine Person zu identifizieren. Die neuen
Tools verwenden eine Software, die Personen auf einer polizeilichen
Beobachtungsliste sofort identifizieren kann, sobald sie von einer Videokamera
gefilmt werden.
23. Januar 2020
Laut Pressemitteilung vom 22.01.2020 könnte die Landeshauptstadt Potsdam Opfer eines Cyberangriffs geworden sein. Infolgedessen wurde der Server der Verwaltung vor etwa 48 Stunden offline gestellt.
Der Oberbürgermeister Mike Schubert erklärte: „Wir haben unsere Systeme aus Sicherheitsgründen offline gestellt, weil wir von einer illegalen Cyberattacke ausgehen müssen“. Weiterhin versicherte er: „Wir arbeiten mit Hochdruck daran, dass die betroffenen Systeme der Verwaltung baldmöglichst wieder eingeschaltet werden und wir wieder sicher arbeiten können. Bis dahin bitten wir um Geduld bei allen Anliegen, die die Bürgerserviceeinrichtungen betreffen“.
Hintergrund für die Vermutung eines Cyberangriffs waren laut Schubert „zahlreiche Ungereimtheiten“, die in den letzten 2 Tagen in den zentralen Netzzugängen festgestellt worden sind. Angeblich wurde, aufgrund einer „Schwachstelle im System eines externen Anbieters“, von außen versucht unberechtigt Daten vom Server der Stadt Potsdam abzurufen. Zusätzlich wurde probiert eine Schadstoffsoftware zu installieren.
Über das Ausmaß der Schäden kann zurzeit noch keine Aussage getroffen werden. Die It-Experten untersuchen momentan die Systeme, versuchen sie wiederherzustellen und die Datensicherheit zu gewährleisten. Die Stadt Potsdam hat Anzeige gegen Unbekannt gestellt und die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA) Brandenburg informiert. Die Verwaltungsvorgänge sind zurzeit stark eingeschränkt. Die Verwaltung ist nicht mehr per E-Mail, sondern nur noch telefonisch erreichbar.
22. Januar 2020
Aufgrund der neuesten Berichte über das US-Unternehmen Clearview, das eine Datenbank mit rund 3 Milliarden frei im Internet verfügbaren Fotos erstellt haben soll und mit dieser nun bei Behörden für einen Gesichtserkennungsdienst wirbt, hat sich Ulrich Kelber, der Bundesdatenschutzbeauftragte, nun klar gegen ein solches Vorgehen in Europa gestellt.
Im Statement gegenüber den Zeitungen des „Redaktionsnetzwerks Deutschland“ stellte Kelber klar, dass die biometrische Gesichtserkennung im öffentlichen Raum einen potenziell sehr weitgehenden Grundrechtseingriff darstelle, der auf jeden Fall durch konkrete Vorschriften legitimiert sein müsste, an der es allerdings bislang fehle. Fraglich sei allerdings auch bereits, ob eine solche Rechtsgrundlage überhaupt verfassungskonform ausgestaltet werden könne.
Kelber befürchtet zudem, dass der Einsatz von Gesichtserkennung im öffentlichen Raum das Verhalten der betroffenen Bürger zu sehr beeinträchtigen könnte, die so beispielsweise auf die Teilnahme an Demonstrationen – und damit auf die Ausübung ihrer Freiheitsrechte – verzichten könnten, um so eine Identifizierung durch Gesichtserkennung zu verhindern.
Letztlich liegt es daher nach Aussage Kelbers daran, den Einsatz von Technologie so zu regulieren, dass eine missbräuchliche und sozialschädliche Nutzung ausgeschlossen wird.
16. Januar 2020
Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.
Der Bundestag hat mit Beschluss des sogenannten Zweiten
Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen
für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das
Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden
dadurch Anpassungen in rund 150 Gesetzen erforderlich.
Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.
Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.
