Kategorie: DSGVO
8. Januar 2020
Das Amtsgericht Wertheim verhängte mit Beschluss vom 12.12.2019 (Az.: 1 C 66/19) ein Zwangsgeld in Höhe von 15.000 Euro (ersatzweise ein Tag Zwangshaft für je 500 Euro) gegen ein nach Art. 15 DSGVO auskunftspflichtiges Unternehmen.
Das Unternehmen war zuvor mit Anerkenntnisurteil vom 27.05.2019 (Az.: 1 C 66/19) verurteilt worden, Auskunft über die personenbezogenen Daten des Klägers, die bei dem Unternehmen verarbeitet werden, zu erteilen und diesem über die Informationen nach Art. 15 Abs.1 DSGVO Auskunft zu geben.
Das Gericht begründete seinen Beschluss nun mehr damit, dass das Unternehmen dieser Pflicht nicht vollständig nachgekommen sei. Insbesondere habe das Unternehmen nicht alle erforderlichen Informationen über die Herkunft der Daten des Klägers nach Art. 15 Abs. 1 lit. g) DSGVO erteilt.
Das Unternehmen legte dem Kläger zwecks Auskunftserteilung ein Schriftstück vor, dessen Erhalt der Kläger bestritt. Das Schriftstück gab die Kategorien der verarbeiteten Daten an und benannte als Herkunft der Daten in Klammern eine GmbH mit dem Zusatz „z.B.“.
Unabhängig davon, ob ein solches Schreiben tatsächlich an den Kläger übergegeben wurde, so das Amtsgericht, genüge dieses jedoch nicht den Anforderungen des Art.12 DSGVO. Die Information über die Herkunft der Daten werde in dem Schriftstück nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt. Der Zusatz „z.B.“ mache das Schriftstück vielmehr unklar und irreführend, da für den Betroffenen nicht ersichtlich sei, ob die Daten wirklich von der benannten GmbH stammten.
Weiterhin führte das Gericht aus, dass aus dem Schriftstück auch nicht hervorgehe zu welchem Zeitpunkt und mit welchem Inhalt personenbezogene Daten übermittelt wurden.
Auch genüge es nicht mitzuteilen, welche Art oder Kategorie von Daten verarbeitet wurde. Entscheidend sei im Hinblick auf Art. 15 DSGVO vielmehr die Nennung der konkreten personenbezogenen Daten.
7. Januar 2020
Die Landesbeauftragte für Datenschutz in Brandenburg (LDA) hat die automatische Kennzeichenerfassung (KESY) durch die Polizei für unzulässig erklärt.
Seit Jahren wurden an festinstallierten Standpunkten auf den Autobahnen in Brandenburg die Kennzeichen erfasst und gespeichert. Das Kennzeichenerfassungssystem im Aufzeichnungsmodus wurde von der Landesdatenschutzbeauftragten Dagmar Hartge gegenüber der Polizei beanstandet.
Der Grund für die Unzulässigkeit der Datenerhebung beruht auf der fehlenden Rechtsgrundlage. Die Polizei hatte die Datenverarbeitung bisher auf § 100h I 1 Nr. 2 StPO gestützt. Die fünfjährige Prüfung der Landesbeauftragten ergab jedoch, dass beim andauernden Aufnahmemodus nicht nur Beschuldigte (§ 100h I 1 Nr. 2 StPO), sondern überwiegend Unbeteiligte erfasst werden, in deren informationelles Selbstbestimmungsrecht ohne Rechtsgrundlage eingegriffen wird.
Hinzu kommen datenschutzrechtliche Mängel, da die Kennzeichenerfassung von den Staatsanwaltschaften in den Observationsbeschlüssen nicht als konkretes technisches Mittel angegeben worden sind. Indem die Polizei den Umfang der Datenverarbeitung selbst bestimmt hatte, verstieß sie gegen den Grundsatz der Datensparsamkeit und der Erforderlichkeit. Es wurden Daten gespeichert, obwohl sie nicht mehr für ein Ermittlungsverfahren aufbewahrt werden mussten.
