8. Mai 2018
Nach einem Marktforschungsbericht des Softwareherstellers SafeDK sind ca. 55 % der Apps, die im Google Play Store angeboten werden, mit den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) nicht vereinbar. Diese Erkenntnis ist prinzipiell nicht neu, denn auch mit Blick auf die noch aktuellen datenschutzrechtlichen Vorgaben ist die Situation nicht anders. Mit Geltungsbeginn der DSGVO werden allerdings deutlich gesteigerte Anforderungen an die Informationspflichten der Verantwortlichen gestellt und die Rechte betroffener Personen gestärkt. Darüber hinaus erreichen die bußgeldbewährten Sanktionen der DSGVO mit bis zu 20 Mio. Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens bzw. eines Konzerns eine neue und zudem erhebliche Dimension.
Aus Sicht des Datenschutzrechts liegt der Kern der Problematik vor allem darin, dass eine große Anzahl von Apps über Schnittstellen Zugriff auf Mikrofon, Kamera, GPS- oder ähnliche Daten hat, obwohl dies unter funktionellen Gesichtspunkten oftmals gar nicht erforderlich ist. Auf der Hand liegen daher Verstöße gegen den Zweckbindungsgrundsatz, den Grundsatz der Datenminimierung sowie die Aspekte von Privacy by Design & by Default. Entwickler und Anbieter von Apps sollten daher, insbesondere in Bezug auf die Einwilligung in die Verarbeitung personenbezogener Daten, unbedingt darauf achten, keine Daten zu erfassen, die für die Funktionen der App entbehrlich sind oder die Verarbeitung solch personenbezogener Daten zumindest freistellen bzw. eine geeignete Alternative anbieten – etwa die kostenpflichtige Nutzung der App.
Im Übrigen dürfte es aktuell noch bei vielen Apps in Folge von Verstößen gegen das Transparenzgebot bzw. die Informationspflichten nach DSGVO ebenfalls nicht selten dazu kommen, dass die Wirksamkeit einer Einwilligung in die Datenverarbeitung bezweifelt werden darf. Folglich würde eine Verarbeitung von personenbezogenen Daten ohne rechtliche Grundlage stattfinden, gleichbedeutend mit einem Verstoß gegen das Verbot mit Erlaubnisvorbehalt.
Derartige Verstöße können Haftungsansprüche begründen und, wie oben ausgeführt, zu einem empfindlichen Bußgeld führen. In der Folge empfiehlt es sich hier, aufgrund der durch die DSGVO geschaffene Erhöhung der Rechtsunsicherheit im Bereich des Datenschutzes, mit Experten zusammenzuarbeiten, um die z. T. umfangreichen und notwendigen Anpassungen in den genannten Bereichen vorzunehmen. Jedenfalls sollten die Datensätze schon bestehender Apps auf das Bestehen einer rechtmäßigen Verarbeitungsgrundlage geprüft werden und in der Entwicklung befindliche Apps überdies den Privacy by Design & by Default Ansatz berücksichtigen, sowie die Einhaltung der Informationspflichten bei erstmaliger Nutzung der App sicherstellen.
7. Mai 2018
Polizeibeamte in Niedersachen können nun mithilfe der neuen App NIMes Textnachrichten, Audio-, Bild- und Videoaufnahmen austauschen, ohne dass jemand anderes darauf Zugriff hat. Nach Auffassung des niedersächsischen Landesdatenschutzbeauftragten besteht dennoch eine Gefahr hinsichtlich des Datenschutzes, da der größte Teil der Beamten die App auf ihrem Privathandy nutzen. “Wenn der Nutzer das auf dem privaten Mobiltelefon vorhandene Betriebssystem nicht fortlaufend durch Updates zur Virenabwehr aktualisiert, wird Tür und Tor für eine Infizierung der App mit Schadsoftware geöffnet”, sagte Datenschützerin Barbara Thiel.
Damit wäre es empfehlenswert die App nur auf Diensthandys zu installieren. Innenminister Boris Pistorius ist jedoch anderer Ansicht, da NIMes getrennt vom Betriebssystem läuft und damit in einem geschlossenen Benutzerkreis.
Die App hat eine wichtige Bedeutung in der Informationssteuerung bei Einsatzkräften. So können Polizeibeamte wichtige Informationen sicherer als bei der Nutzung von WhatsApp weiterleiten.
