Kategorie: DSGVO

Vorsicht, Phishing! Unternehmen muss über 5 Mio. Euro zahlen

3. November 2022

Bei der britischen Interverse Group Limited sorgte das Zusammenspiel aus einer trügerischen E-Mail und einem unvorsichtigen Mitarbeiter für einen größeren Datenschutzvorfall.

Was sind “Phishing-Mails”?

Unter dem Begriff Phishing versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben: So auch im vorliegenden Fall.

Der Mitarbeiter des Unternehmens öffnete eine E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Computer des Mitarbeiters, wodurch weitere Systeme und Server infiziert und Anti-Viren-Programme deinstalliert werden konnten.

Durch die so ermöglichte Abschaltung der Schutzmaßnahmen war es den Betrügern möglich, Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens zu erhalten. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Dies stellt für Betrüger eine überaus gute Ausbeute dar.

Meldung: Art. 33 DSGVO

Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO bei der britischen Datenschutzbehörde ICO, woraufhin diese den Vorfall prüfte. Das Ergebnis dieser Untersuchung fiel jedoch schlecht für das betroffene Unternehmen aus: Die ICO stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, das auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter, der die schadhafte Mail öffnete, war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde keine Beachtung geschenkt. Dies stellt ein absolutes Fehlerhaften dar. Lediglich die umfassende Kooperation des Unternehmens mit der ICO, sowie eine nachträgliche Verbesserung der Sicherheitsmaßnahmen konnten das Bußgeld in Höhe von 5.057.878 Euro etwas abmildern.

Fazit

Der Fall macht deutlich, wie wichtig und unumgänglich es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und die Cybersicherheit auf dem aktuellen Stand zu halten. Die DSGVO sieht in Art. 32 Abs. 1 vor, dass technische und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen.

Zielgerichtete Beratung durch Experten und entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, können das Risiko eines Datenschutzvorfalls verringern. Investitionen in diesem Bereich können so Bußgelder in Millionenhöhe verhindern.

EuGH zur Verantwortlichkeit bei Einwilligungswiderruf nach Datenweitergabe

Der Europäische Gerichtshof (EuGH) hat entschieden, dass der Widerruf gegen eine einheitliche Einwilligung, aufgrund derer mehrere Verantwortliche personenbezogene Daten zum selben Zweck verarbeiten dürfen, nur gegen einen dieser Verantwortlichen erfolgen muss.  

Sachverhalt

Der Beschwerdeführer wendete sich gegen den belgischen Telefonanbieter Proximus, der unter anderem öffentlich zugängliche Telefonverzeichnisse und Telefonauskunftsdienste anbietet. Darin sind Namen, Adressen und Telefonnummern enthalten, die von Anbietern öffentlich zugänglicher Telefondienste an Proximus übermittelt und auch von Proximus an andere Anbieter und Suchmaschinen wie Google weitergeleitet werden.

Nachdem seine wiederholte Aufforderung, seine Daten nicht in solchen Verzeichnissen zu führen, erfolglos waren, legte der Beschwerdeführer Beschwerde bei der belgischen Datenschutzbehörde ein. Die Datenschutzbehörde verhängte daraufhin ein Bußgeld in Höhe von 20.000 Euro und gab Proximus unter anderem auf, „dem Widerruf der Einwilligung des fraglichen Teilnehmers unverzüglich in angemessener Weise Rechnung zu tragen und den Aufforderungen dieses Teilnehmers, mit denen er sein Recht auf Löschung der ihn betreffenden Daten ausüben wolle, Folge zu leisten“.

Hiergegen klagte Proximus mit der Begründung, eine Einwilligung im Sinne der DSGVO sei nicht erforderlich. Vielmehr müssten Teilnehmer im Wege eines Opt-out selbst beantragen, nicht im Verzeichnis geführt zu werden.

