Schlagwort: DSGVO

Kopien von Examensklausuren müssen kostenfrei zur Verfügung gestellt werden

10. Juni 2021

Das Oberverwaltungsgericht für das Land Nordrhein-Westfalen hat auf der Grundlage der Datenschutz-Grundverordnung entschieden, dass die Kopien von Examensklausuren den Kandidaten kostenfrei zur Verfügung gestellt werden müssen. Damit bestätigte es das erstinstanzliche Urteil des Verwaltungsgerichts Gelsenkirchen.

Im Jahr 2018 hatte der Kläger erfolgreich an der zweiten juristischen Staatsprüfung teilgenommen und anschließend beim Landesjustizprüfungsamt die Zusendung seiner Klausurunterlagen nebst Prüfergutachten beantragt. Diesem Antrag wollte das LJPA nur gegen Zahlung eines Vorschusses von 69,70 € für die Kopie von 348 Seiten nachkommen. Der Absolvent verweigerte die Zahlung, das LJPA anschließend die Zusendung. Das VG Gelsenkirchen verurteilte das Land NRW nach der Klage des Absolventen dazu, die Kopien kostenfrei zur Verfügung zu stellen. Das OVG NRW hat die Berufung des Landes NRW nun zurückgewiesen.

Aus Art. 15 Abs. 3 DSGVO folgt der Anspruch auf unentgeltliche Zurverfügungstellung einer Kopie von allen den Klägern betreffenden personenbezogenen Daten, auf postalischem oder elektronischem Weg. Davon seien auch die Klausuren und Prüfergutachten umfasst. Das OVG konnte weder Ausnahmen noch Anhaltspunkte dafür erkennen, dass sich der Kläger rechtsmissbräuchlich verhalte oder dem LJPA ein unverhältnismäßig großer Aufwand entstehe. Wegen der grundsätzlichen Bedeutung wurde die Revision zum Bundesverwaltungsgericht zugelassen.

Europäischer Datenschutzbeauftragter leitet nach dem „Schrems II-Urteil“ Untersuchungen bei EU-Institutionen ein

27. Mai 2021

Der Europäische Datenschutzbeauftragte (EDSB) hat in einer Pressemitteilung erklärt, dass er zwei Untersuchungen im Hinblick auf das im vergangenen Jahr erlassene Schrems-II-Urteil eingeleitet hat. Eine zur Nutzung von Cloud-Diensten, die von Amazon Web Services (AWS) und Microsoft bereitgestellt und im Rahmen von sog. Cloud II-Verträgen von Institutionen, Einrichtungen und Agenturen der Europäischen Union genutzt werden, und eine zur Nutzung von Microsoft 365 durch die Europäische Kommission.

Hintergrund der Untersuchung ist, dass der EDSB im Oktober vegangenen Jahres die EU-Instiutionen dazu aufforderte, über ihre Übermittlung personenbezogener Daten an Drittländer Bericht zu erstatten. Das Ergebnis der Umfrage machte deutlich, dass auch EU-Institutionen die Tools und Dienste von internationalen Dienstleistern nutzen und damit personenbezogene Daten außerhalb der EU und insbesondere in die USA übertragen werden.

Der EDSB, Wojciech Wiewiórowski, sagte: „Nach dem Ergebnis der Berichterstattung durch die EU-Institutionen und -Einrichtungen haben wir bestimmte Arten von Verträgen ermittelt, die besondere Aufmerksamkeit erfordern, und aus diesem Grund haben wir beschlossen, diese beiden Untersuchungen einzuleiten. Mir ist bekannt, dass die „Cloud II-Verträge“ Anfang 2020 vor dem Urteil „Schrems II“ unterzeichnet wurden und dass sowohl Amazon als auch Microsoft neue Maßnahmen angekündigt haben, um sich dem Urteil anzupassen. Dennoch reichen diese angekündigten Maßnahmen möglicherweise nicht aus, um die vollständige Einhaltung des EU-Datenschutzrechts und damit die Notwendigkeit einer ordnungsgemäßen Untersuchung sicherzustellen.“

Nun will der EDSB sicherstellen, dass auch von EU-Institutionen die europäische Datenschutzgrundverordnung (DSGVO) eingehalten wird und EU-Institutionen in Bezug auf Privatssphäre und Datenschutz mit gutem Beispiel vorangehen.

Ziel der Untersuchungen ist es, die Einhaltung des Urteils bei den EU-Institutionen zu bewerten und die Empfehlungen bei der Nutzung von Produkten von US-Anbietern umzusetzen.

