9. Oktober 2018
An vielen deutschen Hochschulen werden mittlerweile Chipkarten genutzt, die für die Nutzung des Leistungsangebots der Hochschulen unerlässlich sind. Chipkarten werden u.a. als Bezahlkarte in der Mensa oder als Bibliotheksausweis eingesetzt.
Anders als in den USA dürfen deutsche Hochschulen und Unternehmen aber nicht wahllos viele Daten der Studierenden speichern. Laut einem Bericht der ZEIT werden in den USA über sogenannte Orts- und Zeitstempel massenweise Daten erhoben, um so die Gewohnheiten der Studierenden erfassen zu können. Die erhobenen Daten werden sodann ausgewertet, um das Risiko eines Studienabbruchs ermitteln zu können.
In Deutschland ist die Datenverarbeitung nur in den Grenzen des geltenden Datenschutzrechts zulässig. Personenbezogene Daten von Studierenden dürfen nach der geltenden DSGVO nur zu festgelegten, eindeutigen und legitimen Zwecken erhoben werden. Zudem gilt der Grundsatz der Datenminimierung, daher dürfen nicht mehr Daten erhoben werden, als für den Zweck der Verarbeitung erforderlich sind. Deutsche Hochschulen müssen diese Voraussetzungen bzw. diesen Grundsatz bei der Gestaltung von Chipkarten für die Studierenden in jedem Fall beachten.
Die FU Berlin hat bereits 2017 eine Campuscard als Teil der von der EU-Kommission in allen Mitgliedsstaaten geplanten Umstellung auf elektronische Studentenausweise eingeführt. Die Campuscard der FU Berlin soll technisch aber in der Art ausgestaltet sein, dass das Studierendenwerk beispielsweise nur das Guthaben auf der Mensakarte sehen kann und die Universität nur die Bibliotheksnummer. Die Daten liegen in getrennten Bereichen auf der Karte und werden unterschiedlich verschlüsselt. Den Datenschlüssel zu den jeweiligen Daten erhält nur derjenige, der ihn braucht.
Der EuGH hat nun entschieden, wann Behörden personenbezogene Daten der Betreiber elektronischer Kommunikationsdienste anfordern dürfen.
In dem bezeichneten Sachverhalt geht es um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Polizei wollte Zugriff auf Identifikationsdaten der Nutzer der Telefonnummer haben, die mit dem entwendeten Mobiltelefon aktiviert wurden. Identifikationsdaten wie u.a. Name und Adresse des Karteninhabers, sind personenbezogene Daten.
Nach spanischem Recht stellt ein Raub keine “schwere Straftat” (mehr als 5 Jahre Strafandrohung) dar. In diesem Fall stellt sich nun die Frage, ob eine Verarbeitung dieser Identifikationsdaten zulässig ist, wenn es um Aufklärung einer Straftat geht, die gerade nicht als “schwer” einzustufen ist. Anders gefragt: Wie weit dürfen die Behörden gehen, um Straftaten aufzuklären?
Zunächst stellt das Gericht u.a. fest, dass der Zugang von Behörden zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten einen Eingriff in die EU-Grundrechtecharta (insb. Art. 7 und 8 EU-GrCh) darstellt.
Sodann stellt der EuGH auf die Schwere des Eingriffs ab. Ein schwerer Eingriff könne nur bei einer schweren Straftat gerechtfertigt sein. Andererseits sei es aber auch grundsätzlich möglich, personenbezogene Daten für die Ermittlungsarbeit zu verarbeiten, wenn es sich nicht um eine schwere Straftat handelt. Um den Grundsatz der Verhältnismäßigkeit zu wahren, dürfte es sich dann aber entsprechend nicht um einen schweren Eingriff handeln.
Letztlich bleibt es aber eine Einzelfallprüfung inwieweit die Datenverarbeitung in die Privatsphäre des Betroffenen eingreift und um welche Straftat es sich handelt. In diesem Fall kommt der Gerichtshof zu dem Ergebnis, dass „der Zugang nur zu den Daten, auf die sich der im Ausgangsverfahren in Rede stehende Antrag bezieht, nicht als „schwerer“ Eingriff in die Grundrechte der Personen eingestuft werden kann, deren Daten betroffen sind, da sich aus diesen Daten keine genauen Schlüsse auf ihr Privatleben ziehen lassen.“
Zusammenfassend:
Erfolgt ein schwerer Eingriff in die Privatsphäre, ist ein Zugang zu den Daten nur für die Aufklärung “schwerer Straftaten” möglich. Erfolgt kein schwerer Eingriff in die Privatsphäre, ist der Zugang auch für die Aufklärung “nicht schwerer” Straftaten möglich.