Entscheidung

Der EuGH bestätigte in seiner Entscheidung zunächst das Einwilligungserfordernis bei der Veröffentlichung personenbezogener Daten in einem öffentlichen Teilnehmerverzeichnis. Sofern dritte Anbieter solcher Verzeichnisse denselben Zweck verfolgen, erstreckt sich diese Einwilligung auf jede weitere Verarbeitung der Daten. Dazu muss die betroffene Person nicht zwangsläufig zum Zeitpunkt der Einwilligung sämtliche Anbieter kennen. Allerdings genügt dann im Umkehrschluss eine einzige Widerrufserklärung gegenüber irgendeinem der Verantwortlichen. Der muss sämtliche anderen Verantwortlichen eigenständig über den Widerruf informieren.

Fazit

Die Entscheidung wird sich voraussichtlich auch auf andere Bereiche auswirken, in denen sich Verantwortliche auf eine einheitliche Einwilligung stützen. Für Betroffene bedeutet es eine erhebliche Erleichterung, den Widerruf nur an einen einer gegebenenfalls unbekannten Anzahl von Verantwortlichen richten zu müssen.  

Innenministerin beruft BSI-Chef Schönbohm ab

21. Oktober 2022

Die Bundesinnenministerin Nancy Faser hat den Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm abberufen. Am 18. Oktober 2022 stellte Faser den Chef des BSI zunächst frei. Die Freistellung erfolgte, nachdem verschiedene Vorwürfe gegen den Präsidenten des BSI aufkamen. Demnach soll Schönbohm einem Verein nahestehen, der (auch nach eigenen Angaben) Kontakte zum russischen Geheimdienst unterhalten soll.

Fragwürdige Kontakte

Ausgelöst wurden die Vorwürfe durch eine am 07. Oktober 2022 ausgestrahlte Folge des ZDF-Magazins „Royale“. In dieser präsentierte der TV-Satiriker Jan Böhmermann die Ergebnisse einer Recherche-Zusammenarbeit der ZDF-Produktion und des Recherchenetzwerks „Policy Network Analytics“.

Diesen Recherchen zufolge soll Schönbohm, bevor er Präsident des BSI wurde, 2012 den „Cyber-Sicherheitsrat e.V.“ (mit-) gegründet haben. Der private Verein berät nach eigenen Angaben Unternehmen und Politik im Bereich Cyber-Sicherheit. Der Name Cyber-Sicherheitsrat Deutschland ist fast identisch mit dem Cyber-Sicherheitsrat des Bundesinnenministerium. In einem Schreiben des für Cybersicherheit zuständigen Ministerialdirigenten des Innenministeriums vom 27. Mai 2015 an die Chefs von 5 Sicherheitsbehörden des Bundes wurde daran erinnert, eine Abgrenzung zu dem Verein sicherzustellen. Jegliche Unterstützung, beispielsweise durch die Unterstützung von Veranstaltungen, habe zu unterbleiben. Mitglied dieses Vereins sei u.a. die in Berlin ansässige „Protelion GmbH“. Protelion selbst stelle Software zum Schutz vor Cyberangriffen her. Die Protelion GmbH sei allerdings erst seit August 2022 unter ihrem jetzigen Firmennamen bekannt. Zuvor trug das Unternehmen den Namen „Infotecs“. Die Infotecs GmbH sei eine Tochtergesellschaft des russischen Cybersicherheits-Unternehmens „O.A.O Infotecs“. Ein ehemaliger Mitarbeiter des sowjetischen Nachrichtendienstes KGB habe den russischen Mutterkonzern gegründet. Darüber hinaus habe Infotecs bereits mit russischen Regierungsstellen zusammengearbeitet. Folglich sollen russische Stellen die Sicherheitssysteme von Infotecs für ihre Zwecke verwendet haben. Diese biete die Firma ebenso auf dem deutschen Markt als Mittel zur Abwehr von Cyberangriffen an.  

Außerdem berichtete das ZDF-Magazin Royal über weitere vermeintliche Verbindungen des Cyber-Sicherheitsrates e.V.“ zu Russland. Gegenstand dieser Verbindungen sei ein jetziges Präsidiums-Mitglied des Cyber-Sicherheitsrates e.V., Hans-Wilhelm Dünn. Diesem wurden in der Vergangenheit fragwürdige Kontakte zu russischen Stellen vorgeworfen.

