Kategorie: DSGVO
26. März 2021
Aufgrund der Eilbedürftigkeit vieler Maßnahmen, die in Zeiten von Corona von Nöten sind, schleichen sich leider auch immer wieder Fehler in verschiedene Prozesse ein. So auch vor Kurzem, als eine Sicherheitslücke in einer von vielen Corona-Testzentren verwendeten Software bekannt wurde.
Was ist passiert?
Das Wiener Startup medicus.ai bietet die hauseigene Software „SafePlay“ als Komplettlösung für Testzentren an. Mittels dieser Software ist es möglich sich für Tests zu registrieren und hinterher auch die Ergebnisse aufzurufen. Den Fachleuten von Zerforschung – einem Kollektiv von IT-Experten- und dem dem Chaos Computer Club (CCC) sind dabei allerdings Unregelmäßigkeiten aufgefallen, die es ermöglichten, dass ca. 136.000 Testergebnisse wochenlang ungeschützt im Internet verfügbar waren. Ihre Ergbnisse veröffentlichten die Fachleute in einem eigenen Bericht.
Dabei wurde bekannt, dass die eingesetzte Software erhebliche Sicherheitslücken aufwies und es keines großen Know-Hows bedurfte um auf sensible PDFs zugreifen zu können. Um das eigene Testergebnis einsehen zu können, erhielt man eine URL. Das Problem dabei war allerdings, dass diese URL eine fortlaufende Nummer enthielt. Es war also möglich die Nummer beliebig zu verändern, etwa durch eine Addition oder Subtraktion, und dadurch zu den Testergebnissen von Dritten zu gelangen. Besonders brisant macht den Fund, dass neben des Testergebnisses auch der Name, die Anschrift, Staatsbürgerschaft und die Ausweisnummer der Betroffenen zu sehen war.
Das Problem ist behoben
Das Unternehmen medicus.ai hat sich nach Bekanntwerden der Sicherheitslücke in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Fehler gewidmet und die Schwachstelle behoben. In einem eigenen Statement führt medicus.ai aus, dass es lediglich zu 6 Zugriffen auf Datensätzen von Nutzern gekommen sei.
19. März 2021
Personenbezogene Daten, die Verbraucher in E-Mails angeben, dürfen von Unternehmen nicht für andere Werbezwecke genutzt werden. Das entschied das Oberverwaltungsgericht Saarlouis durch Beschluss vom 16.02.2021 (Az. 2 A 355/19) und bestätigte damit ein Urteil des Verwaltungsgerichts Saarlouis vom 29.10.2019 (Az. 1 K 732/19). Durch die Angabe einer Telefonnummer in einer E-Mail, willigt der Verbraucher nicht automatisch in Werbeanrufe ein. Nutzen Unternehmen die Telefonnummer für Werbeanrufe, liegt darin ein Verstoß gegen die DSGVO.
Hintergrund der Entscheidung:
Die Klägerin, ein Unternehmen, ist im Bereich der Versicherungsvermittlung, der Vermögensanlage sowie der Finanzierung tätig. Im Rahmen dieser Tätigkeit betrieb sie auch telefonische Werbetelefonate. Zwei Betroffene, die ebenfalls zu Werbezwecken von der Klägerin kontaktiert worden waren, beschwerten sich bei der zuständigen Datenschutzbehörde (Beklagten) darüber und gaben an, niemals eine Einwilligung in eine solche Werbeansprache erteilt zu haben. Die Datenschutzbehörde erließ nach Anhördung der Klägerin daraufhin eine Anordnung, in der sie die Klägerin zur Einstellung der Verarbeitung personenbezogener Daten für Werbezwecke nach Art. 58 Abs. 2 lit. f DSGVO sowie zur Löschung der Daten der betroffenen Personen nach Art. 58 Abs. 2 lit. g DSGVO aufforderte. Zur Begründung führte sie an, vorliegend seien Name, Adresse und Telefonnummer der Betroffenen als personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO erhoben und letztere zu Zwecken des telefonischen Direktmarketings ohne Einwilligung der Betroffenen durch das Unternehmen verwendet worden.
Dagegen erhob das Unternehmen Klage und gab an, eine wirksame Einwilligung sei durch ein vollständig durchlaufendes Double-Opt-In-Verfahren eingeholt worden.