5. Oktober 2018
Im Alltag eines Kindergartens kommt man ständig mit personenbezogene Daten in Berührung, sei es durch ein Gespräch mit den Eltern über das Verhalten ihres Kindes oder durch das Angeben von Krankheiten der Kinder. Aus diesem Grund ist es äußerst wichtig den Datenschutz in Kindergärten zu wahren, da Kinder einen gesonderten Schutz benötigen. Im Kindergarten dürfen Daten neben der Möglichkeit der Einholung einer Einwilligungserklärung nur nach einer gesetzlichen Rechtsgrundlage verarbeitet werden. Die Verarbeitung muss zur Erfüllung der Erziehungsaufgabe der Einrichtung erforderlich sein.
In Nordrhein-Westfalen regelt das Gesetz zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz – KiBiz) die Aufgaben und Befugnisse der Kindertagesstätten und Schulen. Vor allem sagt der § 12 aus, welche Daten mitzuteilen sind: Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen und Anschriften der Eltern. Aus diesem Grund ist für die Erstellung der Bildungsdokumentation zusätzlich eine Einwilligungserklärung erforderlich, da es hierfür keine gesetzliche Rechtsgrundlage gibt. Bei Kleinkindern wird die Einwilligungserklärung in der Regel von den Eltern abgegeben. Ganz besonders wichtig ist es, bei Foto-und Videoaufnahmen stets die Einwilligung einzuholen.
2. Oktober 2018
Erlaubt ein Arbeitgeber seinen Mitarbeitern, dass dienstliche E-Mail-Postfach auch zu privater Kommunikation zu nutzen, ist er in diesem Fall nach Ansicht der Datenschutzaufsichtsbehörden Telekommunikationsanbieter und unterliegt dem Fernmeldegeheimnis. Ein Zugriff auf die Postfächer und eine Archivierung der E-Mails ist dann ohne Weiteres nicht möglich. Grundsätzlich muss hierzu eine Einwilligung des entsprechenden Mitarbeiters vorliegen. Eine solche muss aber zum einen freiwillig, das bedeutet ohne Zwang, abgegeben werden und sie ist zum anderen jederzeit frei widerruflich.
Der eingeschränkte Zugriff auf diese Postfächer kollidiert mit der Pflicht der Unternehmen, Handelsbriefe und steuerrechtlich relevante Unterlagen für einen gewissen Zeitraum zu speichern. Auch E-Mails können Handelsbriefe darstellen oder steuerrechtlich relevante Informationen enthalten. Die Pflicht zur Speicherung der relevanten E-Mails wird in der Praxis durch umfassende Archivierung der dienstlichen E-Mail-Postfächer erfüllt. Aus diesem Grund ist es ratsam, die private Nutzung des E-Mail-Postfachs zu verbieten.
Die Einhaltung dieses Verbots sollte in regelmäßigen Abständen stichprobenartig überprüft werden. Denn wird das E-Mail-Postfach entgegen des Verbotes dennoch von den Mitarbeitern privat genutzt, kann dies zu einer betrieblichen Übung und damit zu einer Duldung durch den Arbeitgeber führen, wodurch eine private Nutzung mit den oben beschriebenen Konsequenzen dann doch erlaubt ist.
Verschiedene Landesarbeitsgerichte vertreten demgegenüber die Meinung (vgl. LAG Berlin-Brandenburg, Urteil vom 14.01.2016 – 5 Sa 657/15), dass der Arbeitgeber kein Telekommunikationsanbieter ist und dem Fernmeldegeheimnis damit nicht unterliegt. Nach dieser Rechtsansicht gelten die allgemeinen datenschutzrechtlichen Regelungen und eine Kontrolle der E-Mail-Postfächer kann auf § 26 BDSG gestützt werden. Zu beachten ist dabei allerdings, dass dann auch dessen Voraussetzungen vorliegen müssen, eine Kontrolle also nicht in jedem Fall zulässig sein wird.
Derzeit sind Faxe im Umlauf, deren Urheber das Unternehmen “DAZ Datenschutzauskunft-Zentrale Ltd.” mit Sitz auf Malta ist, in denen versucht wird, Unternehmen mit Hilfe der allgemeinen Unsicherheiten im Zusammenhang mit der DSGVO zum Abschluss eines kostenpflichtigen Abos zu bewegen.