Aufgrund dieser Verbindungen habe Schönbohm es den Mitarbeitern des BSI untersagt, bei Veranstaltungen des Cyber-Sicherheitsrates e.V. aufzutreten. Er selbst habe allerdings bei dem zehn-jährigen Jubiläum des Vereins eine Rede gehalten. Dem „Spiegel“ zufolge, segnete das Bundesinnenministerium dieses Vorgehen ab.

Fazit

Im Ergebnis steht im Zentrum der Kritik an Schönbohm seine vermeintlich fehlende Distanz zu Russland, obwohl die Bundesrepublik bereits mehrfach das Ziel russischer Cyberangriffe war. Das Innenministerium sagte dazu, dass Schönbohm „das notwendige Vertrauen der Öffentlichkeit in die Neutralität und Unparteilichkeit der Amtsführung (…) nachhaltig beschädigt“ habe.

Derweil bat Schönbohm darum, ein Disziplinarverfahren einzuleiten. Das Innenministerium strenge ein solches bislang allerdings nicht an.

Wir möchten an dieser Stelle darauf hinweisen, dass die Nutzung russischer Systeme aktuell mit einem erheblichen Risiko verbunden ist.

LDI Nordrhein-Westfalen genehmigt EU-weit erste Datenschutz-Zertifizierung durch Privatunternehmen

19. Oktober 2022

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) genehmigte am 7. Oktober 2022 erstmalig die Kriterien eines Unternehmens für die Zertifizierung von Auftragsverarbeitern. Mit dem Zertifikat „European Privacy Seal“ („EuroPriSe“) sollen Unternehmen zukünftig ihre DSGVO-konformen Auftragsverarbeitungen nachweisen können.

Bedeutung

Die EuroPriSe GmbH ist europaweit das erste Unternehmen, das eine Genehmigung für seinen Kriterienkatalog erhalten hat. Im Genehmigungsverfahren hat die LDI NRW „gemäß dem europäischen Datenschutzrecht geprüft, ob die Kriterien, nach denen die Zertifikate an Auftragsverarbeiter erteilt werden sollen, tatsächlich die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten sicherstellen – und damit die Persönlichkeitsrechte wahren.“

Allerdings befreit ein Zertifikat weder die Verantwortlichen und Auftragsverarbeiter noch die Aufsichtsbehörden von ihren Pflichten aus der DSGVO. Die Zertifizierung bleibt ein freiwilliges Instrument (vgl. Art. 42 Abs. 3 DSGVO), welches lediglich für einen Zeitraum von drei Jahren mit Aussicht auf Verlängerung erteilt werden kann (vgl. Art. 42 Abs. 3 S. 1 DSGVO).

Zertifizierungsverfahren nach Art. 42 DSGVO

Das Zertifizierungsverfahren nach Art. 42 DSGVO ist aufwendig und erfordert die Zusammenarbeit der Deutschen Akkreditierungsstelle GmbH (DAkkS) und der zuständigen Aufsichtsbehörde. Für eine Zertifizierung muss zudem die Empfehlung des Europäischen Datenschutzausschusses (EDSA) eingeholt und umgesetzt werden, damit eine einheitliche Anwendung der DSGVO in der EU gewährleistet werden kann.

Bewertung und Ausblick

Die Vorteile eines solchen Zertifikats sind vielfältig und beschränken sich nicht nur auf Marketing-Zwecke. Anwendungsbereiche werden von der DSGVO an verschiedenen Stellen explizit erwähnt. So kann ein Zertifikat für den Nachweis der DSGVO-Anforderungen beispielsweise bei der Beurteilung der Erfüllung der Pflichten des Verantwortlichen, Garantien des Auftragsverarbeiters, Datenübertragungen an ein Drittland oder auch bei der Datenschutz-Folgenabschätzung als Faktor herangezogen werden. Eine Zertifizierung kann Verantwortlichen und Auftragsverarbeitern also in vielen Bereichen den Nachweis der Pflichterfüllung erleichtern. Laut LDI NRW sei ein zentrales Ziel Transparenz, da Zertifikate als bewährtes Instrument den Markteilnehmenden einen „raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen“ lieferten.

