Kategorie: DSGVO

Ulrich Kelber nimmt Stellung zum zweiten Pandemiegesetz

20. Mai 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.

Mögliche Verfassungswidrigkeit

Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes. 

Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.

Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.

Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.

Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.

Parlament lag Stellungnahme von Kelber vor

Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.

Streit um Videokonferenzsysteme – Microsoft mahnt Berliner Datenschutzbehörde ab

Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.

Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.

Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .

Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung „keine ernsthafte Befassung mit der DSGVO erkennen“ ließe.

Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich „Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie„. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments „Best-Practice zum Homeoffice“ der Bayerischen Datenschutzbehörde.

Neue Leitlinien des Europäischen Datenschutzausschusses zur datenschutzrechtlichen Einwilligung

13. Mai 2020

Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des „Working Papers“ WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.

Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema „Einwilligung“ noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. „Cookie Walls“, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.

„Cookie Walls“ unzulässig

Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als „freiwillig“ abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. „Cookie Walls“ seien demnach unzulässig (Rn. 39).

Scrollen und Wischen nicht als Einwilligung geeignet

Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen „unter keinen Umständen“ eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht „so einfach wie die Erteilung der Einwilligung“ widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.

Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.

Untersuchungsausschüsse fordern Löschverbot von Daten für Ministerhandys

8. Mai 2020

Zuletzt war es zwei Untersuchungsausschüssen im Bundestag nicht möglich die Diensthandys der Minister auszuwerten. Wenn es nach den Vorsitzenden der betreffenden parlamentarischen Ausschüsse geht, soll sich das in Zukunft ändern.

Nach Informationen von Süddeutscher Zeitung, NDR und WDR erfolgte die Initiative aufgrund der Vorkommnisse, die sich bei der Maut-Affäre um Bundesverkehrsminister Andreas Scheuer (CSU) sowie bei der Berateraffäre um Ex- Bundesverteidigungsministerin Ursula von der Leyen (CDU) ereigneten.

Was war zuvor passiert?

Als bekannt wurde, dass im Zuge des Untersuchungsausschusses zur Maut-Affäre die Daten auf den Diensthandys des Bundesverkehrsministers und weiterer führender Beamten gelöscht worden sind, war die Empörung im Bundestag – quer durch die Fraktionen – vorprogrammiert. Die Grünen sprachen sogar von „systematischer Löschung“. Denn einen solchen Vorgang durften die Abgeordneten nicht zum ersten mal bezeugen. Als Abgeordnete 2019 in der Berateraffäre die Handydaten der früheren Bundesverteidigungsministerin Ursula von der Leyen (CDU) auswerten wollten, waren die Daten ebenfalls gelöscht worden.

„Diensthandys sind kein rechtsfreier Raum (…)“

„Mir stinkt, dass wir über gelöschte Handydaten diskutieren müssen“, zitiert die Süddeutsche Zeitung (SZ) den Vorsitzenden des Untersuchungsausschusses, der mit der Maut-Affäre betraut ist, Udo Schiefner (SPD). „Daten von Diensthandys müssten gesichert werden, wie alle anderen Kommunikationsdaten der Ministerien auch. Wie soll das Parlament sonst seine Kontrollfunktion umfassend wahrnehmen?“ In dieselbe Kerbe schlägt der Vorsitzende des Untersuchungsausschusses zu den teuren Beraterverträgen im Bundesverteidigungsministerium, Wolfgang Hellmich (SPD). Denn auch er sieht „erheblichen Regelungsbedarf“ und fordert eine Überarbeitung der bestehenden Regelungen durch die Bundesregierung, in der „geregelt sein muss, dass die Diensthandys der Minister für Untersuchungsausschüsse verfügbar sein müssen“. „Diensthandys sind kein rechtsfreier Raum. Es geht hier um die Wahrung der parlamentarischen Rechte“, sagt Hellmich.

Die Status quo Rechtslage

Eigentlich ist die Rechtslage klar: Die Geschäftsordnung der Bundesministerien sowie die sogenannten Registraturrichtlinie schreiben vor, dass dienstliche Inhalte der Ministerhandys grundsätzlich zu archivieren sind. „Klingt erst einmal gut“, mag der aufmerksame Leser nun denken. Der Teufel liegt hier im Detail. Denn die Ministerinnen und Minister können selbst entscheiden, welche Kommunikation für den jeweiligen Sachvorgang relevant ist und somit eine nicht nachvollziehbare Vorabauswahl der zu archivierenden Daten treffen. Das liegt daran, dass Minister ihre Diensthandys auch für private Zwecke nutzen dürfen. In diesem Fall findet „eine Speicherung von SMS und Telefonkontakten außerhalb der Geräte mit Blick auf den Daten- und Persönlichkeitsschutz nicht statt“, so die Bundesregierung.

