Schlagwort: Datenschutz

Thailand erlässt Gesetz zum Schutz personenbezogener Daten

16. Mai 2022

Am 1. Juni 2022 soll Thailands erstes Gesetz zum Schutz personenbezogener Daten in Kraft treten. Das sogenannte Personal Data Protection Act (PDPA) wurde ursprünglich im Jahr 2019 unterzeichnet, sein Inkrafttreten wurde jedoch aufgrund der Pandemie verschoben und auf den 1. Juni 2022 datiert. Das Gesetz beschreibt die Verpflichtungen von Unternehmen in Bezug auf die Erhebung und Verarbeitung personenbezogener Daten. Das PDPA definiert personenbezogene Daten als Informationen, die eine lebende Person identifizieren.

Somit schließt sich Thailand in Bezug auf ein Datenschutzgesetz den anderen südostasiatischen Staaten Singapur, Malaysia und den Philippinen an. Diejenigen, die gegen das Gesetz verstoßen, können mit zivil- und strafrechtlichen Geldbußen belangt werden. Ferner unterstützt das PDPA die Anforderungen mehrerer Freihandelsabkommen (FTAs) in Bezug auf die jeweiligen Datenschutzanforderungen, um auf diese Weise den digitalen Handel und das Online-Banking in Thailand zu sichern. Verletzungen des Schutzes personenbezogener Daten treten in den ASEAN-Mitgliedsstaaten immer häufiger auf, da die Digitalisierung der Wirtschaft dazu geführt hat, dass mehr Unternehmen und Menschen ihre Daten online speichern und dies die Anfälligkeit für Datenschutzverletzungen zur Folge hat.

Das thailändische PDPA gilt für Organisationen, die direkt in Thailand oder im Ausland ansässig sind, und zeitgleich an der Kontrolle und Verarbeitung von Waren, Dienstleistungen und Daten zum Verbraucherverhalten in Thailand beteiligt sind. Inhaber der Daten müssen ihre ausdrückliche Zustimmung bezüglich jeder Erhebung, Verwendung oder Weitergabe ihrer personenbezogenen Daten im Vorfeld geben.

Die PDPA wurde stark von der DSGVO beeinflusst. Mit dem PDPA können thailändische Unternehmen die strengen Anforderungen der EU an Datenexportmaßnahmen im Rahmen des Freihandelsabkommens Thailand-EU erfüllen. Im Juni 2021 nahmen die EU und Thailand die Handelsgespräche wieder auf, nachdem sie aufgrund des Militärputsch in Thailand 2014 aufgehoben wurden. Mit der Einrichtung einer zivilen Regierung im Jahr 2019 wurde Thailand als viertgrößter Handelspartner der EU – nach China, Japan und den USA – wiederhergestellt.

Sozialdatenschutz verstorbener Personen

4. März 2022

Auskunftsanspruch nach Art. 15 DS-GVO iVm § 83 SGB X

Wird der Nachlass einer Person geregelt, wird häufig außer Acht gelassen, dass auch analoge oder digitale Daten vererbt werden können. Dies führt dazu, dass Erben häufig nicht wissen, ob und wie sie auf die Daten einer verstorbenen Person zugreifen dürfen. Die DSGVO hat ermöglicht, dass die nationalen Gesetzgeber zum Datennachlass eigene Regelungen treffen dürfen. Der deutsche Gesetzgeber hat diese Möglichkeit im Bereich des Sozialdatenschutzes genutzt, was den Umgang mit den vererbten Daten somit erleichtert.

1. Rechtslage unter der DSGVO

In Art. 15 DSGVO wird der Auskunftsanspruch der betroffenen Person gegenüber dem Verantwortlichen geregelt. Hiernach steht der betroffenen Person das Recht zu, erfahren zu dürfen, welche personenbezogenen Daten von ihr durch die Verantwortlichen verarbeitet werden. Verstirbt eine Person, stellt sich für die Hinterbliebenen jedoch die Frage, ob sie nach aktueller Rechtslage ein Auskunftsbegehren geltend machen können. Das könnte beispielsweise für Hinterbliebene von Interesse sein, wenn es darum geht, ein rechtliches Interesse im Namen der verstorbenen Person durchzusetzen.

