Schlagwort: DSGVO
21. Januar 2021
Nachdem der zu Facebook gehörende Instant-Messenger-Dienst WhatsApp viel Kritik für die Einführung der neuen Datenschutzregeln erhalten hat, sogar Jan Böhmermann zum Boykott aufrief und viele Nutzer zu WhatsApp Rivalen wie Threema, Signal oder Telegram wechselten, verschiebt WhatsApp die Einführung der neuen Datenschutzrichtlinie.
Ursprünglich sollten die Nutzer bis zum 8. Februar den neuen Bedingungen zustimmen, wenn sie den Chatdienst weiter nutzen wollten.
Laut WhatsApp sollte durch die Änderung der aktualisierten Nutzungsbedingungen und Datenschutzrichtlinie vor allem die Kommunikation mit Unternehmen, die WhatsApp als Kommunikationstool mit ihren Kunden verwenden, verbessert werden. Nachdem einige Medien jedoch darüber berichteten, dass die Änderung dazu führe, dass WhatsApp nun auch die Daten deutscher Nutzer mit Facebook austauschen und zu Werbezwecken nutzen dürfte, hagelte es Kritik.
WhatsApp selbst teilte nach der Kritik nun mit, dass die geplante Aktualisierung erst ab dem 15. Mai gelten soll. Kein Account solle demnach am 8. Februar gesperrt oder gelöscht werden. An der Ende-zu-Ende Verschlüsselung, mit der weder WhatsApp noch Facebook die privaten Nachrichten seiner Nutzer lesen könne, solle nichts geändert werden. Ebenso wenig daran, dass WhatsApp keine Protokolle seiner Nutzer aufbewahrt oder Standortdaten speichert.
Eine Verschiebung des Datums soll WhatsApp nun dabei helfen, Fehlinformationen darüber, wie Datenschutz und Sicherheit bei WhatsApp funktionieren, auszuräumen.
Tatsächlich ist es so, dass WhatsApp, wenn auch der erfolgreichste Messenger-Dienst weltweit, in Sachen Datenschutz in Deutschland immer wieder in Kritik gerät. Dies vor allem deshalb, da der Austausch von Nutzerdaten mit anderen Unternehmen des Facebook-Konzerns als problematisch eingestuft wird und Facebook dadurch beispielsweise neben den jeweiligen WhatsApp Nutzerdaten auch Zugriff auf die Telefonnummern und sonstigen Informationen aus dem Adressbuch des jeweiligen WhatsApp Nutzers bekommt.
19. Januar 2021
Mit der Frage, ob eine Kundin ihre persönliche Bewertung einer Bäckereimitarbeiterin in einer Online-Rezension teilen durfte, musste sich vor kurzem das LG Essen (Az.: 4 O 9/20) beschäftigen.
Der Sachverhalt
Auf dem Bewertungsportal einer großen Suchmaschinenbetreiberin hinterließ die Kundin einer Bäckerei nach ihrem Besuch die folgende Bewertung:
“Ich bin hier immer zum Frühstücken und sonst auch immer zufrieden und finde das Team sehr sehr nett aber wurde heute so unfreundlich “bedient” von Frau (T…?)! Nicht schön in einer Bäckerei zu arbeiten aber Menschen derart unfreundlich zu behandeln.”
Die Bäckereiangestellte Frau T. verlangte daraufhin von der Suchmaschinenbetreiberin die Löschung der Rezension, mit Verweis auf das in der DSGVO bestehende Recht auf Löschung – in diesem Fall konkret Art. 17 Abs. 1 lit. d DSGVO.
Meinungsfreiheit und Betroffenrechte in Einklang bringen
Damit Frau T. tatsächlich ein Recht zur Löschung zusteht, müssen ihre personenbezogenen Daten unrechtmäßig verarbeitet worden sein. Entscheidend ist dabei eine Abwägung zwischen dem Recht der Freien Meinungsäußerung der Kundin und den Betroffenrechten von Frau T. Für eine solche Abwägung muss immer eine Abwägung im konkreten Einzelfall vorgenommen werden. Mit Art. 17 Abs. 3 bietet die DSGVO jedoch bereits selbst Anknüpfungspunkte dafür, wann Betroffenen kein Recht auf Löschung zusteht. Im vorliegenden Fall hat das LG Essen für seine Entscheidung Art. 17 Abs. 3 lit. a DSGVO herangezogen, wonach personenbezogene Daten nicht gelöscht werden müssen, wenn sie “zur Ausübung des Rechts auf freie Meinungsäußerung und Information” verarbeitet werden.