Die Unternehmen werden aufgefordert, sich an einer “Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO” zu beteiligen. Hierzu sollen die Unternehmen ein beigefügtes Formular zum Datenschutz unterschreiben und an eine Postanschrift in Oranienburg oder per Fax an eine 00800-Nummer aus der Schweiz zu senden. Das Formular, welches sich auf die DSGVO bezieht, wird als “gebührenfrei” bezeichnet. Es beinhaltet die Aufforderung, das beigefügte Formular unterzeichnet zurückzusenden. Im Text versteckt ist allerdings die Verpflichtung einen Basisdatenschutzbeitrag in Höhe von 592,62 Euro pro Jahr zu zahlen.
Betroffene, die ein solches Fax erhalten haben, sollten dieses unbedingt ignorieren. Für den Fall, dass das Formular bereits unterschrieben und zurückgesendet wurde, sollte ein Anwalt aufgesucht werden. Auch der Thüringer Landesbeauftragte für Datenschutz warnt bereits vor der Masche.
28. September 2018
Wegen einer zunächst verschwiegenen Datenpanne aus dem Jahr 2016 muss der US-Fahrdienstvermittler Uber ein Bußgeld in Höhe von 126 Millionen Euro zahlen, wie die Generalstaatsanwälting Barbara Underwood mit einem Statement verkündete.
Am 21.11.2017 gab Uber bekannt, dass es im Jahr 2016 zu einem Hackerangriff kam, bei dem sowohl ca. 50 Millionen Kundendaten als auch sieben Millionen Daten von Uber-Fahrer von den Hackern erbeutet wurden. Das Unternehmen zahlte den Hackern damals ein Erpressungsgeld anstatt eine Meldung der Panne vorzunehmen (wir berichteten).
Jetzt kam es zu einer vergleichsweisen Einigung zwischen Uber und den zuständigen US-Behörden. Bestandteil des Vergleichs ist, das mit 148 Millionen Dollar (126 Millionen Euro), höchste Bußgeld, das jemals verhängt wurde, welches von weiteren Pflichten zur Verbesserung der Datensicherheit flankiert wird.
Das LG Würzburg hat im Rahmen eines Eilverfahrens vom 13. September 2018 (Az. 11 O 1741/18 UWG) entschieden, dass ein Verstoß gegen die DSGVO aufgrund des Gesetztes gegen den unlauteren Wettbewerb (UWG) abgemahnt werden kann.
Hierzu führte die beschlussfassende Kammer aus, dass die Regelungen der DSGVO unter die Vorschrift des § 3a UWG fallen kann, wenn es sich um eine datesnchutzrechtliche Vorgabe handelt, die auch dazu bstimmt ist, “im Interesse der Marktteilnehmer das Marktverhalten” zu regeln. Zudem muss der Verstoß geeignet sein, die Interessen von Verbrauchern und Mitbewerbern “spürbar zu beeinträchtigen”.
Im gegenständlichen Verfahren hatte ein Rechtsanwalt einen Kollegen abgemahnt, da dieser eine nicht den rechtlichen Anforderungen entsprechende Datenschutzerklärung auf seiner Website bereitgestellt hatte. Nach Auffassung des LG Würzburg ist der Inhalt der Homepage dazu geeignet, personenbezogene Daten zu verarbeiten. Über eine solche Verarbeitung muss im Rahmen der Datenschutzerklärung umfassend informiert werden. Zudem bedarf es entsprechender Sicherheitsvorkehrungen.
Der Beschluss knüpft damit an die bisherige Rechtsprechung verschiedener Land- und Oberlandesgerichte zur alten Bundesdatenschutzgesetz-Rechtsprechung an, wonach bestimmten datenschutzrechtlichen Vorschriften wettbewerbsrechtliche Bedeutung zugeschrieben wurden.
20. September 2018
Eine der wesentlichen Neuerungen ist die Einführung der sogenannten Rechenschaftspflicht: Künftig sind datenschutzrelevante Maßnahmen und Prozesse umfassend zu kontrollieren und zu dokumentieren, um die Einhaltung des Datenschutzes, anders als nach der bisherigen Rechtslage, gegenüber der Aufsichtsbehörde im Bedarfsfalle konkret nachweisen zu können. Faktisch findet auf diese Weise eine Beweislastumkehr statt, wodurch den kirchlichen Aufsichtsbehörden erstmals finanzielle Sanktionsmöglichkeiten zur Durchsetzung des Datenschutzes an die Hand gegeben werden.