Grundsätzlich ist die Datenschutz-Grundverordnung gemäß Erwägungsgrund 27 S.1 DSGVO nicht auf Verstorbene anwendbar. Verstirbt die betroffene Person, wären die Erben nach Satz 1 nicht dazu berechtigt, das Auskunftsbegehren in Hinblick auf die Daten der verstorbenen betroffenen Person geltend zu machen. Satz 2 des Erwägungsgrundes 27 DSGVO ermöglicht es den Mitgliedstaaten jedoch, Vorschriften für die Verarbeitung personenbezogener Daten von Verstorbenen zu erlassen. Der deutsche Gesetzgeber hat im Sozialdatenschutz von dieser Möglichkeit Gebrauch gemacht. In § 35 Abs. 5 SGB I ist folglich ausdrücklich geregelt, dass die DSGVO auch für den Sozialdatenschutz Verstorbener gelten soll. Personenbezogene Daten gemäß Art. 3 Abs.1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Weder Art. 4 Nr. 1 DSGVO noch Art. 9 DSGVO enthalten den Begriff der Sozialdaten. Allerdings wird dieser in § 67 Abs. 2 S. 1 SGB X genannt, wonach Sozialdaten: personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO sind, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben verarbeitet werden. Die Aufgaben werden in § 67 Abs. 3 SGB X näher definiert.

2. Wo ist das Auskunftsbegehren geregelt?

Das Auskunftsbegehren ist auch für den Sozialdatenschutz in Art. 15 DSGVO geregelt. Gemäß § 35 Abs. 2 SGB I gibt es allerdings die Möglichkeit, Ausnahmen zum Auskunftsbegehren nach Art. 15 DSGVO zu regeln. Solche finden sich in § 83 SGB X. Anspruchsgrundlage für ein Auskunftsbegehren bezogen auf Sozialdaten ist demnach Art. 15 DS-GVO iVm § 83 SGB X.

3. Voraussetzungen für ein Anspruchsbegehren

Damit ein Anspruchsbegehren geltend gemacht werden kann, müssen die folgenden Anspruchsvoraussetzungen erfüllt sein:

a) Verantwortliche

Zunächst muss das Auskunftsbegehren gegenüber dem richtigen Verantwortlichen erfolgen. Dies folgt aus Art. 15 Abs. 1 DSGVO. Wer Verantwortlicher ist, definiert Art. 4 DSGVO, hier gilt jedoch § 67 Abs. 4 SGB X ergänzend.

b) Angehörige und Erbenstellung

In § 35 Abs. 5 SGB I geht nicht ausdrücklich hervor, wer Ansprüche der verstorbenen Person geltend machen darf. Erwähnt werden nur die schutzwürdigen Interessen der verstorbenen Person oder den schutzwürdigen Interessen der Angehörigen. Wer Angehörige sind, ist wiederum in § 16 Abs. 5 SGB X geregelt. Die Verwendung des Begriffs der Angehörigen in § 35 Abs. 5 SGB I ist nicht damit gleichzusetzen, dass diese automatisch auch Anspruchsberechtigte sind. Art. 15 DSGVO nennt nur die betroffene Person selbst, die das Begehren geltend machen kann. Verstirbt die Person jedoch, gehen ihre Daten nach § 1922 BGB in die Erbschaftsmasse über, sodass die Erben in die Rechtsstellung der betroffenen Person eintreten und die Ansprüche geltend machen können. Diese benötigen zum Beweis ihrer Stellung beispielsweise einen Erbschein. Anspruchsberechtigt sind also die Erben, die jedoch nicht unbedingt auch gleichzeitig die Angehörigen sein müssen.

c) Rechtsgrundlage für die Verarbeitung der Daten durch den Verantwortlichen

Aus § 35 Abs. 5 S. 2 SGB I folgt, dass eine Datenverarbeitung dann erfolgen kann, wenn schutzwürdige Interessen des Verstorbenen oder seiner Angehörigen dadurch nicht beeinträchtigt werden. Danach hat eine rechtliche Abwägung stattzufinden, um dadurch zu überprüfen, ob Interessen des Verstorbenen oder seiner Angehörigen gegenüber den Interessen der Verantwortlichen überwiegen.