Erste Maßnahmen zur Milderung der Datenschutzverstöße wurden von der Polizei bereits eingeleitet. So darf der Aufzeichnungsmodus nicht mehr dauerhaft, sondern nur noch auf konkrete Anordnung der Staatsanwaltschaft eingeschaltet werden. Weiterhin kritisiert wird die dauerhafte Speicherung der Kennzeichendaten.
Nachdem Anfang Dezember 2019 bei der Justus-Liebig-Universität Gießen (JLU) ein Hackerangriff auf die IT-Infrastruktur entdeckt wurde und seitdem alle Server abgeschaltet worden waren, nimmt die Universität nun wieder ihren Normalbetrieb auf. Bei dem Angriff handelte es sich vermutlich um die Malware Emotet. Die Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek gingen oder sollen in Kürze wieder online gehen.
Im Rahmen der Wiederherstellungsarbeiten wurden bereits rund 60 Prozent der Studierenden-Passwörter neu vergeben – insgesamt wurden 38.000 Passwörter zurückgesetzt. Der Zugriff auf interne Windowslaufwerke soll im Februar erfolgen.
Durch das frühzeitige Herunterfahren aller Universitätsserver konnte ein Verlust aller wissenschaftlichen Daten und die Datenbestände verhindert werden, versichert ein Sprecher der Hochschule.
16. Dezember 2019
Am Montag, den 9.12.19, hat sich bei der Miles & More GmbH, der 100- prozentigen Tochtergesellschaft der Lufthansa, eine Datenpanne ereignet. 40 Minuten lang konnten die Kunden die personenbezogenen Daten der anderen Miles & More-Nutzer einsehen, die zu diesem Zeitpunkt gleichzeitig auf der Website eingeloggt waren.
Laut Stellungnahme der Lufthansa sind maximal 9.885 Miles & More-Kunden von dem Vorfall betroffen, die am 9.12.19 zwischen 16:00 und 16:40 Uhr eingeloggt waren. Zu dem Zeitpunkt waren 4100 User aktiv, denen die fremden Daten unfreiwillig angezeigt worden sind. Hinzu kamen die 5785 Nutzer, die dauerhaft angemeldet waren.
Einsehbar waren: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Benutzername, Servicekartennummer, Meilenstand, Transaktionsdaten, Reisepräferenzen, Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Zusätzlich konnten die Kunden sogar die Flugmeilen der anderen User einlösen.
Die Ursache war wohl kein Hackerangriff, sondern ein technisches Problem.
Die Lufthansa hatte E-Mails an ihre Kunden versandt, in denen sie versicherte, dass die Bonusmeilen, die widerrechtlich eingelöst worden sind selbstverständlich wieder gutgeschrieben werden.
Nach Aussage der Pressesprecherin hat die Lufthansa die Aufsichtsbehörde bereits informiert, sodass eine datenschutzrechtliche Bewertung noch aussteht.
10. Dezember 2019
Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Als Grund nannte Kelber das Fehlen von “hinreichenden technisch-organisatorischen Maßnahmen” (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.
Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.
Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.
Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.
Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.
Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den “absolut unverhältnismäßigen” Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.
5. Dezember 2019
Das Bundesverfassungsgericht beschäftigte sich in zwei in vieler Hinsicht spannenden Beschlüssen vom 6. November 2019 mit dem Recht auf Vergessen (1 BvR 16/13 – Recht auf Vergessen I und 1 BvR 276/17, Recht auf Vergessen II). Darin setzt sich das Verfassungsgericht wohl erstmals mit der Frage auseinander, ob und wann es die Charta der Grundrechte der Europäischen Union anwendet und nicht das deutsche Grundgesetz.
Das BVerfG kommt zu dem Ergebnis, dass allein die Unionsgrundrechte anwendbar sind, wenn sich der Rechtsstreit nach unionsrechtlich vollständig vereinheitlichten Regelungen richtet. Dies sei im Datenschutzrecht bereits durch die EU-Datenschutzrichtlinie, erst recht aber durch die Datenschutz-Grundverordnung grundsätzlich erfolgt. Eine Ausnahme gelte für Bereiche, in denen das Unionsrecht den Mitgliedstaaten die Schaffung abweichender Regelungen ermögliche. Ob eine Regelung gestaltungsoffen ist müsse durch Auslegung der konkreten Vorschrift ermittelt werden. Es komme darauf an, ob die Norm auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt sei.