Als Pilotprojekt wird NIMes zunächst in Celle und Hannover-Mitte, sowie in der Zentralen Polizeidirektion eingesetzt.
3. Mai 2018
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, Smartwatch und Fitnesstracker gleich zu Beginn abzusichern, damit die Sicherheit der Daten nicht zu kurz kommt.
Smartwatch und Fitnesstracker können Laufstrecken messen, den Puls kontrollieren und somit den Sportler beim Training unterstützen. Sie können aber auch ein Sicherheitsrisiko für persönliche Daten ihrer Träger sein.
Das BSI empfiehlt dabei, gleich bei der Einrichtung des Gerätes voreingestellte Passwörter zu ändern und einen Zugriffsschutz mit PIN oder Passwort festzulegen. Auch Smartphones, die mit diesen Geräten verbunden sind, sollten eine Bildschirmsperre mit Passwort oder Code haben.
Um einen sicheren Transport der Daten zwischen Wearable, Smartphone und Herstellerservern zu gewährleisten, rät das BSI zu Lösungen, die eine Transport- und eine Speicherverschlüsselung nutzen. Wie so etwas möglich ist, können Sie meist den Hinweisen in den Geschäfts- und Nutzungsbedingungen entnehmen.
Um den Kontroll-Apps der Wearables nur die nötigen Informationen zur Verfügung zu stellen, lohnt sich ein Blick auf deren Berechtigungen. Haben Sie das Betriebssystem Android, müssen Sie dazu in den Einstellung auf “Apps und Berechtigungen” gehen, im Betriebssystem iOS finden Sie dies unter “Datenschutz”. Das BSI gibt Ihre Empfehlung dahingehend ab, dass nur die absolut benötigten Berechtigungen zu gewähren sind und Foto- oder Kontaktzugriff nicht leichtfertigt aktiviert werden sollte. Da durch Software-Updates diese Berechtigungen ändern können, sollten Sie diese regelmäßig kontrollieren.
2. Mai 2018
Die Konferenz der unabängigen Datenschutzbehörden des Bundes und der Länder kritisiert das soziale Netzwerk Facebook erneut scharf. So wurde der aktuell diskutierte Datenskandal lediglich als “Spitze des Eisbergs” bezeichnet.
In einer jüngst veröffentlichten Entschließung fordern die Aufsichtsbehörden den kalifornischen Konzern daher auf, “den wahren Umgang der Öffnung der Plattform für App-Anbieter in den Jahren bis 2015” offenzulegen und “belastbare Zahlen der eingestellten Apps sowie der von dem Facebook-Login-System betroffenen Personen” zu nennen. Darüber hinaus sollten Betroffene über Rechtsverletzungen informiert werden. Dies sei erforderlich, damit die erheblichen Vorwürfe hinsichtlich mangelndem Datenschutz nicht folgenlos bleiben. So betonte die Bundesdatenschutzbeauftragte Andrea Voßhoff, dass die Vorwürfe “vermutlich nur ein kleines Puzzlestück des datenschutzrechlich problematischen Geschäftsmodells von enstprechenden Unternehmen sind.”
Die Datenschützer gehen davon aus, dass die Zahl der Online-Anwendungen, die allein das Login-System nutze, in die Zehntausende gehe. Es sei nicht auszuschließen, dass “dem Grunde nach alle Facebook-Nutzer betroffen” sein könnten.
Besonders kritisch betrachtet wird das Vorgehen des Konzerns hinsichtlich der Implementierung einer Gesichtserkennung. Durch diese Funktion kann Facebook erkannte Nutzer automatisch in Fotos markieren. Die Konferenz habe “erheblichen Zweifel” daran, ob das eingeführte Einwilligungsverfahren des Netzwerks “mit den gesetzlichen Vorgaben vereinbar ist”. “Eine unzulässige Beeinflussung des Nutzers” steht im Raum.
Im Rahmen der Konferenz appelierten die Teilnehmer an die sozialen Netzwerkbetreiber, ihre Geschäftsmodelle an das Schutzniveau der DSGVO anzupassen und so “ihrer gesellschaftlichen Verantwortung nachzukommen.”
25. April 2018
Das Landgericht Dessau-Roßlau hat entschieden (Urt. 3 O 29/17 vom 28.03.2018), dass bei einer Bestellung von Medikamenten im Internet Gesundheitsdaten auch vom Betreiber Online-Shop verarbeitet werden und dass deshalb eine ausdrückliche Einwilligungserklärung des Betroffen in die Verarbeitung notwendig ist.
