Herzlichen Dank

20. Dezember 2018

Liebe Leserinnen und Leser,

wir bedanken uns recht herzlich für Ihr Interesse an unserem Datenschutzblog in diesem Jahr.
Das Jahr 2018 war durch den Eintritt der Datenschutz-Grundverordnung sehr ereignisreich.

Wir hoffen, Sie auch im kommenden Jahr mit vielen interessanten Themen und Beiträgen über datenschutzrechtlichen Nachrichten auf dem Laufenden zu halten.

Hiermit verabschieden wir uns für dieses Jahr und wünschen Ihnen eine schöne Weihnachtszeit sowie einen guten Rutsch in das Jahr 2019.

Ihr Kinast-Team.

Like-Button – Webseitenbetreiber könnten mithaften

Der zuständige Generalanwalt am Europäischen Gerichtshof (EuGH), Michael Bobek, hat sich nun für die Verantwortlichkeit von Webseitenbetreibern bei der Einbindung von „Gefällt-Mir“-Knöpfe ausgesprochen. Diese sind für die damit verknüpfte Datenübertragung mitverantwortlich.

In der Auseinandersetzung zwischen der Verbraucherzentrale NRW und einem Online-Händler handelte es sich unter anderem um die Frage, ob der Webseitenbetreiber, der ein Plug-In eines Dritten wie den „Gefällt-mir“-Knopf integriert auch für die dadurch ausgelöste Datenübertragung mitverantwortlich ist. Diese Frage hat Michael Bobek nun wie folgt beantwortet:
„Eine Person, die ein von einem Dritten bereitgestelltes Plug-In in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.“

Demnach soll der Seitenbetreiber nicht für die „Gesamtkette“ der Prozesse mitverantwortlich sein, sondern nur für diejenigen Prozesse bei denen der Webseitentreiber und in diesem Fall Facebook gemeinsame Zwecke verfolgen.

Datenpanne bei Amazon

Auf eine Auskunftsanfrage hin wurden einem Kunden von Amazon transkribierte Sprachdaten und Audiodateien eines anderen Nutzers zugeschickt.

Ein Nutzer beantragte Auskunft über die von ihm von Amazon verarbeiteten Daten nach Art. 15 DSGVO. Als Antwort erhielt er unter anderem zahlreiche Audiodateien, die offensichtlich von Amazons Sprachassistenten Alexa aufgenommen wurden. Es handelte sich allerdings um fremde Sprachaufnahmen, weil der Kunde selbst den Sprachassistenten nicht nutzt. Seine erneute Anfrage an Amazon mit der Bitte um Aufklärung wurde nie beantwortet.

Aus den Aufnahmen konnte man Rückschlüsse auf die Identität der Nutzer ziehen, in dem man z.B. die erwähnten Namen und die lokalen Wetteranfragen auswertete. Die Daten stammen aus dem inneren Kern des Lebensbereichs der Nutzer, sodass deren Intimsphäre durch die Weitergabe der Daten an Unbefugte betroffen ist.

Auf eine diesbezügliche Anfrage vom c’t Magazin antwortete Amazon nur knapp und nannte als Grund einen menschlichen Fehler. Es bleibt unklar, ob häufiger Sprachaufnahmen an Unbefugte verschickt worden sind und ob Amazon das notwendige Verfahren – eine Meldung der Datenpanne binnen 72 Stunden bei der Behörde und unter Umständen bei den Betroffenen – eingeleitet hat.

Kategorien: Allgemein
Schlagwörter: , ,

Zeitpunkt der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

19. Dezember 2018

Aus Art. 30 Abs. 1 DSGVO folgt für den Verantwortlichen von Datenverarbeitungsprozessen die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Welche Mindestangaben ein solches Verzeichnis enthalten muss, lässt sich aus Art. 30 Abs. 1 S. 2 DSGVO entnehmen. Ein eindeutiger Zeitpunkt, zu dem ein solches Verzeichnis vollständig vorliegen muss, lässt sich dem Wortlaut von Art. 30 DSGVO hingegen nicht direkt entnehmen.

Mögliche Zeitpunkte für das Erfordernis des Vorliegens einer vollständigen Dokumentation im Sinne von Art. 30 DSGVO können dabei vor dem Beginn der Verarbeitungstätigkeit oder danach liegen.

