Kategorie: DSGVO
11. Februar 2020
Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, “ob die anderen drinbleiben dürfen.” Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der “Twexit” des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung “Sozialer Netzwerke“. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.
In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um “die Behörden [zu] zwingen, mit dem Twittern aufzuhören.” Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem “in der zweiten Jahreshälfte […] Unternehmen ansehen.” Er ist sich sicher durch “Druck auf die Unternehmen” zu erreichen, dass “die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben” und so an “den formal nötigen Vertrag” kommen werden.
28. Januar 2020
Während die EU-Kommission über
ein zeitweiliges Verbot der Verwendung von Gesichtserkennung zum Schutz der
Persönlichkeitsrechte nachdenkt, hat die britische Polizei als Teil eines
risikoorientierten Plans zur Regulierung der künstlichen Intelligenz den
Einsatz der datenschutzfeindlichen Technologie vorangetrieben und die operative
Nutzung der Live-Gesichtserkennungskameras in der britischen Hauptstadt erlaubt.
Die britische Polizei erklärte,
dass die Technologie dabei helfen würde, Verdächtige schnell zu identifizieren
und festzunehmen sowie schwere Verbrechen unter anderem Waffen- und
Messerverbrechen zu bekämpfen. Die
Kameras würden in Vierteln eingesetzt, in denen es wahrscheinlich sei, dass
sich bestimmte Verdächtigte aufhalten.
Die Technologie, die die Polizei einsetzen
wird, geht über die verwendeten Gesichtserkennungssysteme hinaus, die ein Foto
mit einer Datenbank abgleichen, um eine Person zu identifizieren. Die neuen
Tools verwenden eine Software, die Personen auf einer polizeilichen
Beobachtungsliste sofort identifizieren kann, sobald sie von einer Videokamera
gefilmt werden.
23. Januar 2020
Laut Pressemitteilung vom 22.01.2020 könnte die Landeshauptstadt Potsdam Opfer eines Cyberangriffs geworden sein. Infolgedessen wurde der Server der Verwaltung vor etwa 48 Stunden offline gestellt.
Der Oberbürgermeister Mike Schubert erklärte: „Wir haben unsere Systeme aus Sicherheitsgründen offline gestellt, weil wir von einer illegalen Cyberattacke ausgehen müssen“. Weiterhin versicherte er: „Wir arbeiten mit Hochdruck daran, dass die betroffenen Systeme der Verwaltung baldmöglichst wieder eingeschaltet werden und wir wieder sicher arbeiten können. Bis dahin bitten wir um Geduld bei allen Anliegen, die die Bürgerserviceeinrichtungen betreffen“.
Hintergrund für die Vermutung eines Cyberangriffs waren laut Schubert „zahlreiche Ungereimtheiten“, die in den letzten 2 Tagen in den zentralen Netzzugängen festgestellt worden sind. Angeblich wurde, aufgrund einer „Schwachstelle im System eines externen Anbieters“, von außen versucht unberechtigt Daten vom Server der Stadt Potsdam abzurufen. Zusätzlich wurde probiert eine Schadstoffsoftware zu installieren.
Über das Ausmaß der Schäden kann zurzeit noch keine Aussage getroffen werden. Die It-Experten untersuchen momentan die Systeme, versuchen sie wiederherzustellen und die Datensicherheit zu gewährleisten. Die Stadt Potsdam hat Anzeige gegen Unbekannt gestellt und die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA) Brandenburg informiert. Die Verwaltungsvorgänge sind zurzeit stark eingeschränkt. Die Verwaltung ist nicht mehr per E-Mail, sondern nur noch telefonisch erreichbar.
22. Januar 2020
Aufgrund der neuesten Berichte über das US-Unternehmen Clearview, das eine Datenbank mit rund 3 Milliarden frei im Internet verfügbaren Fotos erstellt haben soll und mit dieser nun bei Behörden für einen Gesichtserkennungsdienst wirbt, hat sich Ulrich Kelber, der Bundesdatenschutzbeauftragte, nun klar gegen ein solches Vorgehen in Europa gestellt.
Im Statement gegenüber den Zeitungen des “Redaktionsnetzwerks Deutschland” stellte Kelber klar, dass die biometrische Gesichtserkennung im öffentlichen Raum einen potenziell sehr weitgehenden Grundrechtseingriff darstelle, der auf jeden Fall durch konkrete Vorschriften legitimiert sein müsste, an der es allerdings bislang fehle. Fraglich sei allerdings auch bereits, ob eine solche Rechtsgrundlage überhaupt verfassungskonform ausgestaltet werden könne.
Kelber befürchtet zudem, dass der Einsatz von Gesichtserkennung im öffentlichen Raum das Verhalten der betroffenen Bürger zu sehr beeinträchtigen könnte, die so beispielsweise auf die Teilnahme an Demonstrationen – und damit auf die Ausübung ihrer Freiheitsrechte – verzichten könnten, um so eine Identifizierung durch Gesichtserkennung zu verhindern.
