BVerfG schärft das „Recht auf Vergessen“

5. Dezember 2019

Die Beschlüsse Recht auf Vergessen I und II ergingen am selben Tag und stehen in direktem Zusammenhang. Während im ersten Blogeintrag die Grundsätze der Anwendbarkeit von Unionsgrundrechten und deutschem Grundgesetz aufgezeigt wurden, wird im Folgenden auf den Beschluss ‚Recht auf Vergessen I‘ eingegangen. In diesem schärft das BVerfG das Recht auf Vergessen.

Der Sachverhalt

Im zugrundeliegenden Fall begehrte der Beschwerdeführer die Löschung eines Artikels, der auf Spiegel Online kostenlos zum Abruf bereitgehalten wurde und bei Google bei Eingabe seines Namens unter den ersten Treffern auftauchte. Der Beschwerdeführer wurde 1982 wegen Mordes und versuchten Mordes zu einer lebenslangen Freiheitsstrafe verurteilt und 2002 auf der Haft entlassen. Während das Landgericht dem Beschwerdeführer noch einen Unterlassungsanspruch gegen die Veröffentlichung des Berichts zugestand und die Berufung erfolglos blieb, wies in der Revision der BGH die Klage ab.

Die rechtliche Würdigung

Das BVerfG stellt zunächst fest, dass die Verarbeitung zu journalistischen Zwecken in den Bereich des Medienprivilegs fällt, für das Art. 85 DSGVO eine Öffnungsklausel vorsieht. Wegen des weitgehenden Gestaltungsspielraums der Mitgliedstaaten, sei hier das deutsche Grundgesetz anwendbar. Gleichwohl könnten die Garantien der Unionsgrundrechte als Auslegungshilfe Berücksichtigung finden.

Bevor das BVerfG in die grundrechtliche Abwägung einsteigt setzt es sich dezidiert mit dem Recht auf Vergessen auseinander. Dieses leitet es aus dem allgemeinen Persönlichkeitsrecht in Abgrenzung zum Recht auf informationelle Selbstbestimmung ab. Allein Ersteres umfasse den Schutz vor der Verarbeitung personenbezogener Berichte und Informationen als Ergebnis eines Kommunikationsprozesses. In der Folge wägt das BVerfG das Recht auf Vergessen des Beschwerdeführers mit der Meinungsfreiheit und der Pressefreiheit von Spiegel Online ab. Während für aktuelle Berichterstattungen über Straftaten in der Regel dem Informationsinteresse Vorrang einzuräumen sei, könne ein zunehmender zeitlicher Abstand das Ergebnis verändern. Hierbei könne keine allgemeine Frist fixiert werden. Es müsse das Interesse an der Wiedereingliederung des Straftäters in die Gesellschaft berücksichtigt werden.

Bei der Abwägung sei insbesondere einzustellen, dass die Informationen für jedermann unmittelbar und dauerhaft abrufbar sind. Das BVerfG zählt ein Reihe weiterer in der Abwägung maßgeblicher Gesichtspunkte auf. So seien die Wirkungen, die zurückliegende Berichte auf das Privatleben und die Entfaltungsmöglichkeiten der Person haben, zu berücksichtigen. Auch komme es darauf an, ob das Ereignis für sich allein oder in gesellschaftlichem Kontext steht. Zudem komme es darauf an, ob das Verhalten des Betroffenen von einem „Vergessenwerdenwollen“ getragen sei. Die Belastungswirkung für den Betroffenen bestimme sich auch danach, ob der Bericht breitenwirksam gestreut wird, indem er durch Suchmaschinen leicht auffindbar ist. Das BVerfG stellt aber klar, dass es kein Recht auf Vergessenwerden in einem grundsätzlich allein von den Betroffenen beherrschbaren Sinn gebe.

Das Ergebnis

Die Entscheidung des BGH halte diesen Anforderungen nicht stand. Sie habe insbesondere die zeitliche Distanz zum Strafverfahren und die konkrete Situation des Beschwerdeführers nicht hinreichend gewürdigt.

BVerfG wendet Unionsgrundrechte an und konkretisiert das „Recht auf Vergessen“

Das Bundesverfassungsgericht beschäftigte sich in zwei in vieler Hinsicht spannenden Beschlüssen vom 6. November 2019 mit dem Recht auf Vergessen (1 BvR 16/13 – Recht auf Vergessen I und 1 BvR 276/17, Recht auf Vergessen II). Darin setzt sich das Verfassungsgericht wohl erstmals mit der Frage auseinander, ob und wann es die Charta der Grundrechte der Europäischen Union anwendet und nicht das deutsche Grundgesetz.