Für die Notwendigkeit der Durchführung einer (vollständigen) Dokumentation im Sinne von Art. 30 DSGVO vor Beginn der eigentlichen Verarbeitungstätigkeit lassen sich die systematische Stellung der Norm und teleologische Überlegungen anführen. Systematisch befindet sich Art. 30 DSGVO im ersten Abschnitt des vierten Kapitels der DSGVO. Innerhalb dieses Abschnitts werden die allgemeinen Pflichten des Verantwortlichen und des Auftragsverarbeiters geregelt. Über die allgemeine Pflicht zur Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO soll der Verantwortliche sicherstellen, dass die Grundsätze einer rechtmäßigen Datenverarbeitung gewahrt sind. Demnach ist Art. 30 DSGVO von seinem Sinn und Zweck her im Zusammenhang mit Art. 5 DSGVO zu sehen, der die allgemeinen Grundsätze einer rechtmäßigen Datenverarbeitung statuiert. In Art. 5 Abs. 1 lit. a DSGVO wird der Grundsatz der Rechtmäßigkeit festgelegt. Art. 5 Abs. 1 lit. b DSGVO kodifiziert den Zweckbindungsgrundsatz und Art. 5 Abs. 1 lit. c DSGVO den Grundsatz der Datenminimierung. Zur Wahrung der Zweckbindung und zur Beachtung des Grundsatzes der Datenminimierung ist es erforderlich, dass der Verantwortliche schon vor Beginn der Verarbeitungstätigkeit diese Grundsätze mit in seine Planungen einbezieht und die Einhaltung sicherstellt. Aufgrund der zu nennenden Angaben kann das Erstellen eines vollständigen Verzeichnisses im Sinne von Art. 30 DSGVO den Verantwortlichen dabei unterstützen, schon im Vorfeld einer geplanten Verarbeitungstätigkeit sicherzustellen, dass diese rechtmäßig ist. Würde dem Verantwortlichen hingegen erst bei einer Dokumentation unmittelbar nach Inbetriebnahme einer neuen Verarbeitung bewusst, dass beispielsweise die verarbeiteten Daten zur Zweckerreichung nicht erforderlich sind, so wären die bis zu diesem Zeitpunkt durchgeführten Verarbeitungen regelmäßig als nicht rechtmäßig anzusehen.

Grundsätzlich bleibt jedoch anzumerken, dass die Wahrung der Rechtmäßigkeit einer Verarbeitungstätigkeit auch durch andere Vorfeldmaßnahmen als die Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO gewahrt werden kann (bspw. durch die Durchführung einer Datenschutz-Folgenabschätzung oder auch durch lediglich allgemeine Erwägungen zur Zweckgebundenheit und Datenminimierung), sodass sich letztlich aus systematischen und teleologischen Erwägungen heraus keine unmittelbare Pflicht zur Durchführung einer Dokumentation im Sinne von Art. 30 DSGVO bereits vor Beginn der Verarbeitungstätigkeit ableiten lässt.

Für die Notwendigkeit zur Durchführung einer (vollständigen) Dokumentation gem. Art. 30 DSGVO erst nach Beginn der Verarbeitungstätigkeit könnte der Sinn und Zweck der Norm herangezogen werden. Zum einen soll dem Verantwortlichen durch ein Verzeichnis nach Art. 30 DSGVO die Struktur und der Umfang der Datenverarbeitung vor Augen geführt und so die Rechtmäßigkeit der Verarbeitung sichergestellt werden. Zum anderen liegt der Zweck der Verzeichnisse nach Art. 30 DSGVO aber auch darin, dass die zuständigen Aufsichtsbehörden mit Hilfe dieser Verzeichnisse erste Anhaltspunkte für die Überprüfung der Rechtmäßigkeit der jeweiligen Datenverarbeitung erhalten. Demnach kann der Verantwortliche mit Hilfe der vollständigen Verzeichnisse gegenüber der zuständigen Aufsichtsbehörde seine sich aus Art. 5 Abs. 2 DSGVO ergebende Rechenschaftspflicht erfüllen und die Rechtmäßigkeit der Verarbeitung nachweisen und dokumentieren. Dokumentationen oder Kontrollen durch Aufsichtsbehörden von Verarbeitungen oder Verfahren erfolgen jedoch üblicherweise erst, nachdem diese Verfahren oder Verarbeitungen in Betrieb genommen wurden. Demnach wäre es notwendig, aber wohl auch ausreichend, dass man die Rechtmäßigkeit der Verarbeitung durch die vollständige Dokumentation mittels eines Verzeichnisses im Sinne von Art. 30 DSGVO unmittelbar nach Inbetriebnahme der Verarbeitungstätigkeit nachweisen kann.