d) Kein entgegenstehender -mutmaßlicher- Wille der verstorbenen Person

Aus der Formulierung des § 35 Abs. 5 S. 2 SGB I, dass eine Datenverarbeitung erfolgen kann, „wenn schutzwürdige Interessen des Verstorbenen … nicht beeinträchtigt werden“, kann entnommen werden, dass die Verarbeitung nicht gegen den Willen bzw. den mutmaßlichen Willen der verstorbenen Person erfolgen darf. Ob ein solcher Wille bzw. ein mutmaßlicher Wille vorlag, muss der Sozialträger beweisen. Dies ließe sich zB durch Zeugen oder einen Urkundenbeweis belegen, dass die verstorbene Person es ausdrücklich oder mutmaßlich nicht wollte, dass ihre Daten offengelegt werden.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Bundesdatenschutzbeauftragter erneuert Kritik an der Nutzung Sozialer Netzwerke durch Bundesbehörden

21. Januar 2022

In einem Interview gegenüber dem Handelsblatt äußerte sich der Bundesdatenschutzbeauftragte Ulrich Kelber erneut zur Nutzung von Sozialen Netzwerken durch die öffentliche Verwaltung – dabei geht es vor allem um Facebook, Instagram, Tiktok und Clubhouse. Technische Überprüfungen dieser Netzwerke und deren Nutzung auf den Geräten der Bundesbehörden und ihrer Mitarbeiterinnen und Mitarbeiter, die Kelber derzeit gemeinsam mit dem BSI durchführe, wiesen auf „datenschutzrechtliche Probleme“ hin. Ein finales Ergebnis gäbe es derzeit jedoch noch nicht.

Im Zusammenhang mit den Äußerungen gegenüber dem Handelsblatt kritisierte Kelber darüber hinaus auch den Betrieb sog. Facebook-Fanpages durch die Bundesbehörden. Aufgrund der „unklaren geteilten datenschutzrechtlichen Verantwortung zwischen Facebook und dem Betreiber der Seite“ könne die Fanpage „nach wie vor nicht rechtskonform betrieben werden“. Bereits letztes Jahr hatte der Bundesdatenschutzbeauftragte daher die Bundesregierung und die obersten Bundesbehörden aufgefordert, den Betrieb dieser Fanpages bis Ende 2021 einzustellen – bislang noch ohne Erfolg. Kelber betonte aber auch, dass er durch die Aufforderung nicht „zwingend die Abschaltung von Facebook-Fanseiten“ erreichen, sondern lediglich eine „datenschutzkonforme Kommunikation zwischen der Bundesregierung und der Bürgerinnen und Bürgern“ ermöglichen wolle. Ziel sei es daher, dass Facebook den Betrieb aller Fanpages an europäische Datenschutzvorgaben anpasse. Laut Kelber haben hierzu erneut Gespräche mit der Bundesregierung und Facebook stattgefunden.

Taliban sollen Zugriff auf biometrische Daten erhalten haben

18. August 2021

Im Zuge des Vormarsches der Taliban-Truppen in Afghanistan sollen diese in den Besitz von biometrischen Daten gelangt sein. Dies berichtete ein US-Magazin, demzufolge Geräte, die von dem US-Militär zur biometrischen Identifizierung benutzt werden, sogenannte „Handheld Interagency Identity Detection Equipment“ (HIIDE) in die Hände der Taliban gefallen seien. Dabei handelt es sich um eine Art Kamera, mit der Aufnahmen der Iris und des Gesichts gemacht und Fingerabdrücke gespeichert werden können. Diese Daten werden auch auf der HIIDE gespeichert. Zusätzlich sollen die Geräte auch auf andere Datenbanken zugreifen können.

Obwohl die Geräte ursprünglich für die Identifikation von Terroristen gedacht waren, wurden sie in der Praxis dafür eingesetzt, Einheimische, die mit den US-Truppen zusammenarbeiteten, zu identifizieren. Somit sind aktuell vor allem Daten von Helfenden gespeichert. Ob die Taliban bereits jetzt unbegrenzten Zugriff auf die Daten hat, ist nicht klar. Es wird aber befürchtet, dass Geheimdienste von Ländern, die mit der Taliban sympathisieren, z.B. Pakistan, dabei behilflich sein könnten.