Die Tatsache, dass auch der EDSB Untersuchungen aufgenommen hat, zeigt einmal mehr, dass der Datentransfer in Drittländer und Sofortmaßnahmen dagegen dringend erforderlich sind. Gleichzeitig dürfte das Ergebnis dieser Untersuchungen auch wegweisend für einen weiteren Umgang mit den genannten Dienstleistern sein.

Lieferando droht Bußgeld in Millionenhöhe

26. Mai 2021

Der Essenslieferdienst Lieferando speichert detaillierte Tracking-Daten seiner Fahrer. Dies berichtet der Bayerische Rundfunk. Den Stein ins Rollen gebracht hatten Angestellte von Lieferando, die Auskunft über ihre gespeicherten personenbezogenen Daten verlangten, die dem BR vorliegen.

Über die App „Scoober“ werden pro Lieferung 39 Datenpunkte erfasst – von der Zuteilung der Bestellung über die Abholung bis zur Auslieferung an die Kunden. Alle 15 bis 20 Sekunden wird der genaue Standort des Fahrers gespeichert. Über diese Datenpunkte kann festgestellt werden, ob die Fahrer die jeweiligen Vorgaben erreichen, Verspätungen werden personalisiert gespeichert. Für Fahrer in Vollzeit kommen so 100.000 Datenpunkte pro Jahr zusammen. Die Datensätze reichen überdies zum Teil bis ins Jahr 2018 zurück.

Lieferando selbst hält die Daten für notwendig, um den Lieferbetrieb ordnungsgemäß durchführen zu können. Außerdem stehe die Datenverarbeitung im Einklang mit der Datenschutz-Grundverordnung. Eine Leistungs- oder Verhaltenskontrolle der Mitarbeiter finde nicht statt. Daran zweifelt der Vorsitzende des Gesamt-Betriebsrats für Deutschland, Semih Yalcin, und hält die Datenverarbeitung für „totale Überwachung“ und „unverhältnismäßig“.

Diese Kritik teilt der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink. Er hat sich der Sache nach einer Beschwerde eines Fahrers angenommen. Die dauerhafte Überwachung der Arbeitsleistung sei nach Einschätzung seiner Behörde „klar rechtswidrig“. Allerdings hat er die Angelegenheit und seine Untersuchungsergebnisse an die niederländische Datenschutzbehörde weitergegeben. Lieferando gehört zum niederländischen Mutterkonzern Just Eat Take Away, daher muss die DPA die weiteren Ermittlungen anstellen. Diesem droht nun eine zweistellige Millionenstrafe: da der Umsatz von Just Eat Take Away in der Corona-Pandemie im Jahr 2020 um 54 % auf 2,4 Milliarden Euro gestiegen ist und nach der DSGVO die Strafe bis zu vier Prozent des weltweiten Jahresumsatzes betragen kann, droht ein Bußgeld von bis zu 96 Millionen Euro.

Drei Jahre DS-GVO

25. Mai 2021

Am 25.05.2018 trat die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Ihr Ziel ist es, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Doch diese positiven Aspekte haben auch Nachteile, besonders für kleine und mittlere Unternehmen.

Viel Bürokratie, wenig Kontrolle

Für viele, besonders kleinere, Unternehmen bedeutet die Umsetzung der DS-GVO viel Bürokratie. Es kommt auch immer häufiger vor, dass ehemalige Mitarbeiter Auskunft über ihre personenbezogenen Daten vom Unternehmen verlangen. Ein Anspruch, der kleinere Unternehmen vor große Herausforderungen stellt und nicht selten damit endet, dass das Unternehmen eine höhere Abfindung zahlt, um sich, ohne Auskunft, zu vergleichen.

Außerdem ist der Vollzug der DS-GVO schwierig. Jeder EU-Mitgliedstaat hat eigene Aufsichtsbehörden, in Deutschland gibt es 17 Landesbehörden und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Es ist leicht nachvollziehbar, dass die DS-GVO unterschiedlich interpretiert wird. Der Bundesdatenschutzbeauftragte Kelber spricht sich daher für eine engere Abstimmung der einzelnen Aufsichtsbehörden aus.

