Schlagwort: BayLDA

Verwaltungsgericht Ansbach: Fotos von „Falschparkern“ erlaubt

9. November 2022

Wer Fotos von sog. Falschparkern zum Zwecke der Übermittlung an die Polizei anfertigt, verstößt laut dem Verwaltungsgericht Ansbach (VG) in der Regel nicht gegen Datenschutzrecht.

Hintergrund

Die beiden Kläger fotografierten ordnungswidrig geparkte Fahrzeuge, um diese Fotos mitsamt Anzeige an die zuständige Polizei zu übersenden. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verwarnte daraufhin die beiden Männer. Das Landesamt rügte, dass mit den Fotos oft auch nicht erforderliche, über den Parkvorgang hinausgehende Daten erhoben würden. So würden auch bspw. andere Fahrzeuge oder Menschen abgelichtet werden. Insgesamt hätten die beiden Kläger daher kein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. f Datenschutz-Grundverordnung (DS-GVO) an dieser Datenverarbeitung.

Dagegen erwiderten die Kläger, dass für die Verfolgung des Parkverstoßes eine möglichst genaue Dokumentation der Ordnungswidrigkeit erforderlich sei.

Der Tenor

Die 14. Kammer des VG Ansbach gab den zwei Klagen gegen die Verwarnungen des BayLDA statt. Das Gericht urteilte, dass es sich bei dem Vorgehen um eine rechtmäßige Datenverarbeitung handelte. Die genaue Begründung liegt allerdings noch nicht vor. Gegen die beiden Entscheidungen kann der Antrag zur Zulassung der Berufung zum Bayerischen Verwaltungsgerichtshof gestellt werden.

„Wie bekomme ich die Cookies auf meiner Homepage unter Kontrolle?“

26. Oktober 2022

Unter diesem Thema veranstaltete das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Themenwoche auf seinem Mastodon-Kanal. Bei dieser Veranstaltung stellte das BayLDA, neben rechtlichen und technischen Informationen, praxisorientierte Empfehlungen rund um das Thema „Cookies“ zu Verfügung. Die Veranstaltung richtete sich an öffentliche Stellen und Interessierte.

Die Einwilligungspflicht

Zunächst informierte das BayLDA darüber, dass Cookies den Regelungen der DSGVO und ebenso dem TTDSG, das seit dem 01. Dezember 2021 in Kraft getretenen ist, unterfallen (wir berichteten). Nach § 25 Abs. 1 TTDSG bedürfe das Setzen von Cookies einer Einwilligung. Zusätzlich sei eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Datenverarbeitung mittels Cookies erforderlich. Regelmäßig komme hierfür ebenso die Einwilligung in Betracht. Nach § 25 Abs. 2 TTDSG existiere eine Ausnahme zur Einwilligungspflicht. Diese liege erstens vor, wenn der Verwender Cookies zweckgebunden für die Übertragung einer Nachricht einsetze. Zweitens liege diese vor, wenn die verwendeten Cookies technisch erforderlich seien.

Es sei jedoch fraglich, wann Cookies technisch erforderlich seien. Das BayLAD führte hierzu aus, dass ein Cookie technisch erforderlich sei, wenn ohne ihn „(…) bestimmte Komponenten oder Funktionen des Telemediendienstes nicht ausgeführt werden könnten.“

Anschließend befasste sich das BayLDA mit der Frage, wie Webseitenbetreiber herausfinden könnten, welche Cookies ihre eigene Webseite setzt. Jeder Verwender könne über den Internet-Browser herausfinden, welche Cookies die aktuell aufgerufene Webseite nutze. Jeder Internet-Browser verwende dafür eine andere Funktion. Im Falle von „Mozilla Firefox“ können die Cookies beispielsweise über die „Entwicklungswerkzeuge“ angezeigt werden. 

Datenschutzrechtliche Vorgaben

Das BayLDA empfahl den Betreibern einer Webseite, darauf zu achten, Cookies möglichst datenschutzfreundlich einzusetzen. Hierbei ging das BayLDA exemplarisch auf die Auswahl von Tools zur Reichweitenmessung ein. Es empfahl solche Tools, die wenige oder keine Cookies verwenden und von einem Anbieter mit Sitz in der EU betrieben werden.