Ergebnis
Das LG Essen verneint damit ein Löschrecht von Frau T. Im Ergebnis muss die Suchmaschinenbetreiberin damit die in Frage stehene Rezension nicht löschen. Um sich nicht in die Gefahr eines Datenschutzverstoßes zu begeben, sollten Nutzer nichtsdestotrotz Vorsicht walten lassen. Im besten Fall sollte auf die Veröffentlichung von personenbezogenen Daten verzichtet werden.
30. September 2020
Der Digitalverband “Bitkom” hat am gestrigen Dienstag (29.09.2020) die Ergebnisse einer repräsentativen Umfrage vorgestellt, die unter mehr als 500 deutschen Unternehmen durchgeführt wurde. Dabei wird deutlich, dass längst noch nicht alle Unternehmen die “neuen” Datenschutzanforderungen umgesetzt haben. Gleichzeitig kritisieren die Teilnehmer die gesetzlichen Vorgaben sowie die Tätigkeit der Aufsichtsbehörden und monieren, die Datenschutz-Grundverordnung (DS-GVO) stelle ein Hindernis für technologische Innovationen dar.
Mehraufwand, Kritikpunkte und Verbesserungsvorschläge
Die wohl wichtigste Erkenntnis stellt die Bitkom direkt vorweg: auch mehr als zwei Jahre nach dem Inkrafttreten der DS-GVO haben noch längst nicht alle befragten Unternehmen die “neuen” datenschutzrechtlichen Vorgaben umgesetzt (nur 20% haben sie vollständig implementiert, 37% größtenteils, 35% teilweise und 6% beginnen erst mit der Umsetzung), und ganze 89% der Teilnehmer halten sie ohnehin für praktisch nicht vollständig umsetzbar. Zurecht bezeichnet Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung, diese Zahlen als ernüchternd.
Wie kommt es zu diesen Zahlen und der scheinbar allgemeinen Unzufriedenheit mit dem geltenden datenschutzrechtlichen Regelwerk? Neben der bereits erwähnten Frage, ob die Vorgaben überhaupt praktisch vollständig umsetzbar sind, werden folgende Punkte moniert: anhaltende Rechtsunsicherheit durch die gesetzlichen Vorschriften (74%), zu viele Änderungen oder Anpassungen bei der Auslegung (68%), fehlende Umsetzungshilfen durch die Aufsichtsbehörden (59%), uneinheitliche Auslegungsergebnisse innerhalb der EU (45%) und fehlendes Fachpersonal (26%).
All diese Probleme führten laut 36% der Teilnehmer seit dem Inkrafttreten der DS-GVO zu einem Mehraufwand, und 35% erwarten künftig noch eine Zunahme. Auch wirke sich das neue Datenschutzrecht auf die Umsetzung verschiedenster technologischer Innovationen aus: Datenpools könnten nicht aufgebaut (41%), Big Data oder künstliche Intelligenz nicht genutzt (31%), Geschäftsprozesse nicht digitlalisiert (24%) und neue Datenanalysen nicht verwendet werden (20%). Insgesamt seien bei 56% der befragten Unternehmen “neue, innovative Projekte wegen der DS-GVO gescheitert”, für 71% mache die DS-GVO Geschäftsprozesse komplizierter.
So fällt dann auch die Bewertung des geltenden europäischen Datenschutzrechts erst einmal negativ aus. Für 92% der Teilnehmer sind Nachbesserung an den bestehenden Regeln erforderlich, beispielsweise eine “praxisnähere” Gestaltung der Informationspflichten (91%), verständlichere Regelungen (85%) oder auch eine bessere Unterstützung durch die Aufsichtsbehörden (83%). Laut 12% der befragten Unternehmen führe die DS-GVO sogar zu einer Gefahr für die eigene Geschäftstätigkeit.