Double-Opt-In
Bei diesem Verfahren erklärt der Nutzer in einem ersten Schritt seine Zustimmung zur Aufnahme in eine Verteilerliste durch die einmalige Eingabe seiner E-Mail-Adresse (sog. Single/Einfaches-Opt-In). In einem zweiten Schritt erhält er eine sich anschließende Bestätigungs-E-Mail mit der Möglichkeit, die Anmeldung zu bestätigen. Erst mit dieser Bestätigung wird die Registrierung wirksam und das Double-Opt-In abgeschlossen.
Im konkreten Fall hätten die Betroffenen sich für ein Gewinnspiel eingetragen, woraufhin sie eine Bestätigungs-E-Mail erhielten, die diese auch bestätigten, so die Klägerin. Zum Beweis dafür wies sie eine entsprechende Online-Registrierung aus, in der eine E-Mail-Adresse und der Eingang einer Bestätigungsmail vermekt waren.
Die Betroffenen verneinten die Eintragung in einen solchen Verteiler und eine entsprechende Bestätigung.
Die Entscheidung der Gerichte
Das Verwaltungsgericht wies die Klage des Unternehmens ab, mit der Begründung, dass über das Double-Opt-In-Verfahren nur eine Einwilligung per E-Mail-Werbung generierbar sei, nicht aber auch für Telefonwerbung. Dies bestätigte das Oberverwaltungsgericht nun. Das Double-Opt-In Verfahren per E-Mail sei nicht zum Nachweis der Einwilligung in Telefonwerbung geeignet. Die Anforderungen an eine rechtmäßige Verarbeitung gem. Art. 6 Abs. 1 DSGVO erfüllte die Klägerin nicht. Nach Art. 6 Abs. 1 lit. a DSGVO ist eine Verarbeitung nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese konkreten Nachweise konnte die Klägerin im vorliegenden Fall nicht erbringen. Auch ein Rückgriff auf das in Art. 6 Abs. 1 lit. f DSGVO bezeichnete “berechtigte Interesse”, sei der Klägerin, so das OVG, verwehrt. Dies begründete es damit, dass die Bewertungsmaßstäbe des § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG), auch im Rahmen des Art. 6 Abs. 1 lit. f DSGVO berücksichtigt werden müssen. Nach § 7 Abs. 2 Nr. 2 UWG ist eine unzumutbare Belästigung stets anzunehmen bei Werbung mit einem Telefonanruf gegenüber dem Verbraucher, ohne dessen vorherige ausdrückliche Enwilligung. Eine Berücksichtigung etwaiger “berechtigter Interessen” des Werbenden sei in § 7 Abs. 2 Nr. 2 UWG aber nicht vorgesehen.
Fazit
Unternehmen dürfen Telefonnummern, die sie durch das Double-Opt-In-Verfahren per E-Mail erlangt haben, nicht für Werbeanrufe nutzen. Bei einem Verstoß gegen das UWG und der DSGVO drohen hohe Bußgelder.
18. März 2021
Durch die Ausnutzung von Sicherheitslücken erlangten Hacker Zugriff auf die Microsoft Exchange Server (wir berichteten). Die Lücken wurden inzwischen durch ein Windows-Update behoben.
Inzwischen äußerten sich auch weitere Datenschutzaufsichtsbehörden zu dem Vorfall. Einigkeit besteht hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf personenbezogene Daten stattgefunden hat. In diesem Fall ist die Meldung einer Datenpanne unerlässlich. Bei den Details unterscheiden sich die Meldungen jedoch.
Hier ein landespezifischer Überblick:
Auch Microsoft informiert über die technisch notwendigen Schritte. Darüber hinaus können sich Betroffene mit dem erst kürzlich veröffentlichten Microsoft On-premises Mitigation Tool (EOMT) wohlmöglich noch weiter absichern. Das Tool ersetzt die Sicherheitspatches allerdings nicht. Es kann auf der Github-Website von Microsoft heruntergeladen werden. Sind die Server abgesichert, lädt das Tool den Microsoft Security Scanner herunter. Dieser untersucht dann die Server auf schädliche Elemente.
11. März 2021
In Zeiten, in denen neben Präsenzunterricht oft auch keine Präsenzprüfungen möglich sind, haben das Oberverwaltungsgericht des Landes Nordrhein-Westfalen (OVG NRW) und das Oberverwaltungsgericht des Landes Schleswig-Holstein (OVG SH) nun entschieden, dass eine Videoüberwachung während einer Online-Prüfung zulässig ist.
Sachverhalt und Entscheidung des OVG Nordrhein-Westfalen
Ein Student der Fernuniversität Hagen hat sich mittels Normenkontroll-Eilantrag an das OVG NRW gewandt. Mit diesem wollte er gegen die Corona-Prüfungsordnung der Universität vorgehen, die videobeaufsichtigte häusliche Klausurprüfungen als alternative Möglichkeit zu Präsenzprüfungen vorsieht. Dabei werden die Prüflinge durch prüfungsaufsichtsführende Personen über eine Video- und Tonverbindung während der Prüfung beaufsichtigt.
