13. Juni 2017
In den letzten Wochen wurde bekannt, dass sowohl die Supermarktkette Real als auch die Deutschen Post die Aufzeichnungen der Kameras in ihren Ladenlokalen bzw. Filialen nicht mehr nur dazu genutzt werden, um Straftaten wie Ladendiebstahl aufzuklären oder zu vermeiden, sondern vermehrt auch, um Gesichtsanalysen durchzuführen und diese letztlich für personalisierte Werbung einzusetzen, wir berichteten. Die Kameras erfassen dabei Blickkontakte mit dem Bildschirm sowie Geschlecht und ungefähres Alter des Kunden, so dass Rückschlüsse auf das Kundenverhalten gezogen werden können.
Die Aktivisten vom Verein Digitalcourage halten dieses Vorgehen für datenschutzrechtlich unzulässig und haben daher Strafanzeige gegen die beiden Unternehmen gestellt. Ihre Argumentation gründet sich vor allem auf § 6b Bundesdatenschutzgesetz (BDSG): Die von den beiden Unternehmen durchgeführte Videoüberwachung diene nicht mehr dem eigentlichen Zweck sondern werde zu Werbezwecken zweckentfremdet. Außerdem werde mit dem Text “Dieser Markt wird videoüberwacht” nicht ausreichend auf die Ausmaße der Beobachtung durch die Kameras hingewiesen.
Auch wenn die Erfolgsaussichten dieses Strafverfahrens eher gering scheinen, so wird mit dieser Aktion doch deutlich, wie befremdlich für Einige das ist, was andere als personalisierte Werbung für eine großartige Errungenschaft halten.
12. Juni 2017
Am 28.05.2018 tritt die EU-Datenschutzgrundverordnung (kurz DSGVO) offiziell in Kraft. Mit dem Inkrafttreten müssen alle Vorschriften und Maßnahmen, die die DSGVO vorschreibt, vor allem von Unternehmen eingehalten werden, um nicht Gefahr zu laufen, gegen die Verordnung zu verstoßen und hohe Bußgelder zahlen zu müssen.
Der Umstieg von den nationalen Regelungen auf die Vorschriften der DSGVO bedeutet für die Unternehmen einen erheblichen Mehraufwand, der nicht unterschätzt werden sollte. Wie eine Umfrage von TrustArc nun jedoch ergab, haben 61 Prozent der befragten Unternehmen noch nicht mit den Umsetzungsmaßnahmen, die für die DSGVO erforderlich sind, begonnen.
TrustArc hatte insgesamt 204 Beschäftigte von Unternehmen aus unterschiedlichen Branchen befragt, die die Vorschriften der DSGVO einhalten müssen. Die Unternehmen wurden in drei Kategorien, entsprechend der Anzahl ihrer Beschäftigten, unterteilt: 500-1000 Beschäftige, 1000-5000 Beschäftigte und mehr als 5000 Beschäftigte.
23 Prozent der Befragten gaben an, dass sie mit den notwendigen Umsetzungen begonnen haben, 11 Prozent, dass die Umsetzungen momentan vorangetrieben werden, während 4 Prozent sogar angaben, bereits alles Notwendige für die DSGVO getan zu haben.
Die Umfrageergebnisse geben zudem Aufschluss über die Kosten, die von den Unternehmen für die Maßnahmen einkalkuliert werden. 42 Prozent der Befragten gaben an, dass sie mit Kosten zwischen 100.000 und 500.000 $ rechnen, während 23 Prozent mit Kosten zwischen 500.000 und 1.000.000 $ und 17 Prozent mit Kosten über 1.000.000 $ rechnen.
In einem Interview mit dem Tagesspiegel am Sonntag vom 11. Juni 2017 sprach sich der Innenminister Thomas de Maizière für eine Ausweitung der digitalen Überwachungs- und Strafverfolgungsmaßnahmen aus.
Im Rahmen der bereits exitierenden Videoüberwachung in öffentlichen Bahnhöfen soll nach den Plänen des Innenministers zukünftig eine Software zur Gesichtserkennung eingesetzt werden um das erfasste Videobild mit Fotos von Terroristen, Gefährdern und Straftätern abzugleichen.
Bereits im Sommer 2017 wird die Software in einem Probelauf an einem Berliner Bahnhof mit freiwilligen Teilnehmern getestet. Bei einer zuverlässigen Erkennung hält der Innenminister eine Ausweitung auf den öffentlichen Raum für denkbar.
