4. November 2019
Heute präsentierte Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg, die Ergebnisse der diesjährigen Umfrage zum Stand der Umsetzung des Datenschutzrechts in den Gemeinden. Von den 1101 angefragten Gemeinden haben 986 (88 %) an der Online-Umfrage teilgenommen.
Im Ergebnis fühlen sich viele Gemeinden durch die DSGVO
stark belastet und es fehlen – insbesondere in kleinen Gemeinden – personelle
und zeitliche Ressourcen für den Bereich Datenschutz. In vielen Fällen sind die
Zustände im Bereich der Datensicherheit unzureichend. Die Gemeinden fordern vom
LfDI mehr Unterstützung und Beratung. Bemängelt wird außerdem die fehlende Zusammenarbeit
zwischen den Kommunen im Bereich des Datenschutzes.
In diesem Zusammenhang hat der LfDI heute eine aktuelle Broschüre zum Thema Datenschutz in den Gemeinden veröffentlicht. „Den Ruf nach mehr praxisorientierter Unterstützung habe ich gehört.“, führte Brink dazu aus. Darüber hinaus kündigte er an, dass das für nächstes Jahr geplante Schulungs- und Fortbildungszentrum beim LfDI „als Schwerpunkt auch bedarfsgerechte Veranstaltungen und Seminare für den kommunalen Bereich anbieten“ wird.
Die ausführliche Auswertung der Umfrage kann auf der Website des LfDI abgerufen werden.
30. Oktober 2019
Ob die Tätigkeit eines Steuerberaters eine Auftragsverarbeitung darstellt, hängt entscheidend von der Art der Tätigkeit ab, die er für seinen Mandanten ausführt.
Der Steuerberater ist grundsätzlich bei seiner klassischen Tätigkeit, die in den Anwendungsbereich des § 32 Abs. 2 StBerG fällt, weisungsfrei. Da für eine Auftragsverarbeitung die Weisungsgebundenheit des Auftragsverarbeiters zwingende Voraussetzung ist, ist eine solche Tätigkeit des Steuerberaters keine Auftragsverarbeitung.
Erledigt der Steuerberater aber Tätigkeiten für seinen Mandanten, die keine Entscheidungskompetenz des Steuerberaters erfordern, wie bspw. die Lohn- und Gehaltsabrechnung, liegt eine Auftragsverarbeitung vor.
Sofern es sich bei der Tätigkeit des Steuerberaters um eine Mischtätigkeit handelt, eine Tätigkeit also, die sowohl weisungsfreie als auch weisungsgebundene Elemente enthält, ist für die weisungsgebundenen Teile ein Vertrag über eine Auftragsverarbeitung abzuschließen.
Weitere Informationen finden sich auf der Internetseite des LfDI NRW.
29. Oktober 2019
Facebook plant künftig auch Gesundheitsdaten seiner Nutzer zu sammeln.
Die neue Funktion soll Nutzern eine bessere Kontrolle über ihre Gesundheit bieten, heißt es in einem Blogbeitrag von Facebook.
Nutzer geben Facebook ihre sensiblen Daten preis und erhalten im Gegenzug die Möglichkeit, über die Gesundheitsfunktion nach einem Arzt zu suchen oder Erinnerungen für Ihre zukünftigen Untersuchungen zu erstellen und diese als erledigt zu markieren. Facebook erhält dabei keinen Zugriff auf die Ergebisse der Untersuchung.
Zu den Daten, die Facebook für diese Funktion sammlt, gehören Alter und Geschlecht, der aktuelle Wohnort und wahlweise der genaue Standort. Basierend auf den Angaben zu Alter und Geschlecht werden dem Nutzer Untersuchungen vorgeschlagen, die von Gesundheitsorganisationen empfohlen werden.
Es werden keine Daten aus der Funktion an Drittanbieter weitergegeben. Ebensowenig wird Werbung auf Basis der Daten aus der Gesundheitsfunktion angezeigt. Dies gilt allerdings nur, solange der Nutzer nicht auf einen vorgeschlagenen Link zu einem Arzt oder einer anderen Gesundheitsorganisation klickt, denn diese Information wird für Werbezwecke genutzt.
Die Gesundheitsfunktion wird erstmal nur in den USA verfügbar sein. Facebook macht keine Angaben dazu, ob das Angebot für Europa geplant wird.
28. Oktober 2019
Das Gesetz soll die Sicherheit und Qualität von Implantationen verbessern. Abstriche werden beim Datenschutz gemacht. Das Gesetz enthält eine Beschränkung der Rechte der betroffenen Patientinnen und Patienten.