Dem Urteil lag der Fall zu Grunde, dass ein Apotheker seine Ware über Amazon verkauft hat. Bei der Bestellung eines Medikaments wurden die Bestelldaten des Kunden nicht nur von der Apotheke, sondern auch von Amazon als Online-Shop-Betreiber verarbeitet.
Bei Gesundheitsdaten handelt es sich um sensible personenbezogene Daten, deren Verarbeitung grundsätzlich untersagt ist. Die Verarbeitung der Daten durch den Apotheker ist ausnahmsweise nach § 28 Abs. 7 BDSG zulässig, da er einer Geheimhaltungspflicht unterliegt. Auch der Betreiber der Handelsplattform verarbeitet die Daten um die Bestellung abzuwickeln. Im Gegensatz dazu unterliegt der Online-Shop aber keiner Verschwiegenheitspflicht. Für diese Verarbeitung greift kein Ausnahmetatbestand des § 28 BDSG, sodass die Verarbeitung der Gesundheitsdaten des Bestellers rechtswidrig ist.
Dies hat zur Folge, dass der Online-Shop-Betreiber eine Einwilligungserklärung des Kunden vor der Verarbeitung der Bestellerdaten einholen muss.
Auch nach der DSGVO ändert sich die Rechtslage ab dem 25. Mai nicht. Art. 9 Abs. 2 DSGVO sieht ebenfalls keine Ausnahme für den Betreiber der Handelsplattform vor, sodass es einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. A DSGVO bedarf.
24. April 2018
Nachdem schon das Oberverwaltungsgericht Nordrhein-Westfalen in einem Urteil die deutsche Regelung zur Vorratsdatenspeicherung für unzulässig erklärt hatte, erklärte nun auch das Verwaltungsgericht Köln in einem neuen Urteil die Vorratsdatenspeicherung für unrechtmäßig.
Damit wurde der Klage der deutschen Telekom stattgegeben, die sich weigerte den Speicherpflichten nach §§ 113a und 113b TKG nachzukommen, da diese nach ihrer Ansicht gegen europäisches Recht verstoßen.
Diese Ansicht teilte auch das Gericht, womit es sich der Rechtsprechung des Oberverwaltungsgerichts für das Land Nordrhein-Westfalen anschloss, die im Juni 2017 schon entschied, dass die den Telekommunikationsunternehmen durch § 113a Absatz 1 in Verbindung mit § 113b TKG auferlegte Pflicht zur Speicherung von Telekommunikationsverkehrsdaten mit Unionsrecht nicht vereinbar ist.
Vor allem sah das VG Köln einen Widerspruch der TKG Paragraphen zur Datenschutzrichtlinie der elektronischen Kommunikation. Weiterhin ordnen die §§ 113a und 113b TKG eine “allgemeine und unterschiedslose Vorratsdatenspeicherung an”, was europarechtlich nicht zulässig sei.
Eine Berufung gegen das Urteil vor dem OVG Münster ist noch möglich, ebenso eine Sprungrevision vor das Bundesverwaltungsgericht in Leipzig.
Das könnte zukünftig für alle Whatsapp-Nutzer unter 16 Jahren gelten, denn aus einer Twitter-Meldung des Fan-Blogs WABetaInfo geht hervor, dass der Messaging-Dienst eine Änderung seiner Nutzungsbedingungen zum 25. Mai plant.
Zum jetzigen Zeitpunkt ist ausweislich der Nutzungsbedingungen noch ein Mindestalter von 13 Jahren, bzw. dasjenige Alter erforderlich und ausreichend, welches die Nutzer in ihren Ländern dazu berechtigt, die Dienste von Whatsapp ohne Zustimmung der Eltern zu nutzen. Die bevorstehende Anhebung des Mindestalters ist wohl auf die ab Mai anzuwendende Datenschutzgrundverordnung zurückzuführen. Laut der Verordnung ist die Verarbeitung personenbezogener Daten eines Kindes nämlich erst mit Vollendung seines 16. Lebensjahres rechtens.
Die Gefahren, welche von Chat-Diensten wie Whatsapp für die Persönlichkeitsrechte Minderjähriger ausgehen, erkannte ein deutsches Gericht bereits 2016 und verurteilte einen Vater zur Löschung des Chat-Dienstes vom Handy seiner Tochter.