De Maizière hält dabei die Grundrechtseinschränkung für gering, da nach seiner Ansicht Unbeteiligte nicht erfasst würden.
Darüber hinaus spricht sich der Innenminister für einer Ausweitung der Überwachung von Messenger-Diensten aus. Entsprechend der Überwachung von analoger Kommunikation sollen die Strafverfolgungbehörden nicht nur auf die gespeicherten Daten zugreifen dürfen, sondern ebenfalls laufende Übermittlungsvorgänge “abhören”.
Die Deutsche Post testet zurzeit personalisierte Werbung.
Mit Hilfe einer Gesichtserkennungssoftware sollen die Anzeigen auf den Infodisplays in Partnerfilialen der Deutschen Post auf den Betrachter angepasst werden. Der Test läuft bereits seit Ende 2016. Über den Testlauf wird derzeit wieder gesprochen, weil die Supermarktkette Real ebenfalls zu Werbezwecken Kunden an der Kasse scannt (wir berichteten).
In 40 Partnerfilialen in Berlin und Köln läuft der Testbetrieb der Deutschen Post bereits, in Hamburg und München sollen Tests folgen. Das System erkennt durch Aufnahmen des Gesichts in kürzester Zeit, das Geschlecht und das Alter der Kunden und wie lange der Kunde auf den Bildschirm schaut. Daraus erhofft sich die Deutsche Post Rückschlüsse, um dann gezielter Werbung schalten zu können, sodass sich die Zufriedenheit der Kunden erhöht und die Deutsche Post von gezielterer Werbung profitieren kann.
Laut den Betreibern der benutzten Software sollen lediglich anonyme Metadaten der Betroffenen gespeichert werden. Die Technologie sei überhaupt nicht fähig Bilder oder Bewegtbilder zu speichern. Aus diesem Grund werden die Kunden der Partnerfilialen auch nicht explizit über die Gesichtserkennung informiert. Die Software kommt nach Aussage des Unternehmens ausschließlich an Orten zum Einsatz, die sowieso bereits als videoüberwacht gekennzeichnet sind.
Eine Gesichtserkennung durch Kameras zum Zwecke personalisierter Werbung wird grundsätzlich kritisch gesehen, wie die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen, Helga Block, über ihren Pressesprecher erklären lässt. Ebenso wird die Thematik von der Verbraucherzentrale NRW gesehen. Die Grünen sind diesbezüglich schon aktiv geworden und haben in dem neuen NRW-Landtag eine kleine Anfrage zu dem Thema gestellt, deren Antwort innerhalb der nächsten vier Wochen erwartet wird.
9. Juni 2017
Mit dem Entwurf des Datenschutz-Anpassungsgesetzes 2018 zur Datenschutz-Grundverordnung (DSGVO) wird das veraltete Melde- und Genehmigungssystem der österreichischen Datenschutzbehörden durch ein Selbstvewertungssystem abgelöst. Aus Unternehmensperspektive wird der Fokus fortan vermehrt auf datenschutzrechtlichen Compliancefragen liegen. Die Datenschutzbehörde wird dabei die Kontroll- und Sanktionsfunktion zur Einhaltung der datenschutzrechtlichen Vorgaben wahrnehmen. Besonders auffallend ist bei dem österreichischen Entwurf, im Vergleich zu anderen Unionsländern, dass ein nur zurückhaltender Gebrauch von den Öffnungsklauseln gemacht wird. Damit erfüllt der Entwurf zwar einerseits nur die Minimalvorgaben der DSGVO, andererseits ist er damit aus europäischer Perspektive durchaus zielführend, da er zu einem einheitlichen Datenschutzrecht beiträgt.
