Aufsichtsbehörde überprüft DSGVO Umsetzung

6. Juli 2018

Seit Ende Juni werden branchenübergreifend 20 große sowie 30 mittelgroße Unternehmen durch die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hinsichtlich der Umsetzung der DSGVO überprüft.
Hierzu wurden den insgesamt 50 Unternehmen Fragebögen übermittelt, um den aktuellen Umsetzungsstand zu ermitteln. Hierdurch möchte sich die Aufsichtsbehörde einen Überblick darüber verschaffen, wie die Gesellschaften die zweijährige Übergangszeit bis zur Geltung der DSGVO am 25. Mai genutzt haben. Das primäre Ziel der Überprüfung liegt nach Aussage der LfD in der Stärkung des Bewusstseins sowie der Sensibilisierung für den Datenschutz. Die Verhängung etwaiger Bußgelder ist darüber hinaus möglich, sofern im Rahmen der Prüfung erhebliche Verstöße gegen die DSGVO festegstellt werden sollten.
Die versendeten Fragebögen gehen speziell auf die Punkte ein, die ein Datenschutzmanagementsystem nach der DSGVO enthalten muss. Hierzu werden die Vorbereitung auf die DSGVO, das Verzeichnis von Verarbeitungstätigkeiten, die Rechtsgrundlagen der Verarbeitung personenbezogener Daten, die Sicherstellung der Betroffenenrechte, die Gewährleistung der technisch und organisatorischen Maßnahmen, die Durchführung von Datenschutz-Folgeabschätzungen, der Abschluss notwendiger Auftragsverarbeitungsverträge, die Einbindung des Datenschutzbeauftragten in die Unternehmensorganisation, die Prozesse zur Meldung von Datenschutzvorfällen sowie die Dokumentation über die Einhaltung der notwendigen Umsetzungen genauer geprüft.
Durch die Prüfung erhofft sich die Aufsichtsbehörde weitergehende Erkenntnisse darüber, in welchen Bereichen erweiterter Beratungs- und Aufklärungsbedarf besteht. Mit Hilfe dieser Erkenntnisse können sodann etwaige neue Orientierungshilfen erarbeitet werden.

„Deceived by Design“

5. Juli 2018

In einer Studie zur Umsetzung der DSGVO kritisiert die norwegische Verbraucherschutzorganisation Forbrukerrådet insbesondere Facebook und Google. Beide Plattformen sollen gezielt eine Zustimmung bezüglich der Datenverarbeitung von ihren Nutzern abdrängen.

Die Verbraucherorganisation wollte durch die Studie mit dem bezeichnenden Titel „Deceived by design“ gegen Irreführungen von Verbrauchern vorgehen. Im Mittelpunkt stand die Art und Weise wie die Zustimmung von den Nutzern der Dienste eingeholt wird. Auffällig schlecht schnitten Google und Facebook ab, auffallend positiv dagegen Microsoft mit Windows 10. Die Organisation wirft Google und Facebook vor, dass durch bestimmte Taktiken die Nutzer gedrängt werden Voreinstellungen zu belassen. Diese Vorgehensweisen werden als „Dark Patterns“ bezeichnet.

Eine der Strategien ist es eine Zustimmung zur Datenverarbeitung sehr einfach zu gestalten (z.B. durch einen einzigen Klick auf einen klar hervorgehobenen Button) und eine Ablehnung möglichst kompliziert (öffnen neuer Dialogfenster ist erforderlich, man sich immer weiter durchklicken). Des Weiteren werden die Nutzer dadurch in die Irre geführt, dass beispielsweise beim Deaktivieren der automatischen Gesichtserkennung bei Facebook darauf hingewiesen wird, dass es ein Sicherheitsrisiko darstellt. Als Grund wird angegeben, dass die Plattform ihre Nutzer so nicht vor Identitätsdieben schützen könne. Darüber hinaus wurde der Eindruck erweckt, dass eine sofortige Zustimmung zur Datenverarbeitung notwendig ist, um die Dienste weiter nutzen zu können.

Aufgrund der Erfahrung und Größe von Facebook und Google gehen die Autoren der Studie davon aus, dass bestimmte Privatsphäre-Optionen gezielt kompliziert gemacht wurden. Die Verbraucherschutzorganisation hat in einem Brief die europäische Datenschutzbehörde aufgefordert genaue Nachforschungen bezüglich der Wirksamkeit der Zustimmung anzustellen.

