Schlagwort: Aufsichtsbehörde
12. März 2018
Foodwatch Deutschland testete mehrere Lebensmittel-Lieferdienste (u.a. Amazon Fresh, Allyouneedfresh, Mytime).
Dabei wurde deutlich, dass viele Lieferdienste zur Verarbeitung der Bestellung die Angabe nicht erforderlicher Daten verlangten, wie z.B. das Geburtsdatum. Das Geburtsdatum ist lediglich bei Bonitätsprüfungen (bei Zahlung auf Rechnung) oder beim Kauf von Alkoholika notwendig.
Auch die Kontrolle der Shops durch Kontrollbehörden wird als mangelhaft angesehen. „Im Onlinehandel besteht ein echtes Kontrolldefizit, weil die Lebensmittelüberwachung nicht zeitgemäß aufgestellt ist. Die kommunal und offline organisierten Kontrollbehörden sind noch nicht im globalen Online-Zeitalter angekommen. Die zuständigen Lebensmittelkontrolleure schaffen es schlichtweg nicht, neben dem Bäcker vor Ort auch noch die großen Online-Supermärkte und die unzähligen Nischenanbieter im Internet zu kontrollieren, die zufällig ihren Sitz in diesem Ort haben.“ , sagte Martin Rücker, Geschäftsführer foodwatch Deutschland.
Außerdem benutzen die Lieferdienste bis auf Allyouneedfresh eine hohe Anzahl von Trackern, oft völlig unbemerkt. Damit sammeln sie ohne Wissen des Nutzers Informationen über das Nutzerverhalten.
Es besteht mithin ein großer Bedarf an datenschutzrechtlichen Maßnahmen sowie an Kontrollmaßnahmen bei den Lebensmittel-Lieferdiensten.
12. September 2017
In einer Pressemitteilung vom 8. September 2017 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Onlinehandel tätige Unternehmen dazu aufgefordert, Identitätsdiebstähle effektiver zu bekämpfen.
Beim Identitätsdiebstahl verwenden Betrüger unter Angabe einer alternativen Lieferadresse den Vornamen, Namen und/oder das Geburtsdatum einer anderen Person, um Ware auf Rechnung zu bestellen, ohne diese zu bezahlen. Weil die Betrüger zudem häufig auch falsche E-Mail-Adressen nutzen, erfahren die Opfer oft erst dann von ihrer vermeintlichen Bestellung, wenn sie Post von Inkassounternehmen und Wirtschaftsauskunfteien erhalten.
Gerade in Bezug auf die Auskunfteien stellt der Identitätsdiebstahl eine starke Belastung für die Opfer dar, da die Bestellung eine negative Eintragung und eine damit verbundenen Herabstufung ihrer Bonität zur Folge haben kann.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die als Aufsichtsbehörde vermehrt Fälle des Identitätsdiebstahls prüft, stellt in ihrer Pressemitteilung fest, “dass Unternehmen nicht genügend Maßnahmen ergreifen, um Identitätsdiebstähle zu verhindern.” Die Datenschutzbeauftragte Maja Smoltczyk kritisiert unter anderem, dass die Unternehmen teilweise selbst offensichtliche Unklarheiten hinsichtlich des Bestellers in Kauf nähmen und die Pakete trotzdem versendeten. In einem Originalzitat, das in der Pressemitteilung veröffentlicht wurde, heißt es: „Unternehmen dürfen den Schutz von Betroffenen nicht hinten anstellen, um Lieferungen möglichst rasch versenden und Umsatz erzeugen zu können. Wenn es zu einem Identitätsdiebstahl kommt, brauchen die Opfer zudem Unterstützung. Sie dürfen nicht wie potentielle Betrüger behandelt werden. Es wird Zeit, dass der Onlinehandel seiner Verantwortung in diesem Bereich stärker gerecht wird.“
In ihrer Pressemitteilung fordert die Datenschutzbeauftragte insbesondere folgende Maßnahmen:
- “Unternehmen müssen geeignete Methoden zur Identifizierung ihrer Kunden einsetzen. Bei Auffälligkeiten, die auf Betrug hinweisen können, wie etwa einer abweichenden Lieferanschrift, müssen durch die Onlinehändler oder deren Zahlungsdienstleister Kontrollen durchgeführt werden (z. B. eine Melderegisterauskunft oder persönliche Rückfragen).