Vor dem Hintergrund der Nutzung der eingeräumten Öffnungsklauseln war insbesondere bisher unklar, inwieweit Österreich diese Gestaltungsspielräume im Hinblick auf eine Pflicht der Unternehmen zur Bestellung eines Datenschutzbeauftragten wahrnehmen wird. Mit der Vorlage des Entwurfes wird nun deutlich, dass sich daraus keine weiter reichenden Verpflichtungen zur Bestellung eines externen Datenschutzbeauftragten, als durch die DSGVO nach Maßgabe des Art. 37 Abs. 5 und 7 DSGVO ohnehin vorgegeben, ergeben. Grund dafür ist wohl auch, dass die Wirtschaftskammer sich bisher vehement dagegen ausgesprochen hatte, dass weitere Belastungen für Unternehmen geschaffen werden. Dies bedeuted jedoch nicht, dass die Unternhemen, die nach der DSGVO nicht verpflichtet sind einen Datenschutzbeauftragten zu bestellen, zukünftg nicht auch trotzdem die datenschutzrechtlichen Vorgaben einhalten müssen. Vielmehr tragen dabei die Verantwortlichen das Risiko, dass Verstöße gegen die DSGVO zu horrenden Bußgeldern führen können. Aus diesem Grund ist den Unternehmen durchaus zu raten, sich bei der unternehmensinternen Implementierung, bzw. bei der Anpassung der bestehenden datenschutzrechtlichen Standards an die DSGVO, von fachkundigen Datenschutzbeauftragten unterstützen zu lassen. Nennenswert ist in diesem Zusammenhang auch die für die Datenschutzbeauftragten geltende Verschwiegenheitspflicht und das Aussageverweigerungsrecht nach § 5 des Entwurfes. Danach ist der Datenschutzbeauftragte, wenn er nicht bereits an berufliche Geheimhaltungsregelungen gebunden ist, bei der Erfüllung seiner Aufgaben stets an Geheimhaltung und Vertraulichkeit gebunden. Soweit ihn die betroffene Person nicht davon befreit, ist er damit auch zur Verschwiegenheit über die Identität der betroffenen Person und über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet.
In § 19 des Entwurfes wird klargestellt, dass die Datenschutzbehörde Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweiten Konzernumsatzes verhängen kann. Danach können erstens Geldbußen gegen das Unternehmen selbst, als juristische Person verhängt werden, wenn eine Person, die eine Führungsposition innerhalb des Unternehmens innehat, gegen Datenschutzrecht verstößt. Zweitens können Geldbußen gegen das Unternehmen wegen Überwachungs-und Kontrollversagen verhängt werden, d.h., wenn eine Führungskraft ihren Aufsichtspflichten nicht nachgekommen ist und dadurch ein Verstoß durch eine für das Unternehmen tätige Person ermöglicht wurde. Dies ist zum Beispiel dann der Fall, wenn ein Mitarbeiter eines Unternehmens Datenschutzrecht aufgrund der fehlenden Implementierung eines Datenschutz-Kontroll- oder -Managementsystems, verletzt. Drittens kann nach § 19 des Entwurfes auch ein für den Datenschutzbereich Verantwortlicher persönlich bestraft werden. Da die DSGVO jedoch nur das Unternehmen bestrafen will, ist diese Regelung nicht datenschutzrechtskonform ausgestaltet. Die Konformität mit der DSGVO versucht der Entwurf jedoch wieder herzustellen, indem er vorsieht, dass die Datenschutzbehörde in dem Fall von einer Bestrafung der natürlichen Person absehen kann, wenn gegen das Unternehmen bereits eine Strafe verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen. Letzteres ist dann der Fall, wenn dem Beauftragten kein persönlicher Vorwurf gemacht werden kann.
Der für den Datenschutzbereich Verantwortliche ist jedoch nicht mit dem Datenschutzbeauftragten gleichzusetzen. Letzterer wird nach dem Entwurf nicht durch die Auferlegung von Geldbußen zur Verantwortung gezogen, wenn das Unternehmen gegen Datenschutzrecht verstößt.
Nach § 76 des Entwurfes wird die datenschutzbehördliche Meldepflicht von (automatisierten) Systemen durch die Pflicht zur Führung eines internen Verfahrensverzeichnisses ersetzt. Die Konsequenz daraus ist, dass das von der Datenschutzbehörde geführte Datenverarbeitungsregister (DVR) abgeschafft wird. Im DVR anhängige Registrierungsverfahren sind damit, ab dem 25.5.2018, als eingestellt zu betrachten. Nach dem Entwurf ist das datenschutzbehördliche DVR jedoch bis zum 31.12.2019 zu Archivzwecken fortzuführen. Die bis dahin mögliche Abrufbarkeit der Informationen im DVR, als auch die Tatsache, dass die in dem Verfahrensverzeichnis anzugebenden Informationen nahezu identisch mit den Informationen für die DVR-Meldungen sind, veranlassen jedoch dazu, dazu zu raten, dass Meldungen in das DVR weiterhin vorgenommen werden sollten. Vor diesem Hintergrund ist insbesondere darauf hinzuweisen, dass die Meldepflicht im DVR bis zum 24.5.2018 weiterhin besteht und daher jede nicht vorgenommene Meldung eines Systems bis zum 24.5.2017 eine Strafe in Höhe von 10.000 Euro nach sich ziehen kann.
