Kategorie: EU-Datenschutzgrundverordnung

Face App: Kritik wird lauter

18. Juli 2019

Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App „Face App“, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.

Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen „Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte“ vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.

Kein eigenständiges Recht auf Herausgabe von Datenkopien

Der hessische Beauftragte für Datenschutz hat am 24. Juni 2019 seinen 47. Tätigkeitsbericht veröffentlicht. Dabei hat er Stellung zur umstrittenen Frage bezüglich des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO genommen.

Gemäß Art. 15 DSGVO erhalten die Betroffenen das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Art. 15 Abs. 3 DSGVO regelt zudem, dass die verantwortliche Stelle dem Betroffenen „eine Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen müsse.

Zum Teil wird vertreten, dass es sich bei Art. 15 Abs. 3 DSGVO um einen eigenständigen Anspruch des Betroffenen handelt, der dazu berechtigt, von dem Verantwortlichen alle Daten in der Form heraus zu verlangen, wie sie dem Verantwortlichen vorliegen. Diese weite Auffassung des „Kopie“-Begriffs führt zu einem allgemeinen Informations- bzw. Akteneinsichtsrecht. Der Hessische Datenschutzbeauftragte legt demgegenüber den „Kopie“-Begriff aus Art. 15 Abs. 3 DSGVO einschränkend aus. Insofern müssen den Betroffenen nicht sämtliche sie betreffende Dokumente in Kopie zur Verfügung gestellt werden. Vielmehr reicht es aus, wenn diesen eine „sinnvolle strukturierte Zusammenfassung“ bereitgestellt wird, die den Betroffenen im Kontext kenntlich macht, welche Daten zu ihrer Person verarbeitet werden.

Diese Auslegung würde vor allem dem Sinn und Zweck der DSGVO entsprechen. Bei einer weiten Auslegung bestünde die Gefahr, dass ein faktisch entstehendes Informations- und Akteneinsichtsrecht für Ziele missbraucht werde, die mit dem bezweckten Schutz von natürlichen Personen in keinem Zusammenhang stünden. Lediglich in einzelnen Fällen kann aus Art. 15 DSGVO die Pflicht zur Übersendung einer Kopie eines bestimmten Dokuments entstehen, wenn zum Beispiel die Übersendung zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung zwingend notwendig ist.

Potentieller Datenskandal in der Fußball Bundesliga

4. Juni 2019

Personenbezogene Daten existieren mittlerweile in allen Facetten sowie Bereichen des (Spitzen-)Sports und sind von herausragender Bedeutung. Dies gilt auch für den Profifußball.

In diesem ist es ausweislich eines Medienberichtes zu einem unbefugten Zugriff auf die Scouting-Datenbank des RB Leipzig gekommen. Hierbei hätten Mitarbeiter des Vereins Eintracht Frankfurt über 5.600 Mal auf die Daten zugegriffen. Aus diesem Grund hätte die Verwalterin der Daten, ISB – International Soccer Bank, Klage beim Landgericht Frankfurt am Main eingereicht.

Aus datenschutzrechtlicher Perspektive ist dies aus mehreren Gesichtspunkten relevant. Einerseits besteht für die handelnden Personen das Risiko etwaiger Strafbarkeit (vgl. etwa 202a des Strafgesetzbuchs), andererseits können im Falle unzureichender Sicherung personenbezogener Daten oder eines unzureichenden Datenschutz-Managements Bußgelder ausgesprochen werden.

LG Köln befasst sich mit der Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO

23. Mai 2019

Das LG Köln hatte sich in einem kürzlich veröffentlichten Urteil vom 18.03.2019 (Az. 26 O 25/18) mit dem Umfang des Auskunftsrechts nach Art. 15 DSGVO zu befassen. In dem zugrundeliegenden Fall wollte die Klägerin umfassend Auskunft von einer Versicherung haben, bei der sie zwei Lebensversicherungen abgeschlossen hatte. Sie vertrat die Ansicht, dass die Versicherung ihr keine vollständige Datenauskunft nach § 34 BDSG-alt bzw. Art. 15 DSGVO erteilt hat. Die Beklagte bestand wiederum darauf, dass die Übersendung von Beratungsprotokollen oder ggf. vorliegenden Mitarbeitervermerken nicht vom Auskunftsanspruch umfasst seien.