- Eine Erstbestellung mit einer von der Rechnungsadresse abweichenden Lieferadresse sollte nicht auf Rechnung möglich sein.
- Werden Wirtschaftsauskunfteien im Rahmen der Bestellung angefragt, um die bestellende Person zu identifizieren, müssen sie auf Abweichungen, z. B. bei der Adresse, ausdrücklich hinweisen.
- Mahnungen sollten nicht ausschließlich per E-Mail versendet werden. Betrüger geben gern falsche E-Mail-Adressen an, sodass Opfer nicht oder erst sehr spät von dem Identitätsdiebstahl Kenntnis erlangen.
- Wenn bei der Bestellung Unstimmigkeiten hinsichtlich der Identität der bestellenden Person aufgekommen sind, muss dieser Umstand auch einem ggf. später eingeschalteten Inkassounternehmen als Anhaltspunkt für einen möglichen Identitätsdiebstahl mitgeteilt werden.
- Eine negative Meldung an eine Wirtschaftsauskunftei und ein gerichtliches Vorgehen wegen Nichtzahlung gegen die Betroffenen dürfen nur erfolgen, wenn keine Anhaltspunkte für einen Identitätsdiebstahl vorliegen.
- Alle beteiligten Branchen müssen eine effektive und einfache Beschwerdemöglichkeit ohne unnötigen Verwaltungsaufwand schaffen. In jedem Fall muss der Kundenservice für das Thema Identitätsdiebstahl sensibilisiert werden.
- Alle Fälle von Identitätsdiebstahl müssen zur Anzeige gebracht werden. Das ist auch deshalb wichtig, damit die Kriminalstatistik ein aussagekräftiges Bild von dem Phänomen Identitätsdiebstahl geben kann.”
20. Juli 2017
Aufsichtsbehörde, Art. 51 ff. DSGVO
Art. 51 DSGVO enthält die Vorgabe für die Mitgliedstaaten, unabhängige Aufsichtsbehörden einzurichten. Aufgabe dieser Behörden soll einerseits der Schutz der Grundrechte und Grundfreiheiten sein, andererseits aber auch die Erleichterung des freien Verkehrs von personenbezogenen Daten innerhalb der Union. Diese doppelte Aufgabe wird als vorrangiges Ziel der Aufsichtsbehörde verstanden und soll bei Entscheidungen einen gerechten Ausgleich zwischen die Interessen der Verantwortlichen und der Betroffenen bringen.
Darüber hinaus schreibt Art. 51 Abs. 2 DSGVO die kohärente Anwendung der Vorschriften der DSGVO durch die Aufsichtsbehörden vor. Hierzu sollen die Aufsichtsbehörden sowohl untereinander als auch mit der Kommission eng zusammenarbeiten, eine nähere Ausgestaltung dieser Zusammenarbeit findet sich in Kapitel VII der DSGVO. Insbesondere soll die Zuständigkeit genauer geregelt werden, um zukünftig ein forum shopping zu verhindern.
Die Zuständigkeit der Aufsichtsbehörden beschränkt sich grundsätzlich gem. Art. 55 Abs. 1 DSGVO auf das Hoheitsgebiet des eigenen Mitgliedsstaates.
Die Art. 55 und 56 DSGVO regeln Fälle der grenzüberschreitenden Datenverarbeitung, in denen die Zuständigkeit bei einer federführenden Aufsichtsbehörde liegen soll. Daneben wird den übrigen Behörden ein Mitspracherecht und ein eigener Entscheidungsspielraum für die Fälle eingeräumt, in denen die federführende Behörde keine vorrangige Zuständigkeit hat.