Datenschutz in der Pandemie
Auch in Zeiten der Covid-19-Pandemie erschwere das Datenschutzrecht die tägliche Arbeit bzw. die Umstellung insbesondere auf die Tätigkeit im Home Office. So würde wegen datenschutzrechtlicher Bedenken auf Kollaborationstools verzichtet (23%) bzw. diese nur eingeschränkt genutzt (17%), bei Cloud-Diensten würden 2% der Teilnehmer verzichten und 26% diese nicht vollumfänglich nutzen. Auch Videotelofonie werde eingeschränkt (10%) oder gar nicht genutzt (3%). Dasselbe gelte für Messanger-Dienste (4%). Um die Arbeit im Home Office dennoch besser koordinieren und kontrollieren zu können, haben 42% der befragten Unternehmen Leitlinien hierfür erstellt (20% hatten solche bereits vor der Pandemie implementiert) und bei 37% der Teilnehmer sind solche in Planung oder Diskussion. Nur 6% schließen solche Leitlinien grundsätzlich aus, in 13% der Unternehmen ist Home Office ohnehin untersagt.
Die teilnehmenden Unternehmen wurden aber nicht nur nach den unmittelbaren Auswirkungen der Pandemie gefragt, sondern auch danach, wie diese besser bewältigt werden könnte. So geben 62% der Teilnehmer an, mehr Möglichkeiten zur Datennutzung könnten helfen; Deutschland übertreibe es beim Datenschutz (40%). Aus diesem Grund könnten dann auch eigene Corona-Maßnahmen aus Datenschutzgründen nicht umgesetzt werden (10%). So sei in keinem der befragten Unternehmen eine eigene Corona-Tracing-App im Einsatz, in 22% der Unternehmen mit mehr als 500 Mitarbeiten sei dies aber geplant oder werde immerhin diskutiert.
Nicht nur Kritik, sondern auch positive Aspekte
Immerhin sehen die befragten Unternehmen auch positive Eigenschaften an der Datenschutz-Grundverordnung. So setze sie weltweit Maßstäbe für den Umgang mit Personendaten (69%), schaffe einheitliche Wettbewerbsbedingungen innerhalb der EU (66%) und führe gar zu einem Wettbewerbsvorteil für europäische Unternehmen (62%). So sehen dann auch 20% der Unternehmen insgesamt Vorteile für die eigene Geschäftstätigkeit.
Dass die durch die Bitkom befragten Unternehmen ganz überwiegend erheblichen Mehraufwand durch die Vorgaben der DS-GVO verzeichnen, überrascht nicht. Über Jahrzehnte hat das Thema “Datenschutz” in deutschen Unternehmen ein Schattendasein gefristet, nicht unbedingt wegen fehlender gesetzlicher Regelungen, sondern auch bedingt durch eine lasche Kontrolle seitens der Aufsichtsbehörden bzw. eines geringen Risikos durch Bußgelder. Dies ist unter Wirkung der DS-GVO nun anders. Betrachtet man auch die dargestellten positiven Effekte, so scheint es nicht ausgeschlossen, dass deutsche und europäische Unternehmen – nach einem durchaus verständlichen Stotterstart – langfristig durch das neue Datenschutzrecht profitieren könnten. Sicherlich muss aber auch immer wieder evaluiert werden, welche Regelungen des Datenschutzrechts Sinn ergeben, und welche eher “gut gemeint” waren, in der Praxis aber ihren Schutzauftrag nicht erfüllen.
22. September 2020
Der Big Brother Award, ein Datenschutz-Negativpreis, ging dieses Jahr unter anderem an Tesla und das Land Brandenburg. Der Award wird seit dem Jahr 2000 vom Datenschutzverein “Digitalcourage” und anderen Bürgerrechtsorganisationen verliehen. “Ausgezeichnet” werden Behörden oder Unternehmen, die gegen einschlägige Datenschutzbestimmungen verstoßen oder Personen überwachen und analysieren.