Der Sachverhalt
Im zugrundeliegenden Fall des Beschlusses „Recht auf Vergessen II“ begehrte die Beschwerdeführerin die Unterlassung der Anzeige eines Suchergebnisses von Google. Bei der Eingabe ihres Namens erschien als Suchergebnis ein Transkript eines Beitrags des Fernsehmagazins „Panorama“ von 2010. Der Beschwerdeführerin wurde darin ein unfairer Umgang mit ihren Mitarbeitern vorgeworfen. Das Landgericht verurteilte Google dazu den Link zu entfernen. Das OLG wies die Berufung ab.
Die rechtliche Würdigung
Nach den Ausführungen des BVerfG betrifft der Rechtsstreit eine unionsrechtlich vereinheitlichte Materie, weswegen die Unionsgrundrechte anwendbar seien. Dies sei Konsequenz der Übertragung von Hoheitsbefugnissen auf die EU. Die Anwendung deutscher Grundrechte würde das Ziel der Rechtsvereinheitlichung konterkarieren. Dem Grundgesetz komme insofern nur eine Reservefunktion zu. Während der EuGH für die letztverbindliche Auslegung des Unionsrechts zuständig sei, habe das BVerfG die Kompetenz über die richtige Anwendung der Unionsgrundrechte.
Das Recht auf Achtung des Privatlebens aus Art. 7 und 8 CRC beschränke sich nicht auf höchstpersönliche oder besonders sensible Sachverhalte, sondern schließe auch geschäftliche und berufliche Tätigkeiten ein. Zwar könne sich Google selbst nur auf die unternehmerische Freiheit berufen. In der Abwägung seien jedoch auch die Grundrechte der Inhalteanbieter einzustellen, um deren Veröffentlichung es geht. Zudem müssten Zugangsinteressen der Internetnutzer berücksichtigt werden. Das BVerfG arbeitet sodann detailliert heraus, dass ein Schutzanspruch gegenüber einem Suchmaschinenbetreiber weiter reichen kann als gegenüber dem Inhalteanbieter, wenn im Verhältnis zwischen zwischen Betroffenen und Inhalteanbieter nach innerstaatlichem Fachrecht allein die inhaltliche Richtigkeit eines Beitrags ohne Berücksichtigung seiner Verbreitungswirkungen im Internet maßgeblich ist und deshalb der hierdurch entstehende Schutzbedarf der Betroffenen auf dieser Ebene noch nicht erfasst wird.
Das Ergebnis
Die klageabweisende Entscheidung des OLG beanstandet das BVerfG nicht. Die Beschwerdeführerin habe damals ihre Zustimmung zu dem Beitrag gegeben. Ein Zeitablauf könne zwar dazu führen, dass die Verbreitung von Beiträgen durch Suchmaschinen unzumutbar wird, denn es müsse die Chance eines In-Vergessenheit-Geratens belastender Informationen geben. Allerdings sie die Beschwerdeführerin weiterhin unternehmerisch tätig und der Zeitraum von sieben Jahren nicht übermäßig lang.
Zum Beschluss „Recht auf Vergessen I“ folgt ein weiterer Blogeintrag.
2. Dezember 2019
Der polnische Jurist, Wojciech Wiewiórowski ist der neue EU-Datenschutzbeauftragte. Er war seit Dezember 2014 stellvertretender Europäischer Datenschutzbeauftragter. Der Ausschuss für Justiz und Bürgerrechte im EU-Parlament bestätigte Wojciech Wiewiórowski nun für eine fünfjährige Amtszeit als Europäischer Datenschutzbeauftragter. Wiewiórowski hatte das Amt zuvor bereits übergangsweise übernommen, nachdem sein Amtsvorgänger Giovanni Buttarelli diesen Sommer gestorben war.
Der neue EU-Datenschutzbeauftragte
will eine “intelligente, innovative öffentliche EU-Verwaltung” aufbauen.