Das BVerfG kommt zu dem Ergebnis, dass allein die Unionsgrundrechte anwendbar sind, wenn sich der Rechtsstreit nach unionsrechtlich vollständig vereinheitlichten Regelungen richtet. Dies sei im Datenschutzrecht bereits durch die EU-Datenschutzrichtlinie, erst recht aber durch die Datenschutz-Grundverordnung grundsätzlich erfolgt. Eine Ausnahme gelte für Bereiche, in denen das Unionsrecht den Mitgliedstaaten die Schaffung abweichender Regelungen ermögliche. Ob eine Regelung gestaltungsoffen ist müsse durch Auslegung der konkreten Vorschrift ermittelt werden. Es komme darauf an, ob die Norm auf die Ermöglichung von Vielfalt und die Geltendmachung verschiedener Wertungen angelegt sei.

Der Sachverhalt

Im zugrundeliegenden Fall des Beschlusses „Recht auf Vergessen II“ begehrte die Beschwerdeführerin die Unterlassung der Anzeige eines Suchergebnisses von Google. Bei der Eingabe ihres Namens erschien als Suchergebnis ein Transkript eines Beitrags des Fernsehmagazins „Panorama“ von 2010. Der Beschwerdeführerin wurde darin ein unfairer Umgang mit ihren Mitarbeitern vorgeworfen. Das Landgericht verurteilte Google dazu den Link zu entfernen. Das OLG wies die Berufung ab.

Die rechtliche Würdigung

Nach den Ausführungen des BVerfG betrifft der Rechtsstreit eine unionsrechtlich vereinheitlichte Materie, weswegen die Unionsgrundrechte anwendbar seien. Dies sei Konsequenz der Übertragung von Hoheitsbefugnissen auf die EU. Die Anwendung deutscher Grundrechte würde das Ziel der Rechtsvereinheitlichung konterkarieren. Dem Grundgesetz komme insofern nur eine Reservefunktion zu. Während der EuGH für die letztverbindliche Auslegung des Unionsrechts zuständig sei, habe das BVerfG die Kompetenz über die richtige Anwendung der Unionsgrundrechte.

Das Recht auf Achtung des Privatlebens aus Art. 7 und 8 CRC beschränke sich nicht auf höchstpersönliche oder besonders sensible Sachverhalte, sondern schließe auch geschäftliche und berufliche Tätigkeiten ein. Zwar könne sich Google selbst nur auf die unternehmerische Freiheit berufen. In der Abwägung seien jedoch auch die Grundrechte der Inhalteanbieter einzustellen, um deren Veröffentlichung es geht. Zudem müssten Zugangsinteressen der Internetnutzer berücksichtigt werden. Das BVerfG arbeitet sodann detailliert heraus, dass ein Schutzanspruch gegenüber einem Suchmaschinenbetreiber weiter reichen kann als gegenüber dem Inhalteanbieter, wenn im Verhältnis zwischen zwischen Betroffenen und Inhalteanbieter nach innerstaatlichem Fachrecht allein die inhaltliche Richtigkeit eines Beitrags ohne Berücksichtigung seiner Verbreitungswirkungen im Internet maßgeblich ist und deshalb der hierdurch entstehende Schutzbedarf der Betroffenen auf dieser Ebene noch nicht erfasst wird.

Das Ergebnis

Die klageabweisende Entscheidung des OLG beanstandet das BVerfG nicht. Die Beschwerdeführerin habe damals ihre Zustimmung zu dem Beitrag gegeben. Ein Zeitablauf könne zwar dazu führen, dass die Verbreitung von Beiträgen durch Suchmaschinen unzumutbar wird, denn es müsse die Chance eines In-Vergessenheit-Geratens belastender Informationen geben. Allerdings sie die Beschwerdeführerin weiterhin unternehmerisch tätig und der Zeitraum von sieben Jahren nicht übermäßig lang.

Zum Beschluss „Recht auf Vergessen I“ folgt ein weiterer Blogeintrag.

Unabhängiger, deutscher Behördenmessenger in Planung

4. Dezember 2019

Die Bundesregierung plant einen eigenen Messengerdienst für Behörden, der WhatsApp ersetzen soll. „Ein sicherer, plattformunabhängiger und behördenübergreifender Messengerdienst für Behörden ist aus Sicht der Bundesregierung sinnvoll“, teilte das Bundesinnenministerium (BMI) die dem Tagespiegel mit.  