Es bleibt abzuwarten, wie die Aufsichtsbehörden solche Zertifikate in Zukunft bei ihren Bewertungen von Verarbeitungsvorgängen einfließen lassen werden und ob sich die erhoffte Vereinfachung des Nachweises für Datenverarbeiter auch tatsächlich einstellt. Für den Markt bedeutet diese erste Genehmigung jedenfalls einen Meilenstein, der voraussichtlich den Weg für weitere Zertifizierungen nach Art. 42 DSGVO ebnen wird.

Präsident Biden unterzeichnet Exekutiverlass zur Umsetzung des Datenschutzabkommens zwischen der EU und den USA

17. Oktober 2022

In dem Disput zwischen der Europäischen Union (EU) und den Vereinigten Staaten über den Transfer personenbezogener Daten über den Atlantik zeichnet sich eine Lösung ab. Am 07.10.2022 unterzeichnete Präsident Biden eine Exekutivanordnung über die Verbesserung der Schutzmaßnahmen für die Aktivitäten der US-amerikanischen Nachrichtendienste. Das Dekret soll der „Signal Intelligence“, also der elektronischen Aufklärung der US-Geheimdienste, engere Regeln setzten. Darin werden nun die Schritte festgelegt, die die Vereinigten Staaten unternehmen, um die von Präsident Biden und der Präsidentin der Europäischen Kommission von der Leyen im März 2022 angekündigten Zusagen der USA im Rahmen des Datenschutzrahmens zwischen der EU und den USA (Trans-Atlantic Data Privacy Framework (TADPF)) umzusetzen.

Hintergrund

Das neue Regelwerk soll eine erhebliche Lücke im Datenschutz auf beiden Seiten des Atlantiks schließen. Das erste Abkommen („Safe Harbor“) fiel 2015, das nachfolgende („Privacy Shield“) 2020. Der Europäische Gerichtshof (EuGH) hatte in den Urteilen Schrems I (Az.: C-362/14) und Schrems II (Az.: C 311/18) entschieden, dass das Datenschutzniveau in den Vereinigten Staaten nicht den Standards der EU entspreche. Die Verfahren hatte der österreichische Jurist Max Schrems mit seinem Datenschutzverein „noyb“ angestrengt. Das Gericht kam zu dem Entschluss, dass die Vereinigten Staaten über zu umfangreiche Kontrollmöglichkeiten für europäische personenbezogene Daten verfügten. Das Verfahren schuf enorme Unsicherheit über die Voraussetzungen für Unternehmen, personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten in einer Weise zu übertragen, die mit dem EU-Recht vereinbar ist.

Verpflichtung zu Schutzmaßnahmen

Große und kleine Unternehmen aus den USA und der EU in allen Wirtschaftszweigen sind auf grenzüberschreitende Datenströme angewiesen, um an der digitalen Wirtschaft teilzuhaben und ihre wirtschaftlichen Möglichkeiten erweitern zu können.

Mit dem neuen Abkommen sollen die europäischen Bedenken gegen die Überwachung durch US-Geheimdienste ausgeräumt werden. Vergangenen März, nachdem sich die USA und die EU grundsätzlich auf den neuen Rahmen geeinigt hatten, erklärte das Weiße Haus in einem Fact Sheet, dass die USA sich verpflichtet hätten, neue Schutzmaßnahmen einzuführen, um sicherzustellen, dass die Aktivitäten der Nachrichtendienste zur Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig sind.

