2. Juli 2018
Einem Bericht des Nachrichtenmagazins “Der Spiegel” nach hat der italienische Sammelalbenhersteller Panini mit erheblichen Sicherheitsproblemen zu kämpfen: Für Unbefugte bestand die Möglichkeit der Kenntnisnahme von personenbezogenen Daten anderer Kunden.
“Mypanini” ist ein Serviceangebot des Unternehmens, welches die Herstellung und Zusendung personalisierter Klebebildchen beinhaltet. Die Fotos, welche Kunden für ihre Sammelbilder vorsehen, werden über den eigenen Konterfei hochgeladen. Bis vor kurzem war es eingeloggten Nutzern möglich, hochgeladene Bilder und personenbezogene Daten anderer Kunden einzusehen. Zu den personenbezogenen Daten der Betroffenen zählten neben dem (oftmals eigenen) Foto regelmäßig der volle Name, das Geburtsdatum sowie der Wohnort des Nutzers.
Auch wenn Giorgio Aravecchia, Paninis Direktor für Neue Medien, bereits erklärte, dass die Datenpanne umgehend durch ein Sicherheitsupdate behoben wurde, ist der Vorfall als gravierend einzustufen: Auf den für Unbefugte einsehbaren Bildern waren oftmals Kinder abgebildet, teilweise mit nacktem Oberkörper und/oder im privaten Umfeld.
Es liegt nun an Panini einen dsgvo-konformen Umgang mit den personenbezogenen Nutzerdaten sicherzustellen und in diesem Zusammenhang die geeigneten technischen und organisatorischen Maßnahmen zu treffen, um solche Datenschutzpannen präventiv auszuschließen.
29. Juni 2018
Nachdem hier schon berichtet wurde, dass die Kalifornier über ein neues Datenschutz abstimmen wollen, wurde der “California Consumer Privacy Act” gestern vom Senat und Repräsentantenhaus des US-Bundesstaates gebilligt und von Gouverneur Jerry Brown unterzeichnet. US-Medien zufolge ist die schnelle Verabschiedung des Gesetzes auf den Druck von Verbraucherschützern zurückzuführen.
Das Gesetz, welche durch die am 25. Mai 2018 wirksam gewordene EU-Datenschutzgrundverordnung inspiriert wurde, wird am 1. Januar 2020 in Kraft treten.
Durch das Gesetz erhalten die Unternehmen die Pflicht offenzulegen, welche Verbraucherdaten sie speichern. Außerdem können Kunden und Nutzer die Verwendung ihrer persönlichen Daten zu kommerziellen Zwecken untersagen. Datenschutzverstöße sollen auch finanziell bestraft werden.
Damit reagiert Kalifornien auch auf den Facebook-Skandal, der wegen seines Umgangs mit persönlichen Daten unter massivem Druck steht.
Die IT-Industrie, die vehement gegen dieses Bürgerbegehren steuerte, ist über das schnelle Gesetz erfreut, da ein Gesetz künftig leichter wieder abgeändert werden kann als ein erfolgreicher Volksentscheid.
Ob die US-Regierung auf Bundesebene neue Datenschutzvorgaben macht, ist derzeit unklar.
28. Juni 2018
Das Personal der Bundesdatenschutzbeauftragten, Andrea Voßhoff, soll aufgestockt werden.
Laut dem Handelsblatt erhält die Bundesdatenschutzbeauftragte nach dem Entwurf zur Bereinigung des Bundeshaushalts fünfzig zusätzliche Stellen. Die Kosten für die Stellen werden laut diesem Entwurf auf etwa fünf Millionen Euro geschätzt.
Der Grund für die Aufstockung soll vor allem auch mit der DSGVO in Zusammenhang stehen. Mit der DSGVO entstehen nämlich neue Aufgaben für die Bundesdatenschutzbeauftragte.
