Schlagwort: Datenverarbeitung

Datenschutz an Hochschulen

9. Oktober 2018

An vielen deutschen Hochschulen werden mittlerweile Chipkarten genutzt, die für die Nutzung des Leistungsangebots der Hochschulen unerlässlich sind. Chipkarten werden u.a. als Bezahlkarte in der Mensa oder als Bibliotheksausweis eingesetzt.

Anders als in den USA dürfen deutsche Hochschulen und Unternehmen aber nicht wahllos viele Daten der Studierenden speichern. Laut einem Bericht der ZEIT werden in den USA über sogenannte Orts- und Zeitstempel massenweise Daten erhoben, um so die Gewohnheiten der Studierenden erfassen zu können. Die erhobenen Daten werden sodann ausgewertet, um das Risiko eines Studienabbruchs ermitteln zu können.

In Deutschland ist die Datenverarbeitung nur in den Grenzen des geltenden Datenschutzrechts zulässig. Personenbezogene Daten von Studierenden dürfen nach der geltenden DSGVO nur zu festgelegten, eindeutigen und legitimen Zwecken erhoben werden. Zudem gilt der Grundsatz der Datenminimierung, daher dürfen nicht mehr Daten erhoben werden, als für den Zweck der Verarbeitung erforderlich sind. Deutsche Hochschulen müssen diese Voraussetzungen bzw. diesen Grundsatz bei der Gestaltung von Chipkarten für die Studierenden in jedem Fall beachten.

Die FU Berlin hat bereits 2017 eine Campuscard als Teil der von der EU-Kommission in allen Mitgliedsstaaten geplanten Umstellung auf elektronische Studentenausweise eingeführt. Die Campuscard der FU Berlin soll technisch aber in der Art ausgestaltet sein, dass das Studierendenwerk beispielsweise nur das Guthaben auf der Mensakarte sehen kann und die Universität nur die Bibliotheksnummer. Die Daten liegen in getrennten Bereichen auf der Karte und werden unterschiedlich verschlüsselt. Den Datenschlüssel zu den jeweiligen Daten erhält nur derjenige, der ihn braucht.

Zeugen Jehovas müssen Datenschutzbestimmungen beachten (EuGH)

13. Juli 2018

Der Europäische Gerichtshof (EuGH) hat auf ein Vorabentscheidungsersuchen aus Finnland am 10.07.2018 (Az.: C-25/17) entschieden, dasss die Zeugen Jehovas bei ihren Hausbesuchen die EU-Vorschriften hinsichtlich des Datenschutzes beachten müssen.

Wie wir bereits berichteten, hat das finnische Oberste Verwaltungsgericht den EuGH im Wege des Vorabentscheidungsverfahren um Klärung ersucht. Der finnische Datenschutzbeauftragte ist der Ansicht, dass es sich bei den Notizen der Zeugen Jehovas um eine Datenerhebung handelt, für die sowohl die einzelnen Mitglieder als auch die Gemeinschaft der Zeugen Jehovas als solche verantwortlich sind und die dem europäischen Datenschutzrecht unterfällt.

Dieser Ansicht wurde bereits von dem Generalanwalt, in seinem vorbereitenden, Schlussantrag, gefolgt. Diesem sind die Richter nun gefolgt: Die notierten Daten, wie etwa Name, Adresse und religiöse Orientierung unterfallen den EU-Vorschriften  und sowohl die Mitglieder als auch die Gemeinschaft als solche sind verantwortlich für die Datenverarbeitung.

Der EuGH begründet die Entscheidung folgendermaßen: zunächst ist keine der normierten Ausnahmen einschlägig, was insbesondere damit zusammenhängt, dass es sich nicht um eine ausschließlich persönliche oder familiäre Tätigkeit handelt. Eine andere Sichtweise ergibt sich auch nicht daraus, dass die Verkündungstätigkeit unter Art. 10 Abs. 1 EU-Grundrechtecharta fällt, denn sie geht über die private Sphäre hinaus. Darüber hinaus wendet der EuGH einen weiten „Datei“-Begriff an, der nicht notwendigerweise ein Speichern im technischen Sinne vorsieht. Ausreichend ist, die strukturierte Sammlung personenbezogener Daten nach bestimmten Kriterien, damit sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Diese Voraussetzungen sah der EuGH als gegeben an.