Voraussetzungen für Eingriffe definiert

Die US-Verordnung nennt zunächst auch die Fälle, bei denen das Sammeln personenbezogener zulässig bleibe. Dazu gehöre beispielsweise der Kampf gegen den Terrorismus oder auch Maßnahmen zum Schutz der nationalen Sicherheit. Rechtswidrig wäre ein Eingriff beispielsweise dann, wenn er in diskriminierender Absicht erfolge. Darüber hinaus soll der neue Rechtsrahmen es Einzelpersonen in der EU ermöglichen, über ein unabhängiges Datenschutzprüfungsgericht Rechtsmittel einzulegen. In einem ersten Schritt soll dann ein Beamter des Direktorats der US-Geheimdienste („Civil Liberties Protection Officer“ (CLPO) im Office of the Director of National Intelligence) Beschwerden von EU-Bürgerinnen und Bürgern prüfen. Anschließend würde ein Gremium (Data Protection Review Court (DPRC)) mit „uneingeschränkter Befugnis“ über Ansprüche entscheiden und bei Bedarf Abhilfemaßnahmen anordnen. Auch der Grundsatz der Verhältnismäßigkeit müsse gewahrt werden.

Verhältnismäßigkeit und Rechtsbehelf weiterhin problematisch

Schon unmittelbar nach der Veröffentlichung wurde Kritik laut. Der Datenschutzverein noyb kündigte bereits an, gerichtlich gegen den Angemessenheitsbeschluss vorgehen zu wollen, wenn dieser die Executive Order der USA als legitim akzeptiere. Auf den ersten Blick versuche man hier ein drittes Abkommen ohne rechtliche Basis, so der Jurist Max Schrems. „Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.“ In den USA bestehe weiterhin die Situation der ständigen Massenüberwachung. Um eine Verhältnismäßigkeit gewährleisten zu können, müssten die USA aber auch dasselbe Verständnis von Verhältnismäßigkeit haben und anwenden, wie es die Grundrechtscharta vorsehe. Darüber hinaus werde auch der vom EuGH geforderte Rechtsbehelf nicht umgesetzt. „Obwohl die Stelle Court (Gericht) heiße, sei es tatsächlich kein Gericht, sondern eine Stelle der Exekutive”, so Schrems.

Der Ball liegt nun im Feld der EU-Kommission, die nun über den Erlass entscheiden muss und ggf. einen dazu passenden eigenen Rechtsrahmen erarbeiten könnte. Das könnte bis zum Frühjahr dauern. Es bleibt abzuwarten, ob der neue Rechtsrahmen dann den Anforderungen des EuGHs standhalten würde.

Bitkom: Umfrage zur DSGVO

13. Oktober 2022

Der Digitalverband Bitkom veröffentlichte vor Kurzem die Ergebnisse einer Umfrage, bei der deutsche Unternehmen zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) befragt wurden. Für die Umfrage „Datenschutz in der deutschen Wirtschaft: DSGVO & internationale Datentransfers“ erhob Bitkom die Daten von 503 Unternehmen, mit mindestens 20 Mitarbeitern.

Größtenteils umgesetzt

Zunächst wurde im Rahmen der Umfrage die Frage gestellt, wie weit die Unternehmen mit der Umsetzung der DSGVO seien. Hierbei gaben 22 Prozent an, dass sie die DSGVO bereits vollständig umgesetzt hätten. Danach folgten 40 Prozent der Unternehmen, die die DSGVO nach eigenen Angaben bereits größtenteils umgesetzt hätten. Allerdings sei laut 33 Prozent der befragten Unternehmen in ihrem Betrieb die DSGVO nur teilweise umgesetzt worden.  Zwei Prozent aller Unternehmen hätten erst kürzlich mit der Umsetzung begonnen

Probleme bei der Umsetzung

Anschließend wollte Bitkom wissen, woran die Umsetzung der DSGVO im Unternehmen gescheitert sei. Dafür ermittelte der Verband zunächst alle externen Faktoren, die ein Hindernis bei der Umsetzung der DSGVO darstellten.

Laut 88 Prozent aller befragten Unternehmen sei die Umsetzung der DSGVO im Betrieb nie vollständig abgeschlossen. Demnach sei die Rechtsumsetzung, beispielsweise aufgrund immer neuer Guidelines, regelmäßig erneut anzugehen. Den zweiten und dritten Platz der Faktoren, die die Umsetzung der DSGVO hemmten, belegen die fehlende Rechtssicherheit (78 Prozent) und die Implementierung neuer Anwendungen im Betrieb (77 Prozent). Zusätzlich sei ein weiteres Problem die uneinheitliche Auslegung der DSGVO innerhalb der Europäischen Union (EU; 57 Prozent) und die uneinheitliche Auslegung innerhalb Deutschlands (40 Prozent).

