27. September 2019
Aufgrund des fehlenden Digital-Know-hows schwindet immer mehr Vertrauen der Führungskräfte in die Belegschaft. Die Studie verzeichnet diese rapide Entwicklung in weniger als zwei Jahren. Trotz Weiterbildungsmaßnahmen scheint ein lang anhaltender Effekt auf die Mitarbeiter auszubleiben, sodass in nur wenigen Wochen die neu erlernten Qualifikationen wieder verschwinden. Etventure-Geschäftsführer Philipp Depiereux erklärt, dass nur dann die Lern- und Trainingserfolge der Mitarbeiter beibehalten werden können, wenn der Kulturwandel ganzheitlich im Unternehmen verankert wird.
Die immer weiter voranschreitende Digitalisierung steigert die Unsicherheit deutscher Großunternehmen in Bezug auf die Arbeit ihrer Mitarbeiter. Eine Studie der Beratungsgesellschaft Etventure zeigt, dass ca. 76% der Unternehmen eine große Skepsis gegenüber dem qualifizierten Umgang der Mitarbeiter mit digitalisierten Daten haben.
Die fehlende Qualifikation der Mitarbeiter in Bezug auf die Digitalisierung ist von den meisten Unternehmen selbst verschuldet, da das Thema nicht mit der entsprechenden Priorität an die Mitarbeiter herangetragen wurde und an immer stärker an Bedeutung bei der Umsetzung in Unternehmen verliert.
26. September 2019
In immer mehr Städten sind E-Scooter schon unterwegs. Jeder Nutzer sollte sich trotzdem Gedanken darüber machen, dass die Nutzung eines E-Scooters einen erheblichen Eingriff in die Privatsphäre von Nutzern darstellen könnte. Der Hamburger Datenschutzbeauftragte Johannes Caspar bestätigt dies mit seiner Aussage: „Diese neue Form urbaner Mobilität wird von vielen Anbietern nur unter einem erheblichen Eingriff in die Privatsphäre von Nutzern zur Verfügung gestellt.“
Wer diese neue Form urbaner
Mobilität leihen will, braucht eine App und eine Registrierung. Bei der
Registrierung erheben die E-Scooter-Anbieter nicht nur Kontaktdaten,
Kontodaten und Daten zur Nutzung des Internetangebots, sondern auch Standortdaten
(Start- und Abstellort sowie Fahrverlauf), Daten von verlinkten
Drittanbieterdiensten sowie Daten von Marketing- und Werbepartnern des
Anbieters. Auf diese Weise könnten die E-Scooter-Anbieter Bewegungsprofile
jedes einzelnen Nutzers erstellen.
Die Bewegungsprofile der Nutzer
sind wirtschaftlich von besonderer Bedeutung nicht nur für die Anbieter,
sondern auch für Geschäftspartner, Werbetreibende und für lokale Verkäufer von
Waren und Dienstleistungen. Der Hamburger Datenschutzbeauftragte kritisierte,
dass diese Daten „Treibstoff für digital
getriebene Geschäftsprozess“ sind.
Johannes Caspar erklärt zudem,
dass die Datenschutzhinweise defizitär seien. Außerdem ist sehr unklar, welche
Daten zu welchen Zwecken von den jeweiligen Anbietern erhoben werden. Deswegen
sind „die Datenschutzbestimmungen der
Anbieter kritisch durchzusehen“. Er empfiehlt: „Bei Verdacht auf Datenschutzverletzungen kann eine Beschwerde bei der
örtlichen oder der für den Anbieter zuständigen Datenschutzbehörde eingelegt
werden.“
25. September 2019
Google reagiert auf die Vorwürfe zur unrechtmäßigen Auswertung von Sprachaufnahmen durch Mitarbeiter. In einem Blogbeitrag verspricht Google mehr Datenschutz, erklärt die Datenverarbeitung bei der Nutzung des Sprachassistenten und entschuldigt sich bei seinen Usern.