Brandenburg erhielt in der Kategorie “Behörden und Verwaltung” den Award wegen der dauerhaften Speicherung von Autokennzeichen. Auf Brandenburgs Autobahnen findet eine automatische Kennzeichenerfassung statt. Entgegen des Brandenburgischen Polizeigesetzes findet diese Erfassung ohne konkreten Anlass statt. Die erhobenen Daten werden im Computersystem für die automatische Kennzeichenerfassung (“KESY”) gespeichert. Die Behörden des Landes speichern in über 40 Millionen Datensätzen dauerhaft Informationen zu Fahrzeugen. Zugriff auf diese gespeicherten Daten hat wohl eine unüberschaubare Anzahl von Behördenmitarbeitern. Kritisiert wurde dieses Vorgehen bereits 2015 von der damals zuständigen Landesdatenschutzbeauftragten Barbara Hartge.
Die Auszeichnung an Tesla erging in der Kategorie “Mobilität” . In den Fahrzeugen werden systematisch die Innenräume und die Umgebung im Umkreis bis zu 250 Meter durch Außenkameras der Fahrzeuge aufgezeichnet, sowie Navigationsdaten erhoben. Zwar ist es dem Fahrer grundsätzlich möglich, diese Aufzeichnungsfunktion teilweise zu deaktivieren, welche personenbezogenen Daten gespeichert und auf Teslas US-Server übertragen werden, kann allerdings nicht kontrolliert werden. Nach Angaben von Tesla werden die erhobenen personenbezogenen Daten sowohl zur Verbesserung der autonomen Fahrsysteme als auch zu Marketingzwecken verwendet.
In der Kategorie “Arbeitswelt” erhielt H&M eine Auszeichnung. Beanstandet wurde, dass im H&M Kundencenter in Nürnberg jahrelang Beschäftigtendaten rechtswidrig verarbeitet wurden. So gab es einen für Führungskräfte und Teamleiter zugänglichen Computer-Ordner, in dem detailliert persönliche Informationen über die Mitarbeiter gespeichert wurden. Erhoben wurden beispielweise Informationen zu Beziehungen der Beschäftigten untereinander oder zu bevorstehenden Scheidungen. Ebenso wurden Angaben zu familiären Todes- oder Streitfällen festgehalten. Auch Krankheitsdaten von Mitarbeitern, die teilweise durch Teamleiter in Privatgesprächen erhoben wurden, wurden hier gespeichert.
Weiterhin wurden die Firma BrainCo und der Leibniz-Wissenschaftscampus Tübingen in der Kategorie “Bildung” ausgezeichnet. Sie entwickelten EEG-Stirnbänder, die über Gehirnstrommessung angeblich die Konzentration von Schülerinnen und Schülern messen können. Dabei wird der Konzentrationsgrad mittels LED auf dem Stirnband angezeigt und per Funk an die jeweilige Lehrkraft übertragen. Diese Technik wird wohl bereits vereinzelt in amerikanischen oder chinesischen Klassenzimmern eingesetzt. Der Leibniz-Wissenschaftscampus Tübingen kombinierte die EEG-Stirnbänder mit dem sogenannten Eyetracking. Hierdurch kann beispielsweise festgestellt werden, was ein Schüler gelesen hat und was nicht.
28. August 2020
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, kündigte an, dass er voraussichtlich aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen ergreifen müsse. Hintergrund ist das Patientendaten-Schutz-Gesetz (PDSG). In seiner derzeitigen Fassung verstoße es hinsichtlich der Einführung der elektronischen Patienake (ePA) stellenweise gegen die europäische Datenschutz-Grundverordnung (DSGVO). Dadurch könne es zu einer rechtswidrigen Verarbeitung von Gesundheitsdaten kommen. Gesundheitsdaten sind als eine besondere Kategorie von personenbezogenen Daten besonders schützenswert.
Schon während des Gesetzgebungsverfahrens des PDSG äußerte der BfDI Bedenken, dass die Patienten bei einer Einführung der ePA nach Vorgaben des PDSG nicht die volle Gewalt über ihre Daten hätten.
Der Zugriff auf die eigene ePA ist für Patienten nur dann datenschutzrechtlich sicher, wenn sie hierzu geeignete Smartphones oder Tablets nutzen. Werden keine geeigneten Smartphones oder Tablets für den Zugriff auf die ePA verwendet, wird nicht dokumentengenau kontrolliert, welche Beteiligte welche in der ePA gespeicherten Daten einsehen können. Darüber hinaus ist besonders problematisch, dass auch diese Zugriffsmöglichkeit über Smartphones oder Tablets erst ein Jahr nach der Einführung der ePA – also nach 2021 – möglich sein wird.