Letztlich liegt es daher nach Aussage Kelbers daran, den Einsatz von Technologie so zu regulieren, dass eine missbräuchliche und sozialschädliche Nutzung ausgeschlossen wird.
16. Januar 2020
Bereits im Juni 2018 berichteten wir über die Verpflichtung von Arztpraxen zur Bestellung von Datenschutzbeauftragten (DSB) nach der DSGVO. Grundsätzlich durfte man zu diesem Zeitpunkt davon ausgehen, dass bei einer Beschäftigtenanzahl von 10 Personen häufig eine Bestellpflicht vorlag, wenn wenn diese 10 Mitarbeiter ständig personenbezogene Daten verarbeiteten.
Der Bundestag hat mit Beschluss des sogenannten Zweiten
Datenschutzanpassungs- und Umsetzungsgesetzes im Juni 2019 diese Anforderungen
für Kleinunternehmen gelockert und die Zahl der Beschäftigen auf 20 angehoben. Das
Gesetz wurde am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt wurden
dadurch Anpassungen in rund 150 Gesetzen erforderlich.
Aufgrund des geänderten § 38 BDSG besteht seitdem für Ärzte, die eine eigene Praxis betreiben, erst ab einer Mitarbeiterzahl von 20 Personen eine erhöhte Bestellpflicht. Mit der Veränderung wolle man „vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“ erreichen, heißt es in der Gesetzesbegründung. Kritisiert wurde an der Gesetzesänderung vor allem der Umstand, dass lediglich die Pflicht zur Bestellung eines DSB erleichert worden wäre, alle anderen datenschutzrechtlichen Verpflichtungen für kleinere Unternehmen aber nicht angetastet wurden, sodass die Änderung den Unternehmen deswegen nicht viel nütze.
Zu beachten ist allerdings, dass die Mitarbeiterzahl in Arztpraxen ist im Hinblick auf die Bestellpflicht dann irrelevant ist, wenn dort Datenschutzfolgenabschätzungen vorgenommen werden. Dann besteht die Pflicht zur Bestellung eines DSB unabhängig von der Anzahl der Beschäftigten. Datenschutzfolgenabschätzungen sind beispielsweise dann durchzuführen, wenn eine systematische Videoüberwachung der Praxisräume erfolgt oder wenn Daten besonderer Kategorien umfangreich verarbeitet werden (z.B. Gesundheitsdaten). Wann letzteres in Arztpraxen genau der Fall ist, wird bislang noch diskutiert. Vieles spricht dafür, dass eine Verarbeitung von Daten durch einen einzelnen Arzt keine „umfangreiche Verarbeitung“ darstellt, somit noch keine Pflicht zur Datenschutzfolgenabschätzung auslösen soll und dann auch die Pflicht zur Bestellung eines Datenschutzbeauftragten in Einzelpraxen entfallen lässt, sofern die Mitarbeiterzahl ohnehin unter 20 liegt.
8. Januar 2020
Das Amtsgericht Wertheim verhängte mit Beschluss vom 12.12.2019 (Az.: 1 C 66/19) ein Zwangsgeld in Höhe von 15.000 Euro (ersatzweise ein Tag Zwangshaft für je 500 Euro) gegen ein nach Art. 15 DSGVO auskunftspflichtiges Unternehmen.
Das Unternehmen war zuvor mit Anerkenntnisurteil vom 27.05.2019 (Az.: 1 C 66/19) verurteilt worden, Auskunft über die personenbezogenen Daten des Klägers, die bei dem Unternehmen verarbeitet werden, zu erteilen und diesem über die Informationen nach Art. 15 Abs.1 DSGVO Auskunft zu geben.
Das Gericht begründete seinen Beschluss nun mehr damit, dass das Unternehmen dieser Pflicht nicht vollständig nachgekommen sei. Insbesondere habe das Unternehmen nicht alle erforderlichen Informationen über die Herkunft der Daten des Klägers nach Art. 15 Abs. 1 lit. g) DSGVO erteilt.
Das Unternehmen legte dem Kläger zwecks Auskunftserteilung ein Schriftstück vor, dessen Erhalt der Kläger bestritt. Das Schriftstück gab die Kategorien der verarbeiteten Daten an und benannte als Herkunft der Daten in Klammern eine GmbH mit dem Zusatz „z.B.“.
Unabhängig davon, ob ein solches Schreiben tatsächlich an den Kläger übergegeben wurde, so das Amtsgericht, genüge dieses jedoch nicht den Anforderungen des Art.12 DSGVO. Die Information über die Herkunft der Daten werde in dem Schriftstück nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt. Der Zusatz „z.B.“ mache das Schriftstück vielmehr unklar und irreführend, da für den Betroffenen nicht ersichtlich sei, ob die Daten wirklich von der benannten GmbH stammten.
Weiterhin führte das Gericht aus, dass aus dem Schriftstück auch nicht hervorgehe zu welchem Zeitpunkt und mit welchem Inhalt personenbezogene Daten übermittelt wurden.