Einheitlichkeit in Europa

Dennoch dürfte das Fazit nach drei Jahren DS-GVO positiv ausfallen. Viele Menschen in Europa machen Gebrauch von ihren Betroffenenrechten. Die DS-GVO hat die Vereinheitlichung des Datenschutzes in Europa erreicht. Außerdem ist es ein Kernanliegen der DS-GVO, natürlichen Personen verschiedene Instrumente an die Hand zu geben, um sich auch gegen die großen Unternehmen und sozialen Netzwerke zur Wehr setzen zu können. Sie hat das Bewusstsein der Nutzer für Privatsphäre im Internet gestärkt. Damit hat sich die DS-GVO zu einem weltweiten Vorbild für den Datenschutz entwickelt.

Quo vadis, DS-GVO?

Wie praktisch jedes Gesetz hat auch die DS-GVO noch Luft nach oben. Die EU-Kommission hat im Sommer 2020 eine Prüfung in Aussicht gestellt, ob kleinere und mittlere Unternehmen von manchen Regelungen ausgenommen werden können. In diesem Zusammenhang könnte sich Ulrich Kelber vorstellen, einzelne Pflichten zu entbürokratisieren, zumindest in Fällen, in denen jedem klar sein müsse, dass eine Datenverarbeitung stattfinde. Außerdem möchte er Schwächen beim Scoring und Profiling ausbessern. Die Evaluierung der DS-GVO ist allerdings erst für 2024 angesetzt.

Microsoft zieht EU-Datengrenze und verspricht damit eine Speicherung und Verarbeitung von Daten ausschließlich in der EU

7. Mai 2021

Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem „EU Data Boundary for the Microsoft Cloud“, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.

Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes „Cloud Act“ einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.

Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, „wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde“ – so Schrems gegenüber der Deutschen Presse-Agentur.

Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.

Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.

BAG zum Auskunftsanspruch entlassener Arbeitnehmer

28. April 2021

Mit Urteil vom 27.04.2021 hat das Bundesarbeitsgericht entschieden, dass ein entlassener Angestellter nicht vom früheren Arbeitgeber verlangen kann, eine Kopie seiner gesamten E-Mail-Kommunikation zur Verfügung gestellt zu bekommen (BAG, Urt. v. 27.4.2021, Az. 2 AZR 342/20). Der Kläger stützte sein Begehren auf Art. 15 Abs. 3 DSGVO.

Nach seiner Kündigung klagte der Wirtschaftsjurist auf Auskunft über die von ihm gespeicherten personenbezogenen Daten und forderte eine Kopie dieser Daten. Mit solchen Vorgehen versuchen Gekündigte nicht selten, in Kündigungsschutzprozessen Druck auf den Arbeitgeber auszuüben oder beispielsweise eine höhere Abfindung zu bekommen. Die Auskunft wurde ihm erteilt, wegen der Kopie des E-Mail-Verkehrs reichte der Gekündigte Klage ein. Bereits in der Vorinstanz beim Landesarbeitsgericht Niedersachsen musste er eine teilweise Niederlage einstecken. Von seinen eigenen E-Mails könne er keine Kopie verlangen, da ihm diese schon bekannt seien.

Dem anschließend hat der 2. Senat des BAG dem „Recht auf Kopie“ nun klare Grenzen gesetzt. Der Auskunftsanspruch muss vom Arbeitgeber erfüllt werden. Eine Kopie muss er allerdings nur dann überlassen, wenn die Unterlagen genau bezeichnet werden. Daran fehlte es auch vorliegend. Da der Kläger lediglich ein pauschales Verlangen vorbrachte, die E-Mails aber nicht konkret benannte, war der Klageantrag nicht nach § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. In einem späteren Zwangsvollstreckungsverfahren sei sonst nicht klar, welche E-Mails der Arbeitgeber herausgeben müsse. In solchen Fällen, in denen die konkrete Bezeichnung nicht möglich ist, müsste der Anspruch im Wege einer Stufenklage nach § 254 ZPO verfolgt werden.

Durch diese Form der Klageabweisung hat es das BAG nun offengelassen, wie weit der materiell-rechtliche Anspruch auf Überlassung von Kopien tatsächlich reicht und ob E-Mails vom Anspruch aus Art. 15 Abs. 3 DSGVO überhaupt erfasst sind.

Bayerisches Landesamt für Datenschutzaufsicht: Nutzung von Mailchimp in einem Fall unzulässig

7. April 2021

Für die Übermittlung personenbezogener Daten in Drittländer sind durch Entscheidung des EuGH bereits Voraussetzungen für Unternehmen entwickelt worden. Diese sollten insbesondere in Anbetracht der aktuellen Arbeit der Datenschutzbehörden von den Unternehmen regelmäßig überprüft werden.