Hinsichtlich der datenschutzrechtlichen Vorgaben sei bei Cookies außerdem zu beachten, dass im Sinne der Art. 13 und 14 DSGO über die durch sie erfolgende Datenverarbeitung zu informieren sei. Der Umfang der erforderlichen Informationen bestimme sich anhand der eingesetzten Cookies. Bei technisch notwendigen Cookies seien regelmäßig weniger Informationen im Vergleich zu technisch nicht notwendigen Cookies zur Verfügung zu stellen. Darüber hinaus solle darauf geachtet werden, zu welchem Zeitpunkt der Nutzer die Einwilligung erteile und dass dabei eine Opt-In-Lösung gewählt werde. Auch sei eine mögliche Datenübermittlung in Drittländer zu überprüfen.

Videoüberwachung im Fitnessstudio unzulässig

6. Mai 2022

Das Verwaltungsgericht (VG) Ansbach hat mit Urteil vom 23.02.2022 entschieden, dass die Videoüberwachung eines Fitnessstudios unzulässig ist.

Die Klägerin betreibt ein Fitnessstudio, welches drei Trainingsräume hat. Alle Trainingsräume wurden auf der gesamten Fläche durchgehend während der Öffnungszeiten videoüberwacht (ohne Tonaufzeichnung). Die Aufzeichnungen wurden 48 Stunden lang gespeichert und anschließend gelöscht. Hinweisschilder zur Videoüberwachung befanden sich auf Innen- und Außenseite der Eingangstür.

Ein Kunde des Fitnessstudios wandte sich an die zuständige Datenschutzbehörde, das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und schilderte die Videoüberwachung. Daraufhin sandte das BayLDA einen Fragebogen an das Fitnessstudio. Der Betreiber des Fitnessstudios erklärte die Überwachung damit, dass sie der Prävention und Aufklärung von Diebstählen und Sachbeschädigungen, welche es in der Vergangenheit mehrfach gegeben habe, diene. Das BayLDA sah jedoch keine Notwendigkeit, dafür die gesamte Trainingsfläche zu überwachen. Vielmehr würde bei einer Interessenabwägung der Eingriff in das Grundrecht auf informationelle Selbstbestimmung (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) der Trainierenden, das Interesse des Betreibers überwiegen. Kernpunkt der Streitigkeit ist die Frage, ob die umfassende Videoüberwachung auf eine Rechtsgrundlage der DSGVO gestützt werden kann. Das BayLDA geht nicht davon aus und ordnete deswegen an, die Videoüberwachung auf die konkret gefährdeten Bereiche zu beschränken, z.B. die Spiegelwände. Gegen diese Anordnung erhob der Fitnessstudiobetreiber Klage.

Dieser Klage hat das VG Ansbach aber nicht stattgegeben. Das Gericht geht davon aus, dass die Anordnung des BayLDA rechtmäßig war und die Videoüberwachung beschränkt werden muss. Es schließt sich der Ansicht des BayLDA an, dass keine Rechtsgrundlage für die Überwachung vorliege. So lag insbesondere keine Einwilligung der Betroffenen (Art. 6 Abs. 1 a) DSGVO) vor, die Videoüberwachung war nicht für die Erfüllung des Vertrages notwendig (Art. 6 Abs. 1 b) Alt. 1 DSGVO) und der Betreiber kann sich auch nicht auf ein überwiegendes, berechtigtes Interesse (Art. 6 Abs. 1 f) Alt. 1 DSGVO) stützen. Um Straftaten zu verhindern, muss der Betreiber zunächst auf mildere Mittel zurückgreifen, z.B. auf eine Aufstockung des Personals.

Datenschutzmeldepflicht : Kritische Schwachstellen in Microsoft Exchange Servern

12. März 2021

Aufgrund von gezielten Angriffen durch Hacker auf verschiedene Versionen der Microsoft Exchange Server hat Microsoft wichtige Sicherheitsupdates zum Download bereitgestellt. Seit Ende Februar 2021 werden offene Flanken der Mail-Einrichtung Exchange Server angegriffen. Vier Lücken wurden dabei mit dem Bedrohungsgrad „äußerst kritisch“ eingestuft. Die Updates erfolgen außer der Reihe und die Angriffswelle dauert aktuell noch an.