Auch genüge es nicht mitzuteilen, welche Art oder Kategorie von Daten verarbeitet wurde. Entscheidend sei im Hinblick auf Art. 15 DSGVO vielmehr die Nennung der konkreten personenbezogenen Daten.
7. Januar 2020
Die Landesbeauftragte für Datenschutz in Brandenburg (LDA) hat die automatische Kennzeichenerfassung (KESY) durch die Polizei für unzulässig erklärt.
Seit Jahren wurden an festinstallierten Standpunkten auf den Autobahnen in Brandenburg die Kennzeichen erfasst und gespeichert. Das Kennzeichenerfassungssystem im Aufzeichnungsmodus wurde von der Landesdatenschutzbeauftragten Dagmar Hartge gegenüber der Polizei beanstandet.
Der Grund für die Unzulässigkeit der Datenerhebung beruht auf der fehlenden Rechtsgrundlage. Die Polizei hatte die Datenverarbeitung bisher auf § 100h I 1 Nr. 2 StPO gestützt. Die fünfjährige Prüfung der Landesbeauftragten ergab jedoch, dass beim andauernden Aufnahmemodus nicht nur Beschuldigte (§ 100h I 1 Nr. 2 StPO), sondern überwiegend Unbeteiligte erfasst werden, in deren informationelles Selbstbestimmungsrecht ohne Rechtsgrundlage eingegriffen wird.
Hinzu kommen datenschutzrechtliche Mängel, da die Kennzeichenerfassung von den Staatsanwaltschaften in den Observationsbeschlüssen nicht als konkretes technisches Mittel angegeben worden sind. Indem die Polizei den Umfang der Datenverarbeitung selbst bestimmt hatte, verstieß sie gegen den Grundsatz der Datensparsamkeit und der Erforderlichkeit. Es wurden Daten gespeichert, obwohl sie nicht mehr für ein Ermittlungsverfahren aufbewahrt werden mussten.
Erste Maßnahmen zur Milderung der Datenschutzverstöße wurden von der Polizei bereits eingeleitet. So darf der Aufzeichnungsmodus nicht mehr dauerhaft, sondern nur noch auf konkrete Anordnung der Staatsanwaltschaft eingeschaltet werden. Weiterhin kritisiert wird die dauerhafte Speicherung der Kennzeichendaten.
Nachdem Anfang Dezember 2019 bei der Justus-Liebig-Universität Gießen (JLU) ein Hackerangriff auf die IT-Infrastruktur entdeckt wurde und seitdem alle Server abgeschaltet worden waren, nimmt die Universität nun wieder ihren Normalbetrieb auf. Bei dem Angriff handelte es sich vermutlich um die Malware Emotet. Die Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek gingen oder sollen in Kürze wieder online gehen.
Im Rahmen der Wiederherstellungsarbeiten wurden bereits rund 60 Prozent der Studierenden-Passwörter neu vergeben – insgesamt wurden 38.000 Passwörter zurückgesetzt. Der Zugriff auf interne Windowslaufwerke soll im Februar erfolgen.
Durch das frühzeitige Herunterfahren aller Universitätsserver konnte ein Verlust aller wissenschaftlichen Daten und die Datenbestände verhindert werden, versichert ein Sprecher der Hochschule.
16. Dezember 2019
Am Montag, den 9.12.19, hat sich bei der Miles & More GmbH, der 100- prozentigen Tochtergesellschaft der Lufthansa, eine Datenpanne ereignet. 40 Minuten lang konnten die Kunden die personenbezogenen Daten der anderen Miles & More-Nutzer einsehen, die zu diesem Zeitpunkt gleichzeitig auf der Website eingeloggt waren.
Laut Stellungnahme der Lufthansa sind maximal 9.885 Miles & More-Kunden von dem Vorfall betroffen, die am 9.12.19 zwischen 16:00 und 16:40 Uhr eingeloggt waren. Zu dem Zeitpunkt waren 4100 User aktiv, denen die fremden Daten unfreiwillig angezeigt worden sind. Hinzu kamen die 5785 Nutzer, die dauerhaft angemeldet waren.
Einsehbar waren: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Benutzername, Servicekartennummer, Meilenstand, Transaktionsdaten, Reisepräferenzen, Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Zusätzlich konnten die Kunden sogar die Flugmeilen der anderen User einlösen.
Die Ursache war wohl kein Hackerangriff, sondern ein technisches Problem.
Die Lufthansa hatte E-Mails an ihre Kunden versandt, in denen sie versicherte, dass die Bonusmeilen, die widerrechtlich eingelöst worden sind selbstverständlich wieder gutgeschrieben werden.
Nach Aussage der Pressesprecherin hat die Lufthansa die Aufsichtsbehörde bereits informiert, sodass eine datenschutzrechtliche Bewertung noch aussteht.
10. Dezember 2019
Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Als Grund nannte Kelber das Fehlen von “hinreichenden technisch-organisatorischen Maßnahmen” (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.
Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.
Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.
Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.
Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.
Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den “absolut unverhältnismäßigen” Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.
Pages: 1 2 ... 33 34 35 36 37 38 39 40 