Das besonders interessante am Ablauf der Prüfung ist aber, dass Video, Ton und auch die Bildschirmansicht des Prüflings nicht nur aufgezeichnet, sondern auch gespeichert werden. Eine Löschung der Daten soll im Regelfall nach Ende der Prüfung erfolgen, es sei denn der Prüfungsaufsicht sind Unregelmäßigkeiten aufgefallen, oder der Prüfling hat eine Sichtung der Aufnahme beantragt. Gegen dieses Prozedere, dass Daten aufgezeichnet und gespeichert werden, wehrte sich der Prüfling vor dem OVG NRW und berief sich auf Verstöße gegen die DSGVO und sein Recht auf Informationelle Selbstbestimmung.
Das OVG teilte diese Bedenken allerdings nicht. In einer Pressemitteilung erläuterte das Gericht vielmehr, warum es den Eilantrag abgelehnt hat. Dabei betonte es, dass die Rechtmäßigkeit der Aufzeichnung und Speicherung zwar nicht in einem Eilverfahren geklärt werden kann. Grundsätzlich erlaube die DSGVO die Datenverarbeitung aber, wenn sie für die Wahrnehmung einer Aufgabe erforderlich sei, die im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge, die dem Verantwortlichen übertragen worden sei. Bei einer Hochschule sei dies der Fall, denn sie ist verpflichtet Prüfungen durchzuführen und dabei den Grundsatz der Chancengleichheit zu wahren. Dieser Grundsatz verlange, dass für alle vergleichbare Prüfungsbedingungen und damit gleiche Erfolgschancen geschaffen werden. Die Aufzeichnung und vorübergehende Speicherung diene einerseits dazu, die Prüflinge von Täuschungsversuchen abzuhalten, bietet ihnen andererseits aber auch die Möglichkeit einen nicht ordnungsgemäßen Prüfungsverlauf, zum Beispiel durch Störungen, festzuhalten.
Sachverhalt und Entscheidung des OVG Schleswig-Holstein
Das OVG SH hatte in einem ähnlich gelagerten Fall zu entscheiden. Ein Student der Christian-Albrechts-Universität zu Kiel (CAU) wandte sich gegen die Satzung seiner Universität, die Prüfungen in elektronischer Form unter Videoaufsicht vorsah.
Das OVG SH hielt bereits den Antrag des Studenten für unzulässig. Dennoch äußerte sich der Senat zu dem Antrag und zeigte auf, dass der Antrag auch im Übrigen keine Aussicht auf Erfolg gehabt hätte. Demnach liegt weder ein ungerechtfertigter Eingriff in das Grundrecht der Unverletzlichkeit der Wohnung (Art. 13 Abs. 1 GG) noch in das Recht auf Informationelle Selbstbestimmung durch die Videoaufsicht vor.
Das Recht auf Unverletzlichkeit der Wohnung sei nicht betroffen, da die Videoaufsicht nicht gegen den Willen des Prüflings erfolge, sondern er sich frei entscheiden kann, ob er an der Prüfung teilnehmen möchte, oder nicht. Im Hinblick auf das Recht auf informationelle Selbstbestimmung argumentiert das OVG SH wie das OVG NRW und sieht die Videoüberwachung mit Blick auf die Chancengleichheit als zulässig an.
Abschließend fügt das OVG SH hinzu: „Zu einem unbeobachtbaren Beobachtetwerden komme es nicht. Anders als etwa bei der Vorratsdatenspeicherung liege eine Überwachung von Prüfungen in der Natur der Sache und sei den Betroffenen bekannt.“
10. März 2021
Google Chrome ist momentan der meistgenutzte Browser und bietet zahlreiche praktische Funktionen für die Nutzer. Doch gerade im Bereich Datenschutz ist der Konzern hinter dem Browser nicht gerade auf dem Vormarsch. Durch zahlreiche Einstellungen und Add-ons lässt sich der Datenschutz der Nutzer bei der Verwendung von Google Chrome jedoch verbessern.
Welche Datenschutzeinstellungen sollten bei der Nutzung von Chrome ausgewählt werden?