In dem konkreten Fall geht es um Mailchimp, einem US-Newsletter Dienstleister. Ein Newsletter Empfänger war an die bayerische Datenschutzbehörde herangetreten. Die Datenschützer entschieden, dass die Nutzung des Newsletter Dienstes nicht zulässig sei.

Mailchimp nutzt für die Übermittlung der personenbezogenen Daten in Drittländer die EU-Standardvertragsklauseln nach Artikel 46 der DSGVO. Zusätzlich muss jedoch eine Prüfung vorgenommen werden, die das Datenschutzniveau ermittelt, um die Notwendigkeit „zusätzlicher Maßnahmen“ festzustellen.

Weil die Prüfung nicht geschah, entschied das Bayerische Landesamt für Datenaufsicht, dass Mailchimp von dem Unternehmen nicht weiter genutzt werden darf. Die Entscheidung der Datenschutzbehörde zeigt die Notwendigkeit der Einhaltung der Vorgaben bei der Übermittlung von Daten in Drittländer. Damit wird bei der Datenübertragung in die USA die Datenschutzkonformität in den Vordergrund gestellt.

Es liegt im Verantwortungsbereich des Unternehmens die Maßnahmen, die der Anbieter im Drittland trifft, datenschutzrechtlich zu prüfen, um die personenbezogenen Daten zu schützen. Daraus folgend kann das Unternehmen alternative Anbieter ermitteln oder den Aufwand für eine Umstellung festhalten.

Booking.com muss Strafe zahlen

6. April 2021

Weil Booking.com einen Datenschutzvorfall zu spät gemeldet hat, hat die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) eine Strafe in Höhe von 475.000 Euro verhängt. Bereits 2019 konnten Hacker auf die Daten von über 4000 Kunden zugreifen, darunter auch Personalausweis- und Kreditkartendaten. Die Entscheidung zeigt, dass nicht nur die Verhinderung von Datenpannen höchste Priorität hat, sondern auch der konstruktive Umgang mit den Betroffenen und der Aufsichtsbehörde, wenn es doch einmal zur Datenpanne gekommen ist.

Über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten haben die Hacker Zugang zu den Daten bekommen. Dieser Zugang könnte durch „social-engineering“-Techniken (im negativen Kontext: das Ausnutzen einer Schwachstelle eines Menschen) oder Phishing erlangt worden sein. Daher sieht sich Booking.com nicht in der Verantwortung und stellt sich auf den Standpunkt, die Daten seien nicht über die eigene IT-Infrastruktur abgegriffen worden.

Die AP sieht hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das große Problem für Booking.com ist jedoch, dass sie die Datenpanne erst nach 22 Tagen den betroffenen Kunden und nach 25 Tagen der Aufsichtsbehörde gemeldet haben. Nach Artikel 33 Abs. 1 DSGVO muss eine entsprechende Meldung aber binnen 72 Stunden nach Bekanntwerden beim Verantwortlichen erfolgen. Booking.com arbeitet nun an einer Verbesserung seiner internen Prozesse.

Freier Datenverkehr zwischen Südkorea und der EU

1. April 2021

EU-Justizkommissar Didier Reynders und der Vorsitzende der Kommission für den Schutz personenbezogener Daten Yoon Jong In haben den erfolgreichen Abschluss der Angemessenheitsgespräche bekannt gegeben. Die Gespräche begannen bereits 2017. Beim Thema Datenschutz herrsche ein hohes Maß an Übereinstimmung zwischen der EU und der Republik Korea. Beide Seiten einigten sich auf einige zusätzliche Garantien, um das Schutzniveau in Südkorea noch einmal zu stärken. Zuvor wurden im südkoreanischen Datenschutzgesetz entscheidende Änderungen beschlossen, u.a. eine Stärkung der Ermittlungs- und Durchsetzungsbefugnisse der PIPC, der unabhängigen Datenschutzbehörde der Republik Korea.

Bis es zum freien Datenfluss kommen kann, muss die EU-Kommission das Verfahren zur Annahme ihrer Angemessenheitsfeststellung einleiten. In diesem Verfahren muss der Europäische Datenschutzausschuss eine Stellungnahme abgeben und ein Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, zustimmen. Anschließend stellt sie die Angemessenheit fest.