Beispielsweise werden 10 Stellen für die zentrale Anlaufstelle veranschlagt, die für die Koordinierung zwischen den deutschen Datenschutzbehörden im Rahmen der Zusammenarbeit mit anderen europäischen Datenschutzbehörden und dem europäischen Datenschutzausschuss zuständig ist. Zudem sind 15 Stellen für die datenschutzrechtliche Kontrolle von Sicherheitsbehörden und den Informationsaustausch vorgesehen. Daneben erfolgt die Aufstockung unter Anderem für Stellen im steuerlichen Datenschutz und den Bereich der Akkreditierung von Zertifizierungsstellen.
Andrea Voßhoff selbst hatte insgesamt 67 zusätzliche Stellen gefordert. Dieser Forderung wird mit einer Aufstockung um 50 Stellen zwar nicht vollkommen entsprochen, jedoch soll die Begrenzung auf 50 Stellen laut dem Handelsausschuss auch mit der Schwierigkeit der Besetzung neuer Stellen zusammenhängen.
27. Juni 2018
Das Thema Videoüberwachung kam nicht zuletzt durch den Test von Bodycams in Schleswig-Holstein wieder auf. Videokameras lassen sich in unterschiedlichen Bereichen einsetzen und sind inzwischen allgegenwärtig. Sei es an und in Gewerbegebäuden, im Einzelhandel, in Gastronomien, über mobile Überwachungskameras, bei Veranstaltungen, in Museen und natürlich im privaten Haushalt.
In der Regel geht es darum, Diebstähle, Einbrüche, Vandalismus und Gewaltverbrechen aufzuklären oder dahingehend abschreckende Wirkung zu erzeugen. Aus einem Sicherheitsbedürfnis heraus wird ihr Einsatz befürwortet.
Doch kann man verlangen, dass eine Videokamera entfernt wird?
Das LG Paderborn hat mit Urteil vom 30.11.2017 entschieden, dass es durchaus Fälle geben kann, in welchen ein Anspruch auf das Entfernen einer Videokamera besteht.
Eine Videokamera, die in Richtung eines Grundstücks des Betroffenen gerichtet ist und bei diesem dadurch das „Gefühl des Überwachtwerdens“ auslöst, verletzt dessen allgemeines Persönlichkeitsrecht. Das Gericht stützt den Anspruch dabei auf § 1004 Abs.1 Satz 2 BGB analog in Verbindung mit dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Zu Recht führt das LG Paderborn weiter aus, dass der Eingriff in das allgemeine Persönlichkeitsrecht insbesondere dann rechtswidrig und nicht von einem berechtigten Interesse an der Überwachung des eigenen Grundstücks vereinbar sei, wenn auch Bereiche Dritter betroffen sind. Es ist allenfalls die Überwachung des eigenen Grundstücks, nicht aber fremder Grundstücke möglich. Hier ist das Recht am eigenen Bild sowie das Recht auf informationelle Selbstbestimmung Dritter zu berücksichtigen.
Der Anspruch auf Unterlassen der Anfertigung von Videoaufzeichnungen kann auf Grund des Überwachungsdrucks auf den Betroffenen somit auch die Entfernung der Videokamera rechtfertigen.
Die EU-Datenschutzgrundverordnung beschäftigt derzeit auch die vielen Vereine. Um den Anforderungen der Verordnung gerecht zu werden, sollten einige Umsetzungsmaßnahmen auch in den einzelnen Vereinen erfolgen.
Neben der Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO, sollten neben einer möglichen Einwilligung, personenbezogene Daten nur verarbeitet werden, wenn eine Rechtsgrundlage hierfür gegeben ist. Bei Vereinen dürfte der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung in den meisten Fällen als Rechtsgrundlage i.S.d. Art 6 DSGVO dienen. Für einen Newsletterversand u.Ä. wäre darüber hinaus jedoch eine datenschutzkonforme Einwilligungserklärung nötig.
Die Mitglieder müssen zudem über die Datenverarbeitungsvorgänge informiert werden. Um möglichen Abmahnungen zu entgehen, sollten Vereine die Vereinswebsite prüfen und eine Datenschutzerklärung einfügen.
