Kategorie: EU-Datenschutzgrundverordnung
26. Oktober 2018
Apple-Chef Tim Cook lobt im Rahmen seiner Teilnahme an der 40. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (ICDPPC), welche vom 21.10.-26.10. 2018 in Brüssel stattfindet, im EU-Parlament die europäische Datenschutzgrundverordnung. An der Konferenz nehmen neben den unabhängigen Datenschutzbehörden als akkreditierte Mitglieder auch Vertreter von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertreter aus Wissenschaft und Industrie teil.
Wie unter anderem die Süddeutsche Zeitung und das Handelsblatt am Mittwoch berichteten, forderte der Apple-Chef in seiner Rede im EU-Parlament weltweit ähnliche Datenschutzstandards. Cook warnt vor der Gefahr eines “Daten-industriellen Komplexes”. Gemeint ist die Sammelwut einiger großer Konzerne im Hinblick auf die persönlichen Daten ihrer Nutzer. Solche Daten würden als “Waffe mit militärischer Effizienz” eingesetzt. Mit den Daten der Nutzer werde ein milliardenstarkes Geschäft geführt. Die Daten würden “sorgfältig gesammelt, zusammengefasst, gehandelt und verkauft”.
Der Apple-Chef greift hier vor allem die Branchenriesen Google und Facebook an indem er die Verantwortung der Konzerne für Schaffung ausreichender Datenschutzstandards betont. Diese waren in der Vergangenheit im Zusammenhang mit der Frage nach einem ausreichenden Schutz der Daten ihrer Nutzer häufig Mittelpunkt einer globalen Diskussion rund um das Thema Datenschutz.
23. Oktober 2018
Bei der Irischen Datenschutzaufsicht sind derzeit Verfahren gegen Facebook und Twitter eingeleitet, welche mehr Aufschluss zur Datensammlung dieser Unternehmen geben könnten. In diesem Zusammenhang schließt sich die Frage an, wann Unternehmen Auskunftsersuchen unter Umständen wegen einem unverhältnismäßigen Aufwand nicht beantworten müssen.
Hintergrund der Verfahren sind Beschwerden eines Forschers des University College in London. Dabei ging es ihm insbesondere um Informationen, die über sein Verhalten im Web außerhalb der großen Plattformen gesammelt werden. Bei Facebook sind das vor allem Daten, die über den sog. Facebook-Pixel erhoben werden, bei Twitter sind es Daten die gespeichert werden, wenn auf Links in Nachrichten geklickt wird, die über den Twitter-eigenen Linkkürzungsdienst t.co eingebunden werden. Aufgrund eines angeblichen unverhältnismäßigen hohen Aufwandes, lehnten beide Unternehmen eine dahingehende Auskunft ab.
Der Grundsatz der Transparenz in der Datenverarbeitung ist in Art. 15 DSGVO, dem Auskunftsrecht, festgehalten und dient dem effektiven Persönlichkeitsrechtsschutz.
Kann der Verantwortliche die Auskunft mit der Begründung eines unverhältnismäßigen Aufwands verweigern?
Art. 15 DSGVO gibt dem Wortlaut nach darüber keinen Aufschluss.
Gem. § 34 Abs. 1 Nr. 2 BDSG kann der Verantwortliche die Auskunft im Falle eines unverhältnismäßigen Aufwands ablehnen. Jedoch nur, wenn zusätzlich weitere Voraussetzungen erfüllt sind.
Eine Ablehnung allein aus Gründen der Unverhältnismäßigkeit ist danach unzureichend.
Gem. Erwägungsgrund 63 der DSGVO kann der Verantwortliche verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Dies gilt allerdings nur, wenn der Verantwortliche eine große Menge an Informationen über die betroffene Person verarbeitet.
Immerhin ein Unterfall der möglichen Ablehnung.
Nach Art. 11 Abs. 2 DSGVO gilt Artikel 15 DSGVO nicht, wenn der Verantwortliche nachweisen kann, dass er den Betroffenen nicht identifizieren kann.
Dies bezieht sich sowohl auf die Person des Antragstellers selbst, als auch auf die fehlende Zuordnungsmöglichkeit der den Antragsteller betreffenden Daten.
Teilweise wird vertreten, man könne mit einer Analogie zu Art. 14 Abs. 5 lit b DSGVO arbeiten. Dieser besagt, dass auf eine Information des Betroffenen verzichtet werden kann wenn diese einen unverhältnismäßigen Aufwand erfordert. (Härting, Datenschutz-Grundverordnung, Rn. 683/685)
Nach deutschem Recht soll eine derartige Analogie aber nicht notwendig sein, da auch auf den Grundsatz von Treu und Glauben zurückgegriffen werden könne. Dieser besagt u.a., dass die Parteien eines Rechtsverhältnisses Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils nehmen müssen.