Mit ihrem Vorstoß wollen Schiefner und Hellmich nun verbindliche und härtere Regelungen erwirken. Das Problem an der Sache ist nur, dass dafür das Bundeskabinett die Gemeinsame Geschäftsordnung verschärfen müsste. Und wer ist Teil des Bundeskabinetts? Richtig, die Minister.

Kein Anspruch auf Auskunft über Backup-Daten bei unverhältnismäßigem Aufwand

24. April 2020

Eine für Arbeitgeber interessante Entscheidung hat das Landgericht Heidelberg getroffen (Urteil vom 06.02.2020 – Az. 4 O 6/19). Der Kläger begehrte als betroffene Person gegenüber seinem ehemaligen Arbeitgeber, dem Verantwortlichen, Auskunft über alle ihn betreffenden personenbezogenen Daten. Hilfsweise begehrte er die Auskunft über die E-Mail-Korrespondenz in einem Zeitraum von rund 1,3 Jahren. Die betroffene Person war in diesem neun bis zehn Jahre zurückliegenden Zeitraum Vorstandsmitglied des Verantwortlichen. Der Verantwortliche hatte mittlerweile Insolvenz gemeldet und sämtliche Daten zu Backup-Zwecken an einen Dritten übergeben. Das Gericht lehnte den Auskunftsanspruch einer betroffenen Person ab. Die Wiederherstellung und Aufbereitung der Daten stellten in dem konkreten Fall einen unverhältnismäßigen Aufwand dar.

Präzisierung des Anspruchs auf Auskunft bei umfangreicher Verarbeitung

In seinen Urteilsgründen stellt das Gericht zunächst klar, dass die betroffene Person gegen den Verantwortlichen aus Art. 15 DSGVO grundsätzlich einen umfassenden Auskunftsanspruch über die Verarbeitung ihrer personenbezogenen Daten hat. Allerdings gewährt Erwägungsgrund 63 S. 7 DSGVO Verantwortlichen eine Erleichterung, die eine große Menge von Informationen über die betroffene Person verarbeiten. In einem solchen Fall kann der Verantwortliche von der betroffenen Person verlangen, dass sie ihr Auskunftsersuchen auf bestimmte Informationen oder bestimmte Verarbeitungstätigkeiten präzisiert.

Den umfassenden Hauptantrag der betroffenen Person wies das Gericht ab, weil sich der Anspruch auf alle personenbezogenen Daten bezog. Zu dem Hilfsantrag, in dem die betroffene Person ihr Auskunftsbegehren auf die E-Mail-Korrespondent in einem bestimmten Zeitraum konkretisierte, führte das Gericht weiter aus:

Zweifel an Erstreckung des Anspruchs auf Backup-Daten

Es könne bereits bezweifelt werden, dass der Verantwortliche die im Backup bei einem Dritten gespeicherten Daten überhaupt noch verarbeitet. Denn der Auskunftsanspruch beziehe sich regelmäßig nicht auf Daten, die an einen Dritten übergeben worden seien. Das könne auch dann gelten, wenn der Verantwortliche ein Zugriffsrecht hat.

Unverhältnismäßiger Aufwand gemessen am Informationsinteresse

Im Ergebnis stellt das Gericht aber darauf ab, dass die Erteilung der Auskunft für den Verantwortlichen einen unverhältnismäßig großen Aufwand darstellt. Das Gericht hat keine Zweifel daran, dass allein die Wiederherstellung der Daten Kosten von bis zu 4.000 € verursachen würde. Zudem können davon ausgegangen werden, dass die betroffene E-Mail-Korrespondenz mehrere tausend E-Mails umfasse. Denn die betroffene Person war über ein bis eineinhalb Jahre Vorstandsmitglied den Verantwortlichen. All diese Mails müssten zur Sicherung berechtigter Interessen Dritter gesichtet und geschwärzt werden, bevor sie an die betroffene Person herausgegeben werden könnten. Diese Aufbereitung würde bei dem Verantwortlichen unverhältnismäßige Ressourcen binden. Das Informationsinteresse der betroffenen Person sei demgegenüber zu gering. Das Gericht betonte, dass die begehrten Informationen neun bis zehn Jahren alt waren, der Anspruch erst spät geltend gemacht wurde, die betroffene Person seit neun Jahren nicht mehr für das verantwortliche Unternehmen arbeitete und es mittlerweile insolvent sei.