Nach der DSGVO ist vor der EPVO (E-Privacy-Verordnung)

3. Juli 2018

Nach der DSGVO kommt eine weitere Stufe, die einen angemessenen Verbraucherschutz sicherstellen soll. Mit der in der Vorbereitung befindlichen neuen E-Privacy-Verordnung (EPVO) soll zukünftig der Verbraucherschutz weiter verbessert werden.

Anders als die DSGVO ist die EPVO nicht für jedes Unternehmen relevant, sondern lediglich für solche, die Kommunikationsdienstleistungen anbieten wie z.B. Telefon, Internetzugang, E-Mails, Chats, Messenger-Systeme oder personalisierte Onlinewerbung.

Die mögliche Sprengkraft der EPVO wird deutlich, wenn man bedenkt, dass zahlreiche Online-Medien deshalb kostenlos angeboten werden können, weil diese sich über personalisierte Werbung finanzieren. Durch personalisierte Werbung erhoffen sich Werbungtreibende eine höhere Trefferquote mit den anvisierten Zielgruppen. Kommt es zur einer Einschränkung der Möglichkeiten zur Verfolgung des Nutzerverhaltens, kann dieses Finanzierungsmodell für viele Internetangebote in Zukunft Probleme verursachen.

Die EPVO  stellt eine Erweiterung der deutschen Regelungen des Telemediengesetzes und des Gesetzes gegen unlauteren Wettbewerb auf EU-Ebene dar. Durch das TMG und das UWG gibt es derzeit schon zahlreiche Vorschriften, die in der Online-Wirtschaft berücksichtigt werden müssen, dass für die Nutzer deutscher Websites sich nur wenig verändert.

Insbesondere dürfen Tracking-Cookies in Zukunft nicht dazu führen, dass ohne diese Cookies die Website gar nicht genutzt werden kann. Künftig muss explizit danach gefragt werden, ob Tracking-Cookies gesetzt werden dürfen. Wenn Sich der Nutzer dazu entschließt, grundsätzlich keine Tracking-Cookies zu akzeptieren, muss dieser nicht nur die Möglichkeit haben, diese Einstellung im Browser vornehmen zu können, sondern diese muss ebenfalls als Default-Einstellung im Browser vorinstalliert sein. Nicht betroffen von der EPVO sind Cookies, die in einem Online-Shop für den Warenkorb eingesetzt werden, da sonst der ganze Onlinehandel erhebliche Einschränkungen unterlegen wäre.

Diese Erneuerung bedürfen einer Umstrukturierung der Online-Medien, die sich klassischerweise über Webeeinnahmen finanziert haben. Das kann dazu führen, dass Medienangebote in Zukunft nicht mehr kostenlos abrufbar sind oder die Anbieter auf Spenden angewiesen sind.

Wie auch die DSGVO enthält die EPVO erhebliche Strafandrohungen von bis zu 20 Millionen Euro oder viert Prozent des Jahresumsatzes. Anders als bei der DSGVO, bei der es Ausnahmemöglichkeiten für Flüchtigkeitsfehler kleiner Anbieter gibt, gelten diese Strafen ohne Rücksicht für alle kommerziellen Webseiten-Anbieter unabhängig von ihrer Unternehmensgröße.

Oberlandesgericht (OLG) Karlsruhe: Facebook kann Hasskommentare löschen und die Absender sperren

In einer letztinstanzlich Entscheidung hat das OLG Karlsruhe einen Beschluss des Landgerichts Karlsruhe bestätigt. Ein facebook-Nutzer, der über den Zeitraum von drei Jahren mindestens einhundert Hasskommentare gegen Flüchtlinge auf facebook veröffentlichte, wollte die Löschung seiner Kommentare im Wege der einstweiligen Verfügung verhindern. facebook hatte den Nutzer darüber hinaus für 30 Tage gesperrt.

Der Antragsteller beteiligte sich an politischen Diskussionen unter anderem mit Sätzen wie: „Flüchtlinge: So lange internieren, bis sie freiwillig das Land verlassen!“ In seiner Begründung bezog er sich auf die grundrechtliche Geschützte Meinungsfreiheit aus Art. 5 Abs. 1 GG. Sowohl das Landgericht Karlsruhe, als auch das Oberlandesgericht haben den Antrag zurückgewiesen. Eine weitere Anfechtung der Entscheidung ist nun nicht mehr möglich.