Mit der Stellung des Auskunftsersuchens wird ein solches Rechtsverhältnis zwischen Antragsteller und Verantwortlichem begründet. Demnach könne sich auch der Verantwortliche im Einzelfall auf einen unverhältnismäßig hohen Aufwand berufen. (vgl. Gola, Datenschutzgrundverordnung 2. Auflage Rn. 38)
Fazit:
Nur im Ausnahmefall bzw. Einzelfall kann mit guter Begründung ein Auskunftsersuchen aufgrund unverhältnismäßigen Aufwandes verweigert werden.
Dabei wird der vertretbare Aufwand für Unternehmen (z.B. Kosten, Zeit und Arbeitskräfte) mit dem Schutzbedarf des Betroffenen (z.B. Sensibilität der Daten) ansteigen.
15. Oktober 2018
Nachdem ein Mieter einer Gemeindewohnung den mangelnden Datenschutz beklagte, will die kommunale Hausverwaltung der rund 2000 Wohnanlagen des „Wiener Wohnens“ bis zum Ende des Jahres 220.000 Klingelschilder entfernen.
Der Mieter hatte sich bei der Hausverwaltung beschwert, dass sein Name auf dem Klingelschild einen Eingriff in seine Privatsphäre darstelle. Daraufhin hatte sich die Hausverwaltung erkundigt und von der für Datenschutzangelegenheiten der Stadt Wien zuständigen Magistratsabteilung erfahren, dass die Verbindung von Nachname und Wohnungsnummer einen Verstoß gegen die DSGVO darstellt.
In Zukunft dürfe nur noch die Wohnungsnummer auf dem Klingelschild stehen. Es sei denn, dass ein Mieter seine Einwilligung erteilt hat. Man könnte diese Einwilligung entweder zuvor durch einen Fragebogen mit Opt-In einholen oder konkludent dadurch, dass die Mieter ihre Klingelschilder selber beschriften.
Österreichische Datenschützer sind der Meinung, dass diese Regelungen auch für private Vermieter und Vermieterinnen gelten.
11. Oktober 2018
Die Chemnitzer Innenstadt wird seit Anfang Oktober mit mehreren Kameras videoüberwacht. Der sächsische Landesdatenschutzbeauftragte drohte mit der Abschaltung der Kameras. Es fehlten nämlich noch bestimmte Dokumente, die sich beispielsweise mit folgenden Fragen beschäftigen: Welche Bereiche filmen die Kameras? Warum ist dies nötig? Und wer hat Zugriff auf die Aufnahmen? Solange diese Fragen nicht beantwortet sind, dürfen die Kameras rein formell betrachtet nicht in Betrieb genommen werden. Ordnungsbürgermeister Miko Runkel verwunderten diese Forderungen, da im Sommer ein Entwurf der Stadtverwaltung dem Datenschutzbeauftragten vorgelegt wurde und die von ihm gegebenen Hinweise abgearbeitet wurden. Nach eigener Aussage habe sich die Stadt an die Datenschutzgrundverordnung gehalten, sodass ein weiteres Dokument nicht erforderlich sei, sondern lediglich der Rat des Landesdatenschutzbeauftragten eingeholt werden müsse.
Seit dem 1. Oktober zeichnen 31 Kameras das Geschehen von belebten Orten in Chemnitz auf. Dazu gehören beispielsweise Zentralhaltestelle und das Areal um den Stadthallenpark. Laut Stadtverwaltung werden die Aufzeichnungen 10 Tage gespeichert. Es wird nur anlassbezogen ausgewertet. Die Polizei hat bisher kein Zugriff darauf, dies ändert sich jedoch sobald die Erlaubnis vorliegt.
9. Oktober 2018
Der EuGH hat nun entschieden, wann Behörden personenbezogene Daten der Betreiber elektronischer Kommunikationsdienste anfordern dürfen.
In dem bezeichneten Sachverhalt geht es um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Polizei wollte Zugriff auf Identifikationsdaten der Nutzer der Telefonnummer haben, die mit dem entwendeten Mobiltelefon aktiviert wurden. Identifikationsdaten wie u.a. Name und Adresse des Karteninhabers, sind personenbezogene Daten.
Nach spanischem Recht stellt ein Raub keine “schwere Straftat” (mehr als 5 Jahre Strafandrohung) dar. In diesem Fall stellt sich nun die Frage, ob eine Verarbeitung dieser Identifikationsdaten zulässig ist, wenn es um Aufklärung einer Straftat geht, die gerade nicht als “schwer” einzustufen ist. Anders gefragt: Wie weit dürfen die Behörden gehen, um Straftaten aufzuklären?