In Frankreich gibt es bereits den Regierungsmessenger Tchap, der auf Open-Source-Grundlage entwickelt worden ist und in den Behörden genutzt wird. Diesem Beispiel folgt Deutschland und will auch für deutsche Behörden einen unabhängigen Messengerdienst entwickeln. Mit dem Thema befasst sich eine ressortübergreifende Arbeitsgruppe unter der Leitung des BMI. Die Planung hat schon begonnen, Pilotprojekte sollen aufgebaut und erprobt werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber (BfDI) begrüßte es aus datenschutzrechtlicher Sicht den Behörden zu dienstlichen Zwecken eine unabhängige Messengeralternative anzubieten.

Vermehrte Datenpannen mit sensiblen Daten

3. Dezember 2019

Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.

Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.

Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.

Der virtuelle Adventskalender des LfDI Rheinland-Pfalz

2. Dezember 2019

Am 1. Dezember 2019 wurde der virtuelle Adventskalender des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) eröffnet. Jedes Jahr möchte der Landesbeauftragte, Prof. Dr. Dieter Kugelmann mit seinem virtuellen Adventskalender 2019 „Licht auf den Datenschutz“ werfen.

Der Adventskalender behandelt bis Weihnachten hinter jedem der digitalen Türchen ein Datenschutzthema. Die Datenschutzthemen widmen sich Menschen in ihrem zunehmend digitalisierten Alltag. Der Adventskalender befasst sich unter anderem mit dem Recht am eigenen Bild, mit Rezepte-Apps, Videoüberwachung, Tracking im Internet, Geschäftsgeheimnissen, Informationsfreiheit, Auskunftsrechte, E-Mail-Zugriff durch den Arbeitgeber, die Folgen eines Brexit und Künstlicher Intelligenz.

 „Viele digitale Vorgänge sind uns selbstverständlich geworden, dennoch sollte man wissen, dass nicht alles, was technisch geht, immer auch zulässig ist oder hingenommen werden muss. Die digitale Gesellschaft braucht und hat Regeln und es ist es gut, wenn man sich dessen bewusst ist. Mit Hilfe des Adventskalenders können Sie Ihre Weihnachtszeit datenschutzgerecht gestalten“, betont der Landesdatenschutzbeauftragte.

EU-Parlament bestätigt den neuen EU-Datenschutzbeauftragten

Der polnische Jurist, Wojciech Wiewiórowski ist der neue EU-Datenschutzbeauftragte. Er war seit Dezember 2014 stellvertretender Europäischer Datenschutzbeauftragter. Der Ausschuss für Justiz und Bürgerrechte im EU-Parlament bestätigte Wojciech Wiewiórowski nun für eine fünfjährige Amtszeit als Europäischer Datenschutzbeauftragter. Wiewiórowski hatte das Amt zuvor bereits übergangsweise übernommen, nachdem sein Amtsvorgänger Giovanni Buttarelli diesen Sommer gestorben war.

Der neue EU-Datenschutzbeauftragte will eine „intelligente, innovative öffentliche EU-Verwaltung“ aufbauen. Wojciech Wiewiórowski nennt als große Herausforderung seiner Amtszeit den Umgang mit Künstlicher Intelligenz oder Quantum Computing und deren Auswirkung auf die Privatsphäre. Zudem kündigte der neue Amtsträger im Rahmen der Strafverfolgung neue Richtlinien zum Datenschutz an.

„Ich schätze die Freiheit und Würde des Einzelnen aufgrund meiner eigenen Erfahrungen, und mir ist bewusst, wie wertvoll und zerbrechlich sie sind“, betont der neue Datenschutzbeauftragte in einer öffentlichen Stellungnahme.

Abstracts zu den Vorträgen des datenschutzticker.live

29. November 2019

Wir freuen uns, Sie darauf aufmerksam machen zu können, dass die Abstracts zu den einzelnen Vorträgen der Redner unserer Veranstaltung „datenschutzticker.live“ inzwischen auf datenschutzticker.live abrufbar sind.

Auf der Seite finden Sie kurze Zusammenfassungen zu den folgenden Vorträgen:

Sollten Sie Fragen, Anregungen oder sonstige Anliegen haben, so können Sie jederzeit unter veranstaltung@datenschutzticker.live auf uns zukommen.

BMJV-Studie zur DSGVO-Umsetzung von Online-Diensten

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat in der Zeit von Juli bis September 2019 eine Untersuchung zur Umsetzung der DSGVO durch Online-Dienste durchgeführt und die Ergebnisse der Studie am heutigen Tag (29.11.2019) veröffentlicht.

Die Studie wurde von Wissenschaftlern der Universität Göttingen durchgeführt. Gegenstand der Untersuchung war wie 35 große Online-Dienste, unter anderem Amazon, Google, WhatsApp, Zalando und ARD, die Voraussetzungen der DSGVO umgesetzt haben. Ein besonderes Augenmerk wurde dabei auf die Verbraucherrechte gelegt. Die Auswahl der getesteten Dienste ist breit gefächert und reicht von Onlineshops, über Bewertungsportale bis hin zu Newsseiten und sozialen Netzwerken sowie Messengerdiensten.

