1. März 2019
Einer Pressemeldung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg vom 28. Februar 2019 zufolge hat dessen Bußgeldstelle mit Bescheid vom 25.02.2019 gegen den früheren Landesvorsitzenden der Jusos Baden-Württemberg eine Geldbuße in Höhe von 2.500,- Euro wegen eines Verstoßes gegen die Zweckbindung bei der Verarbeitung von personenbezogenen Daten verhängt. Der Datenschutz sei auch bei Parteiarbeit zu beachten.
Hintergrund für den Bußgeldbescheid war, dass der frühere Juso-Landesvorsitzende anlässlich des sog. „Kleinen Landesparteitages“ der SPD Baden-Württemberg im Vorfeld eine Liste aller 168 Delegierten des Parteitages an einen Kreis von etwa zehn Vertrauten gesendet hatte. Diese gehörten zum Teil dem Landesvorstand an, zum Teil bekleideten die Empfänger aber auch ein politisches Amt. Die Liste hatte er vom damaligen Juso-Landesgeschäftsführer erhalten, die dieser mithilfe der SPD-Mitgliederverwaltungssoftware erstellt hatte. Die Liste enthielt Vor- und Nachnamen der Delegierten, Alter, Wohnort sowie den jeweiligen Orts- und Kreisverband, dem die Delegierten angehörten. Die Empfänger sollten mithilfe der Liste mit den jeweiligen Delegierten in ihrem Kreis oder Ortsverband bzw. in ihrem Bekanntenkreis sprechen und dem Landesvorsitzenden sodann ein Stimmungsbild zu einem für den Landesparteitag eingebrachten Antrag zum Thema Wohnungsbau vermitteln.
Der damalige Juso-Landesvorsitzende habe dabei verkannt, dass die Delegiertenliste nur für die organisatorische Abwicklung des Parteitages bestimmt sei. Die Verwendung der Liste zur innerparteilichen Meinungsbildung sei deshalb zweckwidrig und unzulässig. Der frühere Juso-Landesvorsitzende habe mit dem Versenden der Liste gegen das BDSG a. F. verstoßen und in fahrlässiger Weise unbefugt personenbezogene Daten verarbeitet. Das BDSG a. F. und nicht die DSGVO sei anwendbar, weil die Versendung der Liste am 27.04.2018 und damit vor Wirksamwerden der DSGVO erfolgt sei.
Im Rahmen der Festlegung der Höhe des Bußgeldes wurde zu Gunsten des früheren Juso-Landesvorsitzenden seine aktive Mitwirkung an der Aufklärung des Sachverhalts berücksichtigt. Der früher Juso-Landesvorsitzende hatte sich selbst frühzeitig an die Aufsichtsbehörde gewandt und die Abläufe umfassend erläutert. Auch der Umstand, dass der Verstoß im Zusammenhang mit einer ehrenamtlich ausgeübten Tätigkeit und lediglich fahrlässig begangen worden sei, wurde zu seinen Gunsten berücksichtigt. Zu seinem Nachteil wurde berücksichtigt, „dass er sich und seinen Vertrauten einen politischen Vorteil gegenüber den sonstigen Beteiligten am Landesparteitag verschaffte (…)“. Weitere dem früheren Juso-Landesvorsitzenden angelastete Verstöße haben keinen Anlass für weitere Sanktionierungen geboten.
Der LfDI Baden-Württemberg Herr Dr. Stefan Brink äußerte sich zu dem Fall abschließend: „Bei der Organisation von innerparteilichen Abläufen haben die politischen Parteien Gestaltungsräume. Die interne Parteiarbeit kann jedoch kein „blinder Fleck“ für den Datenschutz sein. Auch zwischen Parteimitgliedern wirkt das Datenschutzrecht, auch parteiintern sind die Rechte und Pflichten des Datenschutzes zu beachten“. Weitere Klärungs- und Schulungsmaßnahmen hinsichtlich des Umgangs von Parteien mit Mitgliederdaten wurden vom LfDI Baden-Württemberg Dr. Brink angekündigt. Parteien sollten daher ihre bisherige Datenschutzpraxis auf etwaige Schwachstellen überprüfen, insbesondere da aktuell sowohl hinsichtlich älterer Sachverhalte nach BDSG a. F. als auch für Verstöße nach DSGVO nicht unerhebliche Bußgelder drohen, welche auch gegen Einzelpersonen verhängt werden können.
