Umgang mit der DSGVO in Vereinen

27. Juni 2018

Die EU-Datenschutzgrundverordnung beschäftigt derzeit auch die vielen Vereine. Um den Anforderungen der Verordnung gerecht zu werden, sollten einige Umsetzungsmaßnahmen auch in den einzelnen Vereinen erfolgen.

Neben der Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO, sollten neben einer möglichen Einwilligung,  personenbezogene Daten nur verarbeitet werden, wenn eine Rechtsgrundlage hierfür gegeben ist. Bei Vereinen dürfte der Vertrag über die Mitgliedschaft in Verbindung mit der Vereinssatzung in den meisten Fällen als Rechtsgrundlage i.S.d. Art 6 DSGVO dienen. Für einen Newsletterversand u.Ä. wäre darüber hinaus jedoch eine datenschutzkonforme Einwilligungserklärung nötig.

Die Mitglieder müssen zudem über die Datenverarbeitungsvorgänge informiert werden. Um möglichen Abmahnungen zu entgehen, sollten Vereine die Vereinswebsite prüfen und eine Datenschutzerklärung einfügen.

Es empfiehlt sich, ob rechtlich verpflichtet oder nicht, einen Datenschutzbeauftragten zu benennen, um im Verein einen Anpsprechpartner zu etablieren, der einen Überblick über die Datenschutzthemen behält.

Fotografieren unter der DSGVO: OLG Köln veröffentlicht ersten Beschluss

Auch in der Fotografiebranche gab und gibt es aufgrund des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) Rechtsunsicherheiten. Hintergrund ist, dass das Anfertigen und Veröffentlichen von Bildern, auf denen Personen zu erkennen sind, eine Verarbeitungstätigkeit personenbezogener Daten im Sinne der DSGVO darstellt, für das der datenschutzrechtliche Grundsatz des Verbots mit Erlaubnisvorbehalt gilt. Dies hat zur Folge, dass insbesondere für das Veröffentlichen die Einwilligung des betroffenen Abgebildeten selbst oder eine andere Rechtsgrundlage aus der DSGVO nötig ist, um die Verarbeitung zu legitimieren. Auf der Ebene des nationalen Rechts sieht allerdings auch das Kunsturhebergesetz (KUG) für das Veröffentlichen der Fotografien einige Ausnahmetatbestände vor. So können nach § 23 KUG etwa Bildnisse aus dem Bereich der Zeitgeschichte, Bilder von Versammlungen oder solchen, auf denen Personen nur als sogenanntes Beiwerk erscheinen, veröffentlicht werden, auch wenn keine Einwilligung des Betroffenen vorlag.

Nach Inkrafttreten der DSGVO ist nun allerdings umstritten, inwiefern die Vorschriften des KUG noch Anwendung finden, da die DSGVO in der Normenhierarchie über dem KUG steht und dessen Regelungen daher grundsätzlich verdrängt (wir berichteten).

In dem Beschluss des OLG Köln vom 18.06.2018 (Az. 15 W 27/18) hat sich nun das erste Gericht mit der Frage des Konkurrenzverhältnisses beschäftigt. Das OLG Köln vertritt dabei die Ansicht, dass Art. 85 DSGVO zugunsten der Verarbeitung für journalistische Zwecke von der DSGVO abweichende nationale Rechtsvorschrift erlaubt. Von dieser Erlaubnis seien nicht nur neue, sondern auch bereits bestehende Regelungen erfasst, soweit diese sich einfügen. Dabei seien keine strengeren Maßstäbe anzusetzen, weil Datenschutzvorschriften sonst stets die journalistische Arbeit beeinträchtigen würden. Im Kern würde Art. 85 DSGVO insbesondere keine konkreten materiell-rechtlichen Vorgaben machen, sondern nur voraussetzen, dass zwischen dem Datenschutz auf der einen Seite und der Meinungs- und Kommunikationsfreiheit auf der anderen Seite ein angemessener Ausgleich sichergestellt sei. Dies hätte zur Folge, dass das KUG weiterhin gelte, da auch die Vorschriften des KUG umfangreiche Abwägungen zwischen den entgegenstehenden Interessen, im Rahmen dessen auch unionsrechtliche Grundrechtspositionen zu berücksichtigen sind, vorsehe.