Google stellt zunächst klar, dass sein Sprachassistent ohne
Speicherung von Sprachaufnahmen verwendet werden kann. Indem die Nutzer in den Einstellungen
die „Sprach- und Audioaktivitäten“ aktivieren, stimmen sie einer Speicherung
ihrer Sprachaufnahmen zu. Da die Sprachauswertung nach den Vorwürfen ausgesetzt
worden ist, müssen auch Nutzer, die den Assistenten bereits verwenden, einer
Speicherung zunächst zustimmen. Mit dem Ziel der Datenminimierung sollen in
Zukunft gespeicherte Sprachaufnahmen, die mit dem Nutzerkonto verknüpft sind,
nach ein paar Monaten gelöscht werden.
Erst nach einer Zustimmung speichert Google Sprachaufnahmen
der User bei der Nutzung seines Assistenten. Ein Teil dieser Audiodateien wird dann
von Mitarbeitern zur Verbesserung des Assistenten ausgewertet. Google betont
aber, dass diese Sprachaufnahmen keinem Nutzerkonto zugeordnet werden.
Als Schwachstelle sieht Google selbst die unbeabsichtigte Aktivierung des Sprachassistenten und verspricht alle so entstandenen Audiodateien zu löschen. In Zukunft sollen Nutzer die Empfindlichkeit des Assistenten – also wie schnell dieser auf „OK Goolge“ regiert, selbst regulieren können.
Mit dem Blogbeitrag schafft Google zumindest mehr Transparenz bezüglich der Verarbeitung von Sprachaufnahmen seiner User. Wie die Änderungen tatsächlich umgesetzt werden bleibt abzuwarten.
Der EuGH hatte sich erneut mit der Thematik der Löschung von Informationen aus Ergebnislisten einer Suchmaschine befasst. Bereits im Jahr 2014 stärkte der EuGH das Recht auf Vergessenwerden. Es blieb jedoch die umstrittene Frage über die geographische Reichweite des vom Gericht eingeräumten Recht auf Vergessenwerden über die EU-Grenzen hinaus offen. Deshalb hatte der französische Staatsrat den EuGH zur genaueren Auslegung dieser Verpflichtung angerufen.
In seinen jetzigen Urteilen (Urteile vom 24.09.2019, Rechtssache C-136/17 und C-507/17) machte der EuGH deutlich, dass die Suchmaschinenbetreiber nicht dazu verpflichtet werden können, Links weltweit zu löschen und sich damit das Recht auf Vergessenwerden lediglich auf die EU-Staaten beziehe. Jedoch stellt er klar, dass die angezeigten Links weltweit aus allen Versionen des Dienstes zu entfernen sind. Die Suchmaschinenbetreiber müssen durch entsprechende Maßnahmen dafür Sorge tragen, dass Internetnutzer nicht auf Links außerhalb der EU zugreifen können.
Darüber hinaus wurde in einem weiteren Urteil festgestellt, dass das Verbot der Verarbeitung von bestimmten personenbezogenen Informationen auch auf die Suchmaschinenbetreiber übertragbar ist. Ein wirksamer Schutz müsse für die betroffenen Bürgerinnen und Bürger eingehalten werden, damit das Privatleben jedes einzelnen geachtet werden kann.
20. September 2019
In diesem Beitrag geht es um die gesetzlichen Grundlagen für die Verhängung von Sanktionen. Wie in jedem rechtlich relevanten Bereich können auch im Datenschutzrecht Rechtsverstöße mit Sanktionen geahndet werden. Dies galt bereits vor Inkrafttreten der EU-Datenschutzgrund-verordnung (DSGVO) am 25. Mai des vergangenen Jahres. Im Zuge der Einführung des EU-weit geltenden Datenschutzrechts wurden die Sanktionen vereinheitlicht, den nationalen Gesetzgebern aber weiterhin die Möglichkeit eingeräumt, darüberhinausgehende Regelungen zu erlassen.
Sanktionen auf Grundlage der DSGVO
Die DSGVO enthält zunächst Regelungen zu geldwerten Sanktionen (Art. 82-84 DSGVO). Daneben hat der Betroffene die Möglichkeit, eine Beschwerde bei der Aufsichtsbehörde zu erheben (Art. 77 DSGVO) oder Rechtsbehelfen gegen die Aufsichtsbehörde (Art. 78 DSGVO) bzw. den Verantwortlichen oder Auftragsverarbeiter (Art. 79 DSGVO) einzulegen.