Auch wenn die geplante Änderung der Nutzungsbedingungen als wichtiger Schritt in Richtung eines umfassenderen Schutzes der Persönlichkeitsrechte Minderjähriger zu werten ist, könnten sich die tatsächlichen Auswirkungen dieser Regelung in überschaubaren Grenzen halten. Den Mitgliedsstaaten ist es nämlich möglich, durch Rechtsvorschriften eine niedrigere Altersgrenze festzulegen, welche allerdings nicht unter 13 Jahren liegen darf. Zudem ist unklar, ob die Änderung weltweit gelten soll, oder ob hiervon nur bestimmte Länder betroffen sein werden. Weiterhin ist fraglich, wie mit bereits registrierten Nutzern umgegangen werden soll, die unter 16 sind. Da Whatsapp selbst das Alter nicht abfragt, müsste diese Aufgabe vom App-Store übernommen werden. Auch in Anbetracht der Tatsache, dass Whatsapp für viele Kinder und Jugendliche ein unverzichtbares Medium bei der Integration darstellt bleibt abzuwarten, ob und wie sich ein neues Mindestalter praktisch wird umsetzen lassen.
23. April 2018
Axel Springer klagte vor dem Bundesgerichtshof (BGH) gegen die Kölner Firma Eyeo, der Klage erteilten die Richter des 1. Zivilsenats in Karlsruhe eine deutliche Absage.
Eyeo vertreibt den Adblocker Adblock Plus, welcher nach Ansicht des Springer Verlages gegen das Gesetz gegen unlauteren Wettbewerb verstößt. Die Klägerin wollte erreichen, dass Adblocker, wie der von Eyeo, verboten werden und der Verlag Schadensersatz wegen entgangener Werbeumsätze von Eyeo fordern kann.
Die Karlsruher Richter sahen jedoch keine Gesetzesverletzung. Zur Begründung führten sie aus, dass “Eine Verdrängungsabsicht nicht vorliegt. Die Beklagte verfolgt in erster Linie die Beförderung ihres eigenen Wettbewerbs”. Eyeo erzielt selbst nur Einnahmen, wenn auch Werbung angezeigt wird, sodass für eine Verdrängung des Werbegeschäfts nicht im Interesse der Firma liegt. Unlauterer Wettbewerb liegt nicht dadurch vor, das dass Angebot von Eyeo, bestimmte Werbung gegen Beteiligte an den erzielten Umsätzen von Werbefiltern ausnimmt.
Insbesondere gelang dem Springer Verlag nicht der Nachweis, dass Eyeo Druck auf Werbetreibende ausübt. Ein Eingriff in den Markt sei zwar zweifellos gegeben, für die Werbeblockade an sich sei aber nicht Eyeo bzw. deren Adblock Plus verantwortlich, sondern der Nutzer selbst. Ebenso konnte die Umgehung von Schutzmaßnahmen nicht hinreichend dargelegt werden.
Das Geschäftsmodell mit Adblockern kann auch nicht im Wege einer Grundrechteabwägung, wobei der Pressefreiheits des Springer Verlages der Vorrang gegeben werde, verboten werden.
Der BGH gab damit der Revision Eyeos statt und legte den Streitwert auf 2,5 Millionen Euro fest, zudem wurden die Rechtsmittel gegen das Urteil abgelehnt, sodass das Verfahren zumindest aus dem Gesichtspunkt des Wettbewerbsrechts beendet ist. Allerdings kündigte Axel Springer bereits an Verfassungsbeschwerde zum Bundesverfassungsgericht zu erheben und schließt auch eine erneute Klage wegen Verletzung des Urheberrechts nicht aus.
18. April 2018
Die gesetzlichen Vorgaben hinsichtlich der Veröffentlichung von Fotos sind immer wieder ein Thema in Unternehmen.
Stellen Sie sich Ihre letzte unternehmensinterne Veranstaltung, wie zum Beispiel eine Schulung oder Weihnachtsfeier vor, im Rahmen derer Sie fotografiert oder gefilmt wurden. Nachdem eine Bildaufnahme natürlich ein personenbezogenes Datum ist, stellt sich die Frage, ob auch nach dem Inkrafttreten der neuen DSGVO ab Mai diesen Jahres, Änderungen in diesem Bereich zu erwarten sind. Grundsätzlich hat jeder Betroffene, hier also die abgebildete Person das sog. “Recht am eigenen Bild”. Das bedeutet, dass die abgebildete Person selbst darüber entscheiden darf, ob entsprechende Foto-/ Videoaufnahmen veröffentlicht werden dürfen. Relevant sind hier die Regelungen der §§ 22, 23 des Kunsturhebergesetzes.