Über das Chrome-Dreipunktmenü können unter dem Reiter „Einstellungen“ die Funktionen angepasst werden. Hier finden sich unter dem Reiter „Datenschutz und Sicherheit“ auch die Chrome Datenschutz Inhaltseinstellungen. Dort ist es möglich, gespeicherte Cookies sowie den Browserverlauf zu löschen und Berechtigungen im Hinblick auf die Nutzung der Nutzerinformationen durch die Websites zu konfigurieren.
Um die Datensparsamkeit des Chrome Browsers zu gewährleisten, sollte insbesondere auf folgende Punkte Wert gelegt werden:
- Deaktivieren des automatischen Speicherns von Passwörtern
- Deaktivieren des automatischen Ausfüllens von Zahlungsmethoden und Adressen
- Deaktivieren der automatischen Vervollständigung von Suchanfragen und URLs
- Deaktivieren des Sendens von Nutzungs- und Absturzberichten
- Deaktivieren von Drittanbietercookies sowie das Aktivieren der Funktion „Do not track“
- Aktivieren des Standardschutzes beim Safe Browsing, wobei die Funktion „Dabei helfen, das Web für alle sicherer zu machen“ deaktiviert werden sollte
- Löschen der Browserdaten (insbesondere Cookies und anderen Websitedaten)
- Die Websiteeinstellungen (unter anderem Zugriffsberechtigungen) sollten entsprechend eingestellt werden.
Zu den meisten der hier genannten Punkte wurde bereits eine detaillierte Schritt-für-Schitt-Anleitung veröffentlicht.
Welche Datenschutz-Add-ons sind für den Nutzer sinnvoll?
Dem Nutzer des Browsers stehen verschiedenste Add-Ons zur Verfügung. Darunter befinden sich beispielsweise uBlock, der Privacy Badger, Click & Clean sowie NoScript.
Der Chrome Browser in der Kritik
Google ist ein Konzern, der von der Auswertung seiner Daten lebt. Nur so ist die Einspielung von Werbung möglich. Dies ist aus der Sicht von Datenschützern problematisch. Dabei sendet Chrome standardmäßig Nutzungsstatistiken und Absturzberichte an Google, um den Konzern bei der Verbesserung seiner Produkte zu unterstützen. Was sich hinter dem unscharfen Begriff „Verbesserung der Produkte“ verbirgt und welche Daten Google dabei genau erhebt, wird den Nutzern gegenüber nicht kommuniziert. Die Angaben in der Datenschutzerklärung sind vage und enthalten nur eine beispielhafte Aufzählung zum Umfang der Nutzungsstatistiken „z.B. Informationen zu Einstellungen, zu Klicks auf Schaltflächen, Leistungsstatistiken oder zur Speicherauslastung“, welche weitgehend keine Webseiten-URLs oder personenbezogenen Daten enthalten sollen. Die Absturzberichte hingegen enthalten „Systeminformationen vom Zeitpunkt des Absturzes und unter Umständen auch URLs von Webseiten oder personenbezogene Daten, je nachdem, was zum Zeitpunkt passierte, als der Absturzbericht ausgelöst wurde.“ Darüber hinaus behält sich Google vor, diese Daten ohne Personenbezug mit Publishern, Werbetreibenden oder Webentwicklern zu teilen. Für die Nutzer ist anhand dieser Datenschutzerklärung jedoch nicht verifizierbar, ob der Konzern diese Versprechen einhält. Der Nutzer muss Google in diesen Punkten Vertrauen entgegenbringen. Zusätzlich sind in Chrome standardmäßig Google-Services für verschiedene Funktionen wie beispielsweise die Suche aktiviert. Werden diese Google-Dienste parallel zur Nutzung des Browsers verwendet, potenzieren sich die Daten, welche Google vom Nutzer erhält. Einen Überblick dazu gibt der Konzern hier.
Welche Datenschutz-Alternativen gibt es zu Chrome?
Trotz der dargestellten Datenschutzeinstellungen wird der Datenfluss zwischen Chrome und Google nie vollständig versiegen. Ist diese Tatsache für den Nutzer nicht zufriedenstellend, so existieren auf dem Markt einige Alternativen verschiedener Anbieter, deren Browser unterschiedliche Vor- und Nachteile haben:
Firefox
Firefox ist einer der beliebtesten Browser nach Google Chrome und präsentiert sich somit als sinnvolle Alternative. Nicht zuletzt aufgrund der fehlenden Kommunikation zwischen Firefox und Google ist der Browser deutlich datenschutzfreundlicher. Firefox verdient kein Geld mit Daten, Haupteinnahmequelle ist vielmehr die Integration voreingestellter Suchmaschinen. Eine gewisse Abhängigkeit besteht hier jedoch auch: Die Standard-Suchmaschine im Firefox-Browser ist Google. Hierfür zahlt der Konzern Mozilla mehrere Milliarden Dollar pro Quartal.