Die Neuigkeit kommt gleichzeitig mit anderen Warnungen über Datensicherheit in Afghanistan. Ebenfalls wird befürchtet, dass die Taliban nun auch auf staatliche Datensätze Zugriff erhalten könnte. Behörden hatten biometrische Daten u.a. für die Registrierung zu Wahlen gesammelt. Die Daten könnten genutzt werden, um weitere HelferInnen der ausländischen Truppen oder bestimmte Bevölkerungsgruppen zu identifizieren.

Viele AfghanInnen fürchten nach dem Machtwechsel Repressalien aufgrund ihrer Tätigkeit, Verbindungen oder Lebensweise. Sie sind längst dazu übergegangen, in Eile Dokumente, Nachrichten und Handy-Verläufe zu löschen. Offizielle und wichtige Dokumente werden fotografiert und an Bekannte geschickt, anschließend vernichtet. Auch offizielle Stellen wissen um die Gefahr, die von diesen Daten ausgeht. So hatte die US-Botschaft in Afghanistan sein Personal noch dazu aufgefordert, alle sensiblen Daten vor Ort zu vernichten. Hilfseinrichtungen und Organisationen wurden von der US-Behörde für internationale Entwicklung dazu aufgefordert, Fotos und Informationen, die lokale AfghanInnen identifizierbar machen, zu löschen. Die Menschenrechts-Organisation Human Rights First veröffentlichte einen Leitfaden, wie Betroffene möglichst viel ihrer digitalen Spuren noch löschen können. Betroffene fürchten nun vor allem die Rache der Taliban, sollten sie identifiziert werden können. Dieses Geschehen verdeutlicht, welcher Missbrauch im Extremfall mit Daten betrieben werden kann und wie gefährlich dies für die Betroffenen ist.

Abgabe von Fingerabdrücken für neue Personalausweise verpflichtend

4. August 2021

Wer ab Montag, den 2. August einen neuen Personalausweis beantragt, muss dafür seine Fingerabdrücke scannen lassen. Zukünftig wird ein Scan des linken und des rechten Zeigefingers auf dem RFID-Chip des Ausweises gespeichert.

Bisher war das Speichern von Fingerabdrücken im Personalausweis freiwillig. Verpflichtend gespeichert werden sie schon länger bei Reisepässen. Mit dem Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen wurde die Pflicht nun auf Personalausweise ausgeweitet. Dabei setzt das Gesetz eine EU-Verordnung aus dem Jahr 2019 um. Die gespeicherten Fingerabdrücke sollen von den Sicherheitsbehörden der EU-Mitgliedsstaaten ausgelesen werden können, wenn nach Lichtbildabgleich Zweifel an der Identität der Person bestehen bleiben. In Deutschland dürfen außerdem die Personalausweis-, Pass- und Meldebehörden, die Polizeivollzugsbehörden, die Zollverwaltung und die Steuerfahndungsstellen die Abdrücke auf dem Personalausweis auslesen.

Kritik an diesen neuen Regelungen kommt u.a. von Netzwerk Datenschutzexpertise, einem Zusammenschluss rund um den ehemaligen Datenschutzbeauftragten von Schleswig-Holstein, Dr. Thilo Weichert. In ihrem Gutachten bemängeln sie, dass Datenschutzgrundsätze wie Transparenz (Verarbeitung der Daten für betroffene Person nachvollziehbar), Zweckbindung (Erhebung und Verarbeitung nur für festgelegte und legitime Zwecke) und Datenminimierung (Verarbeitung wird auf das für Zweck notwendige Maß beschränkt) missachtet würden. Das Speichern von Abdrücken der Zeigefinger könne als unverhältnismäßig bezeichnet werden, weil mildere Maßnahmen bestünden. So könnte nur ein Fingerabdruck statt zwei gespeichert werden. Auch könnten Finger, die im Alltag weniger Spuren hinterlassen und somit weniger missbrauchsanfällig sind als die Zeigefinger, benutzt werden, z.B. der Ringfinger. Zur Identifikation sei dieser genauso gut geeignet. Der Gedanke dahinter ist, dass Hackerangriffe auf die gespeicherten Fingerabdrücke befürchtet werden. So könnten Kriminelle sich Abdrücke anderer Menschen zunutze machen. Dabei sei das Missbrauchsrisiko sehr hoch, da Fingerabdrücke nun einmal – anders als Passwörter- nicht geändert werden könnten und die Betroffenen von dem Hackerangriff ein Leben lang betroffen sein könnten.