Das Ergebnis der Studie bezeichnet der Verbraucherschutz-Staatssekretär Gerd Billen als „ermutigend und ernüchternd zugleich“. Einerseits sei zu erkennen, dass es Verbesserungen für Verbraucherinnen und Verbraucher gäbe und einige Dienste bereits viele DSGVO-Voraussetzungen umgesetzt haben, andererseits bei vielen Diensten noch Luft nach oben ist. Eine 100%ige Umsetzung der DSGVO konnte bei keinem Online-Dienst festgestellt werden.

Als größte Probleme wurden die Anwendung personalisierter Werbung und der Umgang mit sensiblen Daten festgestellt.

Positiv hervorgehoben werden von der Studie einzelne Best-Practice-Beispiele, wie:

  • die Datenschutzerklärungen von Zalando, eBay Kleinanzeigen und Focus Online,
  • der datenschutzfreundlich voreingestellte Cookie Banner von Volkswagen,
  • der verbraucherfreundliche Registrierungsprozess von Spiegel Online.

Die gesamte Studie können Sie hier nachlesen.

Datenleck bei OnePlus

25. November 2019

Der chinesische Smartphone-Hersteller OnePlus räumt zum zweiten Mal innerhalb von zwei Jahren eine Datenpanne ein. Das Sicherheitsteam des Unternehmens hat im OnePlus-Forum veröffentlicht, dass Unbefugte über einen unbekannten Zeitraum auf Kundendaten zugreifen konnten. Auch Käufer aus Deutschland sollen betroffen sein.

OnePlus teilt mit, dass der Name, die Kontaktnummer, die E-Mail-Adresse und die Lieferadresse bestimmter Benutzer möglicherweise offengelegt wurden. Das Unternehmen versichert jedoch, dass Zahlungsinformationen, Passwörter und Accounts sicher seien. Die Betroffenen seien per E-Mail über den Vorfall informiert worden. OnePlus schreibt im Online-Forum, dass als Folge dieses Sicherheitsvorfalls Betroffene möglicherweise Spam- und Phishing-E-Mails erhalten. Es bleibt noch unbekannt, wie viele Kunden betroffen sind und wie lange Unbefugte die Daten abgreifen konnten.

In seiner Bekanntmachung bittet das Unternehmen um Entschuldigung und verspricht, dass OnePlus weitere Maßnahmen ergreifen will, um den Schutz der Kundendaten zu verbessern. Dabei wird das Unternehmen im nächsten Monat mit einer Sicherheitsplattform zusammenarbeiten, um die Datensicherheit zu verbessern.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: ,

BSI-Studie zu Windows 10

21. November 2019

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt zur Überprüfung von Windows 10 das Projekt „SiSyPHuS Win10“ (Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10) durch. Es sollen die sicherheitskritischen Funktionen einer Nutzung von Windows 10 bewertet und Rahmenbedingungen und Empfehlungen für einen sicheren Einsatz von Windows 10 erstellt werden.

Das BSI hat die Ergebnisse des ersten Teilbereichs der Studie nun veröffentlicht. In diesem ersten Projektteil werden die Telemetriefunktionen von Windows10 analysiert. Nach Einschätzung des BSI werden trotz verschiedener Konfigurations-Level stetig Daten übertragen. Eine vollständige Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows sei zwar technisch möglich, für den einfachen Nutzer allerdings nur schwer umzusetzen.

Zu diesem Zusammenhang haben die Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Prüfschema für Unternehmen, die das Microsoft Betriebssystem Windows 10 benutzen, veröffentlicht. Kernpunkt ist die regelmäßige Übertragung von Nutzerdaten in die USA. Die Aufsichtsbehörden stellen fest, dass eine vollständige Unterbindung des Datentransfers „aktuell nicht möglich“ sei. Nach Ansicht der Aufsichtsbehörden sollte zunächst sichergestellt und dokumentiert werden, welche personenbezogenen Daten an Microsoft übermittelt werden. Allerdings ist dies wegen des fortlaufenden Veränderns und Hinzufügens von Funktionalität durch Microsoft nicht möglich. Generell lasse sich die Frage, ob Windows 10 datenschutzkonform ist, nicht beantworten. Nach Einschätzung der deutschen Aufsichtsbehörden müssten die verantwortlichen Nutzer in Unternehmen und Behörden eben „das Restrisiko“ so minimieren, dass es „tragbar“ sei.

1 2 3 4 5 204