Hinzu kommen weitere Faktoren, auf die die Unternehmen einen direkten Einfluss haben.  Der zeitliche Aufwand bei der IT- und Systemumstellung (45 Prozent) sowie fehlende finanzielle Ressource (32 Prozent) stellen für die Unternehmen die größten Hemmnisse dar. Im Vergleich zum Vorjahr sank allerdings die Anzahl der Unternehmen, die angaben, dass fehlende qualifizierte Beschäftigte ein Hemmnis darstellten, von 33 auf 24 Prozent.

Hemmnisse bei der Digitalisierung

Als weiteres Problem der DSGVO- Umsetzung im Unternehmen erwies sich, dass ein strenger Datenschutz die Digitalisierung erschwere (68 Prozent). Außerdem gaben 65 Prozent der befragten Unternehmen an, dass der uneinheitliche Datenschutz die Digitalisierung bremse. Der Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder betonte dabei, dass „(…) eine Balance zwischen Datennutzung und Datenschutz (…)“ erforderlich sei.

Datenübermittelung in Drittländer

Zusätzlich ermittelte Bitkom, dass lediglich 40 Prozent der befragten Unternehmen personenbezogene Daten nicht in Drittländer außerhalb der EU übermittelten. Demnach stimmten 39 Prozent der Unternehmen dafür, dass für den internationalen Datentransfer eine politische Lösung erforderlich sei.

EuGH kippt anlasslose Vorratsdatenspeicherung

12. Oktober 2022

Der Europäische Gerichtshof (EuGH) hält die anlasslose Vorratsdatenspeicherung in Deutschland für rechtswidrig – und für einen Verstoß gegen die Grundrechte. So ist das allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG iVm. Art. 1 Abs. 1 GG betroffen, und darüber die informationelle Selbstbestimmung.

Dies entschied der EuGH in seiner Entscheidung vom 20. September 2022. Sie stellt eine äußerst bedeutende Entscheidung für den zukünftigen Kurs der Bundesregierung dar. Somit wird im Kontext der digitalen Strafverfolgung, anhand spezifischer Kommunikationsdaten verdächtigter Bürger, wohl ein anderes Vorgehen unvermeidlich sein.

Bundesjustizminister stellt sogenanntes „Quick-Freeze-Verfahren” vor

Mit diesem Verfahren soll eine anlasslose Speicherung von Kontaktdaten durch Unternehmen vermieden- und stattdessen ein sinnbildliches Einfrieren von Verkehrsdaten ermöglicht werden. Es handelt sich dabei um einen Zugriff auf noch im Unternehmen vorhandene Daten.
Klärend muss an dieser Stelle erläutert werden, dass es sich bei den nun einzufrierenden Telekommunikationsdaten („Verkehrsdaten“) nicht um anlasslos gespeicherte Daten handelt. Die betroffenen Daten liegen aufgrund unternehmenseigener Agenden schlichtweg noch vor.

Das „Quick-Freeze-Verfahren“ in zwei Schritten

Im ersten Schritt soll Ermittlungsbehörden, bei Verdacht auf eine Straftrat mit erheblicher Bedeutung hin, ein agiles Einfrieren möglicher relevanter Verkehrsdaten beim Unternehmen möglich gemacht werden. Provider dürften sodann vorhandene korrelierende- sowie neu anfallende Daten nicht mehr löschen.
Im zweiten Schritt erst würde eine Übermittlung der Daten an die Ermittler erfolgen. Auch hierfür wäre wieder ein Gerichtsbeschluss unter der Voraussetzung, dass die eingefrorenen Daten auch wirklich ermittlungsrelevant wären, notwendig.