Zu beachten ist, dass die Fragen sich auf die Datenschutzrichtlinie 95/46/EG bezogen, welche am 25.05.2018 von der Datenschutzgrundverordnung (DSGVO) abgelöst wurde. Nichts desto trotz ist davon auszugehen, dass dieses Urteil auch den Anforderungen der DSGVO genügt, denn die DSGVO ist in ihren Voraussetzungen strenger als die alte Richtlinie.

Datenschutzpflicht der Zeugen Jehovas

14. Februar 2018

Die Zeugen Jehovas sind dafür bekannt, dass sie von Tür zu Tür ziehen um mit den angetroffenen Menschen über deren Glauben zu reden.

Dabei machen sie sich häufig Notizen über den Gesprächsverlauf. Diese Notizen beinhalten insbesondere Angaben über Religionszugehörigkeit und Familienstand des Gesprächspartners.

In einem Rechtsstreit, der vor dem finnischen Obersten Verwaltungsgericht anhängig ist, wurde die Frage relevant, ob es sich bei diesen Notizen um Datenverarbeitung handelt, auf die das europäische Datenschutzrecht Anwendung findet. Diese Frage legte das Gericht dem Europäischen Gerichtshof (EuGH) vor, welches nun entscheiden muss.

Der finnische Datenschutzbeauftragte ist der Ansicht, dass es sich um eine Datenerhebung handelt, für die sowohl die einzelnen Mitglieder als auch die Gemeinschaft der Zeugen Jehovas als solche verantwortlich sind und die dem europäischen Datenschutzrecht unterfällt.

Die Zeugen Jehovas hingegen berufen sich darauf, dass die Notizen nur von ihren Mitgliedern im Rahmen ihrer Religionsausübung angefertigt und nicht weiter gegeben werden, sodass eine Verantwortlichkeit für die Daten im Sinne des Datenschutzrechts nicht besteht.

Der Generalanwalt am EuGH, Paolo Mengozzi, ist in seinem, die Entscheidung des EuGH vorbereitenden, Schlussantrag, der Einschätzung des finnischen Datenschutzbeauftragten gefolgt: Es kommt gerade nicht darauf an, ob Zugriff auf die personenbezogenen Daten besteht, sondern dass die Möglichkeit der Einflussnahme auf die Erhebung besteht. Nach seinem Antrag handelt es sich bei den Notizen auch nicht um Aufzeichnungen die durch eine natürliche Person zu ausschließlich privaten Zwecken erfolgt sind.

Das Gutachten des Generalanwalts ist nicht bindend, in den meisten Fällen folgen die EuGH-Richter jedoch den Einschätzungen des Generalanwalts. Das Urteil wird für die nächsten Monate erwartet.

Wie US-Firmen auf das Safe-Harbor-Urteil des EuGH reagieren

14. Oktober 2015

Nachdem der Europäische Gerichtshof (EuGH) vergangene Woche die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt hat, lohnt sich ein Blick auf US-Unternehmen. Denn es sind gerade die Großen der Internetbranche, die überdurchschnittlich viele Daten aus der EU erheben und verarbeiten. Und die Großen, allen voran Google, Amazon, Microsoft, Facebook und Apple sind US-Firmen mit großen Marktanteilen in der EU.

Während das Safe-Harbor-Abkommen, sei es nun die gekippte oder die seit 2013 in der Überarbeitung befindliche neue Version, allein von der Politik gestaltet wird und Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules von Juristen und Behörden empfohlen werden, sind es die großen US-Unternehmen, die nach ganz eigenen Lösungen suchen. Diese sind – das liegt in der Natur der Sache – zumeist praxisnäher und nicht selten bereits praxiserprobt. Finanziell, organisatorisch und personell können die Unternehmen deutlich schneller, flexibler und nicht selten sogar innovativer reagieren als es nationale Datenschutzbehörden und eine überbürokratisierte EU-Politik können.