Der Landesdatenschutzbeauftragte Baden-Württemberg (LfDI BW) hat sich in seinem aktuellen Tätigkeitsbericht kritisch zum Adresshandel geäußert.
Beim Adresshandel werden Daten potenzieller Kunden durch ein Unternehmen aus allgemein zugänglichen Quellen, wie bspw. Telefonbücher, Branchenverzeichnisse, Zeitungen und Messekataloge, Teilnehmerverzeichnisse, öffentliche Register (Handelsregister, Vereinsregister) zu Werbezwecken entnommen und ggf. weiterverkauft. Das die Daten erwerbende Unternehmen nutzt diese dann bspw. für Werbeansprachen per Post. Nach der alten Rechtslage bestand ein sogenanntes “Listenprivileg” (§ 28 BDSG-alt). Hiernach durften Listendaten – z.B. Name und Anschrift – grundsätzlich auch ohne Einwilligung der Betroffenen zu Werbezwecken genutzt werden.
Dieses ausdrücklich geregelte Listenprivileg wurde im Zuge der Einführung von DSGVO und BDSG-neu nicht übernommen. Die Frage der Zulässigkeit des Adresshandels richtet sich somit nach den allgemeinen Vorschriften. Sofern keine Einwilligung im Sinne von Art. 7 DSGVO vorliegt kann der Adresshandel also nur über Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden. Hierfür müsste ein berechtigtes Interesse des Verantwortlichen oder eines Dritten gegeben sein, das im konkreten Fall im Zuge einer Abwägung nicht hinter den Interessen der betroffenen Person zurückstehen muss, weil die Interessen der betroffenen Person schutzwürdiger sind.
In seinem 34. Tätigkeitsbericht 2018 hat der LfDI BW nun konkret Stellung zu dieser Frage bezogen und das berechtigte Interesse im Rahmen des Adresshandels grundsätzlich verneint. Als problematisch erachtet der LfDI BW vor allem die entgegenstehenden Interessen der betroffenen Person und führt hierzu auf S. 118 f. des Berichts aus:
„Die Interessen oder die Grundrechte und
Grundfreiheiten der betroffenen Person dürfen nicht überwiegen; dabei sind die
vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu
dem Verantwortlichen beruhen, zu berücksichtigen. Insbesondere dann, wenn
personenbezogene Daten in Situationen verarbeitet werden, in denen eine
betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung
rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das
Interesse des Verantwortlichen überwiegen (ErwG 47).“
Der LfDI BW nimmt
beim Adresshandel an, dass
„Der Betroffene […] gerade nicht davon aus[geht], dass ein Unternehmen, mit dem er geschäftlichen Kontakt hat, ungefragt seine Kundendaten an andere, ihm völlig fremde Unternehmen verkauft oder vermietet und er von dort plötzlich unerwünschte Werbung bekommt. Zudem hat der Betroffene – […] ein sehr starkes Interesse daran, dass seine Kundendaten nicht zu einer grenzenlos gehandelten Ware verkommen, auf die er keinerlei Einfluss mehr hat. Der Betroffene hat auch aus dem Gesichtspunkt der Transparenz (Art. 5 Abs. 1 Buchstabe a DS-GVO) heraus ein überwiegendes Interesse daran, Herr (oder Frau) seiner Daten zu bleiben. Dies gilt umso mehr bei angereicherten Adressdaten, die regelmäßig ein ziemlich konkretes Persönlichkeitsprofil des Betroffenen abbilden.“
Laut LfDI BW sieht die Rechtslage auch dann nicht anders aus, wenn der Betroffene selbst seine Adressdaten veröffentlicht (bspw. im Telefonbuch), denn auch hier sei nicht davon auszugehen, dass ein Handel mit diesen Daten gewünscht sei.