Die Löschung der Kommentare und Sperrung des Nutzers hatte facebook mit ihren Nutzungsbedingungen, die sog. Gemeinschaftsstandards (Ziffer 12), begründet. Da es sich im Verhältnis zwischen facebook und ihren Nutzern jedoch um ein privatrechtliches Verhältnis handelt, haben die Grundrechte nur mittelbare Wirkung. Grundrecht sind grundsätzlich Abwehrrecht der Bürger gegen staatliches Handeln. Diese sei nach Ansicht des OLG Karlsruhe im vorliegenden Fall ausreichend berücksichtigt.

Seit dem 1.1.2018 sind soziale Netzwerke wegen des Netzwerkdurchsetzungsgesetzes dazu angehalten gegen Hetze innerhalb ihres Netzwerkes vorzugehen.

Kategorien: Allgemein · Social Media

Schwere Datenschutzpanne beim Online-Dienst von Panini

2. Juli 2018

Einem Bericht des Nachrichtenmagazins „Der Spiegel“ nach hat der italienische Sammelalbenhersteller Panini mit erheblichen Sicherheitsproblemen zu kämpfen: Für Unbefugte bestand die Möglichkeit der Kenntnisnahme von personenbezogenen Daten anderer Kunden.

„Mypanini“ ist ein Serviceangebot des Unternehmens, welches die Herstellung und Zusendung personalisierter Klebebildchen beinhaltet. Die Fotos, welche Kunden für ihre Sammelbilder vorsehen, werden über den eigenen Konterfei hochgeladen. Bis vor kurzem war es eingeloggten Nutzern möglich, hochgeladene Bilder und personenbezogene Daten anderer Kunden einzusehen. Zu den personenbezogenen Daten der Betroffenen zählten neben dem (oftmals eigenen) Foto regelmäßig der volle Name, das Geburtsdatum sowie der Wohnort des Nutzers.

Auch wenn Giorgio Aravecchia, Paninis Direktor für Neue Medien, bereits erklärte, dass die Datenpanne umgehend durch ein Sicherheitsupdate behoben wurde, ist der Vorfall als gravierend einzustufen: Auf den für Unbefugte einsehbaren Bildern waren oftmals Kinder abgebildet, teilweise mit nacktem Oberkörper und/oder im privaten Umfeld.

Es liegt nun an Panini einen dsgvo-konformen Umgang mit den personenbezogenen Nutzerdaten sicherzustellen und in diesem Zusammenhang die geeigneten technischen und organisatorischen Maßnahmen zu treffen, um solche Datenschutzpannen präventiv auszuschließen.

 

DSGVO als Vorbild: Kalifornien verabschiedet neues Datenschutzgesetz

29. Juni 2018

Nachdem hier schon berichtet wurde, dass die Kalifornier über ein neues Datenschutz abstimmen wollen, wurde der „California Consumer Privacy Act“ gestern vom Senat und Repräsentantenhaus des US-Bundesstaates gebilligt und von Gouverneur Jerry Brown unterzeichnet. US-Medien zufolge ist die schnelle Verabschiedung des Gesetzes auf den Druck von Verbraucherschützern zurückzuführen.

Das Gesetz, welche durch die am 25. Mai 2018 wirksam gewordene EU-Datenschutzgrundverordnung inspiriert wurde, wird am 1. Januar 2020 in Kraft treten.

Durch das Gesetz erhalten die Unternehmen die Pflicht offenzulegen, welche Verbraucherdaten sie speichern. Außerdem können Kunden und Nutzer die Verwendung ihrer persönlichen Daten zu kommerziellen Zwecken untersagen. Datenschutzverstöße sollen auch finanziell bestraft werden.

Damit reagiert Kalifornien auch auf den Facebook-Skandal, der wegen seines Umgangs mit persönlichen Daten unter massivem Druck steht.

Die IT-Industrie, die vehement gegen dieses Bürgerbegehren steuerte, ist über das schnelle Gesetz erfreut, da ein Gesetz künftig leichter wieder abgeändert werden kann als ein erfolgreicher Volksentscheid.

Ob die US-Regierung auf Bundesebene neue Datenschutzvorgaben macht, ist derzeit unklar.