Auch viele deutsche Unternehmen sind von den Attacken betroffen. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind zehntausende Exchange Server in Deutschland aktuell über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das BSI hat bereits begonnen, potentiell Betroffene zu informieren und empfiehlt allen Betreibern der Exchange Server, sofort die von Microsoft bereitgestellten Patches einzuspielen.

Betroffene Schwachstellen

Die Schwachstellen betreffen die Exchange Server der folgenden Versionen:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Die betroffenen Sicherheitslücken werden als Teil einer Angriffskette ausgenutzt. Der anfängliche Angriff setzt die Fähigkeit voraus, eine nicht vertrauenswürdige Verbindung zum Exchange-Server herzustellen, weitere Teilbereiche des Angriffs können dagegen auch ausgeführt werden, wenn der Angreifer bereits Zugang hat oder auf anderem Wege Zugang erhält. Das bedeutet, dass Abhilfemaßnahmen wie das Einschränken von nicht vertrauenswürdigen Verbindungen, oder das Einrichten eines VPNs nur vor dem ersten Teil des Angriffs schützt. Das Patch ist somit die einzige Möglichkeit, den Angriff vollständig abzuschwächen.

Es sei denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren könne, so das BSI.  Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI weiterhin ein sehr hohes Angriffsrisiko.

Die Sicherheitspatches sind über ein Windows Update verfügbar. Durch das Update werden die insgesamt 89 Sicherheitslücken geschlossen.

Chinesischer Bedrohungsakteur wohl verantwortlich

Nach den Informationen von Microsoft habe der in China ansässige und staatlich gelenkte Bedrohungsakteur „Hafnium“ die Fehler ausgenutzt, um sich Zugang zu E-Mails und zusätzlicher Malware zu verschaffen, die einen langfristigen Zugriff auf die Umgebungen der Opfer ermöglichen soll. Hafnium greife Organisationen in zahlreichen Branchen an, darunter Forscher von Infektionskrankheiten, Rechtsanwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Denkfabriken und NGOs (Nichtregierungsorganisationen).

Datenschutzrechtliche Maßnahmen

Wer als Unternehmen, Organisation oder Behörde von einem Angriff auf personenbezogene Daten betroffen ist, muss einen solchen Vorfall nach der Datenschutz-Grundverordnung (DS-GVO) unter bestimmten Umständen der zuständigen Datenschutzaufsichtsbehörde, bei Kritischer Infrastruktur zusätzlich auch dem Bundesamt für Sicherheit in der Informationstechnik melden.

Auch nach erfolgreichem Einspielen der Patches sollte bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Nach Angaben des Bayrischen Landesamt für Datenschutzaufsicht (BayLDA) müssen die jeweiligen Unternehmen prüfen (und ihren Incident-Respone-Plan anwenden, sofern ein solcher vorhanden ist), inwieweit Unregelmäßigkeiten im Betrieb festzustellen seien. Des Weiteren müsse die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen auch gemeldet werden, da es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Unter bestimmten Voraussetzungen müssten dann auch die betroffenen Personen informiert werden. Nur wenn in der vorliegenden Konstellation atypischer Weise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, müsse keine Meldung erfolgen, so das BayLDA. Darüber hinaus seien jedoch die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens umfassend zu dokumentieren.

Datenschutzproblem mit „reCAPTCHA“- Dienst von Google

15. Januar 2021

Nicht selten werden Webseiten heutzutage Opfer von massiven Spamangriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen setzt eine Vielzahl dieser Seiten auf sogenannte „Captchas“.

Was ist ein Captcha und wofür wird es verwendet?

Grundsätzlich handelt es sich bei einem Captcha („completely automated public Turing test to tell computers and humans apart“) um ein Tool, das auf Webseiten eingesetzt wird, um Menschen und maschinelle Programme („Bots“) auseinanderzuhalten. Sinn und Zweck dieser Tools ist es die eigene Webseite vor Bot-Angriffen zu schützen, indem man ihnen von vornherein die Zugriffmöglichkeit auf bestimmte Teile der Webseite, oder aber der gesamten Webseite vorenthält. So sollen etwa Manipulationen von Umfragen, übermäßige Serveranfragen oder aber Fake-User aufgehalten werden.

