Urteil zur Datenschutzgrundverordnung

10. September 2017

Verwaltungsgericht Karlsruhe Urteil vom 6.7.2017 – 10 K 7698/16

Das Verwaltungsgericht Karlsruhe ist der Auffassung, dass die Datenschutzbehörde Baden-Württemberg sich nicht auf eine Rechtsvorschrift der DSGVO vor dem 25. Mai 2018 berufen kann.

Der Sachverhalt bezieht sich auf einen Bescheid der Datenschutzbehörde vom 25.11.2016, mit der die Behörde von der Klägerin, die eine Auskunftei ist, verlangte Forderungen nach § 28a Bundesdatenschutzgesetz (BDSG) und die damit zusammenhängenden Informationen über eine Person nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.

Zur Begründung führte die Behörde aus, dass aktuell zwar kein BDSG relevanter Datenschutzverstoß vorliege, aber mit der Datenschutzgrundverordnung (DSGVO) Anpassungen vorgenommen werden müssten, die einen zukünftigen Datenschutzverstoß verhindern sollen. Darauf erwiderte die Klägerin, dass sie ihre Löschkonzepte an die DSGVO anpassen werde.

Die Datenschutzbehörde legte diese Erklärung jedoch nicht als eine vollstreckbare Zusicherung, sondern lediglich als eine Absichtserklärung aus. Gegen die daraufhin erlassene Anordnung wehrte sich die Klägerin mit Erfolg. Das Verwaltungsgericht Karlsruhe hob den entsprechenden Bescheid wieder auf.

Zur Begründung führte das Gericht folgendes aus:

Dem Bescheid fehlt die Rechtsgrundlage. Er kann weder auf das BDSG noch auf die DSGVO gestützt werden. Die Klägerin verstößt nicht gegen das BDSG. Auf die DSGVO kann sich die Behörde zum jetzigen Zeitpunkt nicht berufen, da die Datenschutz-Grundverordnung noch nicht bzw. erst ab dem 25.05.2018 anwendbar ist. Daher ergibt sich hieraus keinerlei Handhabe für die Behörde. Inhaltlich betont das Gericht, dass künftig Art. 6 Abs. 1 lit. f DSGVO bei der Frage nach Löschfristen heranzuziehen ist. Art. 6 Abs. 1 lit. f DSGVO schreibe allerdings nur vor, dass über Löschfristen im Rahmen der berechtigten Interessen abzuwägen ist. Eine feste Vorgabe durch die Behörde wird diesen Voraussetzungen nicht gerecht.

Das Urteil zeigt zweierlei ganz deutlich. Einerseits wird ersichtlich, dass die Behörden inhaltlich noch nicht alle Feinheiten der DSGVO durchdacht haben und andererseits wird die Wichtigkeit einer sauberen Umsetzung der DSGVO deutlich. Die zuständigen Behörden werden sich nicht lange Zeit lassen bis sie auf die Verantwortlichen zugehen werden.

Unterschätzen Unternehmen die „Gefahren“ der DSGVO?

8. September 2017

Den allermeisten Unternehmen dürfte dieser Einleitungssatz bekannt vorkommen: Bis zum 25.05.2018 sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzusetzen.

Der Studie Veritas 2017 GDPR Report zufolge sind viele (31%) Unternehmen der Meinung, die von der  DSGVO normierten Pflichten bereits abzudecken. Als diese Unternehmen im Rahmen der Studie allerdings zur konkreten Umsetzung der Maßnahmen befragt wurden, trat häufig ein deutlich anderes Bild verbunden mit der Einsicht zutage, eine Compliance mit dem Regelwerk sei nun doch noch nicht erreicht. Nach Abzug dieser Fälle ist ein Ergebnis der Studie, dass letztlich nur 2% der Unternehmen tatsächlich auf die DSGVO vorbereitet sind.

Die befragten Unternehmen sehen bei sich unter anderem in den folgenden Bereichen akuten Nachholbedarf:

  • Etablierung eines Prozesses zur Meldung von Datenverlusten innerhalb von 72 Stunden,
  • Regelungen zur Löschung (jetzt auch „Recht auf Vergessenwerden“),
  • Neue Rechtslage zur Auftragsdatenverarbeitung (künftig nur „Auftragsverarbeitung“).