Brave
Brave nutzt wie viele andere Browser den vorgestellten Open-Source-Browser Chromium. Seine fehlende Bekanntheit wird ihm nicht gerecht, vereint er doch die Vorteile von Chrome mit einer herausragenden Datenschutzkonformität. So wird beispielsweise im Inkognito-Modus der Tor-Browser verwendet. Dabei wird nicht nur der Verlauf automatisch gelöscht, sondern das Surf-Verhalten wird durch die Umleitung über mehrere Server anonymisiert. Die Verbindungen sind dabei verschlüsselt.
Opera
Opera bietet durch viele Zusatzfunktionen zahlreiche Nutzungsmöglichkeiten. Es ist beispielsweise möglich, Messenger in den Browser zu integrieren, Mausgesten zu nutzen oder Tastenkürzel einzustellen. Erwähnenswert ist vor allem der integrierte Gratis-VPN. Die Verbergung des Standorts des Nutzers ist damit kein Problem mehr. Nutzern sollte aber bewusst sein, dass VPN-Anbieter den kompletten Datenverkehr einsehen können, der über ihre Netzwerke läuft.
Tor-Browser
Gerade beim Thema Datenschutz ist der Tor-Browser auf dem Vormarsch. Der Nutzer wird beim Surfen in der Regel über drei Server geroutet, die meist in verschiedenen Staaten stehen. Der Nutzer stammt dadurch für die besuchte Website bei jedem einzelnen Besuch aus komplett unterschiedlichen Regionen, sodass er weitestgehend anonym surft. Durch das Routing büßt der Browser jedoch an Geschwindigkeit ein, sodass Websites teilweise länger laden müssen als bei anderen Browsern.
Zusammenfassend:
Besonders datenschutzkonform ist Google Chrome zwar nicht, sein Einsatz kann jedoch mit einigen Kniffen deutlich datensparsamer als in der Standardinstallation gestaltet werden. Am Ende muss jeder für sich selbst entscheiden, welche digitalen Dienste er in Anspruch nimmt und wie viele Daten preisgegeben werden sollen. Das Vorstehende hat zumindest gezeigt, dass eine Nutzung des Browsers Chrome aufgrund der Existenz zahlreicher leistungsstarker Alternativen keinesfalls zwingend ist.
2. März 2021
Seit der Geltung der DSGVO liegt nun erstmalig ein zweitinstanzlicher Beschluss vor, welcher die Veröffentlichung von Gruppenbildern auf sozialen Netzwerken thematisiert.
Das Teilen von Bildern ist nicht nur zum Alltag vieler junger Leute geworden, sondern auch Unternehmen und politische Parteien nutzen die Gelegenheit durch das Teilen von Fotos ihre externe Kommunikation auf sozialen Netzwerken auszubauen und Wirkungskreise zu erweitern. Diese “Teilfreudigkteit” birgt allerdings auch die Gefahr des Missbrauchs. Dies haben die Gerichte erkannt und durch den Beschluss die datenschutzrechtliche Position der Betroffenen bestärkt.
Das OVG Lüneburg entschied am 19.01.2021 (Az.: 11 LA 16/20) über die Rechtmäßigkeit einer datenschutzrechtlichen Verwarnung gegenüber eines Partei- Mitglieds.
Das Mitglied einer Partei hatte im August 2014 zu einem öffentlichen Ortstermin eingeladen, um über den Bau einer Ampelanlage zu berichten. Hierbei entstand ein Foto, auf dem 30-40 Personen zu sehen waren. Der Politiker veröffentlichte dieses Foto vier Jahre später auf seinem öffentlichen Facebook Account.
Eine der abgebildeten Personen erkannte sich selbst und forderte den Politiker zur Stellungnahme und Löschung des Fotos auf. Weil er dem nicht nachgekommen war, leitete die betroffene Person daraufhin ein aufsichtsbehördliches Prüfverfahren nach Art. 57 I lit. a und lit. f und Art 58 I lit. b DSGVO ein, welches eine Verwarnung des Politikers und die Übernahme der Kosten in Höhe von 350 Euro zum Ergebnis hatte.