Zwar ist noch offen, ob sich auch andere Aufsichtsbehörden dieser Meinung des LfDI BW anschließen werden. Um sich abzusichern, sollten Verantwortliche jedoch vorsichtshalber vor der Durchführung des Handels und Verkaufs von Adressdaten Einwilligungen der Betroffenen nach Art. 6 I lit. a), 7 DSGVO einholen.
28. Februar 2019
Eine Privatperson filmte in Lettland seine eigene Aussage im Rahmen eines Verfahrens gegen ihn und stellte diese Videoaufnahme auf Youtube. Neben der eigenen Aussage waren auch Polizeibeamte bei ihrer Arbeit zu sehen. Auf YouTube hat jeder Nutzer die Möglichkeit, die Videos online zu stellen, anzuschauen, zu beurteilen und/oder zu teilen. Für die lettische Datenschutzbehörde war das ein Verstoß gegen die Informationspflichten, die sich aus der damals geltenden Europäischen Datenschutzrichtlinie (DSRL –RL 95/46) ergaben.
Die zweite Kammer des Europäischen Gerichtshof (EuGH) entschied in ihrem Urteil vom 14. Februar 2019, dass die Videoaufzeichnung einer Person eine Verarbeitung von personenbezogenen Daten im Sinne des europäischen Datenschutzes sei. Schon die Speicherung auf der Digitalkamera stelle eine automatisierte Verarbeitung dar. Der Aufzeichner könnte nur dann rechtskonform Daten verarbeiten, wenn er im Rahmen eines gesetzlichen Erlaubnistatbestands handelt, eine Einwilligung erteilt worden ist oder das Datenschutzrecht aufgrund einer Bereichsausnahme nicht zur Anwendung kommt.
Das Gericht schloss in dem hiesigen Fall die sogenannte „Haushaltsausnahme“, welche in Art 2 Abs. 2 lit. c DSGVO geregelt ist, aus. Nach dieser Ausnahme wird verhindert, dass die freie Entfaltung der Persönlichkeit durch eine übermäßige Regulierung aufgrund des Datenschutzes gefährdet wird. Für die Annahme einer Ausnahme kommt es auf den Zweck der Datenverarbeitung an und ihre räumlichen und sozialen Aspekte. In Anlehnung daran, dass der Begriff der „journalistischen Tätigkeit“ weit ausgelegt wird, wäre es grundsätzlich möglich, auch die nationalen Regelungen zum Medienprivileg weiter zu fassen und die Privilegierung auch z.B. Bloggern als Bürgerjournalisten zu Gute kommen zu lassen. Allerdings bleibt die Abgrenzung eine Herausforderung.
27. Februar 2019
Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt vor Schadsoftware auf neu gekauften Geräten.
Fachleute des BSI hatten über den Internethändler Amazon drei Billiggeräte bestellt. Getestet wurden das Tablet Eagle 804 von Krüger&Matz, das Smartphone S8 Pro von Ulefone und das Smartphone A10 von Blackview.
Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt.
Das Bundesamt spricht von der Möglichkeit, dass aufgrund der Schadsoftware Banking-Trojaner auf den jeweiligen Geräten Kontodaten ausspionieren können.
Eine manuelle Entfernung der Schadsoftware sei aufgrund der Verankerung im internen Bereich der Firmware nicht möglich.
Nicht nachgewiesen wurde die Schadsoftware bei den Smartphones Ulefone S8 Pro und Blackview A10 in ihrem aktuellen Auslieferungszustand. Allerdings ist die Schadsoftware in früheren Firmware-Versionen enthalten, also im Softwaregerüst des Geräts.