Ausgehend von Art. 82 DSGVO haften grundsätzlich alle an der Verarbeitung beteiligte Parteien dem Betroffenen auf Ersatz materieller sowie immaterieller Schäden. Einzige Ausnahme ist insoweit die gelungene Entlastung nach Art. 82 Abs. 3 DSGVO. Diese Norm soll also nicht strafen, sondern den erlittenen Schaden in Geld ausgleichen und ist dementsprechend in dem Verhältnis von Betroffenen zum (Auftrags-)Verarbeiter anzuwenden.
Korrelierend dazu normiert Art. 83 DSGVO Voraussetzung und Höhe einer durch die Behörden verhängten Geldbuße. Hier wird nicht der Betroffene entschädigt, sondern die Aufsichtsbehörde spricht eine Strafe gegen den (Auftrags-)Verarbeiter wegen eines Fehlverhaltens aus, die nicht den eingetretenen Schaden beim Betroffenen ausgleichen, sondern Sanktionswirkung haben soll.
Konkret enthält Art. 83 Absatz 2 DSGVO Parameter, die bei der Verhängung einer Geldstrafe zu berücksichtigen sind. Jede Sanktion ist eine Einzelfallentscheidung bei der unter anderem Art, Schwere und Dauer des Verstoßes, Maßnahmen zur Minderung des Schadens und Grad der Verantwortlichkeit berücksichtigt werden. Als Geldbuße können maximal 20 000 000 EUR, oder im Fall eines Unternehmens, bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhangen werden. Sanktionsbewehrte Verstöße sind unter anderem:
- Verletzung der Verarbeitungsgrundsätze des Art. 5 DSGVO,
- Verstöße gegen die Rechte der betroffenen Personen, Art. 12-23 DSGVO,
- Internationale Datentransfers ohne rechtliche Grundlage, Art. 44-50 DSGVO und
- Compliance-Verstöße, die zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen.
Insgesamt ist festzustellen, dass nur sehr wenige Verstöße gegen materiell-rechtliche Pflichten bußgeldbefreit sind, was die Relevanz datenschutzrechtlicher Compliance immens erhöht. Mithin ist ein gutes, den gesetzlichen Voraussetzungen entsprechendes, Datenschutzmanagement unverzichtbar.
Sanktionen auf Grundlage des Bundesdatenschutzgesetzes
Art. 84 DSGVO ermächtigt den nationalen Gesetzgeber Sanktionen für Verstöße gegen die DSGVO in nationalen Gesetzen festzulegen. Diese Möglichkeit hat der deutsche Gesetzgeber im Bundesdatenschutzgesetzes (BDSG) wahrgenommen.
Zunächst eröffnet § 41 BDSG die Anwendbarkeit der Vorschriften über das Bußgeld- und Strafverfahren. So sind sowohl das Ordnungswidrig-keitengsetz (OWiG) als auch die Strafprozessordnung (StPO) sowie das Gerichtsverfassungsgesetz (GVG) im Zusammenhang mit datenschutzrechtlichen Verstößen anwendbar.
Überdies erweitert das BDSG die Haftung auf den Einzelnen, sodass neben Bußgeldern die gegen Unternehmen verhängt werden können auch Geld- bzw. Freiheitsstrafen in Betracht kommen. Konkret wird die berechtigungslose, gewerbsmäßige Weitergabe von Daten an eine große Zahl von Personen sowie die berechtigungslose Verarbeitung von Daten mit Bereicherungs- bzw. Schädigungsabsicht bestraft. Das Strafmaß ist von Geldstrafe bis zur Freiheitsstrafe von zwei Jahren (§ 42 BDSG). § 43 BDSG formuliert sodann die bußgeldbewehrten Ordnungswidrigkeiten die bei Verstößen gegen § 30 BDSG vorliegen können.
Ausblick auf weitere Themen
In der nächsten Woche geht es um Sanktionen die seit Einführung der DSGVO und der Anpassung des BDSG, in Deutschland verhängt wurden.
Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
19. September 2019
Das Unternehmen Delivery Hero Germany GmbH hat ausweislich einer Pressemitteilung der Berliner Datenschutzbeauftragten gegen den Grundsatz der Speicherbegrenzung nach Maßgabe des Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO) verstoßen. Hierfür sei ein Bußgeld in Höhe von 195.407 Euro verhängt worden.
Konkret hätte die Delivery Hero Germany GmbH – eine ehemalige Tochter der Delivery Hero SE – in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen seien.
Überdies hätten sich (hier beispielsweise aufgeführt) acht ehemalige Kunden über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In einem Fall hätte ein Geschädigter trotz ausdrücklichem Widerspruch der Nutzung seiner Daten für Werbezwecke weitere 15 Werbe-E-Mails von dem Lieferdienst erhalten. Dies entspricht insoweit einem Verstoß gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a) DSGVO).
Der mittlerweile neue Eigentümer des Unternehmens, die Takeway.com hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt.
18. September 2019
Insbesondere nach den Vorfällen in Voerde und Frankfurt am Main wollen
die Bundesregierung und die Bahn mehr Videoüberwachung und Polizeipräsenz auf
den Bahnhöfen einsetzen, um die Sicherheit an Bahnhöfen zu erhöhen.
Die intelligente Videoüberwachung und die biometrische Gesichtserkennung an
Bahnhöfen können künftig ein wichtiges Unterstützungsinstrument insbesondere
für die Bundespolizei sein. Auf diese Sicherheitsmaßnahmen einigten sich
der Bundesinnenminister Horst Seehofer
und der Bundesverkehrsminister Andreas Scheuer bei einem Treffen mit dem DB-Infrastrukturvorstand
Ronald Pofalla.
Für die Modernisierung der Videotechnik an Bahnhöfen sind bis 2023
bereits 70 Millionen Euro vorgesehen. Der Bundesverkehrsminister teilte
mit, dass das Verkehrsministerium weitere
50 Millionen Euro ausgeben will, die der
Bundestag noch genehmigen muss. Hinzu kommen noch 12,5 Millionen Euro von der
Deutschen Bahn (DB).
Der geplante Einsatz der Gesichtserkennung ist sehr umstritten. Datenschützer sind skeptisch, da bisher dafür keine rechtliche Grundlage existiert. Sie halten den Einsatz biometrischer Gesichtserkennungssoftware in Überwachungskameras für rechtswidrig, da die Datenschutzgrundverordnung (DSGVO) die Erhebung biometrischer Daten mit dem Ziel, Personen zu identifizieren, grundsätzlich verbietet.
In welchem Umfang ein Einsatz von Videoüberwachung mit biometrischer Gesichtserkennung geplant sei, ist derzeit nicht bekannt. Eine Bundespolizei-Sprecherin erklärte lediglich, dass es für die Implementierung des Gesichtserkennungssystems an Bahnhöfen „aufgrund der damit verbundenen Grundrechtseingriffe zunächst einer klarstellenden Rechtsgrundlage im Bundespolizeigesetz“ bedürfe.
Die Bundespolizei hatte im Jahr 2017 am Berliner Bahnhof Südkreuz ein hochumstrittenes
Pilotprojekt mit Gesichtserkennungssoftware getestet. Trotz die mittelmäßigen
Erkennungsraten, wertete die Bundespolizei die Ergebnisse als großen Erfolg. Dazu
hat der Bundesdatenschutzbeauftragte
Ulrich Kelber mitgeteilt: „Losgelöst von der Frage, wie effektiv diese Art
der Überwachung überhaupt ist, fehlt es für eine flächendeckende biometrische
Videoüberwachung nach wie vor an einer konkreten gesetzlichen Rechtsgrundlage“.
17. September 2019
Patienten aus Deutschland und den USA betroffen.
Datensätze von weltweit mehreren Millionen Patienten sind im Netz für jedermann frei zugänglich. Auf dieses Datenleck stießen Reporter vom Bayrischen Rundfunk und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, während einer gemeinsamen Recherche.
Teil der betroffenen Datensätze sind auch Bilder aus medizinischen Untersuchungen, welche unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen eines Brustkorbs zeigen. Der Großteil der Datensätze weist einen Personenbezug auf: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst. Diese sensiblen und damit besonders schützenswerten Daten lagen auf ungeschützten Servern.