Der Beschluss des OLG Köln ist allerdings insgesamt unter der Prämisse zu sehen, dass das KUG Erlaubnistatbestände ausschließlich für das Veröffentlichen der Fotos, nicht aber für das Anfertigen selbst vorsieht. Für das Fotografieren selbst gilt damit ausschließlich die DSGVO. Eine rechtliche Einordnung des Fotografierens unter der DSGVO hat kürzlich die Datenschutzbehörde Brandenburg veröffentlicht.

DSGVO: Angst vor Bußgeldern steigt

26. Juni 2018

Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) nun in Kraft. Seitdem sind schon erste Beschwerden bei den Aufsichtsbehörden eingegangen. Nach der DSGVO beträgt die maximale Geldbuße für Datenschutzverstöße bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist.  Aufgrund der steigenden Angst vor Abmahnungen und entsprechenden Bußgeldern, verbieten einige Unternehmen  bereits eine betriebliche Nutzung von Nachrichtendiensten. Das Unternehmen Continentale verbietet eine dienstliche Nutzung des Nachrichtendienstes WhatsApp und der Social Media App Snapchat. Hierbei sind etwa 36.000 Mitarbeiter betroffen. Das Unternehmen ruft damit das Projekt „Vision Zero für den Datenverkehr“ aus. Dem Konzern ist das Risiko zu groß, durch die Nutzung von WhatsApp oder Snapchat einen Datenschutzverstoß zu begehen. Dieses Vorgehen begründen sie damit, dass durch die Nutzung der Dienste ein Zugriff auf persönliche und damit potentiell vertrauliche Daten ihrer Nutzer stattfände.  Die Verantwortung zur Einhaltung der Datenschutzgesetze würde damit auf die Nutzer der Apps abgewälzt. Die daraus entstehenden Datenschutz-Risiken will das Unternehmen nicht tragen und darüber hinaus zugleich die eigenen Beschäftigten und Geschäftspartner schützen.

Dies verdeutlicht, dass die Nutzung von Social Media Apps und Nachrichtendiensten gerade im unternehmerischen Bereich viele Sorgen und Bedenken im Hinblick auf die Datenschutzgrundverordnung und die damit verbundenen Sanktionen bewirkt.

Kategorien: Allgemein

Gestattung innovativer Datennutzungen in der Gesundheitswirtschaft

Zur Gewährleistung des Aktionsplans eHealth haben acht Industrieverbände ein Zielbild-eHealth erarbeitet.

Durch das Zielbild wollen die beteiligten Industrieverbände eine Grundlage für die Umsetzung des Aktionsplans-eHealth schaffen. Nach dem Zielbild sollen insbesondere innovative Datennutzungen gestattet werden. Dafür werden in dem Zielbild Reformansätze für den Datenschutz medizinischer Daten formuliert. Im Mittelpunkt der Reformansätze des eHealth-Zielbildes steht der Gedanke, dass die Zweckbindung für die medizinische Forschung nicht mehr gelten soll. Stattdessen sollen die Daten durch eine leistungs- und flächendeckende Netz und Kommunikationsinfrastruktur in einem offenen und gesicherten Datenraum zur Verfügung stehen, um so den Nutzen für den Patienten zu steigern. Ebenso soll die Reform das Sicherheitsniveau erhöhen. Laut dem Zielbild soll gerade der angestrebte digitale Prozess eine Steigerung der Sicherheit gegenüber analogen Dokumentationsprozessen bewirken.

Die Verbände begründen diese Reform zudem mit der wirtschaftlichen Bedeutung der Gesundheitswirtschaft mit einem Umsatz von 76,7 Milliarden Euro und über sieben Millionen Erwerbstätigen. Angesichts dieser Bedeutung solle die Gesundheitswirtschaft laut dem Zielbild durch diese Reform erhalten und gestärkt werden. Die datenschutzrechtliche Zweckbindung dürfe die Entwicklung und Anwendung von Big-Data Anwendungen und innovativem Daten-Hosting nicht beeinträchtigen. Laut dem Zielbild erfordere gerade die Entwicklung in der medizinischen Forschung auch eine Verwendung von Daten über den ursprünglichen Zweck hinaus, da in diesem Bereich oftmals zukünftige Verwendungen nicht bei Erhebung der Daten absehbar seien.