Zusammenfassend wird der Stellenwert, den Österreich dem Datenschutz beimisst, bereits durch § 1 Abs. 1, dem österreichischen Grundrecht auf Datenschutz, als die den Entwurf anführende Regelung, deutlich hervorgehoben. Darüber hinaus wird dieser Stellenwert nun auch an anderen Stellen des weitestgehend DSGVO-konformen österreichischen Datenschutz-Anpassungsgesetz 2018, darunter u.a. mit den damit einhergehenden drakonischen Bußgeldern nochmals hervorgehoben und gesichert. Aus europäischer Perspektive erscheint dies, insbesondere auch aufgrund der minimalen Nutzung der DSGVO-Öffnungsklauseln, die zu einem unionseinheitlichen Datenschutzrecht beiträgt, begrüßenswert.
In Art. 5 DSGVO wurden folgende allgemeine Grundsätze für die Verarbeitung personenbezogener Daten normiert: „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Abs. 1 lit. a), „Zweckbindung“ (Abs. 1 lit. b), „Datenminimierung“ (Abs. 1 lit. c), „Richtigkeit“ (Abs. 1 lit. d), „Speicherbegrenzung“ (Abs. 1 lit. e) und „Integrität und Vertraulichkeit“. Als Bestandteil der Verordnung haben diese Grundsätze unmittelbare Geltung, wobei aus Art. 5 Abs. 2 DSGVO folgt, dass sie in erster Linie den Verantwortlichen binden. Die recht allgemein gehaltenen Grundsätze werden in zahlreichen weiteren Vorschriften der DSGVO wieder aufgegriffen und in diesen auch weiter konkretisiert. In diesem Zusammenhang ist insbesondere auf die Betroffenenrechte hinzuweisen, die in Art. 15 bis 22 DSGVO erfasst sind. Verstöße gegen die in Art. 5 DSGVO normierten Grundsätze können sowohl bußgeldbewährt sein, als auch sonstige Maßnahmen der Aufsichtsbehörden nach sich ziehen. Insbesondere vor dem Hintergrund dieser Sanktionsmöglichkeit kann die nur allgemeine Formulierung mitunter problematisch werden.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Abs. 1 lit. a)
Zunächst normiert Art. 5 Abs. 1 lit. a DSGVO, dass personenbezogene Daten auf rechtmäßige Art und Weise verarbeitet werden müssen. Das bedeutet, dass personenbezogene Daten grundsätzlich nur auf Basis einer Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Ermächtigung als anderweitige Rechtsgrundlage verarbeitet werden dürfen. Bei der Einwilligung ist darauf zu achten, dass die einwilligende Person vor ihrer Einwilligung ausreichend über die Verarbeitung informiert wurde. Bei der gesetzlichen Ermächtigung ist insbesondere darauf zu achten, dass die jeweilige Zweckbindung eingehalten wird.
Das Erfordernis der Verarbeitung nach „Treu und Glauben“ muss im Anwendungsbereich der DSGVO als europarechtliche Norm autonom aufgefasst und ausgelegt werden. Im Kontext der DSGVO kann das Erfordernis von „Treu und Glauben“ als eine Pflicht zur Rücksichtnahme auf die Interessen und Erwartungen der betroffenen Person aufgefasst werden. Insbesondere soll der Betroffene über diesen Grundsatz vor unklaren Verarbeitungsvorgängen geschützt und einer offenen und direkten Erhebung personenbezogener Daten bei der betroffenen Person der Vorrang eingeräumt werden.
Durch den Transparenzgrund soll eine heimliche Verarbeitung personenbezogener Daten ausgeschlossen werden. Darüber hinaus soll erreicht werden, dass die betroffene Person über die Erhebung personenbezogener Daten umfassend informiert wird. Diese Informationen müssen in leicht zugänglicher Art und Weise und in einer klaren und verständlichen Sprache abgefasst sein.