Angesichts der respektablen Bußgelder der DSGVO bleibt es wohl weiterhin bei dem gebetsmühlenartigen Verweis auf die „Stunde Null“: Stellen Sie bis zum 25.05.2018 sicher, dass Sie auf die Anforderungen der DSGVO (tatsächlich) vorbereitet sind.

Hobbyfotografen aufgepasst – Foto-Apps senden heimlich Daten

Ein Selfie hier, ein Schnapschuss dort. Was früher nur mit richtigen Fotokameras möglich war, gehört heute zum Alltag eines jeden Smartphone-Nutzers. Im Gleichschritt mit den immer besser werdenden Kameras in Smartphones wächst auch die Zahl an Foto-Apps in den einschlägigen App-Stores stetig. Mit Hilfe dieser Apps können die Fotos nicht nur geschossen, sondern auch direkt verfeinert, bearbeitet und mit anderen Smartphone-Nutzern geteilt werden.

Ein Test von Stiftung Warentest zeigt allerdings, dass manche dieser Foto-Apps, die eigentlich nur Smartphone und Kamera verbinden sollen, auch persönliche Informationen ihrer Nutzer versenden. Stiftung Warentest rät daher zur genauen Kontrolle der Berechtigungen, die der App eingeräumt werden. Im Rahmen ihres Test von insgesamt acht Foto-Apps fiel insbesondere die App „Mirrorless“ des Herstellers Yi negativ auf. Laut den Testergebnissen der Stiftung Warentest übermittelt die App Daten u.A. die Smartphone-Gerätekennung sowie Name und Kennwort des W-Lan-Netzwerkes, mit dem das jeweilige Smartphone verbunden ist, an Server in China. Die App schickt ihre erhobenen Daten zudem an Facebook und Google. Eine Erlaubnis fragt die App dabei nicht ab. Auch für die eigentliche Funktion ist die Datenübertragung nicht erforderlich.

Im Test zeigte sich, dass auch die App „PlayMemories Mobile“ von Sony Daten zu verwendeten Kamera und zum Mobilfunkanbieter nach Japan sowie Standortdaten der Nutzer an Google und Apple übermittelt. Standortdaten der Nutzer werden zudem von den Apps „Camera Remote“ für Android (Fujifilm), „Snap Bridge“ für iOS (Nikon) und „Share Image“ (Olympus) erhoben und an eigene Server übermittelt.

Es gibt allerdings auch Apps, die gar keine Nutzerdaten senden. Dazu gehören Canons „Camera Connect“, Fujifilms „Camera Remote“ in der iOS-Version, Panasonics „Image App“, Ricohs „Image Sync“ sowie Nikons „SnapBridge“ für Android.

Die Berechtigungen können auf iOS-Geräten unter dem Menüpunkt „Datenschutz“ und bei Android-Smartphones unter „Apps“ kontrolliert und ggfs. korrigiert werden. Insbesondere das Erheben und Übermitteln von Standort- und Kameradaten sollte deaktiviert werden.

 

Sicherheitslücken bei der Wahl-Software

Die bei der bevorstehenden Bundestagswahl zum Einsatz kommende Software zur Auswertung der Wahlergebnisse benutzt wird, weist gravierende Sicherheitslücken auf.

Bei der Bundestagswahl werden die abgegebenen Stimmen grundsätzlich von Hand gezählt, allerdings wird das ausgezählte Ergebnis mit Hilfe einer Software übermittelt und gerade diese ist nach einer Untersuchung des Chaos Computer Clubs (CCC) leicht zu manipulieren. Es besteht die Möglichkeit, dass die Wahlergebnisse zum Beispiel auf dem Weg vom Wahllokal zu dem Kreiswahlleiter abgefangen und manipuliert werden.

In Zusammenarbeit mit Zeit Online hat der CCC diese Sicherheitslücken aufgedeckt. Sowohl in den Verschlüsselungsverfahren als auch auf den Web-Servern des Herstellers wurden Lücken festgestellt.

In der Zwischenzeit wurde von dem Hersteller ein Update bereitgestellt, allerdings vermutet der CCC, dass auch weiterhin Sicherheitslücken vorhanden sind.

Besonders kritisiert wird vom CCC das mangelnde Sicherheitsverständnis des Herstellers.