Dadurch, dass nicht dokumentengenau kontrolliert wird, welche Beteiligten welche in der ePA hinterlegten Informationen einsehen können, besteht die Möglichkeit, dass jeder Beteiligte, dem durch den Patienten Einsicht in die ePA gewährt wird, auch alle hinterlegten Informationen einsehen kann. Diese Einsichtsmöglichkeit ist unabhängig davon, ob die Kenntnis der konkreten Informationen erforderlich ist. Daher kann ein Facharzt für Psychiatrie beispielsweise in die vom Zahnarzt des Patienten in der ePA gespeicherten Informationen einsehen.
Patienten, die kein geeignetes Endgerät zur Einsichtnahme in ihre ePA zur Verfügung haben oder keine Einsichtnahme in ihre ePA über Smartphone oder Tablet nehmen möchten, haben keine Möglichkeit, eigenständig ihre ePA einsehen zu können. Auch eine Prüfung der erfolgten Zugriffe auf ihre in der ePA hinterlegten Daten ist somit nicht möglich.
30. Juli 2020
Mutmaßliche Rechtsextremisten versuchen, mit Drohbriefen Politiker oder Personen des öffentlichen Lebens einzuschüchtern. Über Polizeirechner in Hessen konnten die Täter unberechtigt Adressen, E-Mail-Adressen und Telefonnummern abfragen. Auch in Brandenburg und Berlin wurden solche unberechtigten Abfragen in den vergangenen zwei Jahren bekannt.
Wie die Senatsverwaltung für Inneres auf Anfrage am 27. Juli 2020 mitteilte, wurden gegen die Berliner Polizei deswegen in den letzten zwei Jahren rund 50 Strafverfahren wegen eines Verdachts des Verstoßes gegen das Landesdatenschutzgesetz aufgrund unberechtigter Datenabfragen eingeleitet.
Der Großteil dieser Verfahren wurde allerdings wegen mangelnden Tatverdachts eingestellt:
2018 wurden 24 Verfahren eingeleitet, von denen 23 wieder eingestellt wurden. In lediglich einem Verfahren wurde ein Strafbefehl erlassen.
Im Jahr 2019 wurden von 25 Strafverfahren gegen Bedienstete der Polizei Berlin 16 wegen mangelnden Tatverdachts und eines wegen geringer Schuld eingestellt. Die acht weiteren Strafverfahren sind bisher noch nicht abgeschlossen.
Nach Angaben der Innenverwaltung könnte es weitere Verdachtsfälle gegeben haben, bei denen sich aber unmittelbar herausgestellt haben könnte, dass der Zugriff auf die Daten rechtmäßig war. Das Berliner Datenschutzgesetz wurde Mitte 2018 reformiert. Dadurch können einige Verstöße als Ordnungswidrigkeit einzustufen sein, die bei der Polizei Berlin allerdings statistisch nicht erfasst werden.
Seit 2018 wurden deutschlandweit insgesamt mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen solcher unberechtigten Datenabfragen eingeleitet. Eine zweistellige Zahl dieser Verfahren wurde allerdings bereits eingestellt oder werden derzeit noch überprüft.
5. Juni 2020
Mit einer Stellungnahme vom 27.05.2020 erklärte der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, dass betriebliche Datenschutzbeauftragte auch während einer (Corona-bedingten) Kurzarbeit im Unternehmen unverzichtbar sind.
Denn auch für den Fall, dass ein Verantwortlicher in seinem Unternehmen Kurzarbeit einführt – dass also entweder in geringerem Umfang weitergearbeitet oder vorübergehend die gesamte Tätigkeit eingestellt wird – bleibt das Unternehmen an sich bestehen. Betriebliche Dateschutzbeauftragte sind insbesondere deswegen weiterhin von Bedarf, da Kunden- und Geschäftsbeziehungen auch während einer Kurzarbeit bestehen bleiben. Somit werden auch weiterhin personenbezogene Daten verarbeitet. Auch bringt die Corona-Pandemie neue datenschutzrechtliche Herausforderungen mit sich. So wurden durch Betriebe vermehrt Home-Office angeordnet oder Konferenzen und Besprechungen per Videosysteme abgehalten. Ebenso mussten teilweise die innerbetrieblichen Kommunikationswege mit neuen elektronischen Systemen und Anbietern sichergestellt werden.