Die Verbände wollen dafür eine neue Form der Einwilligung einführen in Form von elektronischen Einwilligungsmodellen. Ungeachtet der neuen Einwilligungsmodelle soll eine patientenorientierte Versorgung weiterhin das Leitbild bleiben.

Zusätzlich sollen die Bürger durch eine bundesweite Aufklärungskampagne von den Änderungen in Kenntnis gesetzt werden, um so eine Aufklärung über die Vernetzung im Bereich der Forschung zu ermöglichen.

Polizei in Schleswig-Holstein testet Bodycams mit Pre-Recording-Funktion

22. Juni 2018

Am 15.06.2018 startete ein Pilotprojekt zur polizeilichen Nutzung von Bodycams in Schleswig-Holstein. Auf dem Volksfest „Kieler Woche“ werden zum ersten Mal Bodycams von den Einsatzkräften der Landespolizei Schleswig-Holstein getestet. Die Polizeibeamten erhoffen sich dadurch einen deeskalierenden Effekt in Konfliktsituationen. Ziel ist es Aggressionen gegenüber Polizeibeamte zu reduzieren.

Die Kameras werden auf der Schulter des Polizisten getragen und zeigen im Standby-Modus auf dem kleinen Bildschirm das Geschehen vor dem Polizeibeamten. Durch das Aktivieren des Pre-Recordings werden mit Starten der Aufnahme auch die vorherigen 30 Sekunden aufgezeichnet. Der Einsatz von Bodycams ist seit dem ersten Pilotversuch in Hessen 2014 umstritten und datenschutzrechtlich problematisch. Durch die Aufnahmen wird in das Recht am eigenen Bild und das Recht am eigenen Wort als Ausprägung des allgemeinen Persönlichkeitsrechts und in das Grundrecht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG in einem erheblichen Umfang eingegriffen. Es besteht außerdem die Gefahr, dass unbeteiligte Personen aufgenommen werden. Darüber hinaus ist es datenschutzrechtlich bedenklich, dass die Aufnahmen auch zur Kontrolle der Polizeibeamten durch Vorgesetzte verwendet werden können.

Die Datenschutzbeauftragte des Landes Schleswig-Holstein Marit Hansen verlangt enge Regeln für die Benutzung der Kameras. Das Einschalten des Standby-Modus soll nur in Gefahrensituationen gestattet sein, wenn die Beamten gezielt auf eine Person oder Gruppe zugehen. Optische und akustische Signale weisen auf eine laufende Aufnahme. Es soll außerdem nur in öffentlichen Räumen, in Kneipen, Einkaufszentren, Bussen oder Bahnen aufgenommen werden dürfen, nicht aber in Privatwohnungen oder auf Demonstrationen.

Die Ergebnisse des Versuchs sollen ergebnisoffen ausgewertet werden, um über den Einsatz von Bodycams und eine noch zu schaffende gesetzliche Grundlage für ihre Verwendung zu entscheiden. Seit März 2017 ist nach § 27a Bundespolizeigesetz das Tragen von körpernahen Bild- und Tonaufzeichnungsgeräten für die Bundespolizei erlaubt. Die Bundesländer können eigene Regelungen schaffen. Der 2017 gestartete Pilotversuch in NRW wurde im Januar 2018 wegen Mängeln an den Kameras abgebrochen.

California Consumer Privacy Act (CCPA) steht in der USA zur Abstimmung

20. Juni 2018

Kalifornier erhalten bald die Möglichkeit für ein umfassendes Datenschutzrecht abzustimmen, welches viele DSGVO-Grundsätze widerspiegelt. Für Datenschutzgesetze hat Kalifornien in den USA eine Vorreiterrolle inne.

Befürworter des CCPA gaben am 3.5.2018 bekannt, dass genügend Unterschriften gesammelt wurden um am 6.11.2018 über die Gesetzesmaßnahme per Volksabstimmung abzustimmen.