Es empfiehlt sich, ob rechtlich verpflichtet oder nicht, einen Datenschutzbeauftragten zu benennen, um im Verein einen Anpsprechpartner zu etablieren, der einen Überblick über die Datenschutzthemen behält.
Auch in der Fotografiebranche gab und gibt es aufgrund des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) Rechtsunsicherheiten. Hintergrund ist, dass das Anfertigen und Veröffentlichen von Bildern, auf denen Personen zu erkennen sind, eine Verarbeitungstätigkeit personenbezogener Daten im Sinne der DSGVO darstellt, für das der datenschutzrechtliche Grundsatz des Verbots mit Erlaubnisvorbehalt gilt. Dies hat zur Folge, dass insbesondere für das Veröffentlichen die Einwilligung des betroffenen Abgebildeten selbst oder eine andere Rechtsgrundlage aus der DSGVO nötig ist, um die Verarbeitung zu legitimieren. Auf der Ebene des nationalen Rechts sieht allerdings auch das Kunsturhebergesetz (KUG) für das Veröffentlichen der Fotografien einige Ausnahmetatbestände vor. So können nach § 23 KUG etwa Bildnisse aus dem Bereich der Zeitgeschichte, Bilder von Versammlungen oder solchen, auf denen Personen nur als sogenanntes Beiwerk erscheinen, veröffentlicht werden, auch wenn keine Einwilligung des Betroffenen vorlag.
Nach Inkrafttreten der DSGVO ist nun allerdings umstritten, inwiefern die Vorschriften des KUG noch Anwendung finden, da die DSGVO in der Normenhierarchie über dem KUG steht und dessen Regelungen daher grundsätzlich verdrängt (wir berichteten).
In dem Beschluss des OLG Köln vom 18.06.2018 (Az. 15 W 27/18) hat sich nun das erste Gericht mit der Frage des Konkurrenzverhältnisses beschäftigt. Das OLG Köln vertritt dabei die Ansicht, dass Art. 85 DSGVO zugunsten der Verarbeitung für journalistische Zwecke von der DSGVO abweichende nationale Rechtsvorschrift erlaubt. Von dieser Erlaubnis seien nicht nur neue, sondern auch bereits bestehende Regelungen erfasst, soweit diese sich einfügen. Dabei seien keine strengeren Maßstäbe anzusetzen, weil Datenschutzvorschriften sonst stets die journalistische Arbeit beeinträchtigen würden. Im Kern würde Art. 85 DSGVO insbesondere keine konkreten materiell-rechtlichen Vorgaben machen, sondern nur voraussetzen, dass zwischen dem Datenschutz auf der einen Seite und der Meinungs- und Kommunikationsfreiheit auf der anderen Seite ein angemessener Ausgleich sichergestellt sei. Dies hätte zur Folge, dass das KUG weiterhin gelte, da auch die Vorschriften des KUG umfangreiche Abwägungen zwischen den entgegenstehenden Interessen, im Rahmen dessen auch unionsrechtliche Grundrechtspositionen zu berücksichtigen sind, vorsehe.
Der Beschluss des OLG Köln ist allerdings insgesamt unter der Prämisse zu sehen, dass das KUG Erlaubnistatbestände ausschließlich für das Veröffentlichen der Fotos, nicht aber für das Anfertigen selbst vorsieht. Für das Fotografieren selbst gilt damit ausschließlich die DSGVO. Eine rechtliche Einordnung des Fotografierens unter der DSGVO hat kürzlich die Datenschutzbehörde Brandenburg veröffentlicht.