Der Deutsche Bundestag hat am 26. September 2019 in 2./3. Lesung das „Gesetz zur Errichtung eines Implantateregisters Deutschland und zu weiteren Änderungen des Fünften Buches Sozialgesetzbuch“ (Implantateregister-Errichtungsgesetz, EIRD) beschlossen. Es soll am 1. Januar 2020 in Kraft treten
Damit die Aussagefähigkeit des Registers gewährleistet werden könne, ist die Meldung an das Register für Gesundheitseinrichtungen, gesetzliche und private Krankenversicherungen und Patienten verpflichtend. Dadurch ist das Recht auf Widerspruch gegen die Datenverarbeitung, welches dem Patienten eigentlich nach Art. 21 DSGVO zusteht, ausgeschlossen. Ebenso verhält es sich mit dem Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, dieses wird ebenfalls durch den § 26 EIRD ausgeschlossen. Und das, obwohl es sich bei den Patientendaten um besonders sensible Daten im Sinne des Art. 9 DSGVO handelt, welche besonders schutzwürdig sind.
Die Registerstelle für die zentrale Datensammlung wird beim Deutschen Institut für Medizinische Dokumentation und Information (DIMDI) errichtet.
25. Oktober 2019
In unserem letzten Beitrag zu datenschutzrechtlichen Sanktionen stellen wir heute die Situation vor und nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) gegenüber. Hierdurch wird insbesondere deutlich, warum die DSGVO im Ergebnis derart große Wellen geschlagen hat.
Strafhöhe unter der Datenschutzrichtlinie
Insgesamt divergierte die potentielle Strafhöhe vor der DSGVO. So war in Österreich ein Bußgeld von lediglich 25.000 € möglich, wohingegen in Frankreich bis zu 150.000 € und in Spanien sogar Bußgelder von bis zu 600.000 € denkbar waren.
Im Vergleich dazu sah § 43 Abs. 3 BDSG a.F. eine Geldbuße in Höhe von maximal 300.000 € vor. Darüber hinausgehende Bußgelder setzten voraus, dass der Verantwortliche einen wirtschaftlichen Vorteil durch den Datenschutzverstoß erlangte.
Drastische Erhöhung unter der DSGVO
Im Vergleich dazu können Aufsichtsbehörden unter der DSGVO Geldbußen in Höhe von 20 000 000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes verhängen.
Die Aussicht auf Strafen in dieser Größenordnung führten vor allem bei Unternehmen zu einer Ablehnung gegen die Einführung der DSGVO.
Gut eineinhalb Jahre nach Einführung der DSGVO lässt sich allerdings festhalten, wie auch in den letzten Wochen im Rahmen dieser Themenreihe dargestellt, dass die erwarteten Millionen-Bußgelder bislang nahezu ausgeblieben sind.
Abschließende Worte
Im Rahmen dieser Themenreihe haben wir datenschutzrechtliche Sanktionen aus diversen Perspektiven dargestellt. Resümierend lässt sich sagen, dass dieser Themenbereich durch die DSGVO erheblich an Dynamik gewonnen hat. Allerdings sind Strafen bisweilen wenig bis gar nicht antizipierbar, was zu einer Unsicherheit führt, respektive führen könnte. Hier könnte der künftige „Bußgeldkatalog“ helfen.
Abschließend möchten wir Sie noch einmal herzlich zum datenschutzticker.live am 30.10.2019 einladen. Im Rahmen dieser (kostenlosen) Veranstaltung wird es unter anderem eine Podiumsdiskussion geben. Diesebzüglich möchten wir Ihnen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
24. Oktober 2019
Die spanische Datenschutzbehörde verhängte ein Bußgeld von 30.000 Euro wegen rechtswidriger Cookie-Policy auf der Webseite von Vueling Airlines. Besucher der Webseite des spanischen Unternehmens konnten keine Einstellungen zu den Cookies vornehmen.
Das Unternehmen nutzt Cookies auf der Website und informiert die Webseitenbesucher in seiner Cookie-Policy über die Cookies selbst und über die Art der Datenverarbeitung mittels beacons und Pixel Tags. Es wird auch mitgeteilt, dass Dritte auf diese Cookies zugreifen können. Das Unternehmen weist jedoch darauf hin, dass die Nutzer den Browser so konfigurieren können, dass er entweder standardmäßig alle Cookies akzeptiert, ablehnt oder eine Benachrichtigung über den Empfang jedes einzelnen Cookies auf dem Bildschirm anzeigt. Bei der letzten Option entscheidet der Nutzer über die Speicherung des einzelnen Cookies.