Die Hersteller boten diese auf ihren Webseiten als einzige Variante zum Download an. Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind. Nach Angaben des BSI liegen Daten vor, die zeigen, dass über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen am Tag mit dem Server kommunizieren würden.
Die Hersteller der Geräte wurden über die Erkenntnisse vom BSI informiert.
Reagiert hat darauf der Hersteller Blackview , der am 27.02.2019 ein Firmware-Update für das Smartphone A10 bereitstellte. Das BSI hat das angebotene Update überprüft und seine Unbedenklichkeit bezüglich der Schadsoftware bestätigen können.
Amazon hat gegenüber dem BSI angegeben, die drei genannten Geräte nach der Kontaktaufnahme durch das BSI gegenwärtig aus dem Sortiment genommen zu haben.
Aus Sicht des Bundesdatenschutzbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kleber bringt die aktuelle Urheberrechtsreform auf europäischer Ebene datenschutzrechtliche Probleme mit sich.
Um die Rechte von Urhebern zu schützen, will die EU die Anbieter von gewerblichen Internet-Plattformen in die Haftung nehmen, wenn sie keine Maßnahmen ergreifen, um der Verbreitung geschützter Werke entgegenzuwirken. Eine naheliegende Möglichkeit ist es hochgeladene Dateien zu filtern.
Da kleine Plattform-Anbieter nicht die Kapazitäten hätten, um eine hohe Anzahl an Lizenzverträgen zu schließen oder sich einen eigenen sog. Uploadfilter zu programmieren, werden sie auf große IT-Unternehmen zurückgreifen. So würde heute beispielsweise bei Analysetools bereits auf Bausteine von Facebook, Google und Amazon zurückgegriffen.
Laut BfDI „entstünde so ein Oligopol weniger Anbieter von Filtertechniken, über die dann mehr oder weniger der gesamte Internetverkehr relevanter Plattformen und Dienste läuft. Welche weitreichenden Informationen diese dann dabei über alle Nutzerinnen und Nutzer erhalten, verdeutlicht unter anderem die aktuelle Berichterstattung zur Datenübermittlung von Gesundheitsapps an Facebook.“
Kelber sieht Handlungsbedarf auf Seiten der EU: „Wenn die EU der Auffassung ist, dass Plattformbetreiber auch ohne Uploadfilter ihrer neuen Verantwortung sinnvoll nachkommen können, muss sie dies klar darlegen. Ich bin insofern auf die angekündigte Handlungsempfehlung der Kommission sehr gespannt. Andernfalls müssen die Pläne aus datenschutzrechtlicher Sicht noch einmal grundlegend überarbeitet werden.“
26. Februar 2019
Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.
Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.
Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.
Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.
25. Februar 2019
Das Kammergericht Berling (KG) hat mit einem Urteil vom 27.12.2018 (23 U 196/13), entschieden, dass die von Apple im Jahr 2011 verwendete „Datenschutzrichtlinie“ teilweise rechtswidrig war. Diese – noch nicht rechtskräftige – Entscheidung veröffentlichte der klagende Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv) auf seiner Homepage.
Der vzbv betonte überdies, dass das KG festgestellt habe, dass auch ältere Klauseln zur Nutzung personenbezogener Daten die Anforderungen der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) erfüllen müssten. (Heiko Dünkel, Rechtsreferent beim vzbv in einer Mitteilung vom 22.02.2019).
Die praktische Relevanz dieser Entscheidung bleibt allerdings abzuwarten. So ist aufgrund der aktuellen medialen Präsenz datenschutzrechtlicher Themen davon auszugehen, dass viele Unternehmen ihre Datenschutzrichtlinien im Hinblick auf die Anfordernungen der DSGVO modifiziert haben.