Als rechtliche Grundlage der Verarbeitung personenbezogener Daten wurde Artikel 6 Abs. I S. 1 lit. f der DSGVO herangezogen. Ein berechtigtes Interesse des Veröffentlichenden sollte hier jedoch nicht gegeben sein. Die Veröffentlichung solcher Fotos auf sozialen Netzwerken mit einer weitgehenden Reichweite, birgt erhebliche Risiken und Missbrauchsmöglichkeiten. Demnach ist der Schutz des Betroffenen vordergründig und findet auch keine Grundlage in möglichen journalistischen Zwecken aus Art. 85 II der DSGVO. Die Veröffentlichung des Bildes hatte nicht erkennbar solchen Zwecken gedient.
Auch wenn der BGH zuvor in seinem Urteil vom 11.11.2014 – (VI ZR 9/14) die Ansicht vertrat, dass Teilnehmer einer öffentlich bekannt gemachten Veranstaltung mit der Anfertigung von Fotos zur Veröffentlichung rechnen müssten und sie mit ihrer Anwesenheit und dem Wissen eine konkludente Einwilligung zur Veröffentlichung abgäben, ist dies nur für die Presse, nicht aber für Veröffentlichungen auf sozialen Netzwerken der Fall.
Der Beschluss des OVG Lüneburg zeigt auf, dass auch für Parteien und Unternehmen Vorsicht geboten ist, Bilder mit Personengruppen für eigene Zwecke auf sozialen Netzwerken zu teilen. Auch auf öffentlichen Veranstaltungen ist die Einwilligung jeder abgebildeten Person unerlässlich.
1. März 2021
Übersieht ein Arbeitgeber bei der Beendigung des Beschäftigungsverhältnisses, dass das Profil eines ehemaligen Arbeitnehmers weiterhin im Internet abrufbar ist, so liegt darin eine Persönlichkeitsrechtsverletzung, die einen Schmerzensgeldanspruch des Arbeitnehmers rechtfertigt.
Das hat das Landesarbeitsgericht Köln mit Urteil vom 14.09.2020 (Az.: 2 Sa 358/20) entschieden, als es der Klägerin, die bei der Beklagten bis August 2018 als Professorin beschäftigt war, ein Schmerzensgeld von 300 Euro zusprach.
Die Beklagte speicherte im Rahmen des Beschäftigungsverhältnisses das Profil der Klägerin als PDF auf ihrer Homepage. 2015 stellte die Beklagte ihre Homepage auf HTML um. Dabei übersah sie, dass die isolierte PDF-Datei weiterhin im Internet abrufbar blieb. Mit der Folge, dass auch bei Beendigung des Beschäftigungsverhältnisses, als die Beklagte die Löschung des Profils der Klägerin nebst Foto vornahm, diese das PDF ebenfalls übersah.
Nach Beendigung des Arbeitsverhältnisses im Februar 2019 entdeckte die Klägerin dies, als sie ihren Namen googelte und das PDF unter den ersten zehn Treffern abrufbar war. Daraufhin verlangte sie von der Beklagten die Löschung des Profils sowie von Artikeln über ihre Forschungsvorhaben. Dem kam die Beklagte unverzüglich nach. Dennoch erhob die Klägerin Klage vor dem Arbeitsgericht Köln und verlangte von der Beklagten unter anderem ein Schmerzensgeld in Höhe von 1.000 Euro aus Art. 82 DSGVO wegen der unberechtigten Vorhaltung des PDF auf dem Server der Beklagten.
Erstinstanzlich hat das Arbeitsgericht Köln der Klägerin Schadensersatz nach Art. 82 DSGVO in Höhe von 300 Euro zugesprochen, da es in der Vorhaltung des PDF eine Persönlichkeitsrechtsverletzung der Klägerin – und mithin einen immateriellen Schaden – sah. Dagegen legte die Klägerin Berufung ein. Das Landesarbeitsgericht Köln lehnte die Berufung der Klägerin ab. Dazu bestätigte es die Ausführungen der ersten Instanz nochmals:
Die Beklagte habe gegen Art. 17 DSGVO, das Recht auf Löschung, verstoßen. Danach hat die betroffene Person das Recht, von einem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern diese nicht mehr notwendig sind. Die Beklagte hätte daher nach Beendigung des Arbeitsverhältnisses das Profil der Klägerin vollständig löschen müssen. Eine vollumfängliche Löschung nahm sie, wenn auch aus einem Versehen heraus, vorliegend aber nicht vor. Darin sah das Gericht einen Verstoß. Bei diesem handelte es sich laut Gericht auch nicht um ein Bagatelldelikt, da es für Dritte ohne Weiteres möglich war, durch Eingabe der entsprechenden Suchbegriffe die zu Unrecht nicht gelöschte Seite aufzurufen.