Bewertung

Das Gericht bezieht sich in seiner Entscheidung auf altes Recht: § 34 Abs. 7 i.V.m. § 33 Abs. 2 Nr. 1 BDSG alt kannten eine Ausnahme den Auskunftsanspruchs, wenn die Daten ausschließlich der Datensicherung dienten und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordert hätte. Der Wegfall der Spezialnorm bedeute nicht, dass nun alle Backup-Daten dem Auskunftsanspruch unterfielen.

Eine entsprechende Ausnahme findet sich in § 34 Abs. 1 Nr. 1 lit. b BDSG auch im aktuellen Recht. Die Entscheidung des Landgerichts Heidelberg kann dennoch nicht pauschal Auskunftsbegehren entgegengehalten werden, da sie einen Sonderfall betrifft. Sie steht insbesondere nicht einem Auskunftsbegehren entgegen, das sich auf im System des Verantwortlichen vorgehaltene Daten bezieht. Die Entscheidung zeigt aber Möglichkeiten auf, wie einem Auskunftsbegehren begegnet werden kann, wenn es eine aufwändige Wiederherstellung und Aufarbeitung der Daten nach sich ziehen würde.

Wenn der Verantwortliche eine große Menge personenbezogener Daten von der betroffenen Person verarbeitet und sich das Auskunftsbegehren auf alle Daten bezieht, sollte die betroffene Person zunächst darauf verwiesen werden, ihren Antrag auf bestimmte Datenkategorien, Zeiträume oder Verarbeitungstätigkeiten zu präzisieren.

LfDI BaWü gibt Handreichungen für die Auftragsdatenverarbeitung in der Corona-Zeit heraus

15. April 2020

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü), Dr. Stefan Brink, hat Handreichungen für die Zeit des Ausnahmezustandes herausgegeben.

Hintergrund der Handreichungen sei, dass vielerorts die frisch etablierten Verwaltungsprozesse zum Datenschutz durch die Corona-bedingte Ausnahmesituation auf die Probe gestellt würden. So stünden viele Datenschutzbeauftragte erneut vor Fragen zur Rechtmäßigkeit von Datenverarbei­­­­­tung – etwa wenn es um Aufträge an Firmen außerhalb Deutschlands geht, personenbezogene Daten zu verarbeiten.

Hier seien Datenschutzbeauftragte auf praktikable Hilfen angewiesen. Dies zu gewährleisten sei Aufgabe der Aufsichtsbehörde. Konkret hat der LfDI BaWü ein Muster für die Datenverarbeitung im Auftrag nach Maßgabe des  Art. 28 Abs. 3 DSGVO herausgegeben.

Kategorien: Allgemein · DSGVO
Schlagwörter:

Empfehlung der Leopoldina zur Anpassung des Datenschutzrechts in der Kritik

14. April 2020

Die Deutsche Akademie der Naturforscher Leopoldina hat am 13.04.2020 in einer Ad-hoc-Stellungnahme Vorschläge präsentiert, wie aus ihrer Sicht COVID-19 wirksam bekämpft und die aktuelle Krise nachhaltig überwunden werden kann. Nachdem die Empfehlungen auf Seiten der Politik zunächst überwiegend Lob geerntet hatten, wird nun aber auch Kritik geäußert. Gegenstand kritischer Äußerungen sind dabei die Anmerkungen im Rahmen der Stellungnahme, die auf eine Überprüfung datenschutzrechtlicher Standards abzielen.