22. Februar 2019
Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit Ulrich Kelber sieht große datenschutzrechtliche Mängel beim aktuelle Gesetzentwurf zur Änderung der Strafprozessordnung (StPO). Im Rahmen einer Anhörung im Rechtsausschuss am 20.02.2019 des Bundestages äußerte er seine Kritikpunkte in einer Stellungnahme.
Der Gesetzesentwurf enthält beispielsweise eine Regelung, die eine Datenübermittlung an den Nachrichtendienst erlaubt. Der BfDI kritisierte die Norm, weil sie zu unbestimmt sei und keine ausreichende Schwelle, wann eine Übermittlung erlaubt sein soll, enthielte. Darüber hinaus äußerte er Bedenken hinsichtlich der datenschutzrechtlichen Konformität der sog. „Mitziehautomatik“ (§ 489 StPO-Entwurf), bei der auch nach einer eigentlich beendeten „kriminellen Karriere“ auch ein leichtes Fahrlässigkeitsdelikt nach einem Verkehrsunfall alte Speicherungen mitziehen kann. Der BfDI kritisierte, dass diese Klausel zu einer unabsehbaren Speicherdauer führen würde, ohne im Einzelfall die Verhältnismäßigkeit hinreichend sicherzustellen
Erheblichen Nachbesserungsbedarf sieht der BfDI darüber hinaus bei den Regelungen zum Umgang mit Strafverfolgungsdateien. Dazu führte Ulrich Kelber aus: „Der Plan, Daten aus individuellen Strafverfahren, auf die bislang nur die mit dem Verfahren betrauten Ermittler Zugriff hatten, künftig allgemein abrufbar in den polizeilichen Informationssystemen auf Vorrat zu speichern, ist aus datenschutzrechtlicher Sicht nicht hinnehmbar. Mit dieser Vorschrift würde ein weiterer Schritt gegangen, die verfassungsrechtlich gebotenen Zweckbindungen bei der Speicherung von Daten aufzulösen. Konkret hätte ein erheblich größerer Kreis als bisher Zugang zu diesen teils sehr sensiblen Dateien. Diese betreffen nicht nur verurteilte Täter, sondern auch Verdächtige, Beschuldigte, Zeugen, Hinweisgeber und durch die Straftat geschädigte Personen. Sie können unbegrenzte Datenmengen und sehr sensible Informationen enthalten, etwa zu Opfern von Sexualstraftaten, die keinen Anlass dafür gegeben haben, dass ihre Daten in einem derart großen Maßstab abrufbar sind. Es wäre deshalb ein unbedingt zu vermeidender Fehler, diese bisherigen Spezialdateien auf breiter Ebene in die Informationssysteme der Polizeibehörden zu integrieren.“
Durch die Gesetzesänderung soll die Datenschutzrichtlinie (EU) 2016/680 für den Bereich der Strafverfolgung umgesetzt und die StPO an die Vorgaben der DSGVO angepasst werden.
21. Februar 2019
Nach der erreichten Einigkeit zwischen Bund und Ländern hinsichtlich des Digitalpakts für Schulen soll das Grundgesetz geändert werden.
Der Kernpunkt der Einigung ist, dass der Bund zukünftig die Möglichkeit hat, die Länder finanziell bei der Digitalisierung von Schulen zu unterstützen, eine gemeinsame Finanzierung der Mittel wurde aber abgelehnt. Der Bund erhält Kontrollrechte, wonach er Unterlagen der Länder über die Ausgabe und Verwendung der Bundesmittel anfordern darf.
„Finanziert werden damit etwa WLAN-Anschlüsse, die Anschaffung digitaler Lerngeräte oder entsprechender Anzeigegeräte wie ‚digitale Tafeln‘. Damit soll erreicht werden, dass schnelles Internet in allen Schulen verfügbar wird und der Einsatz digitaler Medien in die Lerninhalte integriert werden kann. Sie sollen die traditionellen Lernmethoden ergänzen, aber können sie keinesfalls ersetzen“ – teilte der Vizechef der Unionsfraktion, Andreas Jung (CDU) der FAZ mit.