Das Bundesministerium des Innern (BMI) versichert hingegen, dass die Fingerabdrücke nach Aushändigung des Ausweises bei Hersteller und Behörde gelöscht werden. Eine Speicherung in einer zentralen Datenbank fände nicht statt. Die Daten im Chip selbst würden verschlüsselt.

Die alten Personalausweise ohne Fingerabdrücke behalten ihre Gültigkeit bis sie regulär abgelaufen sind. Fingerabdrücke müssen erst bei der Beantragung des neuen Ausweises abgegeben werden. Wie genau die Erfassung erfolgt, kann bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgelesen werden.

Tim Cook stellt Apple‘s neue Datenschutzfunktionen vor

18. Juni 2021

Apple CEO Tim Cook hat mit einem neuen Video auf dem YouTube-Kanal von Apple UK, Apple’s neue Datenschutzfunktionen für europäische Nutzer vorgestellt. Dieses sechsminütige Video enthält hauptsächlich datenschutzrelevante Clips von der WWDC (Worldwide Developers Conference von Apple).

Es scheint als habe sich Apple dazu entschlossen, vor allem zu den europäischen Nutzern zu sprechen, da die Privatsphäre in diesem Kontinent als besonders wichtig erachtet wird. Die Europäische Union hat 2018 mit der Datenschutzgrundverordnung ein sehr umfangreiches und strenges Datenschutzgesetz eingeführt. Selbst Apple musste seine Sicherheitsvorkehrungen verstärken, um den extrem hohen Standards des Gesetzes gerecht zu werden. Während einige amerikanische Unternehmen bzw. Unternehmen aus Nicht-EU Ländern die DSGVO nur in Europa einhalten, verpflichtete sich Apple, seinen Kunden weltweit die gleichen verbesserten Datenschutzstandards zu bieten. Apple setzt seine Führungsrolle im Bereich Datenschutz fort, erweitert sein Engagement und fördert positive Veränderungen in der gesamten Branche. Auf der WWDC 2021 wurden eine Reihe neuer Datenschutzfunktionen für iOS 15, iPadOS 15, macOS Monterey, watchOS 8 und iCloud angekündigt. Diese neuen Funktionen sollen Nutzern in Europa und auf der ganzen Welt helfen, den Zugriff auf ihre Daten besser zu kontrollieren und zu verwalten.

Apple-Boss Cook betont gleich zu Anfang des Videos, dass für Apple „Privatsphäre ein grundlegendes Menschenrecht“ sei. Man arbeite „schonungslos“ daran, diese „in alles was wir machen“ einzubauen. Es sei ein Grundelement jedes Designs von sowohl Apple Produkten als auch Apple Diensten, „die wir in die Welt tragen“, so Cook pathetisch. „Andere“ hätten den Kunden zum Produkt gemacht und sammelten immer mehr personenbezogene Daten. „Unsere Linse bleibt auf Technik fokussiert, die für die Menschen arbeiten kann.“
Der Schutz der Privatsphäre sei „eine Priorität für unsere Nutzer in Europa und der ganzen Welt“. Cook beginnt, indem er zwei bestehende Funktionen hervorhebt, (Datenschutz-Nährwertkennzeichnungen und App-Tracking-Transparenz), und schließt dann mit einer bekannten Zusammenfassung über die Moral des Unternehmens in diesem Bereich ab.

Diese beschriebenen Datenschutzfunktionen gehören zu den neuesten in einer langen Reihe von Innovationen, die Apple-Teams entwickelt haben, um die Transparenz zu verbessern. Ferner sind es Funktionen, die dazu beitragen, dass die Nutzer ihre Daten besser kontrollieren können und sodann die Freiheit haben, Technologien zu nutzen, ohne sich Gedanken darüber zu machen, wer ihnen über die Schulter schaut.