Zweckbindung (Abs. 1 lit. b)
Beim Zweckbindungsgrundsatz handelt es sich um ein Kernstück des Datenschutzrechts. Ihm liegt der Gedanke zugrunde, dass schon bereits bei der Erhebung personenbezogener Daten der jeweilige legitime Zweck der Erhebung eindeutig festgelegt sein muss und der Zweck einer möglichen weiteren Verarbeitung mit dem ursprünglichen Erhebungszweck nicht unvereinbar sein darf. Obwohl Art. 5 Abs. 1 lit. b DSGVO für die Zweckfestlegung keine spezielle Form vorsieht empfiehlt es sich, den Zweck schriftlich oder in einer anderen dauerhaften Dokumentationsform festzulegen, um eventuellen Rechenschaftspflichten nachkommen zu können. Damit die Zweckfestlegung auch eindeutig erfolgt, muss sie hinreichend bestimmt zum Ausdruck gebracht werden. Bloß allgemeine Bestimmungen wie „Werbung“ sind hierfür wohl nicht ausreichend. Legitim ist der festgelegte Zweck dann, wenn er als rechtlich zulässig anzusehen ist. Um festzustellen, ob der Zweck der Weiterverarbeitung mit dem Zweck der Erhebung vereinbar ist, kann etwa auf die Konkretisierungen in Art. 6 Abs. 4 DSGVO Bezug genommen werden. Von besonderer Bedeutung ist zusätzlich die Frage, ob die weitere Verarbeitung den Erwartungen der betroffenen Person im Erhebungszeitpunkt entspricht. Die betroffene Person muss den Zweck der Weiterverarbeitung schon in der Zweckfestlegung für die ursprüngliche Erhebung angelegt gesehen haben können. Bei Archivzwecken, Forschungszwecken und statistischen Zwecken handelt es sich gem. Art. 5 Abs. 1 lit. b Hs. 2 um privilegierte Sekundärzwecke, bei denen bei einer Weiterverarbeitung ursprünglich zu anderen Zwecken erhobener Daten die sonst notwendige Prüfung der Vereinbarkeit mit dem ursprünglichen Erhebungszweck entfällt.
Datenminimierung (Abs. 1 lit. c)
Der Grundsatz der Datenminimierung vereint drei Anforderungen. Personenbezogene Daten müssen dem Zweck nach angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Angemessenheit ist gegeben, wenn die Verarbeitung bei wertender Betrachtung in diesem Umfang verhältnismäßig ist. Bei der Erheblichkeit ist danach zu fragen, ob die Verarbeitung personenbezogener Daten dazu geeignet ist, ein legitimes Ziel zu erreichen. Bei der Begrenzung auf das notwendige Maß ist darauf abzustellen, dass keine Daten erhoben werden, die über die Erreichung des verfolgten Zwecks hinausgehen.
Richtigkeit der Datenverarbeitung (Abs. 1 lit. d)
Der Grundsatz der Richtigkeit der Datenverarbeitung bezieht sich darauf, dass die erhobenen personenbezogenen Daten sachlich richtig sein müssen. Darüber hinaus wird gefordert, dass die personenbezogenen Daten auch auf dem neuesten Stand sein müssen. Relevant wird dies insbesondere in Fällen einer weiteren Verarbeitung der erhobenen Daten. Zu beachten ist, dass der für die Erhebung Verantwortliche schon von sich aus angemessene Maßnahmen ergreifen muss, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen. Hinsichtlich der Angemessenheit der Maßnahmen kommt es jeweils auf den konkreten Einzelfall an. In den Artikeln 16 und 17 der DSGVO finden sich beispielsweise konkrete Regelungen, mit denen der Grundsatz der Richtigkeit der Datenverarbeitung verwirklicht werden soll.
Speicherbegrenzung (Abs. 1 lit. e)
Der Grundsatz der Speicherbegrenzung ist eng mit dem Zweckbindungsgrundsatz verbunden. Daten, die die Identifizierung einer Person ermöglichen, dürfen nur solange gespeichert werden, wie es für die Zweckerreichung erforderlich ist. Den Verantwortlichen trifft die Pflicht in regelmäßigen Abständen zu überprüfen, dass die von ihm gespeicherten Daten nicht unnötig lange gespeichert werden. Ausnahmen von der Speicherbegrenzung sieht Art. 5 Abs. 1 lit e Hs. 2 für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vor.