Die gängigsten Erscheinungsformen eines Captchas sind in Form von verschwommenen Buchstaben, einer einfachen Matheaufgabe oder auch einer Bilderreihenfolge. Zumindest in der Theorie sollen diese Aufgaben nur von Menschen gelöst werden können.

Google, „reCAPTCHA“ und ein Datenschutzproblem

Ganz vorne bei Entwicklung und Einsatz dieser Tools ist der Internetriese Google, dessen eigener Captcha-Dienst „reCAPTCHA“ auf über 6 Millionen Webseiten benutzt wird und mittlerweile bereits in seiner dritten Version vorliegt. Doch was in der Theorie wie eine sorgfältige Schutzvorrichtung wirkt, kann für normale Nutzer ein Datenschutzrisiko darstellen. Denn verborgen im Hintergrund von reCAPTCHA läuft ein JavaScript-Element. Ein solches ist in der Lage Benutzerverhalten auszuwerten. So werden neben IP-Adresse auch Daten wie Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer an Google weitergeleitet, ohne dass der Benutzer davon etwas mitbekommt. In den seltensten Fällen wird der Nutzer auf eine solche Analyse hingewiesen. Auch die allgemeine Datenschutzerklärung von Google bietet keine spezifischen Informationen zu reCAPTCHA.

Ein Problem, dass auch das Landesamt für Datenschutzaufsicht Bayern (BayLDA) sieht und in seinen FAQ zutreffend einen Hinweis in Bezug auf reCAPTCHA gibt:

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Betreiber von Webseiten sollten daher im besten Fall auf die Nutzung von reCAPTCHA und anderen Analysetools verzichten, um sich keinem rechtlichen Risiko auszusetzen.

Online-Test zur Vorbereitung auf die DSGVO für Unternehmen und Verantwortliche

27. November 2017

Das bayerische Landesamt für Datenschutzaufsicht, kurz BayLDA, hat am vergangenen Freitag einen Online-Selbsttest, für Unternehmen und andere Verantwortliche, hinsichtlich Compliance mit der EU-Datenschutzgrundverordnung (DSGVO) veröffentlicht.

Inzwischen sollte es kein Geheimnis mehr sein, dass die DSGVO am 25.Mai 2018 wirksam wird und bis dahin die Änderungen und Anforderungen der DSGVO umgesetzt sein müssen. Von der 2 jährigen Umsetzungszeit seit in Kraft treten der DSGVO ist nur noch ein Viertel, sechs Monate, über. Es ist also höchste Zeit sich einen Überblick über die Anforderungen zu machen und mit der Umsetzung der erforderlichen Maßnahmen zu beginnen.

Der Test führt bildlich durch alle EU-Mitgliedsstaaten und enthält 28 Fragen mit jeweils drei Antwortmöglichkeiten zu Themen der DSGVO. Die detaillierte Auswertung am Ende des Tests gibt Aufschluss über den Stand der Umsetzung der DSGVO im Unternehmen und zeigt auf, welche gesetzlichen Anforderungen bis zum 25. Mai 2018 noch umgesetzt werden müssen.

Bei dem Selbsttest handelt es sich nicht um ein Wissensquiz, sondern um eine Hilfe für Unternehmen und Verantwortliche, um festzustellen, was noch getan werden muss.

Der Test ist auch in englischer Sprache verfügbar.

Bayerisches Landesamt für Datenschutzaufsicht veröffentlicht Fragebogen zur Vorbereitung auf EU-DSGVO

29. Mai 2017

Nachdem am 25.05.2017 „Halbzeit“ der Vorbereitungszeit von Unternehmen an die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) erreichte, hat  das Bayerische Landesamt für Datenaufsicht (BayLDA) einen Prüffragebogen veröffentlicht. Der Prüffragebogen vermittelt verantwortlichen Stellen einerseits einen Eindruck darüber, wie ab Mai 2018 Prüfungen durch das BayLDA ablaufen könnten.