Zunächst stellt das Gericht u.a. fest, dass der Zugang von Behörden zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten einen Eingriff in die EU-Grundrechtecharta (insb. Art. 7 und 8 EU-GrCh) darstellt.
Sodann stellt der EuGH auf die Schwere des Eingriffs ab. Ein schwerer Eingriff könne nur bei einer schweren Straftat gerechtfertigt sein. Andererseits sei es aber auch grundsätzlich möglich, personenbezogene Daten für die Ermittlungsarbeit zu verarbeiten, wenn es sich nicht um eine schwere Straftat handelt. Um den Grundsatz der Verhältnismäßigkeit zu wahren, dürfte es sich dann aber entsprechend nicht um einen schweren Eingriff handeln.
Letztlich bleibt es aber eine Einzelfallprüfung inwieweit die Datenverarbeitung in die Privatsphäre des Betroffenen eingreift und um welche Straftat es sich handelt. In diesem Fall kommt der Gerichtshof zu dem Ergebnis, dass „der Zugang nur zu den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Antrag bezieht, nicht als „schwerer“ Eingriff in die Grundrechte der Personen eingestuft werden kann, deren Daten betroffen sind, da sich aus diesen Daten keine genauen Schlüsse auf ihr Privatleben ziehen lassen.“
Zusammenfassend:
Erfolgt ein schwerer Eingriff in die Privatsphäre, ist ein Zugang zu den Daten nur für die Aufklärung “schwerer Straftaten” möglich. Erfolgt kein schwerer Eingriff in die Privatsphäre, ist der Zugang auch für die Aufklärung “nicht schwerer” Straftaten möglich.
5. Oktober 2018
Im Alltag eines Kindergartens kommt man ständig mit personenbezogene Daten in Berührung, sei es durch ein Gespräch mit den Eltern über das Verhalten ihres Kindes oder durch das Angeben von Krankheiten der Kinder. Aus diesem Grund ist es äußerst wichtig den Datenschutz in Kindergärten zu wahren, da Kinder einen gesonderten Schutz benötigen. Im Kindergarten dürfen Daten neben der Möglichkeit der Einholung einer Einwilligungserklärung nur nach einer gesetzlichen Rechtsgrundlage verarbeitet werden. Die Verarbeitung muss zur Erfüllung der Erziehungsaufgabe der Einrichtung erforderlich sein.
In Nordrhein-Westfalen regelt das Gesetz zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz – KiBiz) die Aufgaben und Befugnisse der Kindertagesstätten und Schulen. Vor allem sagt der § 12 aus, welche Daten mitzuteilen sind: Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen und Anschriften der Eltern. Aus diesem Grund ist für die Erstellung der Bildungsdokumentation zusätzlich eine Einwilligungserklärung erforderlich, da es hierfür keine gesetzliche Rechtsgrundlage gibt. Bei Kleinkindern wird die Einwilligungserklärung in der Regel von den Eltern abgegeben. Ganz besonders wichtig ist es, bei Foto-und Videoaufnahmen stets die Einwilligung einzuholen.
2. Oktober 2018
Derzeit sind Faxe im Umlauf, deren Urheber das Unternehmen “DAZ Datenschutzauskunft-Zentrale Ltd.” mit Sitz auf Malta ist, in denen versucht wird, Unternehmen mit Hilfe der allgemeinen Unsicherheiten im Zusammenhang mit der DSGVO zum Abschluss eines kostenpflichtigen Abos zu bewegen.
Die Unternehmen werden aufgefordert, sich an einer “Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO” zu beteiligen. Hierzu sollen die Unternehmen ein beigefügtes Formular zum Datenschutz unterschreiben und an eine Postanschrift in Oranienburg oder per Fax an eine 00800-Nummer aus der Schweiz zu senden. Das Formular, welches sich auf die DSGVO bezieht, wird als “gebührenfrei” bezeichnet. Es beinhaltet die Aufforderung, das beigefügte Formular unterzeichnet zurückzusenden. Im Text versteckt ist allerdings die Verpflichtung einen Basisdatenschutzbeitrag in Höhe von 592,62 Euro pro Jahr zu zahlen.
Betroffene, die ein solches Fax erhalten haben, sollten dieses unbedingt ignorieren. Für den Fall, dass das Formular bereits unterschrieben und zurückgesendet wurde, sollte ein Anwalt aufgesucht werden. Auch der Thüringer Landesbeauftragte für Datenschutz warnt bereits vor der Masche.