 

Personalaufstockung bei der Bundesdatenschutzbeauftragten

28. Juni 2018

Das Personal der Bundesdatenschutzbeauftragten, Andrea Voßhoff, soll aufgestockt werden.

Laut dem Handelsblatt erhält die Bundesdatenschutzbeauftragte nach dem Entwurf zur Bereinigung des Bundeshaushalts fünfzig zusätzliche Stellen. Die Kosten für die Stellen werden laut diesem Entwurf auf etwa fünf Millionen Euro geschätzt.

Der Grund für die Aufstockung soll vor allem auch mit der DSGVO in Zusammenhang stehen. Mit der DSGVO entstehen nämlich neue Aufgaben für die Bundesdatenschutzbeauftragte.

Beispielsweise werden 10 Stellen für die zentrale Anlaufstelle veranschlagt, die für die Koordinierung zwischen den deutschen Datenschutzbehörden im Rahmen der Zusammenarbeit mit anderen europäischen Datenschutzbehörden und dem europäischen Datenschutzausschuss zuständig ist. Zudem sind 15 Stellen für die datenschutzrechtliche Kontrolle von Sicherheitsbehörden und den Informationsaustausch vorgesehen. Daneben erfolgt die Aufstockung unter Anderem für Stellen im steuerlichen Datenschutz und den Bereich der Akkreditierung von Zertifizierungsstellen.

Andrea Voßhoff selbst hatte insgesamt 67 zusätzliche Stellen gefordert. Dieser Forderung wird mit einer Aufstockung um 50 Stellen zwar nicht vollkommen entsprochen, jedoch soll die Begrenzung auf 50 Stellen laut dem Handelsausschuss auch mit der Schwierigkeit der Besetzung neuer Stellen zusammenhängen.

 

Videokamera entfernen?

27. Juni 2018

Das Thema Videoüberwachung kam nicht zuletzt durch den Test von Bodycams in Schleswig-Holstein wieder auf. Videokameras lassen sich in unterschiedlichen Bereichen einsetzen und sind inzwischen allgegenwärtig. Sei es an und in Gewerbegebäuden, im Einzelhandel, in Gastronomien, über mobile Überwachungskameras, bei Veranstaltungen, in Museen und natürlich im privaten Haushalt.

In der Regel geht es darum, Diebstähle, Einbrüche, Vandalismus und Gewaltverbrechen aufzuklären oder dahingehend abschreckende Wirkung zu erzeugen. Aus einem Sicherheitsbedürfnis heraus wird ihr Einsatz befürwortet.

Doch kann man verlangen, dass eine Videokamera entfernt wird?

Das LG Paderborn hat mit Urteil vom 30.11.2017 entschieden, dass es durchaus Fälle geben kann, in welchen ein Anspruch auf das Entfernen einer Videokamera besteht.

Eine Videokamera, die in Richtung eines Grundstücks des Betroffenen gerichtet ist und bei diesem dadurch das „Gefühl des Überwachtwerdens“ auslöst, verletzt dessen allgemeines Persönlichkeitsrecht. Das Gericht stützt den Anspruch dabei auf  § 1004 Abs.1 Satz 2 BGB analog in Verbindung mit dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1, Art. 1 Abs. 1 GG. Zu Recht führt das LG Paderborn weiter aus, dass der Eingriff in das allgemeine Persönlichkeitsrecht insbesondere dann rechtswidrig und nicht von einem berechtigten Interesse an der Überwachung des eigenen Grundstücks vereinbar sei, wenn auch Bereiche Dritter betroffen sind. Es ist allenfalls die Überwachung des eigenen Grundstücks, nicht aber fremder Grundstücke möglich. Hier ist das Recht am eigenen Bild sowie das Recht auf informationelle Selbstbestimmung Dritter zu berücksichtigen.

Der Anspruch auf Unterlassen der Anfertigung von Videoaufzeichnungen kann auf Grund des Überwachungsdrucks auf den Betroffenen somit auch die Entfernung der Videokamera rechtfertigen.

Kategorien: Videoüberwachung
Schlagwörter: , ,

Umgang mit der DSGVO in Vereinen

Die EU-Datenschutzgrundverordnung beschäftigt derzeit auch die vielen Vereine. Um den Anforderungen der Verordnung gerecht zu werden, sollten einige Umsetzungsmaßnahmen auch in den einzelnen Vereinen erfolgen.