26. Juni 2018
Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) nun in Kraft. Seitdem sind schon erste Beschwerden bei den Aufsichtsbehörden eingegangen. Nach der DSGVO beträgt die maximale Geldbuße für Datenschutzverstöße bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Aufgrund der steigenden Angst vor Abmahnungen und entsprechenden Bußgeldern, verbieten einige Unternehmen bereits eine betriebliche Nutzung von Nachrichtendiensten. Das Unternehmen Continentale verbietet eine dienstliche Nutzung des Nachrichtendienstes WhatsApp und der Social Media App Snapchat. Hierbei sind etwa 36.000 Mitarbeiter betroffen. Das Unternehmen ruft damit das Projekt “Vision Zero für den Datenverkehr” aus. Dem Konzern ist das Risiko zu groß, durch die Nutzung von WhatsApp oder Snapchat einen Datenschutzverstoß zu begehen. Dieses Vorgehen begründen sie damit, dass durch die Nutzung der Dienste ein Zugriff auf persönliche und damit potentiell vertrauliche Daten ihrer Nutzer stattfände. Die Verantwortung zur Einhaltung der Datenschutzgesetze würde damit auf die Nutzer der Apps abgewälzt. Die daraus entstehenden Datenschutz-Risiken will das Unternehmen nicht tragen und darüber hinaus zugleich die eigenen Beschäftigten und Geschäftspartner schützen.
Dies verdeutlicht, dass die Nutzung von Social Media Apps und Nachrichtendiensten gerade im unternehmerischen Bereich viele Sorgen und Bedenken im Hinblick auf die Datenschutzgrundverordnung und die damit verbundenen Sanktionen bewirkt.
Zur Gewährleistung des Aktionsplans eHealth haben acht Industrieverbände ein Zielbild-eHealth erarbeitet.
Durch das Zielbild wollen die beteiligten Industrieverbände eine Grundlage für die Umsetzung des Aktionsplans-eHealth schaffen. Nach dem Zielbild sollen insbesondere innovative Datennutzungen gestattet werden. Dafür werden in dem Zielbild Reformansätze für den Datenschutz medizinischer Daten formuliert. Im Mittelpunkt der Reformansätze des eHealth-Zielbildes steht der Gedanke, dass die Zweckbindung für die medizinische Forschung nicht mehr gelten soll. Stattdessen sollen die Daten durch eine leistungs- und flächendeckende Netz und Kommunikationsinfrastruktur in einem offenen und gesicherten Datenraum zur Verfügung stehen, um so den Nutzen für den Patienten zu steigern. Ebenso soll die Reform das Sicherheitsniveau erhöhen. Laut dem Zielbild soll gerade der angestrebte digitale Prozess eine Steigerung der Sicherheit gegenüber analogen Dokumentationsprozessen bewirken.
Die Verbände begründen diese Reform zudem mit der wirtschaftlichen Bedeutung der Gesundheitswirtschaft mit einem Umsatz von 76,7 Milliarden Euro und über sieben Millionen Erwerbstätigen. Angesichts dieser Bedeutung solle die Gesundheitswirtschaft laut dem Zielbild durch diese Reform erhalten und gestärkt werden. Die datenschutzrechtliche Zweckbindung dürfe die Entwicklung und Anwendung von Big-Data Anwendungen und innovativem Daten-Hosting nicht beeinträchtigen. Laut dem Zielbild erfordere gerade die Entwicklung in der medizinischen Forschung auch eine Verwendung von Daten über den ursprünglichen Zweck hinaus, da in diesem Bereich oftmals zukünftige Verwendungen nicht bei Erhebung der Daten absehbar seien.
Die Verbände wollen dafür eine neue Form der Einwilligung einführen in Form von elektronischen Einwilligungsmodellen. Ungeachtet der neuen Einwilligungsmodelle soll eine patientenorientierte Versorgung weiterhin das Leitbild bleiben.
Zusätzlich sollen die Bürger durch eine bundesweite Aufklärungskampagne von den Änderungen in Kenntnis gesetzt werden, um so eine Aufklärung über die Vernetzung im Bereich der Forschung zu ermöglichen.
22. Juni 2018
Am 15.06.2018 startete ein Pilotprojekt zur polizeilichen Nutzung von Bodycams in Schleswig-Holstein. Auf dem Volksfest „Kieler Woche“ werden zum ersten Mal Bodycams von den Einsatzkräften der Landespolizei Schleswig-Holstein getestet. Die Polizeibeamten erhoffen sich dadurch einen deeskalierenden Effekt in Konfliktsituationen. Ziel ist es Aggressionen gegenüber Polizeibeamte zu reduzieren.