Kategorien: Allgemein · DSGVO · Online-Datenschutz
Schlagwörter: , ,

WhatsApp klagt gegen indische Regierung

27. Mai 2021

Nachdem WhatsApp jüngst mit seinen neuen Nutzungsbedingungen für Aufmerksamkeit gesorgt hatte und von Datenschützern für diese kritisiert wurde, tritt nun WhatsApp selbst verteidigend für ihren Datenschutz auf.

So hat WhatsApp beim obersten Gericht Delhi Klage gegen eine Vorgabe der neuen IT-Regelungen der indischen Regierung eingereicht. Diese Regelungen wurden bereits im Februar diesen Jahres vom indischen Ministerium für Elektronik und Informationstechnologie (MeitY) veröffentlicht und sind diese Tage in Kraft getreten. Die von WhatsApp konkret kritisierte Regelung sieht vor, dass Anbieter von Messengerdiensten, auf Anfrage einer Behörde oder auf richterlichen Beschluss hin, die Rückverfolgung von Nachrichten gewähren müssen. So soll ermittelt werden, wer der ursprüngliche Verfasser einer Information ist. Die indische Regierung begründet dies damit, dass dies der „Prävention, Aufdeckung, Untersuchung, Verfolgung oder Bestrafung“ von verschiedenen Straftaten diene. Als solche gelten u.a. die Verbreitung von Material über sexuellen Kindesmissbrauch, Angriffe auf die Staatssicherheit, Souveränität und Integrität Indiens oder die Störung der öffentlichen Ordnung. Auch ist eine Regelung gegeben, die besagt, dass Netzwerke bei gerichtlicher Aufforderung dazu, Inhalte innerhalb von 36 Stunden löschen müssen.

WhatsApp wehrt sich nun gegen diese Vorgaben mit der Begründung, sie würden Nachrichten Ende-zu-Ende verschlüsseln und könnten die Identifikation einer Einzelperson nicht leisten. Würde die Verschlüsselung aufgebrochen, wären sowohl Absender als auch Empfänger betroffen. Die Regelung verlange praktisch, einen Fingerabdruck von jeder einzelnen auf WhatsApp gesendeten Nachricht zu speichern. Dadurch würde eine Verletzung von Datenschutzrechten der Betroffenen stattfinden. Auch das Recht auf Privatsphäre sei betroffen, somit sei die Regelung verfassungswidrig.

Immer wieder betont WhatsApp, dass es Nachrichten selbst nicht speichere und keine Einsicht in Nutzerdaten habe. Trotzdem steht der Konzern häufig selbst wegen seines Umgangs mit Daten in der Kritik, sodass die Streitigkeit mit der indischen Regierung auch für das Image von WhatsApp nicht uninteressant sein dürfte.

Microsoft zieht EU-Datengrenze und verspricht damit eine Speicherung und Verarbeitung von Daten ausschließlich in der EU

7. Mai 2021

Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem „EU Data Boundary for the Microsoft Cloud“, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.

Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes „Cloud Act“ einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.

Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, „wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde“ – so Schrems gegenüber der Deutschen Presse-Agentur.

Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.

Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.

Kein Schadensersatzanspuch bei einer Datenübermittlung in ein Drittland vor dem Geltungsbeginn der DSGVO

31. März 2021

Ein Verstoß gegen die Bestimmungen des 5. Kapitels der DSGVO (Art. 44 ff. DSGVO) liegt dann nicht vor, wenn personenbezogene Daten von Beschäftigten vor der Einführung der DSGVO am 25. Mai 2018 an eine Konzernmutter in ein Drittland (USA) übermittelt wurden. Auch ein Anspruch auf Schadensersatz gem. Art. 82 DSGVO im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter in den USA steht einem Beschäftigten nicht zu. Das hat das Landesarbeitsgericht (LArbG) Baden-Württemberg mit Urteil v. 25.02.2021, Az. 17 Sa 37/20 entschieden.

Wie wir bereits berichteten, stellt die Datenübermittlung in die USA seit dem Schrems-II-Urteil viele Unternehmen vor Herausforderungen. Eine Datenübermittlung in ein Drittland ist seitdem nur unter Einhaltung der in Kapitel 5 genannten Anforderungen der DSGVO zulässig, die in der Praxis aber nur selten vorliegen. Werden diese Anforderungen nicht eingehalten und erfolgt eine Datenübermittlung dennoch, liegt ein Verstoß gegen die Bestimmungen der DSGVO vor.