So heißt es in der Stellungnahme (S. 7): „Angesichts der Erfahrung der derzeitigen Pandemie sollten auf europäischer Ebene die Datenschutzregelungen für Ausnahmesituationen überprüft und ggfs. mittelfristig angepasst werden. Dabei sollte die Nutzung von freiwillig bereit gestellten personalisierten Daten, wie beispielsweise Bewegungsprofile (GPS-Daten) in Kombination mit Contact-Tracing in der gegenwärtigen Krisensituation ermöglicht werden.“

Dieser Vorschlag wird sowohl von Datenschützern als auch von einigen Politikern zurückgewiesen und auf die geplante App zur Nachverfolgung von Corona-Kontakten verwiesen. Während der Bundesdatenschutzbeauftragte Ulrich Kelber die Sinnhaftigkeit der Nutzung von GPS-Daten mit Verweis auf Testergebnisse und Umfragen in der Bevölkerung hinterfragt, hält sein Hamburger Kollege Johannes Caspar die bestehenden Eingriffstatbestände der DSGVO zum Gesudheitsschutz – insbesondere unter Berücksichtigung nationaler Regelungsmöglichkeiten durch entsprechende Öffnungsklauseln – für ausreichend. Zudem verweist auch Caspar darauf, dass die bestehenden Möglichkeiten zur Datennutzung (anonymisierte Standortdaten, Datenspenden von Gesundheitsdaten) sowie die geplante App zur Nachverfolgung der Kontaktpersonen ausreichend seien.

In die gleiche Kerbe schlägt Stephan Thomae, Vizechef der FDP-Bundestagsfraktion. Auch wenn das GPS-Tracking in Ländern wie Südkorea Erfolge gezeigt habe, solle Südkorea nicht als Vorbild genommen werden, sondern der Fokus darauf liegen, die Akzeptanz der Bevölkerung in die geplante, auf freiwilliger Basis und mittels Bluetooth-Technologie operiende App zu stärken. Auch Konstantin von Notz (Grüne) sieht kein Bedürfnis für eine Änderung der datenschutzrechtlichen Rechtslage; die derzeitige sei ausreichend.

Eingeschränkte Unterstützung für die Empfehlung der Leopoldina kommt hingegen vom digitalpolitischen Sprecher der SPD-Bundestagsfraktion, Jens Zimmermann. „Mittelfristig“ sei eine entsprechende Debatte angebracht, kurzfristig jedoch die derzeit geplanten digitalen Maßnahmen ausreichend. Nur wenn sich dabei zeige, „dass gesetzliche Änderungen notwendig werden, sollte dies auf der Grundlage dieser Erfahrungswerte diskutiert werden.“

Wann in Deutschland eine entsprechende App zur Nachverfolgung von Corona-Kontakten zum Einsatz kommen kann, ist derzeit immer noch offen. Mehrere mögliche Modelle werden durch das Robert-Koch-Institut (RKI) geprüft. Bis zur „Marktreife“ steht daher zunächst nur die Datenspende-App des RKI zur Verfügung.

Datenpanne bei der Investitionsbank Berlin

31. März 2020

Der Berliner Beuftragte für Datenschutz und Informationsfreiheit, teilte in der Pressemitteilung vom 30.März 2020 mit, dass sich bei der Investitionsbank Berlin eine Datenpanne ereignet hat.

Seit vergangenem Freitag zahlt die Investitionsbank Berlin (im Folgenden: IBB) bedürftigen Einzel- und Kleinstunternehmern bis zu 15.000 € aus dem Hilfspaket des Landes Berlin aus. Dadurch sollen die Liquiditätsengpässe, die den Unternehmen durch die Corona-Krise entstandenen sind, aufgefangen werden.

Die IBB hatte die dänische Software-Firma „Queue-it“ dazu beauftragt eine Warteschlange für die 150.000 eingegangenen Anträge zu erstellen. Dadurch wurde ein schwerwiegender Programmierfehler ausgelöst, der zu einer Datenpanne führte.

Nach Abschluss des Antragsverfahren wurde den Antragsstellern die Kopie einer fremden Person zum Herunterladen angezeigt. Bei den einsehbaren personenbezogenen Daten handelte es sich um Ausweis-, Bank- und Steuerdaten, sowie um Angaben zum Unternehmen.

Nach aktuellem Stand sollen 390 Personen am Freitag in der Zeit von 15:30-16:30 von der Datenpanne betroffen gewesen sein. Am Montag wurde der Datenschutzverstoß fristgemäß bei der zuständigen Aufsichtsbehörde gemeldet. Aktuell werden alle betroffenen Personen ermittelt, um sie gemäß Art. 34 DSGVO über den Vorfall zu informieren. Informationen zu einem möglichen Bußgeldverfahren liegen noch nicht vor.