Unter anderem räumt das Gesetz Verbrauchern das Recht ein auf Anfrage ähnlich wie nach Art. 15 DSGVO über Datensammlungen informiert zu werden. Das Unternehmen muss auch mitteilen an wen die Daten verkauft oder weitergegeben werden. Auch die Definition des CCPA von persönlichen Informationen (PI) ist viel umfassender als die Definition von „persönlichen Informationen“ gemäß des geltenden kalifornischen Gesetzes zur Meldung bei Datenschutzverstößen.

Ein CCPA-Verstoß durch Missachtung der Datenschutzrechte des Verbrauchers oder durch einen Datenschutzverstoß führt zu einem gesetzlichen Schadensersatz, unabhängig davon, ob dem Verbraucher tatsächlich ein Geld- oder Sachschaden entstanden ist. Der gesetzliche Schadensersatz liegt zwischen US$ 1000 und US$ 3000.

Viele Technologieunternehmen, Banken, und die Automobilindustrie lehnen das Gesetz ab, da es zu weitreichend und zu teuer sei.

Es sieht so aus, als ob Datenschutz bald nicht nur in Europa eine große Rolle spielt.

 

Digitale Gesundheits-App „Vivy“

Mehrere gesetzliche und private Versicherungen wollen ab Juli mit der App des Berliner Startups „Vivy“ eine gemeinsame digitale Gesundheitsplattform anbieten. Die App soll etwa 25 Millionen Versicherten zur Verfügung stehen, welche diese kostenlos und freiwillig nutzen können. Die App beinhaltet nicht nur eine elektronische Gesundheitsakte, sondern auch Impfpass, Medikationsplan und Notfalldaten. Zudem gehören ein Gesundheitscheck und die Hilfe bei der Arztsuche zu ihren Funktionen.

Nach Art. 9 Abs. 1 DSGVO sind Gesundheitsdaten „besondere Kategorien personenbezogener Daten“, die aufgrund ihres Inhalts sensibel und daher besonders schutzbedürftig sind. Durch diverse Öffnungsklauseln der DSGVO (für den Gesundheitsbereich ist insbesondere
Art. 9 Abs. 4 DSGVO relevant) werden zusätzliche Bedingungen und Beschränkungen durch nationale Regelungen auf diesem Gebiet ermöglicht. Es ist stets genau zu prüfen, auf welcher Grundlage und zu welchem Zweck Gesundheitsdaten verarbeitet werden dürfen.

Laut Website ist Vivy „selbstverständlich“ datenschutzkonform. Die Daten sind in der App Ende-zu-Ende verschlüsselt und werden auf deutschen Servern gehostet. Jeglicher Datentransport erfolgt mindestens im https-Format. Ärzte haben nur Zugriff, wenn der Versicherte dies explizit erlaubt. Der Widerruf ist jederzeit möglich. Ebenso kann jederzeit die Löschung der Daten verlangt werden.

Gesetzliches Vorgehen gegen das DSGVO-Abmahnunwesen

Die CDU/CSU-Fraktion strebt ein rasches Vorgehen gegen gewerbliche Abmahnungen bei DSGVO-Verstößen an. Mit ihrer Initiative, welche die Veranschlagung hoher Anwaltsgebühren im Rahmen missbräuchlicher Abmahnungen verhindern sollte, ist sie der fehlenden Unterstützung seitens der SPD wegen allerdings Anfang letzter Woche gescheitert. Die Initiative beinhaltete die vorübergehende Aussetzung der DSGVO-Abmahngebühren. Dafür sollte eine Klausel in den Gesetzentwurf zur Musterfeststellungsklage eingefügt werden.

Die SPD möchte das Problem grundlegender angehen und die Anwaltsgebühren wie im Urheberrecht deckeln. Weiterhin sollen sich Kläger den Klageort nicht mehr aussuchen dürfen. Parallel hierzu sieht sie das Innenministerium in der Pflicht, die Regelungen für Fotografen, für welche weiterhin das Kunsturheberrechtsgesetz gelten solle, verbindlich festzulegen und so die anhaltende Rechtsunsicherheit zu beseitigen.

Inzwischen ist man sich in der Koalition inhaltlich weitgehend einig und so soll spätestens Anfang September ein Gesetzentwurf zur generellen Bekämpfung des Abmahnmissbrauchs vorgelegt werden. Klares Ziel ist hier der Schutz kleiner und mittelständischer Unternehmen, gemeinnütziger Organisationen und Selbstständiger: Soweit diese geringfügig gegen Vorgaben der DSGVO verstoßen soll die Möglichkeit kostenpflichtiger Abmahnungen ausgeschlossen werden.