Nach Ansicht
der spanischen Aufsichtsbehörde stellt das Unternehmen kein Managementsystem
oder keine Cookie- Konfigurationsanzeige zur
Verfügung, die es dem Nutzer ermöglicht, einzelne
Cookies zu deaktivieren. Um die Auswahl der Cookies zu ermöglichen, müsste der
Banner eine Schaltfläche beinhalten, mit dem der Nutzer alle Cookies ablehnen
oder aktivieren, oder nur einzelne Cookies zulassen kann. Aktuell gibt es nur
die Möglichkeit, die Cookies generell zuzulassen und auf der Seite
weiterzusurfen.
Das Bußgeld
von 30.000 Euro wurde von der spanischen Datenschutzbehörde aufgrund eines
Verstoßes gegen § 22 Abs. 2 des nationalen spanischen
E-Commerce-Gesetzes (Spanish Law on Information Society Services and Electronic
Commerce) verhängt. Gemäß § 22 Abs. 2 dieses Gesetzes sind die Webseitenbetreiber
in Spanien verpflichtet, die Nutzer der Webseite über die Speicherung von Daten
zu informieren und ihnen die Möglichkeit bereitzustellen, auf einfache Weise kostenlos
die weitere Verarbeitung ihrer Daten zu untersagen.
In einer breit angelegten Studie des britischen Unternehmens Comparitech wurden datenschutzrechtliche Standards in 47 Ländern verglichen. Anhand von festgelegten Kriterien wurde bewertet, inwiefern die jeweilige Regierung die Privatsphäre der Bürger schützt.
In dem Länderranking wurden Noten zwischen 1 (endemic surveillence) und 5 (upholding privacy standards on a consistent basis) vergeben. Die Autoren berechneten die Gesamtnote aus dem Mittelwert der Kategorienoten. Am besten schnitt Irland mit einem Score von 3,2 (adequate safegeuards) ab, dicht gefolgt von Dänemark, Frankreich, Norwegen und Portugal (3,1 – adequate safegeuards). Das Schlusslicht bilden Indien, Russland (2,4 und 2,1 – systematic faillure to maintain safeguards) und China mit 1,8 (extensive surveillance).
Deutschland befindet sich im unteren Mittelfeld mit 2,8 Punkten (some safeguards/ weakened protection). Unter den EU-Mitgliedsstaaten landete Deutschland sogar auf dem viertletzten Platz. Als Gründe werden unter anderem die Verarbeitung von biometrischen Daten im Personalausweis und die Erlaubnis zur Videoüberwachung mit Gesichtserkennung genannt.
Comparitech versteht sich selbst als einen Dienstleister, der seit 2015 auf seiner Website Verbrauchern Informationen zu Technik und IT-Themen zur Verfügung stellt.
23. Oktober 2019
Im Sommer 2016 trat der EU-US-Privacy Shield in Kraft durch den Standards für den Umgang mit europäischen Daten und Informationen sowie die Weiterleitung von Daten aus den USA festgelegt wurde. Bis heute nutzen ca. 500 Unternehmen auf beiden Seiten diesen Rechtsrahmen für internationale Geschäfte.
Die Auswirkung des Abkommens wird von der EU-Kommission als positiv beschrieben, sodass man von großen Fortschritten in der Umsetzung des Abkommens spricht. Der jährliche Bericht der Brüssler Behörde kritisiert zwar, dass das Aufnahmeverfahren von Unternehmen in den „Privacy Shield“ zu langwierig sei und in Bezug auf das Verfahren nachgebessert werden sollte, bestätigt jedoch außerdem, dass das Datenschutz-Niveau der USA weiterhin angemessen ist. Seit 2018 gibt es beispielsweise monatliche Stichproben bei Unternehmen der USA um die Einhaltung des Abkommens zu überprüfen außerdem seien alle Vakanzen der amerikanischen Behörde für Datenschutz und bürgerliche Freiheit besetzt worden.
Daten- und Verbraucherschützer bemängeln den Smart Speaker „Hallo Magenta“ von der Telekom. Der Hamburger Datenschutzbeauftragte Johannes Caspar moniert im Einzelnen, dass sich die Telekom entgegen ihres Werbeversprechens, die Verarbeitung der Nutzerdaten erfolge ausschließlich innerhalb der Europäischen Union, in der Datenschutzerklärung das Recht einräumt, die Daten auch von Dienstleistern außerhalb der EU auswerten zu lassen.