Wojciech Wiewiórowski nennt als große Herausforderung seiner Amtszeit den
Umgang mit Künstlicher Intelligenz oder Quantum Computing und deren Auswirkung
auf die Privatsphäre. Zudem kündigte der neue Amtsträger im Rahmen der Strafverfolgung
neue Richtlinien zum Datenschutz an.
„Ich schätze die Freiheit und Würde des Einzelnen aufgrund meiner eigenen Erfahrungen, und mir ist bewusst, wie wertvoll und zerbrechlich sie sind“, betont der neue Datenschutzbeauftragte in einer öffentlichen Stellungnahme.
29. November 2019
Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat in der Zeit von Juli bis September 2019 eine Untersuchung zur Umsetzung der DSGVO durch Online-Dienste durchgeführt und die Ergebnisse der Studie am heutigen Tag (29.11.2019) veröffentlicht.
Die Studie wurde von Wissenschaftlern der Universität Göttingen durchgeführt. Gegenstand der Untersuchung war wie 35 große Online-Dienste, unter anderem Amazon, Google, WhatsApp, Zalando und ARD, die Voraussetzungen der DSGVO umgesetzt haben. Ein besonderes Augenmerk wurde dabei auf die Verbraucherrechte gelegt. Die Auswahl der getesteten Dienste ist breit gefächert und reicht von Onlineshops, über Bewertungsportale bis hin zu Newsseiten und sozialen Netzwerken sowie Messengerdiensten.
Das Ergebnis der Studie bezeichnet der Verbraucherschutz-Staatssekretär Gerd Billen als “ermutigend und ernüchternd zugleich”. Einerseits sei zu erkennen, dass es Verbesserungen für Verbraucherinnen und Verbraucher gäbe und einige Dienste bereits viele DSGVO-Voraussetzungen umgesetzt haben, andererseits bei vielen Diensten noch Luft nach oben ist. Eine 100%ige Umsetzung der DSGVO konnte bei keinem Online-Dienst festgestellt werden.
Als größte Probleme wurden die Anwendung personalisierter Werbung und der Umgang mit sensiblen Daten festgestellt.
Positiv hervorgehoben werden von der Studie einzelne Best-Practice-Beispiele, wie:
- die Datenschutzerklärungen von Zalando, eBay Kleinanzeigen und Focus Online,
- der datenschutzfreundlich voreingestellte Cookie Banner von Volkswagen,
- der verbraucherfreundliche Registrierungsprozess von Spiegel Online.
Die gesamte Studie können Sie hier nachlesen.
18. November 2019
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) hat die polizeiliche Durchsuchung einer Wohnung veranlasst. Den Beschluss der Hausdurchsuchung stellte das Amtsgericht Erfurt aus.
Anlass hierfür war eine in der Nachbarschaft herumfliegende Drohne. Ein Nachbar des Drohnenbesitzers hatte sich scheinbar beschwert, dass der Pilot das Fluggerät mit einem Videomonitor steuere. Da die Drohne auch über andere Gärten fliege und sie dabei in die Nähe von Schlafzimmerfenstern komme, sei mithin eine massive Beeinträchtigung der Rechte und Freiheiten der Nachbarn wahrscheinlich.
In der Wohnung des Drohnenbesitzers hat man Datenträger sichergestellt. Diese würden nun ausgewertet.
14. November 2019
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber erklärte in einer Pressemitteilung vom 14.11.19, dass Webtracking nur noch mit expliziter Einwilligung der User möglich ist.
Wenn Website-Betreiber Dritt-Dienste wie z.B. Google Analytics auf ihrer Internet-Seite mit einbinden und diese die personenbezogenen Daten für eigene Zwecke nutzen, benötigen sie eine Einwilligung des Betroffenen. Diese muss datenschutzkonform sein und kann nicht durch Cookie-Banner oder voraktivierte Kästchen ersetzt werden.
Daher rief Ulrich Kelber die Website-Betreiber dazu auf ihre Websites auf Dritt-Dienste zu kontrollieren. Für einen datenschutzkonformen Einsatz dessen sollte der Website-Betreiber die Einwilligung der User einholen. Andernfalls wird zur Löschung der Dritt-Dienste geraten.
Pages: 1 2 ... 28 29 30 31 32 33 34 35