Betroffen sind in Deutschland rund 13.000 Datensätze, wovon der größte Teil von Patienten aus dem Raum Ingolstadt (Bayern) und aus Kempen (Nordrhein-Westfalen) stammt. Doch auch weltweit sind nach Auswertungen von ProPublica Patientendaten betroffen. In den USA sei das Ausmaß besonders hoch.
Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte gegenüber dem BR auf, welche Konsequenzen ein solches Datenleck haben kann: “Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.”
Laut Informationen des Bayrischen Rundfunks wurde der Fall Ingolstadt bei dem Bayerischen Landesamt für Datenschutzaufsicht, der zuständigen Behörde, angezeigt. Welche aufsichtsbehördlichen Maßnahmen die Behörde treffen wird, bleibt abzuwarten.
16. September 2019
Die Betreiber von gewerblichen Fanpages auf Facebook sind mitverantwortlich für die Datenverarbeitung. Datenschutzbehörden dürfen Unternehmen verpflichten, ihre Seiten bei Facebook abzuschalten, wenn Facebook den Datenschutz missachtet. Das entschied jetzt das Bundesverwaltungsgericht in einem Grundsatzurteil.
Wie wir bereits berichtet haben, liegt der Entscheidung ein Fall aus Schleswig-Holstein zugrunde. Das Landeszentrum für Datenschutz (ULD) forderte 2011 von der Wirtschaftsakademie Schleswig-Holstein die Deaktivierung der Fanpage. Bei Aufruf der Seite würden Daten der Nutzer erhoben, ohne dass diese darüber informiert würden. Das Oberverwaltungsgericht (OVG) Schleswig-Holstein hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Das Bundesverwaltungsgericht legte den Fall schließlich dem Europäischen Gerichtshof (EuGH) vor.
Der EuGH hat im Juni 2018 dann entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher. Das Bundesverwaltungsgericht hat auf Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben.
„Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar“, weil dem ULD keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht. Inwiefern die Datenverarbeitung im konkreten Fall tatsächlich rechtswidrig war, muss aber noch genauer geklärt werden, urteilten die Leipziger Richter. Sie verwiesen den Fall darum zur erneuten Verhandlung und Entscheidung an das OVG zurück.
11. September 2019
Der neue Standard ISO/IEC 27701 erweitert den bekannten ISO/IEC-27001 Sicherheitsstandard für Informations-Sicherheits-Management-Systeme (ISMS) um datenschutzrechtliche Aspekte. Es kommt zu einer Integration der Anforderungen an ein Datenschutz-Informations-Management-System (PIMS) in ein ISMS.
Ein ISMS soll dazu dienen, Unternehmen bei der Verwaltung ihrer sensiblen Informationen zu unterstützen und damit die Informationssicherheit zu fördern. Die maßgeblichen Standards werden von der internationalen Organisation für Normung (ISO) und der Internationalen Elektronischen Kommission (IEC) entwickelt. Anforderungen an die Informationssicherheit werden in der 27000er Serie in einem Dutzend Normen konkretisiert und sollen bei der Umsetzung helfen.
Das Bundesamt für Sicherheit in der Informationstechnik, der Bundesnetzagentur oder der Bundesanstalt für Finanzdienstleistungsaufsicht sehen den grundlegenden Standard ISO 27001 als maßgebliche Norm an. Der neue Standard ISO 27701 baut auf dem des 27001 auf und ergänzt diese um datenschutzrechtliche Aspekte.
Das ISMS unterstützt damit bei der Berücksichtigung der Vorgaben der DSGVO. Diese fordert, unter anderem zum Schutz der Rechte und Freiheiten der betroffenen Personen durch Implementierung geeigneter technischer und organisatorischer Maßnahmen zur Sicherung personenbezogener Daten, auf.
Um eine datenschutzkonformes ISMS zu erstellen, wurde der neue Standard um Anforderungen ergänzt und enthält Empfehlungen für den Datenschutz.
Pages: 1 2 ... 77 78 79 80 81 ... 275 276 