Laut einem Sprecher des Bundeswahlleiters sind die Probleme bereits einige Zeit bekannt. Die Landeswahlleiter sind aufgefordert, die Übermittlung der Wahldaten abzusichern. Außerdem sind die vorläufigen Wahlergebnisse nicht betroffen, weil für diese andere Übertragungswege gewählt werden.

OVG Niedersachsen: Entscheidung über das Verbot von Videoüberwachung im Nahverkehr

7. September 2017

Das Verbot der niedersächsischen Datenschutzbeauftragten von Videoaufzeichnungen im öffentlichen Nahverkehr von Hannover wird heute das niedersächsiche Oberverwaltungsgericht  (OVG) beschäftigen. Mit einer diesbezüglichen Entscheidung wird heute noch gerechnet. In dem Berufungsverfahren streiten die Beteiligten um die Rechtmäßigkeit einer datenschutzrechtlichen Anordnung der beklagten Landesbeauftragten für den Datenschutz in Niedersachsen.

Die klagende ÜSTRA hat in zahlreichen ihrer Fahrzeuge feststehende Videokameras installiert, mit denen im sog. Blackbox-Verfahren durchgehend Bewegtbilder vom Fahrzeuginnenraum aufgezeichnet werden. Die Videosequenzen werden nach 24 Stunden wieder gelöscht. Die Aufzeichnung dient unter anderem zur Beweissicherung bei Vandalismusschäden und zur Verfolgung von Straftaten. Die Landesdatenschutzbeauftragte gab der Klägerin im August 2014 mit einer auf § 38 Abs. 5 des Bundesdatenschutzgesetzes gestützten Verfügung auf, die Videoüberwachung in ihren Bussen und Stadtbahnen während des Einsatzes der Fahrzeuge im öffentlichen Personennahverkehr einzustellen und erst wieder aufzunehmen, nachdem sie entweder ein Konzept für einen nach Linien und Zeit differenzierten Einsatz der Videotechnik erarbeitet und umgesetzt hat oder anhand konkreter Anhaltspunkte darlegt, dass die Videoüberwachung zeitlich und örtlich unbeschränkt erforderlich ist. Der hiergegen gerichteten Klage hat das Verwaltungsgericht Hannover mit Urteil vom 10. Februar 2016 mit der Begründung stattgegeben, das Bundesdatenschutzgesetz sei im Falle der Klägerin nicht anwendbar, weil sie eine öffentliche Stelle des Landes Niedersachsen sei, für die der Datenschutz durch Landesgesetz geregelt sei. Das niedersächsische Datenschutzgesetz enthalte keine Eingriffsermächtigung, auf die die Verfügung der Landesdatenschutzbeantragten gestützt werden könnte. Mit der vom Verwaltungsgericht zugelassenen Berufung verteidigt die Landesdatenschutzbeantragte ihre datenschutzrechtliche Anordnung.

Kategorien: Allgemein
Schlagwörter:

Österreichisches „Überwachungspaket“: Keine Einigung der Koalitionspartner zustande gekommen

5. September 2017

Der österreichische Innenminister hatte Ende August als Reaktion zu den Barcelona-Anschlägen den Nationalen Sicherheitsrat einberufen. Das Ziel war für das geplante Überwachungspaket zu werben. Dies war dennoch kein Erfolg: Nach der Sitzung des Nationalen Sicherheitsrates am ersten September stand fest, dass das umstrittene Paket in der aktuellen Legislaturperiode nicht eingeführt werden kann, und somit auch kein unmittelbares Wahlkampfthema für die vorgezogenen Neuwahlen im Oktober sein wird. Die Koalitionspartner konnten nämlich keine Einigung erzielen. Vor allem hatte die SPÖ zu viele rechtliche Bedenken über die im Paket enthaltenen Änderungen der Strafprozess- und Straßenverkehrsordnung und der Sicherheitspolizei- und Tekommunikationsgesetze. Ob dies ein endgültiges Scheitern des Pakets ist, steht noch nicht fest.

Geplant ist im Paket u.a. die Einführung von Staatstrojanern und IMSI Catcher, sowie von einer Vorratsdatenspeicherung und einer erweiterten Videoüberwachung. SIM Karten sollen auch einer Registrierungspflicht unterliegen. Netzsperren sollen eingeführt, und Lauschangriffe auf PKWs ermöglicht werden.