Es obliegt weiterhin dem Verantwortlichen gemäß Art. 38 Abs. 2 der Datenschutz-Grundverordnung (DSGVO), dem Datenschutzbeauftragten zu ermöglichen, Kontroll- und Beratungsaufgaben wahrzunehmen.
Auch die Pflicht, einen Datenschutzbeauftragten nach Bundesdatenschutzgesetz (BDSG) zu benennen, besteht weiter. Dass in § 38 Abs. 1 S. 1 BDSG festgelegt ist, dass Verantwortliche dann einen Datenschutzbeauftragten zu benennen haben, “…soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”, soll nicht heißen, dass damit jegliche kurzzeitige Veränderung in Betriebsabläufen gemeint ist. Vielmehr muss hier eine langfristige Betrachtung der Verarbeitungsvorgänge vorgenommen werden. Solange auch im Anschluss an die Kurzarbeit mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Pflicht zur Bennenung eines Datenschutzbeauftragten nach Bundesdatenschutzgesetz gegeben.
Möglich ist, den Arbeitszeitumfang eines betrieblichen Datenschutzbeauftragten, der vor der Kurzarbeit in Vollzeit tätig war, zu verringern. Es muss jedoch stets gewährleistet sein, dass er seinen datenschutzrechtlichen Pflichten uneingeschränkt nachkommen kann.
Um dies zu gewährleisten, muss dem Datenschutzbeauftragten des Weiteren mit geeigneten Maßnahmen durch den Verantwortlichen ermöglicht werden, telefonisch und/oder per E-Mail erreichbar zu sein und ihre Posteingänge prüfen zu können.
20. Mai 2020
In Thüringen sind im Zuge der Corona-Pandemie bestimmte Dienstleistungsunternehmen, zum Beispiel Gaststätten, dazu verpflichtet, sogenannte „Corona-Listen“ zu führen. Ziel dieser Listen ist, dass im Falle einer möglichen Infektion mit SARS-CoV-2 von Kunden deren Kontaktpersonen festgestellt werden können. Damit können mögliche Infektionsketten nachverfolgt werden. In den „Corona-Listen“ werden personenbezogene Daten der Kunden wie Vor- und Nachname, Telefonnummer, E-Mail-Adresse und Adresse aufgenommen.
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, bezog hierzu Stellung. Er mahnte an, dass die Datenschutz-Grundverordnung auch in diesem Fall nicht außer Acht gelassen werden dürfe. Jeder Kunde, der im Rahmen dieser „Corona-Listen“ seine personenbezogenen Daten angibt, muss nach Art. 13 ff DSGVO Informationen über Datenerhebung und -verarbeitung erhalten. Dabei müssen insbesondere der Zweck der Datenverarbeitung und die Speicherdauer angegeben werden. Hasse merkte zur Speicherdauer an, dass diese höchstens zwei bis drei Wochen betragen dürfe.
Es sei davon abzusehen, fortlaufende „Corona-Listen“ auszulegen, bei denen Dritte Einblick in die bereits erfassten Daten anderer Gäste nehmen könnten. Selbiges gilt für das offene Führen von Büchern mit personenbezogenen Daten.
Problematisch ist weiterhin, dass für die Erhebung und Verarbeitung personenbezogener Daten entweder eine Rechtsgrundlage oder die freiwillige Einwilligung der betroffenen Personen vorliegen müssen. Dr. Lutz Hasse meint hierzu: „Eine Rechtsgrundlage kann ich, wie das Sozialministerium auch, derzeit nicht erkennen.“ Eine Pflicht zur Speicherung der personenbezogenen Daten von Kunden in Restaurants und bei Friseuren sei in der Corona-Verordnung Thüringens nicht festgelegt. Damit kann die Erhebung und Verarbeitung der personenbezogenen Daten alleine auf die Einwilligung der betroffenen Personen gestützt werden.