Neben der Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO, sollten neben einer möglichen Einwilligung,  personenbezogene Daten nur verarbeitet werden, wenn eine Rechtsgrundlage hierfür gegeben ist. Bei Vereinen dürfte der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung in den meisten Fällen als Rechtsgrundlage i.S.d. Art 6 DSGVO dienen. Für einen Newsletterversand u.Ä. wäre darüber hinaus jedoch eine datenschutzkonforme Einwilligungserklärung nötig.

Die Mitglieder müssen zudem über die Datenverarbeitungsvorgänge informiert werden. Um möglichen Abmahnungen zu entgehen, sollten Vereine die Vereinswebsite prüfen und eine Datenschutzerklärung einfügen.

Es empfiehlt sich, ob rechtlich verpflichtet oder nicht, einen Datenschutzbeauftragten zu benennen, um im Verein einen Anpsprechpartner zu etablieren, der einen Überblick über die Datenschutzthemen behält.

Fotografieren unter der DSGVO: OLG Köln veröffentlicht ersten Beschluss

Auch in der Fotografiebranche gab und gibt es aufgrund des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) Rechtsunsicherheiten. Hintergrund ist, dass das Anfertigen und Veröffentlichen von Bildern, auf denen Personen zu erkennen sind, eine Verarbeitungstätigkeit personenbezogener Daten im Sinne der DSGVO darstellt, für das der datenschutzrechtliche Grundsatz des Verbots mit Erlaubnisvorbehalt gilt. Dies hat zur Folge, dass insbesondere für das Veröffentlichen die Einwilligung des betroffenen Abgebildeten selbst oder eine andere Rechtsgrundlage aus der DSGVO nötig ist, um die Verarbeitung zu legitimieren. Auf der Ebene des nationalen Rechts sieht allerdings auch das Kunsturhebergesetz (KUG) für das Veröffentlichen der Fotografien einige Ausnahmetatbestände vor. So können nach § 23 KUG etwa Bildnisse aus dem Bereich der Zeitgeschichte, Bilder von Versammlungen oder solchen, auf denen Personen nur als sogenanntes Beiwerk erscheinen, veröffentlicht werden, auch wenn keine Einwilligung des Betroffenen vorlag.

Nach Inkrafttreten der DSGVO ist nun allerdings umstritten, inwiefern die Vorschriften des KUG noch Anwendung finden, da die DSGVO in der Normenhierarchie über dem KUG steht und dessen Regelungen daher grundsätzlich verdrängt (wir berichteten).

In dem Beschluss des OLG Köln vom 18.06.2018 (Az. 15 W 27/18) hat sich nun das erste Gericht mit der Frage des Konkurrenzverhältnisses beschäftigt. Das OLG Köln vertritt dabei die Ansicht, dass Art. 85 DSGVO zugunsten der Verarbeitung für journalistische Zwecke von der DSGVO abweichende nationale Rechtsvorschrift erlaubt. Von dieser Erlaubnis seien nicht nur neue, sondern auch bereits bestehende Regelungen erfasst, soweit diese sich einfügen. Dabei seien keine strengeren Maßstäbe anzusetzen, weil Datenschutzvorschriften sonst stets die journalistische Arbeit beeinträchtigen würden. Im Kern würde Art. 85 DSGVO insbesondere keine konkreten materiell-rechtlichen Vorgaben machen, sondern nur voraussetzen, dass zwischen dem Datenschutz auf der einen Seite und der Meinungs- und Kommunikationsfreiheit auf der anderen Seite ein angemessener Ausgleich sichergestellt sei. Dies hätte zur Folge, dass das KUG weiterhin gelte, da auch die Vorschriften des KUG umfangreiche Abwägungen zwischen den entgegenstehenden Interessen, im Rahmen dessen auch unionsrechtliche Grundrechtspositionen zu berücksichtigen sind, vorsehe.

Der Beschluss des OLG Köln ist allerdings insgesamt unter der Prämisse zu sehen, dass das KUG Erlaubnistatbestände ausschließlich für das Veröffentlichen der Fotos, nicht aber für das Anfertigen selbst vorsieht. Für das Fotografieren selbst gilt damit ausschließlich die DSGVO. Eine rechtliche Einordnung des Fotografierens unter der DSGVO hat kürzlich die Datenschutzbehörde Brandenburg veröffentlicht.

1 2 3 4 165