Diese Maßnahmen sind bei der IT-Branche, Telekombranche sowie der Justiz und Zivilgesellschaft auf Kritik gestoßen. Insgesamt wurden innerhalb der Begutachtungsfrist des Paketes mehr als 6000 Stellungnahmen  abgegeben, die es größtenteils ablehnen.

Vor allem wird dem Paket seine „Maßlosigkeit“ vorgeworfen. Seine Gegner halten die vorgeschlagenen Überwachungsmaßnahmen für unverhältnismäßig, und zweifeln deshalb an ihrer Vereinbarkeit mit EU- und EMRK-Recht, u.a. angesichts der Urteile des Europäischen Gerichtshofs (EuGH) zur Vorratsdatenspeicherung die ähnliche Vorhaben für rechtswidrig erklärt hatten. Zudem rechnen Experten damit, dass über viele Teile des Paketes, wenn seine Einführung doch gelingen sollte, von dem österreichischen Verfassungsgerichthof (VfGH) ein Urteil gesprochen werden muss.

 

Privatnutzung des dienstlichen Internets kein zwingender Kündigungsgrund

Der Europäische Gerichtshof für Menschenrechte (EGMR) hat am Dienstag ein möglicherweise richtungsweisendes Urteil zur Privatnutzung von dienstlichem Email-Account und Internetzugang gesprochen.

Geklagt hatte ein rumänischer Ingenieur, der von seinem Arbeitgeber wegen der privaten Nutzung der dienstlichen IT-Infrastruktur gekündigt worden war. Nach zwei erstinzanzlichen Niederlagen in Rumänien und vor der kleinen Kammer des EGMR entschieden nach jeweiliger Berufung nun final die 17 Richter der großen Kammer des EGMR zugunsten des Klägers. Danach bedeutet die Überwachung der elektronischen Kommunikation eines Arbeitnehmers eine Verletzung seiner Privatsphäre.

Konsequenz dessen muss daher für Unternehmen sein, nachhaltig feste Regelungen für die Privatnutzung zu installieren, um sich nicht der Kontrollmöglichkeiten zu berauben. Hierzu wird im besten Fall eine umfassende Betreibsvereinbarung, jedoch mindestens eine ebensolche Dienstanweisung installiert und zudem regelmäßige Kontrollen durchgeführt.

Facebook im Kampf gegen Fake News

1. September 2017

Facebook steht seit längerer Zeit in der Kritik, tatenlos mit anzusehen, wie falsche Meldungen, sogenannte Fake News, in seinem Netzwerk ungehindert gegenüber unzähligen Nutzern verbreitet werden.

Insbesondere gehen Kritiker davon aus, dass die Verbreitung von Fake News mitursächlich dafür war, dass Donald Trump die Wahl zum US-Präsidenten gewonnen hat. Auch vor dem Hintergrund der anstehenden Bundestagswahl hat Facebook nun reagiert und geht mit verschärften Sanktionen gegen die Verbreitung von Fake News vor. Die Produktmanager von Facebook wollen ihren Nutzern „verlässlichere Informationen auf Facebook“ bieten, weshalb Facebook anlässlich der Bundestagswahl über zehntausend Konten auf Verdacht der Verbreitung von unwahren Tatsachen oder irreführenden Inhalten gelöscht hat.

Um die Verbreitung von Fake News in dem Sozialen Netzwerk einzudämmen, untersagt Facebook darüber hinaus Seitenbetreibern, die erneut Fake News verbreiten, keine Werbeanzeigen mehr zu schalten. So werde verhindert, dass die Verbreitung von Fake News für diese Seitenbetreiber aus wirtschaftlicher Perspektive noch rentabel sei womit eine Verbeitung minimiert werden könne. Jedoch lässt Facebook den gesperrten Seitenbetreibern ein Hintertürchen öffen, indem es diesen ermöglicht, dann wieder Werbung zu schalten, wenn sie von der Fake News Verbreitung absehen. Facebook sichert sich somit die Werbeeinnahmen.