Nach der in dem Urteil vertretenen Rechtsauffassung umfasst der Auskunftsanspruch nicht interne Vorgänge der Beklagten, wie z.B. Vermerke oder den die Person betreffenden Schriftverkehr, der dem Betroffenen bereits bekannt ist. „Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten […] dar. Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.“ Die Kammer begründete dies damit, dass der Betroffene (lediglich) einen Anspruch auf die Kopie der verarbeiteten personenbezogenen Daten hat.

Das Urteil des LG Köln wurde nur einen Monat nach dem Urteil des LAG Baden-Württemberg veröffentlicht, das das Auskunftsrecht eines Daimler-Managers stärkte.

Google eröffnet globales Zentrum für Datenschutz in München

17. Mai 2019

Am Münchner Standort verdoppelt der Internetkonzern Google bis zum Jahresende die Anzahl der Datenschutz-Spezialisten von 100 auf 200. Insgesamt beschäftigt Google in München dann 1000 Mitarbeiter. Für Firmenchef Sundar Pichai wird Deutschland damit zu einem globalen Drehkreuz für die produktübergreifende Datenschutzarbeit.

Zur Einweihung des Google Safety Engineering Centers sind auch Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer und Kristie Canegallo, Vice President of Trust & Safety aus dem Hauptquartier in Mountain View angereist.

Google habe bei der Entwicklung der Datenschutz-Tools nicht auf gesetzliche Vorgaben gewartet, erklärte Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer. Walker erkannte zwar an, dass die EU mit der Datenschutzgrundverordnung andere Regionen dazu veranlassen könnte, eigene Datenschutzgesetze zu entwickeln. Viele Google Privacy Tools seien aber älter als die DSGVO, und gingen durchaus über geltendes Gesetz hinaus.

Aktuell arbeitet das Team in München an verbesserten Datenschutzeinstellungen von Chrome und an datenschutzrelevanten Optionen und Funktionen, darunter auch einem Inkognito-Modus, in Apps wie Maps, Suche und Youtube (wir berichteten).

Ein spannendes Projekt ist dabei etwa der Versuch, neben klassischen Angriffen – wie geklaute und im Netz verfügbare Passwörter – bösartiges Browser-Fingerprinting durch Webseiten zu erkennen.

Datenschutzaufsichtsbehörden verhängten bislang 75 Bußgelder wegen Datenschutzverstößen

13. Mai 2019

Laut einem Bericht der Welt am Sonntag haben die Datenschutzaufsichtsbehörden der Länder seit Inkrafttreten der DSGVO im Mai 2018 in mindestens 75 Fällen Bußgelder gegen Unternehmen wegen des Verstoßes gegen datenschutzrechtliche Regelungen verhängt. Dabei soll die Summe der Bußgelder insgesamt 449.000 Euro betragen und sich auf Vorfälle in sechs Bundesländern beziehen.

Die Bußgelder gliedern sich wie folgt:

  • Baden-Württemberg: 7 Fälle / 203.000 Euro
  • Rheinland-Pfalz: 9 Fälle / 124.000 Euro
  • Berlin: 18 Fälle / 105.600 Euro
  • Hamburg: 2 Fälle / 25.000 Euro
  • Nordrhein-Westfalen: 36 Fälle / 15.600 Euro
  • Saarland: 3 Fälle / 590 Euro

An der Befragung der Welt am Sonntag nahmen 14 von 16 Bundesländer teil. Mecklenburg-Vorpommern und Thüringen machten keine Angaben.
Das mit 80.000 Euro höchste Bußgeld in einem einzelnen Fall hatte Baden-Württemberg verhängt.