Überdies sei entgegen der Auffassung der Telekom eine informierte Einwilligung nach dem Opt-In Prinzip erforderlich. „Mit der Erfüllung eines Vertrags zu argumentieren ist problematisch, da die Vertragserfüllung gegenüber dem Kunden eben nicht die manuelle Auswertung von dessen Sprachnachrichten erfordert“, so der Hamburger Datenschutzbeauftragte.
Seiner Ansicht nach müssen die Nutzer dieses Sprachassistenten transparent darüber informiert werden, dass die Sprachdaten gespeichert und ausgewertet würden und dass ein „nicht unerhebliches Risiko von Fehlaktivierungen in seinem Umfeld“ bestehe.
Auch Vebraucherschützer Romberg bemängelt an dem neuen Smart Speaker: „Nach den zahlreichen Skandalen und den mangelhaften Informationen anderer Anbieter von smarten Assistenten hätte die Telekom hier mit besserem Beispiel vorangehen können und ein Opt-in für die Analyse der Sprachbefehle einschalten können.“
Um Datenschutz als Wettbewerbvorteil nutzen zu können, muss die Telekom noch etwas nachbessern.
18. Oktober 2019
In den vergangenen Wochen haben wir Geldbußen sowohl durch deutsche Behörden als auch europaweit berichtet und diese gegenübergestellt. In dem Beitrag dieser Woche thematisieren wir die Höhe der jeweils ausgesprochenen Strafen.
Strafhöhe in Deutschland, Frankreich und dem Vereinigten Königreich
Wie in der vergangenen Woche bereits herausgearbeitet wurde, fällt die Strafhöhe in Deutschland, im Vergleich zu den drei wohl bekanntesten Sanktionen des CNIL gegen Google (€ 50 Millionen) und des ICO gegen Marriott International (€ 110 Millionen) bzw. British Airways (€ 204 Millionen), deutlich ab. Die höchste Strafe die in Deutschland verhangen wurde waren € 200.000. Daraus kann allerdings nicht der Schluss gezogen werden, dass deutsche Aufsichtsbehörden im Vergleich zu denen aus Frankreich und dem Vereinigten Königreich weniger streng wären. Bei der Verhängung von Strafen ist immer zu berücksichtigen, dass in Art. 83 DSGVO festgelegt wird, dass die Höhe der Geldbuße auf € 20 Millionen gedeckt ist oder im Fall eines Unternehmens auf bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Folglich muss die Strafhöhe bei Unternehmen immer ins Verhältnis zum gesamten weltweit erzielten Jahresumsatz gesetzt werden. Demensprechend ist es nur denklogisch, dass Strafen gegen weltweit agierende Konzerne erheblich höher sind. Dies resultiert bereits aus dem deutlich höheren Jahresumsatz im Vergleich zu Unternehmen kleinerer und mittlerer Größe.
Strafhöhe im Rest Europas
Dieser Schluss wird durch den Vergleich mit dem Rest Europas gestützt.
Auch die verhängten Strafen in den restlichen europäischen Ländern sind niedriger als in Frankreich und dem Vereinigten Königreich und eher auf dem Niveau der Strafen in Deutschland.
Abgesehen von den bereits angesprochenen Sanktionen liegt die höchste Sanktion für den Rest Europas bei € 2,6 Millionen. Diese wurde in Bulgarien gegen die nationale Finanzbehörde ausgesprochen, was insofern auffällig ist, dass bislang deutlich weniger Strafen gegen Behörden als gegen Unternehmen verhängt wurden. Die nächsthöchste Strafe (€ 644,780) wurde in Polen gegen ein Unternehmen verhängt. Abschließend wurden auch die der Höhe nach folgenden Geldbußen wurden gegen Unternehmen ausgesprochen.
Schlussfolgerung
Die Höhe der in Deutschland verhängten Strafen liegt europaweit im Mittelfeld. Die aufsehenerregenden Ausreißer nach oben sind dem hohen weltweiten Jahresumsatz des jeweiligen Unternehmens geschuldet und nicht der strikteren Anwendung der DSGVO in Frankreich und dem Vereinigten Königreich.
In der nächsten Woche endet die Themenreihe zu datenschutzrechtlichen Sanktionen mit einem Vergleich zwischen Sanktionen vor und nach der DSGVO.
Des Weiteren wird es im Rahmen unserer Veranstaltung datenschutzticker.live am 30.10.2019 eine Podiumsdiskussion geben und wir möchten Ihnen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