Integrität und Vertraulichkeit (Abs. 1 lit. f)
Über das Kriterium der Integrität soll die Unversehrtheit der Daten geschützt werden. Es soll sichergestellt werden, dass die erhobenen Daten weder ganz noch teilweise gelöscht oder sie auf andere Art vernichtet oder unbefugt verändert werden. Über das Kriterium der Vertraulichkeit sollen die erhobenen Daten vor einer unbefugten Kenntnisnahme und Verarbeitung geschützt werden. Die eben beschriebenen Schutzzwecke sollen durch geeignete technische und organisatorische Maßnahmen erreicht werden. Insbesondere in Art. 32 DSGVO finden sich Konkretisierungen für solche Maßnahmen.
Das Thema der nächsten Woche sind die Einwilligung und der Widerspruch nach der DSGVO.
8. Juni 2017
OneLogin wurde in der vergangenen Woche Opfer eines Hackerangriffs.
Das Unternehmen ist ein Single Sign-on-Dienst-Hersteller. Single Sign-on-Dienste werden hauptsächlich von Unternehmen eingesetzt und erleichtern deren Mitarbeitern das Einloggen. Mit Hilfe dieser Systeme müssen die Mitarbeiter sich nicht für jeden Dienst den sie nutzen einzeln anmelden, sondern sie melden sich nur einmalig an und können dann verschiedene Dienste nutzen für die sonst eine separate Passwort-Eingabe notwendig ist. Auf der einen Seite eine Arbeitsbeschleunigung, auf der anderen Seite aber auch ein beliebtes Angriffsziel für Hacker.
Wie OneLogin am 31.Mai bekannt gab kam es zu einem Angriff. Der Hacker ist über die Amazon Web Services (AWS) in die Systeme des Unternehmens eingedrungen und hatte Zugriff auf diverse Datenbanken. Der Hacker wurde sieben Stunden lang nicht bemerkt. Erst dann stellten Angestellte ungewöhnliche Datenbankaktivitäten fest und stellten den betroffenen Cloud-Server ab, wie Alvaro Hoyos, Sicherheits-Chef von OneLogin, auf dem firmeneigenen Blog bekannt gibt.
Nicht bekannt, aber auch nicht auszuschließen ist, ob der Hacker die gespeicherten Daten entschlüsseln konnte.
Kunden empfiehlt OneLogin alle Kennwörter und Zertifikate zu ändern, um sicher zu gehen, dass Außenstehende keinen Zugriff auf die Daten bekommen.
Dieser Hackerangriff ist nicht der ersten für OneLogin. Bereits im Jahre 2016 kam es zu einem Angriff auf die Systeme des Unternehmens.
7. Juni 2017
Der EU-Rat hat am vergangenen Donnerstag seinen Vorschlag für eine Verordnung für ein „Reiseinformations- und Genehmigungssystem“ veröffentlicht und so seine Zustimmung zu einem entsprechenden, von der EU-Kommission vorgeschlagenen, Meldesystem signalisiert.
Ab 2020 soll nach dem US-amerikanischen Vorbild ESTA das „EU Travel Information and Authorisation System“ (ETIAS) eingeführt werden. Über dieses sollen sich dann alle Personen, die visumfrei in die EU einreisen vorab online registrieren.
Abgefragt werden Angaben zur Identität, Reisedokument, Aufenthaltsort, Kontaktmöglichkeiten, infektiöse Krankheiten oder Ausbildung.
Der EU-Datenschutzbeauftragte Giovanni Buttarelli hatte bereits im März diesen Jahres eine Stellungnahme zu dem Verordnungsentwurf der Kommission veröffentlicht, in der er sich in vielerlei Hinsicht kritisch zu dem Vorhaben äußert. So bemängelt er unter anderem, dass die Kommission nicht die erforderliche Datenschutzfolgeabschätzung mitgeliefert hätte, zudem hält er die Art und den Umfang der abgefragten Daten für problematisch. So sei insbesondere der Zugriff auf Gesundheitsdaten von der Komission zu rechtfertigen. Darüber hinaus fehle laut Buttarelli eine Begründung für die Übermittlung der Daten an Strafverfolgungsbehörden wie Europol oder Interpol.
Der Entwurf des EU-Rats berücksichtigt die Stellungnahme sowie eine Studie, die die Effektivität und Verhältnismäßigkeit des Verordnungsentwurfs untersucht und einige der vorgesehenen Maßnahmen als unzureichend beurteilt.
Abzuwarten bleibt noch eine Stellungnahme des EU-Parlaments bevor eine einheitliche Fassung erarbeitet werden kann.