In Bezug auf Sanktionsmöglichkeiten bei Datenschutzverstößen erfährt das KDG gegenüber der KDO (diese sah lediglich die Möglichkeit einer formellen Beanstandung vor) eine erhebliche Steigerung: Nach § 51 Absatz 5 KDG können Geldbußen von bis zu 500.000 € verhängt werden. Allerdings wird damit bei weitem nicht der Sanktionsrahmen der DSGVO erreicht (bis zu 20 Mio € bzw. 4 % des gesamten weltweiten Jahresumsatzes). Zudem wird gemäß § 51 Abs. 6, § 3 Abs. 1 KDG der Kreis derjenigen, gegen die Sanktionen verhängt werden können, erheblich eingeschränkt.
19. September 2018
Eine Schweizer Steuerberatungsfirma bietet eine kostenpflichtige App für die Erstellung einer Steuererklärungen an. Dazu muss der Nutzer Dokumente und Belege abfotografieren und mit der App hochladen. Alle abfotografierten Dokumente sowie die erhobenen Nutzerdaten wurden beim Cloud Anbieter Amazon Web Services (AWS) gespeichert. Durch die Speicherung in der öffentlich einsehbaren Cloud von Amazon, waren die Nutzerdaten für jeden einsehbar, der über ein Konto bei AWS verfügt. Folglich waren Steuerklärungen, Steuerbescheide, Lohnabrechnungen, Heirats- und Geburtsurkunden usw. in einem öffentlich lesbaren AWS Bucket abgelegt.
Ein Sicherheitsforscher bemerkte dieses Problem und fand zudem die per bcrypt gesicherten Passwörter der Admins heraus. Zudem waren die Chatverläufe zwischen der Steuerberaterfirma und dem Nutzer, in denen teilweise über die Steuererklärung gesprochen wurde, im Klartext gespeichert.
Der App-Entwickler hatte also nicht dafür gesorgt, dass die personenbezogenen Daten in einem gesicherten Bereich gespeichert werden.
18. September 2018
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat am 07.09.2018 auf seiner Internetpräsenz erste Bausteine aus einem Katalog von Referenzmaßnahmen veröffentlicht, die die Anwender bei der Umsetzung technischer und organisatorischer Maßnahmen nach den Vorgaben der DSGVO unterstützen sollen.
Es handelt sich dabei um den Maßnahmenkatalog zum Standard-Datenschutz-Modell (SDM). Das SDM soll Verantwortlichen und Behörden die Beurteilung erleichtern, ob eine Verarbeitung datenschutzkonform ist. Die Datenschutzkonferenz hatte bereits im April diesen Jahres die Entscheidung über die sukzessive Veröffentlichung des Katalogs getroffen.
Die Bausteine verfasste und veröffentlichte eine zuständige Unterarbeitsgruppe des Arbeitskreises “Technische und organisatorische Datenschutzfragen” der Konferenz der Datenschutzbeauftragten. Eine Abstimmung der Datenschutzkonferenz über die Bausteine steht aktuell noch aus.
Die veröffentlichten Bausteine umfassen thematisch unter anderem die Aufbewahrung, das Protokollieren, Dokumentieren und Löschen von personenbezogenen Daten sowie das Datenschutzmanagement.
Ungeachtet ihrer Veröffentlichung befinden sich die Bausteine damit weiterhin in der Erarbeitungsphase. Die Veröffentlichung in dieser Phase dient dem Zweck, die Bausteine der öffentlichen Diskussion zugänglich zu machen. Die veröffentlichten Bausteine sollen damit in der kommenden Zeit getestet und gegebenenfalls im Anschluss überarbeitet werden. Die Verfasser erhoffen sich davon insbesondere, dass die Weiterentwicklung durch umfassendes Feedback der Anwender vorangetrieben wird. Dementsprechend empfehlen die Verfasser der Bausteine den Anwendern, dass sie ihre Erfahrungen mitteilen.
Weitere Bausteine sollen in nächster Zeit veröffentlicht werden. Es bleibt abzuwarten, wie die Veröffentlichung der Bausteine aufgenommen wird.
Pages: 1 2 ... 105 106 107 108 109 ... 275 276 