Bezüglich der Einwilligung sieht Hasse kritisch, dass diese mit einem Restaurantbesuch oder Friseurtermin zusammenhängt und zweifelt damit die Freiwilligkeit eine solchen Einwilligung an.
13. Februar 2020
Eigentlich sollte Facebooks Datingdienst am 13. Februar und damit pünktlich einen Tag vor Valentinstag in Europa verfügbar sein. Daraus wird aber nichts, wie die irische Datenschutzkommission (DPC) am 12. Februar bekanntgab. Erst 10 Tage vor dem geplanten Start, am 3. Februar, wurde die DPC von Facebooks EU-Headquarter in Irland über den geplanten Start von Facebook Dating informiert. Die DPC monierte, dass ihr keine Informationen und Dokumentationen über die Datenschutz-Folgenabschätzung (DPIA) oder den bei Facebook Irland abgelaufenen Entscheidungsfindungsprozessen vorgelegt wurden. Um die Beschaffung der erforderlichen Unterlagen zu beschleunigen hat die DPC am vergangenen Montag eine Inspektion in den Büros von Facebook Irland durchgeführt und Dokumente gesammelt. Am daraufolgenden Tag teilte Facebook der Datensschutzbehörde mit, dass die Einführung des Features verschoben wurde.
In den USA wurde das Dating-Feature bereits im September gelauncht. EU-Bürger müssen bis auf Weiteres auf anderen Plattformen auf Partnersuche gehen. Aber auch die stehen im Fokus von Untersuchunngen: So legten norwegische Verbraucherschützer gegen die Dating-App Grindr Beschwerde ein, auch Lovoo stand bereits in der Kritik und aktuell ermittelt die irische Datenschutzkommission, ob der Umgang mit personenbezogenen Daten der Dating-App Tinder im Einklang mit dem Datenschutzrecht steht.
8. Januar 2020
Das Amtsgericht Wertheim verhängte mit Beschluss vom 12.12.2019 (Az.: 1 C 66/19) ein Zwangsgeld in Höhe von 15.000 Euro (ersatzweise ein Tag Zwangshaft für je 500 Euro) gegen ein nach Art. 15 DSGVO auskunftspflichtiges Unternehmen.
Das Unternehmen war zuvor mit Anerkenntnisurteil vom 27.05.2019 (Az.: 1 C 66/19) verurteilt worden, Auskunft über die personenbezogenen Daten des Klägers, die bei dem Unternehmen verarbeitet werden, zu erteilen und diesem über die Informationen nach Art. 15 Abs.1 DSGVO Auskunft zu geben.
Das Gericht begründete seinen Beschluss nun mehr damit, dass das Unternehmen dieser Pflicht nicht vollständig nachgekommen sei. Insbesondere habe das Unternehmen nicht alle erforderlichen Informationen über die Herkunft der Daten des Klägers nach Art. 15 Abs. 1 lit. g) DSGVO erteilt.
Das Unternehmen legte dem Kläger zwecks Auskunftserteilung ein Schriftstück vor, dessen Erhalt der Kläger bestritt. Das Schriftstück gab die Kategorien der verarbeiteten Daten an und benannte als Herkunft der Daten in Klammern eine GmbH mit dem Zusatz „z.B.“.
Unabhängig davon, ob ein solches Schreiben tatsächlich an den Kläger übergegeben wurde, so das Amtsgericht, genüge dieses jedoch nicht den Anforderungen des Art.12 DSGVO. Die Information über die Herkunft der Daten werde in dem Schriftstück nicht in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt. Der Zusatz „z.B.“ mache das Schriftstück vielmehr unklar und irreführend, da für den Betroffenen nicht ersichtlich sei, ob die Daten wirklich von der benannten GmbH stammten.
Weiterhin führte das Gericht aus, dass aus dem Schriftstück auch nicht hervorgehe zu welchem Zeitpunkt und mit welchem Inhalt personenbezogene Daten übermittelt wurden.
Auch genüge es nicht mitzuteilen, welche Art oder Kategorie von Daten verarbeitet wurde. Entscheidend sei im Hinblick auf Art. 15 DSGVO vielmehr die Nennung der konkreten personenbezogenen Daten.