Nun stand das Safe-Harbor-Abkommen schon lange in der Kritik und das Urteil des EuGH kommt auch nicht all zu überraschend. Kernproblem war und bleibt der Patriot Act, der US-Behörden ermächtigt, nahezu uferlos auf Daten von US-Firmen zugreifen zu können. Dieses Vorgehen kritisieren nicht nur der EuGH und europäische Datenschützer. Auch US-Firmen bemängelten in der Vergangenheit das Vorgehen der eigenen Regierung, Firmen dazu zwingen zu können, Daten und Informationen gegen ihren Willen preisgeben zu müssen.

Die Summe der Probleme beim Austausch von Daten zwischen EU und USA ist gerade für die Großen der Branche Grund genug, nach eigenen, praxisnahen Lösungen zu suchen. So setzen jedenfalls die finanzstarken Unternehmen verstärkt auf den Ausbau ihrer Standorte innerhalb Europas, wie das Wall Street Journal berichtet. Insbesondere in Irland, aber auch in Belgien, Finnland, den Niederlanden, Dänemark und in Deutschland investieren Google & Co. beachtliche Summen in den Aufbau eigener Rechenzentren und Infrastrukturen. Der Vorteil: Eines der Fundamente des Datenschutzes, nämlich die Zulässigkeit der Datenverarbeitung gemäß § 11 BDSG, ist grundsätzlich gegeben. Denn innerhalb der EU bzw. des europäischen Wirtschaftsraumes wird ein angemessenes Datenschutzniveau unterstellt, während ein solches bei der Datenverarbeitung über die Grenzen der EU hinaus – oft umständlich – nachgewiesen werden muss.

EU und Wirtschaft investieren 2,5 Mrd. EUR in Big Data

15. Oktober 2014

Laut einer EU-Pressemitteilung vom vergangenen Montag sollen bis 2020 rund 2,5 Mrd. Euro in den Datensektor investiert werden.
Weltweit werden jede Minute 1,7 Billiarden Bytes generiert. Dabei handele es sich um Daten unterschiedlichster Herkunft: Satellitendaten, GPS-Signale oder Geschäftsvorgänge gehören ebenso hierzu wie private Bilder oder Videos. Eine solch große und schnell wachsende Menge an Daten biete großes Potential in nahezu allen Lebensbereichen. Der Datensektor verzeichnet jährlich einen Zuwachs von rund 40 %. Je mehr Daten zur Verfügung stehen, desto genauer können Wirtschaft und Forschung diese auswerten. Die Ergebnisse führen zu Produktionssteigerungen von Unternehmen und genaueren Prognosen beispielsweise beim Klima. Solch große Datenmengen bringen aber auch die Herausforderung mit sich, diese sachgerecht analysieren und verarbeiten zu können. Deshalb brauche es neue Ideen, Werkzeuge, Infrastrukturen sowie einen Rechtsrahmen und technische Lösungen zum Schutz von Daten und Privatsphäre, wie heise online schreibt.

Damit ein innovatives Europa die durch Big Data entstehenden Möglichkeiten effizient nutzen und zugleich deren Schwierigkeiten bestmöglich ausmerzen kann, wurde eine öffentlich-private Partnerschaft zwischen der Europäischen Kommission und der Big Data Value Association , ein gemeinnütziger Branchenverband, dem unter anderem führende IT-Unternehmen und Hochschulen angehören, ins Leben gerufen, die zum 01. Januar 2015 starten soll. Am vergangenen Montag unterzeichnete nun die zuständige EU-Kommissarin Neelie Kroes das Abkommen, das garantiert, dass in den Jahren 2016 bis 2020 von Seiten der EU 500 Millionen Euro bereitgestellt werden. Mit weiteren rund 2 Milliarden Euro Investitionen sei aus der Privatwirtschaft zu rechnen, so die Kommissarin.

Durch das Vorhaben verspricht sich die Partnerschaft nicht nur einen wachsenden Datenmarkt für Europa, sondern auch 100.000 neue Arbeitsplätze in der Datenverarbeitung sowie um 10 % geringeren Energieverbrauch, ein leistungsfähigeres Gesundheitswesen und produktivere Industriemaschinen.