Der Höhe nach gaben beide Instanzen der Klage jedoch nicht vollumfänglich statt. Zwar soll die Verhängung eines Schadensersatzes abschreckende Wirkung haben, um zukünftige Verstöße zu vermeiden – zu berücksichtigen sei aber ebenfalls die Schwere der Beeinträchtigung. Eine solche Schwere, die ein Schmerzensgeld von 1.000 Euro rechtfertigt, konnten beide Instanzen nicht erkennen. Insbesondere verneinten sie eine Reputationsschädigung der Klägerin. Vielmehr waren die veröffentlichten Tatsachen über die Klägerein inhaltlich richtig. Zudem sei auch nicht erkennbar, dass für die Beklagte irgendein Mehrwert mit der kurzzeitigen Aufrechterhaltung der Sichtbarkeit des PDF verbunden war. Daher – und unter Berücksichtigung, dass es sich nur um ein Versehen der Beklagten handelte – sei im vorliegenden Fall ein Schmerzensgeld von 300 Euro angemessen.
Beim Ausscheiden von Mitarbeitern sollte unter Berücksichtigung des Art. 17 Abs. 1 DSGVO daher immer geprüft werden, ob die Voraussetzung für einen Löschanspruch bzw. für eine Löschpflicht durch den Arbeitgeber vorliegt. Dies dürfte bei der Beendigung eines Arbeitsverhältnisses fast immer der Fall sein, da der primäre Zweck der Datenspeicherung bzw. -verarbeitung in Form des Beschäftigtenverhältnisses in diesem Fall nicht mehr besteht.
28. Februar 2021
Nach einer großangelegten Umfrage durch den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Dr. Lutz Hasse bei Thüringer Unternehmen sowie einer anschließenden Frageaktion der Kammern, ist in Kooperation mit den IHKs und HWKs ein umfangreicher FAQ– Katalog für Unternehmen fertiggestellt worden.
Die FAQs enthalten Antworten auf viele Fragestellungen, die dem TLfDI nach Auswertung der Unternehmensumfrage relevant erschienen. Darüber hinaus wurden auch Problemstellungen berücksichtigt, die von den Kammern an den TLfDI herangetragen wurden. Die FAQs sollen nun der Information und Unterstützung der Unternehmen bei Fragen zum Datenschutz dienen.
Inhaltlich werden viele Themen des Datenschutzes abgedeckt. So bietet der Katalog beispielsweise Antworten bei der Benennung des betrieblichen Datenschutzbeauftragten (bDSB), bei den rechtlichen Grundlagen für die Datenverarbeitung, den Beschäftigtendatenschutz, Werbung, technische und organisatorische Anforderungen, Auftragsverarbeitung und vieles mehr.
Am 10. Februar 2021 einigten sich die EU-Mitgliedsstaaten auf ein Verhandlungsmandat für die überarbeiteten Vorschriften zum Schutz der Privatsphäre und der Vertraulichkeit bei der Nutzung elektronischer Kommunikationsdienste. Durch diese aktualisierte Version soll festgelegt werden, in welchen Fällen Anbieter elektronische Kommunikationsdaten verarbeiten oder Zugang zu Daten erhalten dürfen, die auf den Geräten der Endnutzer gespeichert werden.
Der ursprüngliche Text wurde von der Kommission erstmals im Januar 2017 vorgelegt, Monate nachdem Europas Flaggschiff der Datenschutzreform, die Datenschutzgrundverordnung, fertiggestellt worden war. Der neue Text wurde unter der portugiesischen Ratspräsidentschaft ausgearbeitet und wird die Grundlage für die Verhandlungen des Rates mit dem Europäischen Parlament über die endgültigen Bedingungen der Datenschutzverordnung für elektronische Kommunikation bilden. Der portugiesische Vorsitz wird nun Gespräche mit dem Europäischen Parlament über den endgültigen Wortlaut einleiten.
Die bestehende Datenschutzrichtlinie für elektronische Kommunikation aus dem Jahr 2002 muss aktualisiert werden, um neuen technologischen Entwicklungen und Marktentwicklungen – wie der derzeit weit verbreiteten Nutzung der Internet-Sprachtelefonie (Voice-over-IP/VoIP), den webgestützten E‑Mail- und Nachrichtenübermittlungsdiensten sowie neuen Techniken zur Verfolgung des Online-Verhaltens der Nutzer – Rechnung zu tragen, so der Rat.