Fazit

Mit der Entscheidung des EuGH geht der Kurs der Bundesregierung unweigerlich in eine Richtung die zugunsten der Grundrechte ausfällt. Ein stetiges Gefühl von Überwachung hat in einer demokratischen Gesellschaft schlichtweg keinen Platz. Auch die Ermittlungsbehörden haben durch diese Entscheidung keine Nachteile. Das „Quick-Freeze-Verfahren“ könnte sich möglicherweise als ein agiles Instrument zur zuverlässigen Bekämpfung von Kriminalität erweisen.

EuGH: Generalanwalt zur nationalen Umsetzung des Art. 88 DSGVO

7. Oktober 2022

Vor kurzem legte der Generalanwalt Manuel Campos Sánchez-Bordona seine Schlussanträge in der Rechtssache C-34/21 vor. Darin befasste er sich u.a. mit der Frage, ob § 23 des Hessischen Landesdatenschutzgesetzes (HDSIG) eine „spezifische Vorschrift“ im Sinne des Art. 88 DSGVO darstelle. Obwohl § 23 HDSIG eine landesrechtliche Vorschrift ist, könnten die Schlussanträge nationale Beachtung erlangen. Grund dafür ist, dass § 23 HDSIG gleichlautend mit § 26 BDSG ist.

Hintergrund

Die Vorlagefrage wurde dem EuGH vom VG Wiesbaden vorgelegt. In der Rechtssache stritten die beteiligten Parteien über die Durchführung von Online-Unterricht mittels eines Videokonferenzsystems. Konkret stand zur Debatte, ob Schulen die personenbezogenen Daten von Lehrkräften auf Grundlage einer Einwilligung verarbeiten können, oder ob als Rechtsgrundlage das berechtigte Interesse heranzuziehen sei.

Das vorlegende Gericht wollte wissen, ob § 23 HDSIG als „(…) eine „spezifischere Vorschrift“ hinsichtlich der Verarbeitung von personenbezogenen Beschäftigtendaten nach Art. 88 DSGVO anzusehen sei.“ (GA Sánchez-Bordona, Schlussanträge vom 22.09.22, Rs. C-34/21, Rn. 11)

Nach Art. 88 Abs. 1 DSGVO können die Mitgliedstaaten hinsichtlich der Datenverarbeitung im Beschäftigtenkontext nationale Regelungen erlassen. Der Generalanwalt Sánchez-Bordona stellte fest, dass eine spezifischere Vorschrift nur vorliege, wenn die Voraussetzungen des Art. 88 Abs. 2 DSGVO erfüllt seien. Die Norm müsse „geeignete und besondere Maßnahmen zur Wahrung der Würde, der berechtigten Interessen und der Grundrechte der Beschäftigten enthalten.“

Argumente

Aus Sicht des Generalanwaltes Sánchez-Bordona sei § 23 HDSIG keine speziellere Regelung im Sinne des Art. 88 DSGVO. Diese Ansicht begründete der Generalanwalt mit der Systematik und dem Wortlaut der Normen. Nach § 23 HDSIG könne ein Verantwortlicher die personenbezogenen Daten von Beschäftigten verarbeiten, wenn dies für einen bestimmten Zweck erforderlich sei. Die nationale Norm lege als Zwecke konkret „(…) die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses (…) die Durchführung, Beendigung oder Abwicklung“ des Beschäftigtenverhältnisses fest.

Insoweit treffe § 23 HDSIG keine Bestimmung, die von Art. 6 Abs. lit. b DSGVO abweiche. Die Norm lege keine Regelung fest, die dem Schutz der Beschäftigtenrechte bei Verarbeitung ihrer personenbezogenen Daten diene. Dies sei aber für die Anforderung an eine „speziellere“, den Art. 88 DSGVO konkretisierende Norm erforderlich.

Fazit

Bei seiner Entscheidung ist der EuGH nicht an den Vortrag des Generalstaatsanwaltes gebunden. Es ist aber nicht ausgeschlossen, dass die Stellungnahme im Rahmen des Beschäftigtendatenschutzes künftig Beachtung findet.