Auch das Thema des Einsatzes von Schul-Clouds wird diskutiert. Dadurch soll erreicht werden, dass die zentralen Cloudlösungen die Anschaffung und Wartung von Serverstrukturen, die Auswahl und Aktualisierung der Software sowie eine grundlegende Gewährleistung des Datenschutzes übernehmen. Sollte die Bundesregierung eine bundesweit oder länderübergreifend flächendeckende Schul-Cloud-Dienste einsetzen wollen, sind vorab viele wichtige datenschutzrechtlichen Fragen zu klären. Aus datenschutzrechtlicher Sicht bringt daher der Digitalparkt eine Reihe von Nuancen, die bei der Digitalisierung von Schulen zukünftig zu beachten sind.
20. Februar 2019
Fast 95 Prozent der Unternehmen betreiben E-Mail- und Newsletter-Marketing. Die aktuelle Benchmark-Studie der Unternehmensberatung absolit hat über 5000 Top-Unternehmen im deutschsprachigen Raum untersucht und kommt zu dem Ergebnis, dass jedem 5. Unternehmen ein Bußgeld droht, weil das E-Mail- und Newsletter-Marketing nicht rechtskonform ausgestaltet ist. Besonders nachholbedürftig in Sachen Datenschutz sei der Newsletter-Versand im B2B-Bereich. Als größte Schwachstelle stellt sich dabei ein nicht DSGVO-konformer Eintragungsprozess in den Newsletter-Verteiler heraus.
Folgende Fakten lassen sich der Studie entnehmen:
- 38 Prozent der Unternehmen fragen zu viele Daten ab und ignorieren den Grundsatz der Datensparsamkeit
- mehr als 75 Prozent informieren unzureichend oder gar nicht über die Datenverarbeitung
- 20 Prozent der Unternehmen verzichten auf die Bestätigung einer Formulareintragung mittels Double-Opt-In
- knapp die Hälfte der B2B-Unternehmen (57 Prozent) haben eine rechtskonforme Anmeldung zum Newsletter
Wegen einer nicht rechtskonformen Umsetzung können gegen die Unternehmen hohe Bußgelder verhängt werden (Art. 83 DSGVO). Im schlimmsten Fall von bis zu 20 Millionen oder von bis zu vier Prozent seines gesamten weltweiten erzielten Jahresumsatzes verhängt werden.
Aus diesem Grund sollten Unternehmen folgende Punkte beim Thema Newsletter-Versand beachten:
- ausdrückliche und nachweisliche Einwilligung des Empfängers erforderlich
- idealerweise Nutzung eines Double-Opt-In-Verfahrens
- vorherige Aufklärung des Empfängers über alle Datenverarbeitungsvorgänge – Implementierung einer Checkbox mit Einwilligungserklärung im direkten Umfeld des Anmeldeformulars
- Grundsatz der Datensparsamkeit beachten – nur so viele Daten wie notwendig erheben
- umfangreiche Datenschutzhinweise mit Hinweis zum Widerrufsrecht – müssen durch einen jederzeit abrufbaren und von allen Seiten zugänglicher Link erreichbar sein
- Impressum aktuell halten
- Verzeichnis für Verarbeitungstätigkeiten anlegen
- Abschluss eines Auftragsverarbeitungsvertrages, wenn ein externer Dienstleister eingesetzt wird
In einer Handelsblatt-Umfrage, in der sich die Datenschutzbeauftragten der Länder zu diesem Thema äußerten, heißt es, dass bereits zahlreiche Bußgeldverfahren eingeleitet worden sind und zudem etliche Verwarnungen ausgesprochen wurden. Aus diesem Grund gilt nach wie vor, dass die Vorgaben der DSGVO schnellsmöglichst umgesetzt werden müssen, um Bußgelder zu vermeiden.