Als spezielleres Gesetz („lex specialis“) zur Datenschutz-Grundverordnung wird sie die bisherige Verordnung konkretisieren und ergänzen. So gelten im Gegensatz zur DSGVO viele Bestimmungen über die Privatsphäre und elektronische Kommunikation sowohl für natürliche als auch juristische Personen.
Es sei das erklärte Ziel, die digitale Transformation in Europa voranzutreiben. Insbesondere vor dem Hintergrund der COVID-19-Pandemie arbeitet die EU daran, den technologischen Wandel zu beschleunigen. Die Digitalisierung ist für das Wachstum und die Widerstandsfähigkeit der EU von großer Bedeutung. Die EU arbeitet aktuell an mehreren politischen Maßnahmen, die dazu beitragen sollen, das Ziel des digitalen Übergangs zu erreichen. Dabei sind die wichtigsten Politikbereiche digitale Dienste, Datenwirtschaft, künstliche Intelligenz, Basistechnologien, Konnektivität und Cybersicherheit. Ein Schlüsselelement des digitalen Übergangs ist der Schutz der Werte der EU sowie der Grundrechte und der Sicherheit der Bürger.
Die Umsetzung der ePrivacy-Richtlinie war längst überfällig. Es ist aber wahrscheinlich, dass der aktuelle Vorschlag im Laufe der Verhandlungen mit dem Europäischen Parlament noch einige Änderungen erfahren wird. Die Verordnung würde dann zwei Jahre nach ihrer Veröffentlichung im EU-Amtsblatt in Kraft treten.
26. Februar 2021
Noch im Herbst 2019 hatte die Berliner Datenschutzbeauftragte Maja Smoltczyk einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen (wir berichteten) – das bis dahin höchste Bußgeld in Deutschland auf Grundlage der DSGVO. Nun hat das LG Berlin den Bußgeldbescheid für unwirksam erklärt.
Die Ausgangslange
Bereits 2017 ist die Deutsche Wohnen der Berliner Datenschutzbehörde aufgefallen. Die Datenschützer warfen dem Immobilienunternehmen vor, Daten in einem Archivsystem zu speichern, das es nicht ermögliche, nicht mehr erforderliche Daten zu löschen. Auf diese Weise entstanden über Zeit “Datenfriedhöfe”, auf denen Daten von Personen lagen, die schon gar keine Mieter mehr waren. Dieser Zustand ermöglichte es, dass teils Jahre alte Daten von Mieterinnen und Mietern, etwa Sozial- und Krankenversicherungsdaten, Arbeitsverträge oder sonstige Informationen über die eigenen finanziellen Verhältnisse, noch immer eingesehen und verarbeitet werden konnten.
An diesem Zustand änderte sich auch bis zur nächsten Kontrolle im März 2019 nichts, woraufhin die Behörde das Rekordbußgeld in Höhe von 14,5 Millionen Euro verhängte. Die Deutsche Wohnen hatte bereits nach Erhalt des Bußgeldbescheides angekündigt, diesen gerichtlich überprüfen zu lassen.
Die Entscheidung des LG Berlin
Die 26. Große Strafkammer des LG Berlin hat das Verfahren eingestellt. Das Gericht kam zu der Überzeugung, dass der Bußgeldbescheid “gravierende Mängel” aufweist und damit “unwirksam war”. Die Kammer begründete ihren Beschluss laut Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne. Nur eine natürliche Person sei imstande, eine Ordnungswidrigkeit vorwerfbar zu begehen. Der Bußgeldbescheid enthalte keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens und könne in der konkreten Form nicht Grundlage des Verfahrens sein.
Die Entscheidung überrascht, denn damit vertritt das LG Berlin eine andere Ansicht als das LG Bonn in einem ähnlich gelagerten Fall. Im November des vergangenen Jahres reduzierte das LG Bonn zwar den Bußgeldbescheid gegen 1&1 auf 900.000€, bestätigte aber gleichzeitig einen Verstoß gegen die DSGVO (wir berichteten). Das LG Bonn bejahte die Geltung des Europäischen Unternehmensbegriffes, wonach Bußgelder auch jenseits des Ordnungswidrigkeitengesetzes (OWiG) möglich sind.
Damit dürfte allerdings nur vorerst das letzte Wort gesprochen sein. Die Berliner Datenschutzbehörde hat nun eine Woche Zeit, um sofortige Beschwerde beim Kammergericht einzulegen. Smoltczyk kündigte bereits an, die Staatsanwaltschaft zu bitten, von diesem Recht gebrauch zu machen. Man darf also gespannt sein, wie es weitergeht.
Pages: 1 2 ... 24 25 26 27 28 ... 39 40 