Kategorien: Online-Datenschutz · Social Media
Schlagwörter:

G-20-Akkreditierungen – Vermutlich rechtswidrige Daten in der BKA-Datei

Nach einem Bericht des ARD-Hauptstadtstudio speichert das Bundeskriminalamt (BKA) vermutlich Millionen Daten illegal. Im Zuges des G-20 Gipfels und der Entziehung von Akkreditierungen einiger Journalisten wurde festgestellt, dass einige Eintragungen zu Straftaten in den Datenbanken des BKA schlichtweg falsch sind oder längst hätten gelöscht werden müssen.

In der Behörde der Bundesbeauftragten für den Datenschutz wartet man schon auf die Beschwerden der betroffenen Journalisten. Der unrechtmäßige Entzug von Akkreditierungen zeigt nämlich, dass fehlerhaft gespeicherte Daten extreme Folgen für die berufliche und private Existenz von Bürgern haben können.

Gemäß des § 8 des Bundeskriminalamtgesetzes ist zwar die Speicherung von Ermittlungen, die nicht zu einer Verurteilung vor Gericht geführt haben erlaubt – im Gegenzug wird dafür aber in jedem Einzelfall eine sogenannte Negativprognose gefordert: Es muss konkret begründet werden, warum von der Person auch in Zukunft Straftaten zu erwarten sind und die Speicherung früherer Ermittlungen deshalb wichtig ist. Das diese Negativprogonse überhaupt durchgeführt wird, ist aufgrund der vielen Datensätze fraglich.

Schon einmal hatte der Bundesdatenschutzbeauftragte mit seiner Prüfung einer Datenbank Erfolg.  Im Jahre 2012 überprüfte der damalige Bundesdatenschutzbeauftagte Peter Schaar die Datenbank „PMK-links Z“ , in der politisch motivierte Kriminelle gespeichert werden und fand eine Menge an illegal gespeicherten Daten. Dies führte zu einer Löschung seitens des BKA, so dass statt 3819 Personen im März 2012 nur noch 331 Personen im Juli 2015 gespeichert waren.

Informationsfreiheit gestärkt

Das Bundesverfassungsgericht hat mit Beschluss vom 20.06.2017 (Az. 1 BvR 1978/13) die Verfassungsbeschwerde einer Journalistin abgewiesen. Diese hatte sich an das Bundesarchiv gewendet, um an Akten zur causa „Geschäftsfreund“ zu gelangen. Ihre Recherche dreht sich um 630 Millionen Mark, die Deutschland als Entschädigung an Israel gezahlt haben soll, ohne dass hierfür eine parlamentarische Legitimation oder ein Kabinettsbeschluss vorgelegen hätte.

Ein Großteil der Akten soll sich in der Konrad Adenauer Stiftung und im Historischen Institut der Deutschen Bank befinden. Beide Stellen hatten der Journalistin eine Akteneinsicht verwehrt.
Die Richter in Karlsruhe verwiesen die Journalistin jedoch auf die Ausschöpfung des Rechtsweges. So sei der Antrag beim Bundesarchiv nicht zielführend gewesen, da die Akten dem Bundesarchiv nie vorgelegen hätten. Vielmehr müsse sie sich zunächst an das Bundeskanzleramt wenden, welches die Akten nach Recherchen der Journalistin für die damalige Bundesregierung geführt haben soll. So könne das Bundeskanzleramt auf Anfrage der Journalistin unter Umständen dazu verpflichtet sein, die Akten zurückzufordern.

Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink wertet den Beschluss des Bundesverfassungsgerichts als Stärkung der Informationsfreiheit. Die Richter stellen klar, dass das Recht auf Informationsfreiheit in Art. 5 Abs. 1 S.1 GG verankert sei, ein Anspruch auf Zugang zu amtlichen Akten aus § 1 Abs. 1 S. 1 Informationsfreiheitsgesetz (IFG) bestehe. Allgemein zugängliche Informationsquellen im Sinne von Art. 5 GG seien alle amtlichen Informationen, die nach dem Informationsfreiheitsgesetz des Bundes oder eines Landes grundsätzlich Gegenstand eines Informationszugangsantrags sein könnten. Hieraus lasse sich laut Brink erkennen, dass das Recht auf Informationsfreiheit bei einer Abwägung konkurrierender Rechtsgüter auf Augenhöhe mit dem Datenschutz und dem Privateigentum stehe.

 

1 21 22 23 24 25 170