Zusammenfassend lässt sich somit festhalten, dass sich unmittelbar aus Art. 30 DSGVO selbst keine explizite Aussage zum Zeitpunkt der Durchführung der Dokumentation mittels eines entsprechenden Verzeichnisses entnehmen lässt. Aus dem Sinn und Zweck der Norm und im Zusammenhang mit der sich aus Art. 5 Abs. 2 DSGVO ergebenden Rechenschaftspflicht ergibt sich jedoch, dass ein Verzeichnis nach Art. 30 DSGVO jedenfalls unmittelbar nach Beginn der Verarbeitungstätigkeit vorliegen muss. Da jedoch schon vor Beginn einer neuen Verarbeitungstätigkeit durch den Verantwortlichen Überlegungen zur Rechtmäßigkeit der Verarbeitung vorzunehmen sind, empfiehlt es sich, insbesondere auch zur Wahrung eines ganzheitlichen Datenschutzkonzepts, schon vor Beginn einer neuen Verarbeitungstätigkeit eine Dokumentation mittels eines Verzeichnisses nach Art. 30 DSGVO durchzuführen. Weil sich die inhaltlichen Anforderungen an ein Verzeichnis nach Art. 30 DSGVO in weiten Teilen mit den im Vorfeld durchzuführenden Rechtmäßigkeitserwägungen überschneiden, ist dies insbesondere auch aus prozessökonomischen Erwägungen sinnvoll. Weiterhin lässt sich durch ein im Vorfeld der Verarbeitungstätigkeit erstelltes Verzeichnis nach Art. 30 DSGVO auch sicherstellen, dass ein bußgeldbewährter Verstoß gegen die Dokumentationspflicht vermieden wird. Eine Verletzung der sich aus Art. 30 DSGVO ergebenden Pflichten kann dabei nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder bei Unternehmen mit bis zu 2 % des Jahresumsatzes sanktioniert werden.

TÜV Rheinland: Einheitliches Datenschutz-Prüfzeichen für Smart Home-Produkte gefordert

In einer Pressemitteilung des TÜV Rheinland vom 18.12.2018 fordert der Chief Technology Officer im „Center of Excellence IoT Privacy“ Günter Martin bei TÜV Rheinland ein einheitliches und marktübergreifendes Prüfzeichen für smarte Produkte. Der TÜV Rheinland reagiert damit auf den immer stärker wachsenden Markt für IoT-Geräte (Internet of Things, Internet der Dinge). Gemeint sind Haushaltsgeräte mit Internetzugang (sog. Smart Home-Produkte).

Mit einem markübergreifenden Prüfzeichen könne geprüfter Datenschutz für Verbraucher auf einen Blick erkennbar gemacht und somit eine Vergleichsmöglichkeit im Markt geschaffen werden, die das Vertrauen von Verbrauchern in die Hersteller stärkt und gleichzeitig für Sicherheit in der digitalen Welt steht, so Günter Martin. Laut einer aktuellen Umfrage des Meinungsforschungsinstituts Civey zum Thema Datenschutz stehe dieser bei den Verbrauchern an oberster Stelle. Verbraucher fühlen sich häufig nicht ausreichend über den Datenschutz im Zusammenhang mit Smart Home-Produkten informiert. Die Umfrageergebnisse zeigen, dass verstärkt Aufklärungsarbeit hinsichtlich Datenschutz im Bereich von Smart Home-Produkten nötig ist. Ein einheitliches Datenschutz-Prüfzeichen für Smart Home-Produkte könne etwaigen Vorbehalten von Verbrauchern entgegenwirken.

Google ändert Nutzungsbedingungen sowie Datenschutzerklärung

18. Dezember 2018

Am 22. Januar 2019 treten aktualisierte Nutzungsbedingungen sowie eine mit Änderungen versehene Datenschutzerklärung bei Google in Kraft. Die bedeutsamste und rechtlich weitreichendste Änderung ist der Wechsel des Verantwortlichen. Momentan werden die Dienste von Google LLC in den USA angeboten. Dies ändert sich nunmehr bald. Künftig werden alle Dienste in der europäischen Union sowie in der Schweiz  von der Google Ireland Limited angeboten. Damit wird das europäische Unternehmen der neue Verantwortliche, der sich um die datenschutzrechtliche Belange der Betroffenen kümmern muss.

Den Wechsel begründet Google mit der einfacheren Umsetzbarkeit der DSGVO. Somit wird auch die „One Stop Shop“-Regelung der EU eingehalten, dass es nur einen einzigen Ansprechpartner für Nutzer und Unternehmen geben soll.