28. September 2018
Das LG Würzburg hat im Rahmen eines Eilverfahrens vom 13. September 2018 (Az. 11 O 1741/18 UWG) entschieden, dass ein Verstoß gegen die DSGVO aufgrund des Gesetztes gegen den unlauteren Wettbewerb (UWG) abgemahnt werden kann.
Hierzu führte die beschlussfassende Kammer aus, dass die Regelungen der DSGVO unter die Vorschrift des § 3a UWG fallen kann, wenn es sich um eine datesnchutzrechtliche Vorgabe handelt, die auch dazu bstimmt ist, “im Interesse der Marktteilnehmer das Marktverhalten” zu regeln. Zudem muss der Verstoß geeignet sein, die Interessen von Verbrauchern und Mitbewerbern “spürbar zu beeinträchtigen”.
Im gegenständlichen Verfahren hatte ein Rechtsanwalt einen Kollegen abgemahnt, da dieser eine nicht den rechtlichen Anforderungen entsprechende Datenschutzerklärung auf seiner Website bereitgestellt hatte. Nach Auffassung des LG Würzburg ist der Inhalt der Homepage dazu geeignet, personenbezogene Daten zu verarbeiten. Über eine solche Verarbeitung muss im Rahmen der Datenschutzerklärung umfassend informiert werden. Zudem bedarf es entsprechender Sicherheitsvorkehrungen.
Der Beschluss knüpft damit an die bisherige Rechtsprechung verschiedener Land- und Oberlandesgerichte zur alten Bundesdatenschutzgesetz-Rechtsprechung an, wonach bestimmten datenschutzrechtlichen Vorschriften wettbewerbsrechtliche Bedeutung zugeschrieben wurden.
14. September 2018
Das Oberlandesgericht Frankfurt hat in einem Streitfall über das “Recht auf Vergessen werden”, zwischen dem Internetkonzern Google und dem Geschäftsführer einer gemeinnützigen Organisation, für Google entschieden. Bei dem Berufungsverfahren ging es darum zu klären, ob die Verbindung von Personen zu negativen Presseartikeln aus der Vergangenheit untersagt werden kann.
Das Oberlandesgericht entschied, dass dem Internetkonzern nicht untersagt werden dürfe, negative Presseartikel aus der Vergangenheit bei der Suchanfrage zu einer Person anzuzeigen. Dies gilt auch wenn ein solcher Presseartikel Gesundheitsdaten der entsprechenden Person beinhalte.
Trotz der im Mai in Kraft getretenen Datenschutzgrundverordnung, rechtfertigt das Gericht seine Entscheidung damit, dass das Interesse einer einzelnen Person gegen das Interesse der Öffentlichkeit abgewogen werden müsse. In dem konkreten Fall aus Frankfurt handele es sich nicht um eine erkennbare Verletzung des allgemeinen Persönlichkeitsrechts des Klägers, jedoch sei von einem erheblichen Öffentlichkeitsinteresses auszugehen.
Auch das vom Europäischen Gerichtshof anerkannte “Recht auf Vergessen werden” greife in diesem Fall nicht, da man auch nach einigen Jahren die inzwischen vergangen seinen, immer noch von einem spürbaren Interesse der Öffentlichkeit ausgehen müsse.
5. September 2018
Google Signale ist eine neue Erweiterung von Google, die im Rahmen von Google Analytics genutzt werden kann. Aktuell befindet sich diese Funktion noch als BETA-Version im Rollout.
Sobald der Google-Nutzer Google Signale aktiviert, werden die Google Analytics Funktionen aktualisiert.
Google kann das geräteübergreifende Verhalten der Nutzer, die Google Signale aktiviert haben, abschätzen. Die Daten der Nutzer werden grundsätzlich für eine Dauer von 26 Monaten gespeichert.
Google erhält Statistiken, die auf Anmeldung und Gerätetypen aller Nutzer basieren.
Datenschutzrechtlich hat dies viele Auswirkungen. Google nutzt für diese Statistiken die Logins im Google-Netzwerk und führt damit ein sog. Cross-Device Tracking durch. Cross- Device Tracking umfasst eine geräteübergreifende Analyse von Besucherströmen auf einer Webseite. Bei dieser Methode werden Besucher mit einer ID markiert. Durch das Cross-Device Tracking können Nutzer eindeutig identifiziert werden.
Die Einhaltung der geltenden Datenschutzbestimmungen spielt hierbei eine große Rolle. Die Konto-Einstellungen “personalisierte Werbung” scheint zumindest derzeit ein Opt-Out zu sein. Folglich holt Google aktuell keine Einwilligung für das Cross-Device Tracking ein, sondern es wird nur eine Widerspruchsmöglichkeit zur Verfügung gestellt.
Pages: 1 2 ... 20 21 22 23 24 ... 34 35 