Auch wenn bereits vereinzelt Abmahnanwälte das Geschäft mit der DSGVO gewittert haben, ist ein flächendeckender Missbrauch dem Bundesverband der Verbraucherzentrale nach bislang nicht festzustellen, sodass das Scheitern der „Soforthilfe“ durch die CDU/CSU-Fraktion, insbesondere im Hinblick auf den nun geplanten Gesetzentwurf aller Voraussicht nach keine schwerwiegenden Folgen nach sich ziehen wird.

 

Ist die private Nutzung eines Diensthandys zulässig?

18. Juni 2018

Nicht nur im Alltag, sondern auch im Berufsleben wird das Smartphone zum ständigen Begleiter. Aus diesem Grund stellen viele Unternehmen den Mitarbeitern ein Diensthandy zur Verfügung.

Grundsätzlich sollten Diensthandys zu rein dienstlichen Zwecken genutzt werden. Möchte man jedoch das Smartphone darüber hinaus auch zu privaten Zwecken nutzen, sollte man sich zunächst vergewissern, ob diese Nutzung vom Arbeitgeber tatsächlich erlaubt worden ist. Ohne die Erlaubnis ist eine private Nutzung jedenfalls verboten.

Der Grund dafür liegt darin, dass die private Nutzung Auswirkungen auf den Arbeitgeber haben kann. Dieser darf dann nicht mehr ohne weiteres auf das Diensthandy zugreifen, da dieser davon ausgehen muss, dass dort zum Beispiel private E-Mails des Arbeitnehmers gespeichert sind, die ihn nichts angehen. Wird dir private Nutzung durch den Arbeitgeber ausgeschlossen, wäre ein Zugriff hingegen erlaubt.

Darüber hinaus führt die private Nutzung zu datenschutzrechtlichen Problemen, indem regelmäßig Messenger (z.B. WhatsApp) installiert werden, die auf das interne Telefonbuch des Nutzer zugreifen können. Sind dort auch Kontaktdaten, Nummern und andere Daten von Kunden oder Geschäftskontakten gespeichert, können diese auf dem Server des Messenger-Betreibers landen und damit ein Verstoß gegen das Datenschutzrecht darstellen.

Kategorien: Allgemein
Schlagwörter: ,

Ausschuss des EU Parlaments kritisiert Privacy Shield

14. Juni 2018

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments hat Anfang der Woche einen Resolutionsvorschlag mit knapper Mehrheit verabschiedet, in dem die Vereinbarkeit des Privacy Shields mit europäischen Datenschutzstandards stark kritisiert wird (wir berichteten). Damit appelliert der Ausschuss an die EU Kommission den Druck auf die US-Regierung zu erhöhen.

Der Privacy Shield ist ein Übereinkommen bezüglich datenschutzrechtlicher Anforderungen im Rahmen von Datentransfer zwischen den USA und der EU. Seit 2016 ermöglicht diese Übereinkunft offiziell die datenschutzkonforme Übermittlung von Daten aus EU-Ländern in die USA. In dem Resolutionvorschlag wird die EU-Kommission dazu aufgefordert, darauf zu achten, dass US-Behörden die bereits bestehenden Bedingungen des Privacy Shields erfüllen und dass die neuen Datenschutzbestimmungen der DSGVO eingehalten werden. Ein Kritikpunkt ist, dass immer noch keine Ombudsperson seitens der USA benannt wurde, an die sich EU-Bürger im Falle von Beschwerden wenden können. Des Weiteren wird der in den USA im März verabschiedete „Cloud Act“ kritisiert, der den Zugriff von US-Behörden auf im Ausland gespeicherte Daten über bilaterale Abkommen regeln soll.

Der Ausschuss schlägt dem EU Parlament vor, die EU Kommission dazu aufzufordern den Privacy Shield zu überarbeiten und andernfalls die Übereinkunft ab dem 1. September auszusetzen.  Das EU Pralament wird voraussichtlich im Juli darüber beraten. Die finale Resolution ist für die Kommission jedoch nicht verbindlich.

1 2 3 4 5 166