Bis auf wenige Ausnahmen ist zur Veröffentlichung von Aufnahmen immer eine Einwilligung des Abgebildeten erforderlich. Das Verhältnis des Kunsturhebergesetzes und des Bundesdatenschutzgesetzes (BDSG) ist schon seit Langem immer wieder Streitthema in Literatur und Rechtsprechung.
Fakt ist, dass Bilder von Personen unter den Anwendungsbereich beider Gesetze fallen.
Problematisch ist zum Einen die Form der Einwilligungserklärung und deren Widerrufsmöglichkeit. Nach dem KUG muss kein besonders Formerfordernis (z.B. Schriftform) erfüllt werden. Das BDSG hingegen normiert in § 4a Abs. 1 eine schriftliche Einwilligungserklärung des Betroffenen.
Zu thematisieren wäre auch die Widerrufsmöglichkeit der Einwilligungserklärung. Nach dem BDSG ist ein solcher Widerruf jederzeit möglich, nach dem KUG hingegen kann eine Einwilligung nur widerrufen werden, wenn die Veröffentlichung den Betroffenen in seiner Persönlichkeit empfindlich beeinträchtigt. Wann dies der Fall ist, ist auch eine Frage des Einzelfalles.
Gegenwärtig scheint die ständige Rechtsprechung des Bundesarbeitsgerichts (BAG) und der Zivilgerichte dahin zu tendierenen, dass das KUG als bereichsspezifische Regelung gegenüber dem BDSG vorrangig ist. Das Verhältnis des KUG und des BDSG wurde durch die Rechtsprechung bislang leider nicht konkretisiert. Daher bleibt abzuwarten, ob eine Konkretisierung in Anbetracht der DSGVO erfolgen werden.
Es ist künftig zu klären, ob das KUG vollständig von der DSGVO verdrängt wird. Hier ist maßgeblich, ob dem nationalen Gesetzgeber durch sog. Öffnungsklauseln spezifische Regelungen zur Veröffentlichung und Verbreitung von Foto- und Videoaufnahmen erlaubt sein werden. Eine solche Öffnungsklausel findet sich z.B. in Art. 85 Abs. 2 DSGVO.
Bis zu einer Klärung durch die Rechtsprechung besteht daher gegenwärtig noch die Frage, welche rechtlichen Vorgaben für die Veröffentlichung und Verbreitung von Bildnissen nach Inkrafttreten der DSGVO gelten sollen. Dementsprechend erwarten wir mit Spannung die diese Frage konkretisierende Rechtsprechung.
11. April 2018
Nach Einschätzung der Landesdatenschutzbeauftragten können Datenschutzverstöße mangels Personal nicht ausreichend geahndet werden. Allen 16 Behörden mangelt es an genügend Personal um der Einhaltung des Datenschutzes gerecht zu werden. Laut einer Umfrage der Zeitung “Tagesspiegel” fehlen bundesweit dafür fast 100 Beschäftigte. «Ich bezweifle stark, dass wir mit der jetzigen Ausstattung die Instrumente der DSGVO vernünftig nutzen können», sagt Marit Hansen, Landesdatenschutzbeauftragte in Schleswig-Holstein.
Es besteht die Gefahr, dass die am 25. Mai 2018 in Kraft tretenden neuen Datenschutzvorschriften nicht hinreichend durchgesetzt werden können. Das massive Stellendefizit erschwert die Ahndung von Datenschutzverstößen. Es besteht auch keine Bereitschaft in der Politik dies auszugleichen. Auch Bundesdatenschutzbeauftragte Andrea Voßhoff hat bereits auf die Belastung der Aufsichtsbehörden aufmerksam gemacht.
Mit Einführung der europäischen Datenschutzgrundverordnung werden hohe Auflagen hinsichtlich Bußgeldern eingeführt. Zur Verhängung dieser Bußgelder ist jedoch ein funktionsfähiger Aufsichtsapparat notwendig.
Pages: 1 2 ... 114 115 116 117 118 ... 275 276 