Wichtig ist nun für alle Websitebetreiber, die in ihrer Datenschutzerklärung Google LLC als Verantwortlichen beispielsweise bei Google Analytics genannt haben, dies entsprechend zu ändern. Die Einstellungen und Dienste von Google erhalten keine Änderungen.

Biometrischer Massenabgleich verboten?

Der Hamburger Datenschutzbeauftragter, Johannes Caspar, hat der Polizei verboten, einen weiteren biometrischen Massenabgleich von Gesichtsdaten im Rahmen der Suche nach G20-Randalierern zu machen.

Nachdem in Hamburg vor eineinhalb Jahren die Krawalle beim G20-Gipfel stattgefunden hatten, hatten Polizei und Staatsanwaltschaft eine große Datenbank mit Foto- und Videoaufnahmen aus diversen Quellen zusammengetragen, die im gesamten Stadtgebiet entstanden sind. In dieser Datenbank soll mit einer speziellen Software zur Gesichtserkennung nach Verdächtigen gesucht werden, um diesen bestimmte Straftaten nachweisen zu können.

Caspar kritisiert seit längerem den automatischen Gesichtsabgleich als rechtsstaatlich unzulässig. Nach Aussagen von Caspar enthält die Datenbank neben polizeieigenem Bildmaterial von Einsätzen auch Videoaufzeichnungen aus Bussen, Bahnen und Bahnhöfen sowie von Medien veröffentlichtes Material. Auch enthalten seien private Aufnahmen von Smartphones, die Bürger über ein von der Polizei eingerichtetes Portal zur Verfügung stellten. Insgesamt handelt es sich um ca. 32. 000 Video- und Bilddateien (Stand August 2018).

Das Verfahren zur Identifikation der Verdächtigen greife „erheblich in die Rechte und Freiheiten einer Vielzahl Betroffener“ ein. Es wären massenhaft Personen betroffen, die nicht tatverdächtig sind und dies zu keinem Zeitpunkt waren.

Nach Caspar gibt es in Deutschland kein Gesetz, “ das Strafverfolgungsbehörden erlaubt, Massen von Video- und Bildsequenzen aus ganz unterschiedlichen zeitlichen und örtlichen Bezügen zu sammeln und biometrische Gesichts-IDs von abgebildeten Personen ohne Tatverdacht zu erstellen, für unbestimmte Zeit zu speichern und wiederholt mit Gesichtern von einzelnen Tatverdächtigen abzugleichen“.

Am Dienstag erließ Caspar eine entsprechende Anordnung und forderte den Innensenator Andy Grote (SPD) auf, die Datenbanken löschen zu lassen. Gegen diese Anordnung kann der Innensenator vor dem Verwaltungsgericht Hamburg Klage erheben.

Ob diese Anordnung Erfolg haben wird, bleibt abzuwarten.

 

Datenpanne bei Facebook – Entwickler haben ungewollten Zugriff auf Nutzerfotos

17. Dezember 2018

Der Facebook-Konzern hat eine weitere Datenpanne gemeldet. Ausgehend davon sei diversen Apps unberechtigterweise Zugang zu verschiedenen Fotos von Mitgliedern sowie Informationen auf der Plattform Marketplace ermöglicht worden. Dieser unberechtigte Zugriff hätte bereits im September für mehrere Tage bestanden und beträfe ca 6,8 Millionen User. Zumindest die 72-Stunden Frist für die Meldung der Datenpanne habe Facebook nach bisherigem Kenntnisstand jedoch eingehalten.

Entgegen aller präventiven Maßnahmen – auch seit Inkrafttreten der DSGVO – entstehen Datenpannen häufiger und umfangreicher als möglicherweise zu erwarten. Hierfür stehen auch die regelmäßigen Meldungen über derartig große Vorfälle Pate (wir berichten regelmäßig). Aus diesem Grund sind Unternehmen jeder Größe gut beraten, adäquate sowie datenschutzkonforme Schutzmechanismen in die Unternehmensstruktur zu implementieren. Ebenfalls ist eine Vorbereitung auf etwaige Datenpannen sowie, gegebenenfalls, das Einholen juristischer Beratung ratsam.