Datenschutz vs. Informationsfreiheit

3. Mai 2019

Gemäß Art. 85 Abs. 1 DSGVO sind die nationalen Gesetzgeber aufgefordert, Regelung zu erlassen, die das Recht auf freie Meinungsäußerung und Informationsfreiheit mit dem Schutz personenbezogener Daten in Einklang bringen. In Deutschland wurde hierzu der Rundfunkstaatsvertrag (RStV) neu gefasst. Nach § 9c RStV unterliegen private Rundfunkveranstalter und ihre Hilfsunternehmen dem Medienprivileg, sofern personenbezogene Daten zu journalistischen Zwecken verarbeitet werden.

Der Begriff „journalistische Zwecke“ ist in diesem Zusammenhang weit zu verstehen (Erwägungsgrund 153 DSGVO). Tätigkeiten können als journalistisch eingestuft werden, wenn sie zum Zweck haben, „Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten“ (EuGH Urteil vom 14.02.2019, C‑345/17). Darüber hinaus muss die „Absicht einer Berichterstattung“ (BGH Urteil vom 01.02.2011, Az. VI ZR 345/09) gegeben sein. „Informationen“ sind nach § 2 Abs. 2 Nr. 15 RStV insbesondere Nachrichten und Zeitgeschehen, politische Information, Wirtschaft, Auslandsberichte, Religiöses, Sport, Regionales, Gesellschaftliches, Service und Zeitgeschichtliches. Darüber hinaus ist eine redaktionelle Verantwortung erforderlich. Das bedeutet, es bedarf einer wirksamen Kontrolle über die Zusammenstellung und die Bereitstellung der Inhalte. Unschädlich ist, wenn mit der journalistischen Tätigkeit eine Gewinnerzielungsabsicht verbunden ist oder die Sendung auch unterhaltenden Charakter hat. Unter die journalistische Tätigkeit fällt die Recherche, Redaktion, Veröffentlichung, Dokumentation und Archivierung.

Das Medienprivileg besagt, wenn personenbezogenen Daten zu journalistischen Zwecken verarbeitet werden, ist nur ein kleiner Auszug der Regelungen aus der DSGVO zu berücksichtigen. Dazu zählen insbesondere das Datengeheimnis und eine sichere Verarbeitung von personenbezogenen Daten durch angemessene technische und organisatorische Maßnahmen. Nach dem Medienprivileg nicht zu berücksichtigen ist insbesondere die Einholung einer Einwilligung zu der Verarbeitung von personenbezogenen Daten – das gilt auch für besondere Kategorien von personenbezogenen Daten – und die Information der Betroffenen über die Verarbeitung von personenbezogenen Daten. Darüber hinaus ist das Auskunftsrecht der Betroffenen gemäß § 9c Abs. 3 RStV erheblich eingeschränkt, da eine Auskunft nur nach einer Abwägung der schutzwürdigen Interessen erfolgen muss.

Multilaterale Verwaltungsvereinbarung zum Datentransfer zwischen Finanzaufsichtsbehörden genehmigt

30. April 2019

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) genehmigte am 24. April 2019 erstmals eine multilaterale Verwaltungsvereinbarung entsprechend der Regelung des Art. 46 Abs. 3 lit. b) DSGVO.

Art. 46 Abs. 3 lit. b) DSGVO lautet: Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.

Hierbei geht es um eine Musterverwaltungsvereinbarung zwischen den EU Wertpapier- und Marktaufsichtsbehörden, vertreten durch die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und ihren internationalen Partnerbehörden, vertreten durch die Internationale Organisation der Wertpapieraufsichtsbehörden (IOSCO).

Diese Vereinbarung enthält geeignete Datenschutzgarantien sowie Betroffenenrechte und unterliegt der fortlaufenden Kontrolle des BfDI. Fehlt eine solche Vereinbarung, fehlt auch die Voraussetzung für den rechtmäßigen Datenaustausch mit Finanzaufsichtsbehörden in Drittstaaten.