2. Juni 2017
Schon heute sammelt ein modernes Fahrzeug mehrere Gigabyte an Daten. Da die technische Entwicklung von autonom fahrenden Autos gerade erst am Anfang steht ist davon auszugehen, dass in Zukunft noch mehr Daten erhoben werden und der Datenschutz im Bereich des vernetzten Fahrens immer wichtiger werden wird. Auf Einladung der Bundesdatenschutzbeauftragten Andrea Voßhoff fand deswegen am 1. Juni ein Symposium zum Datenschutz in automatisierten Fahrzeugen statt.
Zu Beginn des Symposiums wies Voßhoff noch einmal darauf hin, dass moderne Fahrzeuge mit Hilfe von Sensoren und anderen Technologien eine erhebliche Menge von Daten sammeln würden. Beispielhaft führte Sie an, dass Kilometerstände, Reifendruck, verschiedene Füllstände oder der Gurtschlussstatus gemessen würden. Darüber hinaus würden aber auch Daten über den Fahrstil und Positionsdaten erhoben. Insbesondere durch die Verknüpfung dieser Vielzahl von Daten würden sich detaillierte Persönlichkeitsprofile der Fahrerinnen und Fahrer erstellen lassen. Gerade deswegen forderte Voßhoff, dass die Fahrerinnen und Fahrer jederzeit die volle Hoheit über die Verwendung von personalisierbaren Fahrzeugdaten haben müssten. In diesem Kontext seien datenschutzgerechte Technologien und Voreinstellungen notwendig.
Um den Datenschutz im Bereich von automatisierten Fahrzeugen zu wahren, hat die Bundesdatenschutzbeauftragte eine Liste mit 13 Empfehlungen zum automatisierten und vernetzten Fahren veröffentlicht. Aus Transparenzgründen müsse es für die Fahrerin oder den Fahrer klar erkennbar sein, welche Daten auf Basis einer gesetzlichen Regelung auch ohne ausdrückliche Einwilligung verarbeitet werden dürfen. Insbesondere im Hinblick auf das Einwilligungserfordernis stellte Voßhoff auch klar, dass eine etwa beim Kauf abgegebene pauschale Einwilligung für beliebige Verwendungszwecke nicht genüge. In der Empfehlungsliste wird unter anderem dargestellt, dass für den reinen Fahrbetrieb in der Regel keine Datenspeicherung erforderlich sei. Falls Fahrzeuge Daten untereinander austauschen müssten, müsse dieser Austausch wirksam verschlüsselt und vor einer unbefugten Nutzung oder Aufzeichnung geschützt werden. Nach dem Grundsatz „Pricavy by default“ müsse es dem Fahrzeugnutzer auch möglich sein, sein Fahrzeug so einzustellen, dass dieses möglichst wenig über sein Fahrverhalten preisgebe. Des Weiteren müsse es für die Fahrzeugnutzer unkompliziert möglich sein personenbezogene Daten zu löschen, falls eine Speicherung dieser Daten nicht gesetzlich notwendig sei.
Vor dem Hintergrund der 2018 in Kraft tretenden Datenschutzgrundverordnung ist zudem ein Beitrag des Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit, Rolf Schwartmann, zu beachten. Im Zuge des Symposiums gab dieser an, dass rund um die Privatsphäre im vernetzten Auto eine Folgenabschätzung gem. Art. 35 DSGVO generell durchzuführen sei.