Für den Fall, dass von einem Sachverhalt mehrere Aufsichtsbehörden nach Art. 4 Nr. 22 DSGVO betroffen sind, bestimmt Art. 56 eine federführende Behörde. Diese ist dann nach dem in Art. 60 DSGVO beschriebenen Verfahren für die Zusammenarbeit mit den anderen Aufsichtsbehörden zuständig. Nach Art. 56 Abs. 1 DSGVO bestimmt sich die federführende Behörde danach, wo sich der Hauptsitz des Unternehmens des Datenverarbeiters oder seine einzige Niederlassung befindet.
One-Stop-Shop, Art. 56 Abs. 6 DSGVO
Die Regelung des Art. 56 Abs. 6 DSGVO bewirkt, dass sich der Verantwortliche oder Auftragsverarbeiter in Fällen der grenzüberschreitenden Datenverarbeitung ausschließlich an die für ihn zuständige federführende Aufsichtsbehörde wenden kann. Dieses Prinzip des One-Stop-Shop soll dazu dienen, dass in Zukunft auch bei grenzüberschreitenden Sachverhalten, die Kommunikation und Abstimmung der Vorgehensweisen durch die Einbeziehung nur einer Aufsichtsbehörde erleichtert werden.
Bestellung eines DSB, Art. 35 ff. DSGVO
Art. 37 DSGVO schreibt die Bestellung eines Datenschutzbeauftragten (DSB) in den in Absatz 1 aufgelisteten Fällen vor. Damit muss ab 2018 jedes Unternehmen, das aus datenschutzrechtlicher Sicht einer Kontrolle bedarf einen DSB benennen.
Deutschland hat bereits die in der DSRL vorgesehene Öffnungsklausel genutzt und in § 4f BDSG die Bestellung des DSB geregelt, sodass hier voraussichtlich keine Änderungen zu erwarten sind.
Nach Art. 37 Abs. 1 lit. b) und lit. c) DSGVO muss ein DSB bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche einer Überwachung bedürfen oder wenn die Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder Art. 10 besteht.
Unter dem Begriff der Kerntätigkeit ist jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind.
Der Pflichtenkreis des DSB wird durch Art. 39 DSGVO erweitert. Während der DSB bisher nur auf die Einhaltung des BDSG „hinwirken“ sollte, sieht die DSGVO künftig eine Überwachungspflicht hinsichtlich der Einhaltung des gesamten anwendbaren Datenschutzrechts sowie der Einhaltung der Datenschutzstrategien vor. Es bleibt dabei, dass der DSB keine Weisungs- oder Entscheidungsbefugnis hinsichtlich der Datenverarbeitung hat, solange er den ihm zugewiesenen Aufgaben ordnungsgemäß nachkommt.
Des Weiteren ergibt sich aus Art. 38 Abs. 4 DSGVO die Pflicht des DSB, gegenüber betroffenen Personen Anfragen, Hinweisen und Beschwerden nachzugehen und die betroffenen Personen dahingehend zu beraten. Art. 39 DSGVO bringt auch den risikobasierten Ansatz der DSGVO zum Ausdruck: je sensibler die Art der verarbeiteten Daten und je größer der Umfang, desto sorgfältiger und umfangreicher muss der DSB arbeiten.
Die DSGVO lässt die Haftungsfragen des DSB weitgehend unbeantwortet. Jedenfalls sind gem. Art. 83 Abs. 4 und Abs. 5 DSGVO keine Geldbußen gegenüber DSB vorgesehen. Eine Regelung bzgl. einer zivilrechtlichen sowie straf- und ordnungswidrigkeitenrechtliche Haftung des DSB sieht die DSGVO nicht vor. Insgesamt bleibt abzuwarten, wie die Gerichte und Aufsichtsbehörden die Regelungen auslegen. Der DSB sollte solange die Erfüllung seiner Aufgaben und Pflichten ausführlich dokumentieren, um nachweisen zu können, dass er das seinerseits Erforderliche hinsichtlich der Einhaltung des Datenschutzes im Unternehmen getan hat.
Sanktionen, Art. 83 DSGVO
Bei Verstößen von Verantwortlichen oder Auftragsverarbeitern gegen die DSGVO, haben die Aufsichtsbehörden nach Art. 58 Abs. 1 und Abs. 2 DSGVO die Möglichkeit, Sanktionen zu verhängen. Vorrangiges Ziel der Verhängung von Bußgeldern soll die Abschreckung von Unternehmen sein. Diese soll unter der Berücksichtigung der Umstände des Einzelfalls wirksam und verhältnismäßig sein.