 

 

Kategorien: Allgemein · Online-Datenschutz · Social Media
Schlagwörter:

Bundesdatenschutzbeauftragte zieht nach einem halben Jahr DSGVO Bilanz

„Bedenkt man unsere eingeschränkte Zuständigkeit, sind beachtliche Zahlen an Eingaben und Beschwerden zu Datenschutzverstößen im ersten Halbjahr eingegangen“, sagte die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Andrea Voßhoff (CDU).

Seit dem 25. Mai 2018 wurden bundesweit bis Anfang September 11.000 Beschwerden gezählt, davon 6.100 Datenschutzverstöße. Im Vergleich dazu waren es EU-weit (lediglich) 55.000 Beschwerden und knapp 18.900 Meldungen von Datenschutzverletzungen.

Bis Ende Oktober sind laut Voßhoff in dem von ihr geführten Haus rund 3.700 Eingaben eingegangen – sowohl allgemeine, als auch Beschwerden über Verletzungen des Datenschutzes sowie 4.667 Meldungen mit Datenschutzverstößen.

Ob diese Zahlen nun das steigende Bewusstsein der Bürger in Punkto Datenschutz widerspiegeln oder lediglich die Aktivitäten von Abmahnanwälten offenlegen, bleibt unbeantwortet.

Pflichten aus der DSGVO – Meldung der Kontaktdaten des Datenschutzbeauftragten

13. Dezember 2018

Die Datenschutzgrundverordnung (DSGVO) hat viele Veränderungen mit sich gebracht. Eine der neuen Pflichten, die sich aus der DSGVO ergeben, ist die Meldung der Kontaktdaten des Datenschutzbeauftragten eines Unternehmens an die Aufsichtsbehörden.
In Deutschland haben sich die Aufsichtsbehörden gegen eine bundesweite Lösung entschieden und je nach Bundesland eine individuelle Lösung entwickelt um die Umsetzung der Meldepflicht sicherstellen zu können.

Die Bundesländer Nordrhein-Westfalen und Bayern haben eigens für die Meldepflicht ein Portal online gestellt auf dem sich Unternehmen einen Nutzeraccount erstellen können. Um bei der Registrierung eine sichere Übermittlungsmethode der Zugangsdaten gewährleisten zu können, wird nach erfolgter Registrierung ein Aktivierungslink an die angegebene E-Mail-Adresse gesendet. Erst nach Aktivierung dieses Links ist der Registrierungsprozess beendet und das Nutzerkonto kann verwendet werden. Die eigentliche Meldung erfolgt durch ein Formular, auf welches man nach dem Login Zugriff hat. Nach erfolgreicher Meldung wird eine Kopie des Formulars als Bestätigung an die angegebene E-Mail-Adresse geschickt.

Andere Bundesländer wie Baden-Württemberg oder Hamburg haben Formulare für die Meldepflicht frei zugänglich auf ihren Webseiten positioniert. Die Übermittlung des ausgefüllten Formulars erfolgt hierbei direkt oder via E-Mail.

Die von den Aufsichtsbehörden abgefragten Daten, über das Unternehmen sowie den Datenschutzbeauftragten, variieren von Bundesland zu Bundesland stark. Grundsätzlich haben die Aufsichtsbehörden versucht sicherzustellen, dass dem Datenminimierungsprinzip Sorge getragen wird. Viele Formulare beinhalten daher Kennzeichnungen der Pflichtangaben. Diese umfassen zumeist die Kontaktdaten des Unternehmens sowie des Datenschutzbeauftragten aber auch die Kontaktdaten des Meldenden.

Einige Aufsichtsbehörden haben Fristen erlassen um den Unternehmen genügend Zeit zu bieten der Meldepflicht nachzukommen. Die Frist der Aufsichtsbehörde NRW und somit die letzte aktuell laufende Frist endet am 31.Dezember 2018. Bis dahin werden fehlende Meldungen nicht durch die Aufsichtsbehörde geahndet.

Die DSGVO hat ebenfalls einige Privilegien hervor gebracht. Darunter auch das Privileg des Konzerndatenschutzbeauftragten. Die Pflicht zur Meldung der Kontaktdaten des Datenschutzbeauftragten kann diesem Privileg nicht untergeordnet werden. Das hat die Auswirkung, dass jede Gesellschaft bzw. jedes verbundene Unternehmen eines Konzerns die Kontaktdaten des Datenschutzbeauftragten melden muss, auch dann wenn ein und der selbe Datenschutzbeauftragte für alle Gesellschaften des Konzerns bestellt wurde.

Meldungen die formlos via E-Mail erfolgt sind, werden von den Aufsichtsbehörden nicht berücksichtigt.

1 2 3 4 5 179