Die praktische Bedeutung der Videoüberwachung, also die Beobachtung mit optisch-elektronischen Einrichtungen, hat in letzter Zeit enorm zugenommen, nicht zuletzt wegen mehr Gewalttaten, erinnert sei an die tragischen Ereignisse in Ansbach und München. Damit rückt das Thema auch vermehrt in den Fokus der Öffentlichkeit. Nun hat auch der Gesetzgeber den Weg frei gemacht für mehr Videoüberwachung. Gemeint ist das im März 2017 verabschiedete Videoüberwachungsverbesserungsgesetz, das den § 6 b BDSG wie folgt erweitert:
„1. Dem Absatz 1 wird folgender Satz 2 angefügt:
„Bei der Videoüberwachung von
- öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Ver-sammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
- Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öf-fentlichen Schienen-, Schiffs- und Busverkehrs,
gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.“
- Nach Absatz 3 Satz 1 wird folgender Satz eingefügt:
„Absatz 1 Satz 2 gilt entsprechend.“
Daraus folgt, dass § 6 b BDSG zwar wie bislang sowohl für öffentliche als auch für nicht-öffentliche Stellen gilt. Indes wird der Anwendungsbereich derart erweitert, als dass unter den Begriff „öffentlich zugänglicher Raum“ nunmehr auch öffentlich zugängliche großflächige Anlagen, also bauliche Anlagen, die nach dem erkennbaren Willen des Betreibers von jedermann betreten oder genutzt werden können und von ihrer Größe her geeignet sind, eine größere Anzahl von Menschen aufzunehmen, verstanden wird. Insbesondere sollen unter § 6 b Abs. 1 S. 2 BDSG Sport-, Versammlungs- und Vergnügungsstätten, Einkaufzentren und Parkräume, die einen entsprechenden Publikumsverkehr aufweisen, fallen. Ob es sich um eine dem öffentlichen Verkehr zugängliche Anlage handelt, ist entweder von der öffentlichen Widmung oder nach dem erkennbaren Willen des Berechtigten von jedermann genutzt oder betreten werden zu können, abhängig. Auf das Eigentum an der Anlage kommt es daher zunächst nicht an.
Vereinfacht gesagt soll durch die Erweiterung die Sicherheit der Bevölkerung erhöht werden. Dementsprechend ist bei der Abwägungsentscheidung nach § 6 b Abs. 1 Nr. 3 BDSG, also beim Einsatz von Videoüberwachung durch Private zwar die gegenläufigen Interessen des Betroffenen zu berücksichtigen, jedoch legt § 6 b Abs. 1 S. 2 BDSG fest, dass der Schutz von Leben, Gesundheit oder Freiheit als besonders wichtiges Interesse zu qualifizieren ist, mit der Konsequenz, dass diese Belange zwar ergebnisoffen, aber schon per se als gewichtiger einzustufen sind.
1 § 4 BDSG-neu
Ab Mai 2018 wird das BDSG-neu (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) gelten. In dessen § 4 gibt es eine Regelung zur Videoüberwachung. Wesentliche Änderungen zum status quo sind jedoch nicht festzustellen. Das bedeutet, dass die Norm wie bisher auch für den öffentlichen- wie nicht-öffentlichen Bereich sowie nur für öffentlich zugängliche Räume Anwendung finden wird. Abs. 2 behandelt die Kenntlichmachung der Videoüberwachung. Mit Abs. 3 der Norm wird die Zulässigkeit des weiteren Datenumgangs beschrieben. Danach muss die Verarbeitung bzw. „Speicherung oder Verwendung“ entweder für die Zweckerreichung oder falls die Daten für einen neuen Zweck verwendet werden sollen, der Abwehr von Gefahren für die staatliche und öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich sein. Die Benachrichtigungs- und Löschungspflichten werden sodann in den Abs. 4 und 5 geregelt.
2 DSGVO
Da die Datenschutz-Grundverordnung (DSGVO) keine explizite Regelung zur Videoüberwachung trifft, greift der grundsätzliche Anwendungsvorrang der DSGVO hier nicht. Dafür gibt die DSGVO in Art. 6 Abs. 2, 3 für Abs. 1 S. 1 lit. c und e den Mitgliedstaaten einen Kompetenztitel zur Ausfüllung dieser Lücke (Öffnungsklausel). Diese Lücke wurde vom deutschen Gesetzgeber mit § 4 BDSG-neu bedient.
3 Praxisbedeutung
In der Praxis muss der Rechtsanwender generell nicht nur die DSGVO, sondern eben auch beibehaltenes oder neu geregeltes nationales Datenschutzgesetz überblicken, sofern dies sein Sachverhalt voraussetzt. Neben § 4 BDSG-neu ist beispielsweise auch Art. 35 Abs. 1,3 lit. c DSGVO hier anwendbar, da die DSGVO in diesem Zusammenhang in Fällen systematischer weiträumiger Überwachung öffentlich zugänglicher Bereiche eine Datenschutz-Folgenabschätzung zwingend vorschreibt. Gleichwohl soll dies nicht vom eigentlichen Sinn und Zweck der Erweiterung des Anwendungsbereiches ablenken. Mit der Erweiterung kann bestenfalls schon im präventiven Bereich Gefahren in hoch frequentierten Räumen begegnet werden. Insofern ist die Neuregelung insgesamt begrüßenswert.
Pages: 1 2 ... 134 135 136 137 138 ... 275 276 