DSGVO-Sanktion gegen Tennisverband wegen Datenverkauf

10. März 2020

Die niederländische Aufsichtsbehörde verhängte gegen den Tennisverband „Koninklijke Nederlandse Lawn Tennisbond“ (KNLTB) eine Geldbuße von 525.000 EUR, weil er die personenbezogenen Daten seiner Mitglieder verkauft hatte. Im Jahr 2018 stellte KNLTB unrechtmäßig die personenbezogenen Daten einiger tausend seiner Mitglieder zwei Sponsoren zur Verfügung.

Darunter waren der Name, das Geschlecht und die Adresse der Mitglieder. Die Sponsoren nutzten die Daten dazu um an die betroffenen Personen heranzutreten und ihnen tennisbezogene und andere Angebote unterbreiten zu können. Ein Sponsor erhielt personenbezogene Daten von 50.000, der andere von mehr als 300.000 Mitgliedern. Die Sponsoren wandten sich per Post oder Telefon an einige dieser KNLTB-Mitglieder.

Der Tennisverband hat sich auf das berechtigte Interesse am Verkauf der Daten berufen. Die niederländischen Aufsichtsbehörden waren anderer Ansicht und entschieden, dass KNLTB keine Grundlage für die Weitergabe dieser personenbezogenen Daten an die Sponsoren hatte. Daher war die Übermittlung der personenbezogenen Daten rechtswidrig. Das verhängte Bußgeld von 525.000 Euro ist allerdings noch nicht rechtskräftig, weil der Tennisverband Rechtsmittel eingelegt kann.

LfDI RLP zur Nutzung sozialer Medien durch öffentliche Stellen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI RLP) hat am 06. März 2020 seinen aktualisierten Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen veröffentlicht.

Wie bereits berichtet stellte der EuGH im Juni 2018 fest, dass der Betreiber einer Fanseite auf Facebook gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Daraufhin stellte das BVerwG im September 2019 klar, dass die Datenschutzaufsichtsbehörden bei Verstößen gegen die Betreiber von Facebook-Fanpages vorgehen können.

Der LfDI RLP beschäftigt sich zunächst mit der Zulässigkeit der Datenverarbeitung durch öffentliche Stellen. Diese könnten zwar Öffentlichkeitsarbeit als Annexkompetenz zu ihren Aufgaben betreiben. Die Stellen könnten sich dabei aber nicht auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 LDSG RLP berufen. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Nach Ansicht des LfDI RLP ist die Weitergabe an Social Media-Dienste für die Öffentlichkeitsarbeit aber nicht erforderlich. Es bedürfe daher einer Einwilligung oder anderen Rechtsgrundlage.

Ob angemeldete Nutzer eine wirksame Einwilligung abgegeben haben lässt der Handlungsrahmen offen. Der LfDI RLP sieht es unter Vorbehalt als akzeptabel an, in einer Einwilligung an den Dienst auch eine solche für die Verarbeitung im Zusammenhang mit bestimmten Angeboten der Plattform zu sehen. Eine Einwilligung fehle aber jedenfalls regelmäßig bei Nutzerinnen und Nutzern, die nicht Mitglied der jeweiligen Social Media-Plattform sind. Jedenfalls sehe Facebook dafür keine technische Lösung vor.

Der Handlungsrahmen führt weiter aus, dass öffentliche Stellen für einen datenschutzkonformen Betrieb von Social Media-Plattformen eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen müssen. Solche Vereinbarungen müssten Antworten auf die im Fragenkatalog des Beschlusses der Datenschutzkonferenz zu Facebook Fanpages vom 5. September 2018 gestellten Fragen enthalten. Facebook beantworte in seiner Seiten-Insights-Ergänzung aktuell nicht alle diese Fragen. Zudem müssen der Verantwortliche auch weiteren Pflichten nachkommen, wie den Informationspflichten oder der Bereitstellung alternativer Informations- und Kommunikationsmöglichkeiten.

Der LfDI RLP weist darauf hin, dass er bei Verstößen die Außerbetriebnahme des Angebots anordnen könnte und eine Beanstandung oder Verwarnung erfolgen könnte. Daneben könnten betroffene Personen gegenüber Betreibern von Fanpages Schadensersatzansprüche haben.

Nachdem insbsondere der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg mit seinen Äußerungen zur Nutzung des Kurznachrichtendienstes Twitters für Aufsehen gesorgt hatte, beschäftigt sich jetzt eine weitere Aufsichtsbehörde mit der Nutzung von Social Media durch öffentlich Stellen.

1 3 4 5 6 7 10