Schlagwort: Landesdatenschutzbeauftragte

Adresshandel kurz vor dem Aus

11. Mai 2022

Ob Wahlwerbung oder Rabattcodes – die eigenen Adressdaten und Daten zu Vorlieben haben die werbenden Unternehmen mit großer Wahrscheinlichkeit von Adresshändlern. Sie tragen Daten zusammen, verkaufen sie an ihre Werbekunden und nehmen so eine integrale Rolle im Direktmarketing ein. Mehr als tausend Adresshändler soll es allein in Deutschland geben, sagt der Deutsche Dialogmarketing-Verband (DDV). Deren Praxis wird nun gefährdet von einem Vorhaben der Datenschutzbeauftragten des Bundes und der Länder, die darin einen Verstoß gegen die DSGVO sehen.

Kritik aus datenschutzrechtlicher Sicht

Bislang konnte sich die Praxis auf ein „berechtigtes Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage stützen, was nun laut einigen Datenschutzbeauftragten nicht mehr ausreichen soll. Dieser Gedanke ist nicht neu (wir berichteten ausführlich hier). Stattdessen brauche es eine Einwilligung, die informiert und freiwillig abgegeben worden sein muss. Der Verbraucher müsste also im Vorhinein darüber informiert werden, was mit seinen Daten passiert, wer der Empfänger welcher Daten ist und was wiederum beim Empfänger mit seinen Daten geschieht. Diese unaufgeforderte Aufklärung vorab ist für den Adresshändler de facto kaum umsetzbar. Die Aufklärungspflicht könnte damit eine echte Hürde für die gesamte Branche werden.

Ausblick

Diese Ansicht vertreten auf Anfrage der Süddeutschen Zeitung aktuell die Datenschutzbeauftragten von zehn Bundesländern. Man arbeite an einem Beschluss, um hier bundesweit einheitlich aufzutreten. Quer stellt sich allerdings vor allem die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen, Bettina Gayk, die das Stützen auf ein berechtigtes Interesse der Adresshändler an den Daten weiterhin für zulässig hält. Hierbei ist allerdings zu beachten, dass in Nordrhein-Westfalen mit Bertelsmann und der Deutschen Post immerhin zwei der größten Branchenvertreter ihren Sitz haben.

Ein Beschluss der Datenschutzkonferenz wird wohl noch etwas auf sich warten lassen. Aufgrund der großen Mehrheit der Datenschutzbehörden, die diese Ansicht vertreten, ist es jedoch wahrscheinlich, dass sich die Rechtslage für Adresshändler und damit für die gesamte Branche schon bald empfindlich spürbar verändert.

UPDATE: Kritische Schwachstellen in Microsoft Exchange Servern

18. März 2021

Durch die Ausnutzung von Sicherheitslücken erlangten Hacker Zugriff auf die Microsoft Exchange Server (wir berichteten). Die Lücken wurden inzwischen durch ein Windows-Update behoben.

Inzwischen äußerten sich auch weitere Datenschutzaufsichtsbehörden zu dem Vorfall. Einigkeit besteht hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf personenbezogene Daten stattgefunden hat. In diesem Fall ist die Meldung einer Datenpanne unerlässlich. Bei den Details unterscheiden sich die Meldungen jedoch.

Hier ein landespezifischer Überblick:

Auch Microsoft informiert über die technisch notwendigen Schritte. Darüber hinaus können sich Betroffene mit dem erst kürzlich veröffentlichten Microsoft On-premises Mitigation Tool (EOMT) wohlmöglich noch weiter absichern. Das Tool ersetzt die Sicherheitspatches allerdings nicht. Es kann auf der Github-Website von Microsoft heruntergeladen werden. Sind die Server abgesichert, lädt das Tool den Microsoft Security Scanner herunter. Dieser untersucht dann die Server auf schädliche Elemente.

LDA Brandenburg erklärt automatische Kennzeichenerfassung für unzulässig

7. Januar 2020

Die Landesbeauftragte für Datenschutz in Brandenburg (LDA) hat die automatische Kennzeichenerfassung (KESY) durch die Polizei für unzulässig erklärt.

Seit Jahren wurden an festinstallierten Standpunkten auf den Autobahnen in Brandenburg die Kennzeichen erfasst und gespeichert. Das Kennzeichenerfassungssystem im Aufzeichnungsmodus wurde von der Landesdatenschutzbeauftragten Dagmar Hartge gegenüber der Polizei beanstandet.

Der Grund für die Unzulässigkeit der Datenerhebung beruht auf der fehlenden Rechtsgrundlage. Die Polizei hatte die Datenverarbeitung bisher auf § 100h I 1 Nr. 2 StPO gestützt. Die fünfjährige Prüfung der Landesbeauftragten ergab jedoch, dass beim andauernden Aufnahmemodus nicht nur Beschuldigte (§ 100h I 1 Nr. 2 StPO), sondern überwiegend Unbeteiligte erfasst werden, in deren informationelles Selbstbestimmungsrecht ohne Rechtsgrundlage eingegriffen wird.

Hinzu kommen datenschutzrechtliche Mängel, da die Kennzeichenerfassung von den Staatsanwaltschaften in den Observationsbeschlüssen nicht als konkretes technisches Mittel angegeben worden sind. Indem die Polizei den Umfang der Datenverarbeitung selbst bestimmt hatte, verstieß sie gegen den Grundsatz der Datensparsamkeit und der Erforderlichkeit. Es wurden Daten gespeichert, obwohl sie nicht mehr für ein Ermittlungsverfahren aufbewahrt werden mussten.

Erste Maßnahmen zur Milderung der Datenschutzverstöße wurden von der Polizei bereits eingeleitet. So darf der Aufzeichnungsmodus nicht mehr dauerhaft, sondern nur noch auf konkrete Anordnung der Staatsanwaltschaft eingeschaltet werden. Weiterhin kritisiert wird die dauerhafte Speicherung der Kennzeichendaten.