Die Kameras werden auf der Schulter des Polizisten getragen und zeigen im Standby-Modus auf dem kleinen Bildschirm das Geschehen vor dem Polizeibeamten. Durch das Aktivieren des Pre-Recordings werden mit Starten der Aufnahme auch die vorherigen 30 Sekunden aufgezeichnet. Der Einsatz von Bodycams ist seit dem ersten Pilotversuch in Hessen 2014 umstritten und datenschutzrechtlich problematisch. Durch die Aufnahmen wird in das Recht am eigenen Bild und das Recht am eigenen Wort als Ausprägung des allgemeinen Persönlichkeitsrechts und in das Grundrecht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG in einem erheblichen Umfang eingegriffen. Es besteht außerdem die Gefahr, dass unbeteiligte Personen aufgenommen werden. Darüber hinaus ist es datenschutzrechtlich bedenklich, dass die Aufnahmen auch zur Kontrolle der Polizeibeamten durch Vorgesetzte verwendet werden können.
Die Datenschutzbeauftragte des Landes Schleswig-Holstein Marit Hansen verlangt enge Regeln für die Benutzung der Kameras. Das Einschalten des Standby-Modus soll nur in Gefahrensituationen gestattet sein, wenn die Beamten gezielt auf eine Person oder Gruppe zugehen. Optische und akustische Signale weisen auf eine laufende Aufnahme. Es soll außerdem nur in öffentlichen Räumen, in Kneipen, Einkaufszentren, Bussen oder Bahnen aufgenommen werden dürfen, nicht aber in Privatwohnungen oder auf Demonstrationen.
Die Ergebnisse des Versuchs sollen ergebnisoffen ausgewertet werden, um über den Einsatz von Bodycams und eine noch zu schaffende gesetzliche Grundlage für ihre Verwendung zu entscheiden. Seit März 2017 ist nach § 27a Bundespolizeigesetz das Tragen von körpernahen Bild- und Tonaufzeichnungsgeräten für die Bundespolizei erlaubt. Die Bundesländer können eigene Regelungen schaffen. Der 2017 gestartete Pilotversuch in NRW wurde im Januar 2018 wegen Mängeln an den Kameras abgebrochen.
20. Juni 2018
Kalifornier erhalten bald die Möglichkeit für ein umfassendes Datenschutzrecht abzustimmen, welches viele DSGVO-Grundsätze widerspiegelt. Für Datenschutzgesetze hat Kalifornien in den USA eine Vorreiterrolle inne.
Befürworter des CCPA gaben am 3.5.2018 bekannt, dass genügend Unterschriften gesammelt wurden um am 6.11.2018 über die Gesetzesmaßnahme per Volksabstimmung abzustimmen.
Unter anderem räumt das Gesetz Verbrauchern das Recht ein auf Anfrage ähnlich wie nach Art. 15 DSGVO über Datensammlungen informiert zu werden. Das Unternehmen muss auch mitteilen an wen die Daten verkauft oder weitergegeben werden. Auch die Definition des CCPA von persönlichen Informationen (PI) ist viel umfassender als die Definition von “persönlichen Informationen” gemäß des geltenden kalifornischen Gesetzes zur Meldung bei Datenschutzverstößen.
Ein CCPA-Verstoß durch Missachtung der Datenschutzrechte des Verbrauchers oder durch einen Datenschutzverstoß führt zu einem gesetzlichen Schadensersatz, unabhängig davon, ob dem Verbraucher tatsächlich ein Geld- oder Sachschaden entstanden ist. Der gesetzliche Schadensersatz liegt zwischen US$ 1000 und US$ 3000.
Viele Technologieunternehmen, Banken, und die Automobilindustrie lehnen das Gesetz ab, da es zu weitreichend und zu teuer sei.
Es sieht so aus, als ob Datenschutz bald nicht nur in Europa eine große Rolle spielt.
Pages: 1 2 ... 111 112 113 114 115 ... 275 276 