Keine Abschaffung des Datenschutzbeauftragten

29. April 2019

Die Datenschutzkonferenz lehnt die Forderung ab, die Pflicht zur Benennung von Datenschutzbeauftragten aufzuweichen.

In dem Entschließungsantrag des Landes Niedersachsen vom 02. April 2019 war nachfolgende Forderung angeführt:

„Der Bundesrat fordert eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Gemäß § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Zwar ist diese Regelung nicht neu, sondern an den § 4 f Abs. 1 S. 4 BDSG a. F. angelehnt, sie stellt jedoch eine nationale Besonderheit dar, durch die in Deutschland ansässige Unternehmen gegenüber Unternehmen in anderen Mitgliedsstaaten mit mehr Bürokratie belastet werden. Der Bundesrat fordert die Bundesregierung daher auf, hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.“

Dieser Forderung kommt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einem Beschluss nicht nach.

Nach der DSK habe sich diese Pflicht seit vielen Jahren bewährt und sei auch deshalb bei der Datenschutzreform im deutschen Recht beibehalten worden. Aufgrund einer betrieblichen Selbstkontrolle sorgen die Datenschutzbeauftragten für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten.

Ein Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten würde dem nicht entgegenkommen.
Mittelfristig ginge interne Kompetenz verloren.

Die Konferenz spricht sich daher gegen eine Abschaffung oder Auflockerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen (§ 38 BDSG) aus.

Kategorien: Allgemein · EU-Datenschutzgrundverordnung
Schlagwörter: , , ,

Einwilligung (Opt-In, Opt-Out, Double-Opt-In)

18. April 2019

Sofern keine gesetzliche Regelung die Verarbeitung von personenbezogenen Daten ausdrücklich erlaubt, bedarf es einer Einwilligung des Betroffenen in die Verarbeitung der personenbezogenen Daten. Damit diese rechtskonform erteilt werden kann, müssen verschiedene Voraussetzungen erfüllt sein.
Eine Einwilligung ist nur dann rechtmäßig erteilt, wenn sie freiwillig (ohne Druck oder Zwang), spezifiziert (für eine bestimmte Verarbeitung), informiert (durch transparente Aufklärung) und ausdrücklich (also unmissverständlich) erfolgt. Im Zusammenhang mit der Einwilligung fallen häufig die Begriffe Opt-In, Opt-Out und Double-Opt-In. Nachfolgend werden diese Begrifflichkeiten erläutert.


Mit der Voraussetzung, dass die Einwilligung „ausdrücklich“ abgegeben werden muss, ist der sogenannte Opt-Out unvereinbar. Bei einem Opt-Out gilt die Einwilligung als erteilt, wenn der Einwilligende dem nicht widerspricht. Die Einwilligung wird also vorausgesetzt/fingiert, ohne dass der Einwilligende diese tatsächlich aktiv erteilt hat. Ein solches Vorgehen ist nicht datenschutzkonform und die darauf gestützte Verarbeitung personenbezogener Daten rechtswidrig.
Es ist erforderlich, dass der Einwilligende selbst aktiv in die Verarbeitung von personenbezogener Daten einwilligt (Opt-In). Beispielsweise darf eine Checkbox daher niemals vorausgefüllt sein (Opt-Out). Der Betroffene muss die Checkbox selbst aktiv anklicken.
Hiervon zu unterscheiden ist der Double-Opt-In. Bei diesem wird an die E-Mail-Adresse des Betroffenen ein Bestätigungslink versendet. Der Double-Opt-In dient damit der Verifizierung einer Person, so dass sich die verarbeitende Stelle sicher sein kann, dass die Daten nicht missbräuchlich verwendet wurden, sondern tatsächlich von der angegebenen Person stammen.

1 2 3 21