Gleichzeitig ist der Prüffragebogen ein gutes Instrument festzustellen, hinsichtlich welcher Aspekte Unternehmen ihre Prozesse und Systeme noch nicht EU-DSGVO-konform gestaltet haben. Zwar enthält die EU-DSGVO viele der bereits bekannten Grundsätze und Prinzipien. Insbesondere hinsichtlich der Rechte der Betroffenen sowie der Dokumentationspflichten bestehen jedoch wesentliche Unterschiede im Vergleich zur jetzigen Rechtslage.

Zwar enthält der Prüffragebogen alle wesentlichen Neuerungen. Jedoch darf sein zweiseitiger Umfang nicht darüber hinwegtäuschen, dass die Anpassung der Systeme und Prozesse eine zeitintensive Aufgabe ist.

BayLDA: Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden!

2. September 2015

Wer einen externen Dienstleister als so genannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz – so auf Bundesebene § 11 Bundesdatenschutzgesetz (BDSG) –  schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann. So viel die Theorie.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun nach eigenen Angaben gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt, weil dieses in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hatte, sondern dort nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes aufzufinden waren. Das BayLDA wies darauf hin, dass die keinesfalls ausreichend ist. Die datenschutzrechtliche Verantwortung trage auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser müsse daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch müsse der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür sei es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so könne der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Das BayLDA betont, dass nicht pauschal beantwortet werden kann, welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen. Dies richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Der schriftliche Auftrag muss daher spezifische Festlegungen zu diesen Fragen enthalten.

„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“, so der Präsident des BayLDA Kranig. „Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigne- ten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

BayLDA: Achtung auf Kundendaten beim Unternehmensverkauf!

19. August 2015

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nach eigenen Angaben Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem  mittlerweile unanfechtbaren Bußgeld in jeweils fünfstelliger Höhe belegt.

Im konkreten Fall ging es um die unzulässige Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Rahmen eines Asset Deals. Diese erfolgte ohne die explizite Einwilligung der betroffenen Kunden. Damit wurde gegen das Datenschutzgesetz verstoßen, was wegen des Umstandes, dass es sich bei E-Mail-Adressen um personenbezogene Daten handelt, anwendbar ist. Zugleich wurde gegen das Gesetz gegen den unlauteren Wettbewerb verstoßen, wonach ebenfalls eine Einwilligung des Kunden von Nöten ist, wenn der Erwerber die Daten auch zu Werbezwecken verwenden möchte.

Das BayLDA hat klargestellt, dass für die unzulässige Übergabe von Kundendaten sowohl der Veräußerer als auch der Erwerber als sogenannte „verantwortliche Stellen“ die datenschutzrechtliche Verantwortung tragen. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000,- € geahndet werden können.

BayLDA: Bußgeld für Veröffentlichung von DashCam-Aufnahmen

7. Oktober 2014

Das Bayerische Landesamt für Datenschutzbeaufsicht (BayLDA) hat angekündigt, künftig gegen die unzulässige Veröffentlichung von DashCam-Aufnahmen vorzugehen. Wenn bekannt werde, dass Autofahrer die mit ihrer Dashcam aufgenommenen Videofilme an Polizei, Versicherung oder ähnliche weitergeben oder im Internet veröffentlichen, würde das BayLDA prüfen, ob im jeweils konkreten Fall der Erlass eines Bußgeldbescheides angezeigt ist. Dabei sei eine Bußgeldhöhe von bis zu 300.000 EUR möglich. Das permanente Aufnehmen des Straßenumfelds mit einer Dashcam sei datenschutzrechtlich unzulässig, wenn diese Aufnahmen mit dem Ziel gemacht werden, sie bei passender Gelegenheit an Dritte zu übermitteln, sei es durch Veröffentlichung im Internet auf Youtube, Facebook oder anderen Plattformen oder auch durch Weitergabe der Aufnahmen an Polizei, Versicherung oder sonstige Dritte. Nur dann, wenn von Anfang an fest steht – und das auch bis zum Ende, d.h. dem Löschen der Aufnahmen, durchgehalten wird – , dass derartige Aufnahmen den privaten und persönlichen Bereich nicht verlassen, seien die Vorschriften des Bundesdatenschutzgesetzes nicht einschlägig.

Pages:  1 2
1 2