Dieser Verstoß kann zu einem Recht auf Schadensersatz nach Art. 82 DSGVO führen. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Nur wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, wird er von der Haftung befreit.

Sachverhalt

Einen solchen Schadensersatzanspruch hat der Kläger im vorliegenden Fall geltend gemacht. Diesen begründete er damit, dass er durch die im Jahr 2017 erfolgte Datenübermittlung seines Arbeitgebers an die Konzernmutter in den USA und wegen der dortigen Verarbeitung seiner Daten, einen immateriellen Schaden erlitten habe. Als Schaden machte er die Gefahr eines Missbrauchs der Daten durch die Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend.

Die Entscheidung

Das Gericht erkannte in dem konreten Fall zwar an, dass solche Umstände grundsätzlich zur Begründung eines immateriellen Schadens im Sinne von Art. 82 DSGVO in Betracht kommen. Es verneinte eine Haftung des Arbeitgebers vorliegend jedoch, da es an einem konkreten Verstoß gegen die Bestimmungen der DSGVO fehlte. Insbesondere erfordere Art. 82 DSGVO, dass der Schaden „wegen eines Verstoßes“ gegen die DSGVO entstanden ist, d.h. einem Verordnungsverstoß zugeordnet werden könne (Kausalität). Einen solchen Anknüpfungspunkt für den Schaden konnte das Gericht vorliegend aber nicht feststellen, da die Datenübermittlung in die USA stattgefunden hat, als die DSGVO noch nicht in Geltung war.

Die zahlreichen datenschutzrechtlichen Verstöße der Clubhouse-App

12. Februar 2021

Der Mitte/Ende Januar aus den USA herübergeschwappte Hype um die Clubhouse-App ist nun offiziell auch ein Fall für Deutschlands Datenschützer.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johhannes Caspar teilte jüngst mit ,,Viele Menschen haben gerade gegenwärtig ein überwältigendes Interesse an einer neuen diskursiven Plattform, die spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht. Die App wirft jedoch viele Fragen zur Wahrung der Privatsphäre von Nutzerinnen und Nutzern und von dritten Personen auf.“
Der Verbraucherzentrale Bundesverband (VZBV) hat die Firma Alpha Exploration Co., die hinter der App Clubhouse steht und somit die Fäden derselbigen zieht, bereits abgemahnt. Ebenso hat auch der Datenschutz-Check der Stiftung Warentest gezeigt, dass Clubhouse gegen mehrere Punkte der EU-Datenschutz-Grundverordnung verstößt.

So wurde die Datenschutzerklärung der Firma Alpha Exploration Co. zur Clubhouse-App bisher lediglich auf Englisch verfasst. Außerdem benennt diese Datenschutzerklärung weder einen Verantwortlichen, der für die Datenverarbeitung zuständig ist, so wie es Art. 13 Abs. 1 lit. a) DSGVO voraussetzt noch werden Verbraucher über ihre Rechte ausreichend aufgeklärt. Des Weiteren sind die Informationen zu Daten­ver­arbeitungs­zwecken, den genauen recht­lichen Grund­lagen dafür und die Auskunft zur Speicherdauer unvollständig. Zu guter Letzt hält sich der Anbieter nicht an die Pflicht, ein Impressum auf der Website zu veröffent­lichen.

Die Adressbücher in den Mobilfunkgeräten von jenen Nutzerinnen und Nutzern, die wiederum andere Personen zu Clubhouse einladen, werden automatisch ausgelesen und durch die Betreiber in den USA gespeichert. Dadurch geraten Kontaktdaten zahlreicher Menschen, ohne dass diese überhaupt mit der App in Kontakt kommen, in fremde Hände. Die Betreiber speichern nach eigenen Angaben zudem die Mitschnitte aller in den verschiedenen Räumen geführten Gespräche, um Missbräuche zu verfolgen, ohne dass die näheren Umstände transparent werden.

Es bleibt spannend um Clubhouse und seine Beziehung zum europäischen Datenschutzrecht.

1 2 3 10