Art. 83 Abs. 2 DSGVO stellt der Aufsichtsbehörde Ermessenskriterien bei der Verhängung von Geldbußen zur Verfügung, die sich insbesondere an der Art, Schwere und dem Umfang des Verstoßes orientieren. Daneben ist unter anderem zu berücksichtigen, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde und welche Maßnahmen zur Schadensminimierung ergriffen wurden.
In der nächsten Woche folgt noch der Abschlussbeitrag der Themenreihe DSGVO.
6. April 2017
Vor der Geltung der Datenschutz-Grundverordnung (DS-GVO) im Mai kommenden Jahres steigt bei den datenschutzrechtlichen Aufsichtsbehörden des Bundes und der Länder der Bedarf an qualifiziertem Personal, denn Zuständigkeits- und Verantwortungsbereiche werden stark anwachsen.
Nach einer aktuellen Umfrage des Handelsblatts zeigt sich, dass insbesondere bei den Ländern nicht rechtzeitig genügend Personal zur Verfügung stehen wird, um die z. T. komplexen Neuerungen umzusetzen. Die Hälfte der betroffenen Behörden führt derzeit noch Verhandlungen über Haushaltserhöhungen, in einigen Bundesländern steht bereits fest, dass es dieses Jahr nicht mehr zu Neueinstellungen kommen kann (so in Berlin, Bremen, Hamburg, Saarland, Sachsen und Thüringen).
Nach dem Hamburger Datenschutzbeauftragten Johannes Caspars sei mithin zu befürchten, dass “die Kluft zwischen den rechtlichen Erwartungen, die der Gesetzgeber mit der neuen Regelung verfolgt, und der defizitären Ausstattungssituation noch viel größer wird, als sie bereits unter der gegenwärtigen Rechtslage ist“.
Etwas besser sieht die Personalsituation beim Bund aus. Nach Informationen der Bundesdatenschutzbeauftragten Andrea Voßhoff sind für ihre Behörde bereits 32 neue Stellen für die DS-GVO vorgesehen.
16. Juni 2016
Der Bayrische Landesbeauftragte für den Datenschutz, Dr. Thomas Petri, hat eine Broschüre zum Datenschutz im Krankenhaus veröffentlicht. Was zunächst recht träge klingt, ist anschaulich, lebendig und verständlich geschrieben. Die Broschüre begleitet einen (fiktiven) Patienten bei seinem Krankenhausbesuch. Dabei werden selbstverständlich verschiedene Daten des Patienten erfasst und verarbeitet, teilweise aber auch schon vorhandene Daten wieder aufgerufen oder an andere Stellen übermittelt. Die Fragen, die sich dem Patienten dabei stellen, werden in der Broschüre kurz und übersichtich beantwortet.
Insgesamt hat es der Bayrische Landesbeauftragte für den Dateschutz damit geschafft, eine durchaus lesenswerte Lektüre zu erstellen, nicht nur für Patienten.
2. Mai 2016
Einwilligungserklärungen zur Verwendung von Daten finden sich häufig – auf Websites, in Formularen oder bei Verträgen. Häufig sind diese Einwilligungserklärungen jedoch nicht datenschutzkonform gestaltet: mal ist die Einwilligung als Bestandteil des Vertrages im Vertragstext “versteckt”, mal ist keine Widerrufsmöglichkeit angegeben.
Um diesen praktischen Problemen zu begegnen, hat der Düsseldorfer Kreis (also die datenschutzrechtlichen Aufsichtsbehörden der Länder) eine “Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen” herausgegeben. Hier werden die elf wichtigsten Punkte einer Einwilligungserklärung aufgeführt und erklärt.
Dies ist nicht die erste praktische Hilfe des Düsseldorfer Kreises: Hinsichtlich Einwilligungen zu Werbung sei auf den entsprechenden Leitfaden verwiesen, der die Fallstricke und Gestaltungsmöglichkeiten aufzeigt.