Die EU-Kommission kann gemäß Art. 45 Abs. 3 DSGVO beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, also der Schutz personenbezogener Daten im Wesentlichen mit dem in der EU vergleichbar ist. Auf Grundlage dieser Angemessenheitsbeschlüsse dürfen personenbezogene Daten aus der EU in das Drittland übermittelt werden, ohne das weitere Schutzmaßnahmen ergriffen werden müssen. Südkorea wird das 13. Land sein, in das personenbezogene Daten auf der Grundlage eines Angemessenheitsbeschlusses übermittelt werden dürfen.

Weiter Diskussionen über die Zukunft von Cookie-Bannern

29. März 2021

Immer wieder zeigt sich in Umfragen, dass sich Internet-Nutzer von sog. Cookie-Bannern in ihrem Nutzungserlebnis eingeschränkt fühlen, oder diese wegen ihrer Komplexität nicht verstehen und deswegen oft ungeprüft akzeptieren. Auch die Politik beschäftigt sich seit dem Aufkommen der Cookie-Banner wiederholt mit der Frage, wie diese in Zukunft gestaltet werden sollen. Nun hat sich auch das Bundesjustizministerium dafür ausgesprochen, dass Cookie-Banner nutzerfreundlicher gestaltet werden sollen.

Auf eine Anfrage des Handelsblatt hin äußerte sich Staatssekretär Christian Kastrop, dass das Problem im Wesentlichen in der Gestaltung der Cookie-Banner liege. Diese würden durch die Anbieter undurchsichtig und kompliziert designed oder mit langen Texten versehen, sodass die Nutzer schnell genervt seien und die Cookie-Nutzung oftmals ungeprüft akzeptieren. Notwendig sei deshalb, die erforderliche Einwilligung „einfach, verständlich und rechtssicher“ auszugestalten.

Unterschiedliche Lösungsansätze

Die Regierungsparteien sind sich über die Art und Weise, wie dies erreicht werden soll, aber scheinbar nicht einig. Während die Union einheitliche Voreinstellungen, welche durch die Dienstanbieter verwaltet werden und dann für alle Webseiten gelten sollen, ins Spiel bringt, verweist die SPD auf eine europäische Lösung: die Regelung der Thematik in der neuen E-Privacy-Verordnung, welche nun bereits seit Jahren auf sich warten lässt. Diesen Weg schlägt auch die Landesbeauftragte für Datenschutz aus Schleswig-Holstein vor.

Verbraucherschützer fordern ebenfalls eine einfachere Regelung zum Schutz der Nutzer. Auch hier wird eine einheitliche Lösung über den Internet-Browser bzw. das Betriebssystem vorgeschlagen, jedoch als Standardeinstellung eine Verweigerung der Cookie-Nutzung gefordert. Der Verwendung von Cookie müsste dann ausdrücklich zugestimmt werden.

Nutzerfreundlichkeit sieht auch der Vorschlag der Hamburger Grünen vor, wonach zwei Schaltflächen für „Cookies akzeptieren“ und „Cookies ablehnen“ gleichberechtigt nebeneinander stehen sollen, also ohne Unterschiede im Design (wie Farbe oder Größe). Über eine dritte Schaltfläche könnten dann individuelle Einstellungen vorgenommen werden.

Nicht wenige Unwägbarkeiten

Die Diskussion über die Zukunft der Cookie-Banner ist gerechtfertigt. Für Dienstanbieter bedeuten Cookie-Banner Mehraufwand, für Nutzer regelmäßig unübersichtliche Ärgernisse. Eine nationale Regelung trifft jedoch sowohl auf tatsächliche als auch auf rechtliche Hindernisse. Einerseits erscheint es fraglich, welchen Mehrwert eine deutsche Regelung im länderübergreifend operierenden Internet bietet, andererseits müsste das Gesetz die europarechtlichen Vorgaben erfüllen.

Ähnliche Probleme ergeben sich bei der einheitlichen Cookie-Verwaltung. Die Anzahl der im Internet eingesetzten Cookies ist kaum zu überblicken, sodass es nur schwer vorstellbar ist, dass hier eine Auswahl aller in Betracht kommender Cookies möglich ist. Wird dann stattdessen in Kategorien von Cookies eingewilligt? Wenn ja, wie verhält sich dies mit der Vorgabe der Datenschutz-Grundverordnung in die Informiertheit einer Einwilligung? Dies alles sind Fragen, die in diesem Zusammenhang der Klärung bedürften.

1 2 3 4 7