Neue Berliner Beauftragte für Datenschutz und Informationsfreiheit

Das Berliner Abgeordnetenhaus hat am 6. Oktober Meike Kamp als neue Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) gewählt. Damit tritt sie die Nachfolge von Maja Smoltczyk an, deren Amtszeit im Oktober 2021 nach mehr als fünf Jahren endete. Die BlnBDI ist eine unabhängige oberste Landesbehörde des Landes Berlin, die sowohl Kontroll- als auch Beratungsaufgaben im Bereich des Datenschutzes und der Informationsfreiheit wahrnimmt.

Meike Kamp ist Juristin mit einem Schwerpunkt auf Datenschutz sowie Medien- und
Informationsfreiheit. Bis zu ihrem Amtsantritt als BlnBDI ist sie für das Land Bremen
als Sitzungsvertreterin im Rechts- und Innenausschusses des Bundesrates tätig.

In der Vergangenheit stand sie bereits von 2010 bis 2019 bei der BlnBDI im Dienst, zuletzt als Leiterin des
Referats I B Wirtschaft. Zuvor führte Kamp am unabhängigen Landeszentrum für Datenschutz
Schleswig-Holstein das Referat Datenschutz im nichtöffentlichen Bereich einschließlich Telemedien
und Telekommunikation.

Volker Brozio, der kommissarische Dienststellenleiter der BlnBDI, äußerte sich zuversichtlich und erfreut darüber, dass nach einem Jahr nun feststehe, wer die Nachfolge von Maja Smoltczyk übernimmt. In einem nächsten Schritt werde er Meike Kamp demnächst die Amtsgeschäfte übergeben.

Vorratsdatenspeicherung: Neue Debatte nach anstehendem EuGH-Urteil?

20. September 2022

20. September 2022: Der Europäische Gerichtshof (EuGH) urteilt erneut über das Thema Vorratsdatenspeicherung. Diesmal geht es um das diesbezüglich schon länger auf Eis liegende deutsche Gesetz zur Vorratsdatenspeicherung. Wird die Entscheidung des EuGHs frischen Wind in die Diskussion bringen?

Was soll gespeichert werden?

Grundsätzlich meint Vorratsdatenspeicherung das Speichern von Verbindungsdaten. Es handelt sich nicht um explizite Inhalte einzelner Kommunikationen, sondern um die abstrakte Speicherung von Kommunikationseckdaten. So ist also lediglich die Aufklärung und Speicherung im Kontext der folgenden Fragestellungen berührt:

– Wer hat wann mit wem wie lange telefoniert, und von welchem Ort aus?
– Wer hat an wen eine E-Mail geschrieben?
– Mit welcher IP-Adresse war ich wie lange im Internet unterwegs?

Adressaten der Vorratsdatenspeicherung

Speicherverpflichtete wären Kommunikationsunternehmen. Durch eine vorrätige Speicherung soll staatlichen Behörden ein Zugang zu Verbindungsdetails ermöglicht werden. Ein Zugang zu derartigen Informationen soll für zehn Wochen gewährleistet werden. Daneben sei auch ein Zugriff auf Standortdaten für einen Zeitraum von vier Wochen angedacht.

Wird der EuGH seine bisherige Linie beibehalten?

In einem Urteil im Jahr 2016 zu einem schwedischen Gesetz entschied und beanstandete der EuGH, „Eine allgemeine und unterschiedslose Speicherung aller Vorratsdaten ohne konkreten Anlass sei nicht mit den EU-Grundrechten vereinbar”. Dieser strengen Linie blieb der EuGH in seinem Urteil im Jahr 2020 grundsätzlich treu, legte jedoch Ausnahmen für eine Speicherung fest. Staatlichen Behörden solle demnach ein Zugriff unter bestimmten Voraussetzungen ermöglicht werden. Dies solle auf Daten mit Verbindung zu Kriminalitätshotspots, zum nationalen Schutz vor akuter Terrorgefahr sowie der anlasslosen Speicherung von IP-Adressen anzuwenden sein.


Ob der EuGH einen Trend zur Lockerung der Vorratsdatenspeicherung setzt wird sich mit dem ersehnten Urteil zum deutschen Gesetz zeigen.

1 2 3 4 5 32