Schlagwort: Tätigkeitsbericht

DSGVO erlaubt dauerhafte Datenspeicherung

19. Juni 2023

Das virtuelle Hausverbot und die dauerhafte Datenspeicherung

Die Datenschutzbehörde Sachsen berichtete in ihrem Tätigkeitsbericht für das Jahr 2022 von einem Fall, in dem es um die datenschutzrechtliche Zulässigkeit eines virtuellen Hausverbots und dessen Durchsetzung ging.

Ein Betroffener reichte eine Beschwerde bei der Aufsichtsbehörde ein, da seine E-Mail-Adresse bei einem Sozialen Netzwerk, einem Online-Club, gespeichert wurde, dem er früher angehörte. Das betreibende Unternehmen hatte zuvor seinen Zugang zum Club gesperrt. Der Betroffene forderte die Löschung aller seiner Daten. Das Unternehmen informierte die Behörde darüber, dass das Profil des Betroffenen gelöscht wurde, da er mehrfach und schwerwiegend gegen interne Regeln verstoßen hatte. Daher wurde gegen ihn ein virtuelles Hausverbot verhängt. Um dies durchzusetzen, wurden die E-Mail-Adressen der gesperrten (ehemaligen) Mitglieder in einer internen Blacklist gespeichert, um den weiteren Zugriff zu verhindern.

Die Datenschutzbehörde prüfte die Speicherung auf der Blacklist anhand einer Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO. Ihr Ergebnis lautete: “Basierend auf den vorliegenden Informationen konnte meine Behörde – unter Berücksichtigung der verschiedenen Interessen und betroffenen Rechte – keinen Verstoß gegen den Datenschutz feststellen.”

Zulässigkeit des “Hausverbots”

Die Behörde betrachtete das virtuelle Hausverbot grundsätzlich als zulässig. Sie verwies dabei unter anderem auf die Rechtsprechung des Bundesgerichtshofs. Der Betreiber hatte in den Nutzungsbedingungen das Recht festgelegt, den Zugang des Nutzers zeitweise oder dauerhaft zu sperren, insbesondere bei Verstößen gegen diese Bedingungen. Dies spielte eine Rolle im Hinblick auf das Merkmal der “vernünftigen Erwartungen” der Betroffenen gemäß Erwägungsgrund 47 der DSGVO. Um das Hausverbot durchzusetzen, war es nach Ansicht der Behörde auch erforderlich, dass bestimmte Informationen des ehemaligen Mitglieds, zum Beispiel in einer Blacklist, gespeichert blieben. Andernfalls wäre die Identität des Mitglieds für den Anbieter nicht mehr erkennbar und ein Nutzungsverbot nicht durchsetzbar. Darüber hinaus informierte der Betreiber auch in seinen Datenschutzhinweisen über die Verarbeitung zur Durchsetzung des Hausverbots. Die Behörde führt abschließend an, dass es ihrer Ansicht nach auch verhältnismäßig sei, Daten auf der Blacklist dauerhaft zu speichern.

Zusätzlich könnte als Rechtsgrundlage auch noch Art. 6 Abs. 1 lit. b DSGVO in Betracht gezogen werden, nämlich die Datenverarbeitung im Rahmen der Anbahnung eines (neuen) Vertragsverhältnisses oder zur Abwicklung des vorherigen Vertragsverhältnisses. In diesem Zusammenhang könnte die Frage der Erforderlichkeit aufkommen, die sicherlich vom Einzelfall abhängt (z.B. Inhalt des Vertrages und der Allgemeinen Geschäftsbedingungen, Möglichkeit des Unternehmens, sich auf die Vertragsfreiheit zu berufen).

Fazit

Für die Praxis lassen sich folgende Erkenntnisse ableiten:

  • Die Datenverarbeitung zur Durchsetzung eines virtuellen Hausrechts ist zulässig.
  • Betroffene sollten sowohl im Vertrag als auch in den Datenschutzhinweisen klar darüber informiert worden sein, wann dies geschehen kann und welche Konsequenzen es hat.
  • Es dürfen nur die Daten gespeichert werden, die tatsächlich zur Durchsetzung erforderlich sind.

BfDI legt Tätigkeitsbericht für 2022 vor

17. März 2023

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Professor Ulrich Kelber hat am 15. März 2023 den Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin spricht er insgesamt zehn Empfehlungen aus und befasst sich mit den verschiedenen Schwerpunktthemen.

Zahl der gemeldeten Verstöße nimmt zu

2022 gingen 10.658 Meldungen beim BfDI ein, das sind gut fünf Prozent mehr als im Vorjahr. Bürgerinnen und Bürger wendeten sich mit 6.619 Beschwerden und Anfragen an die Behörde. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) sei eine leicht fallende Tendenz in dieser Hinsicht zu beobachten. Der BfDI führt dies „auch auf die intensive Beratung z. B. bei Jobcentern und Finanzämtern zurück, die zur Verbesserung der Verarbeitungsprozesse und damit zu weniger Beschwerden geführt haben“ (S. 111).

Elektronische Patientenakte, Facebook-Fanpage, künstliche Intelligenz und mehr

Der Tätigkeitsbericht deckt zahlreiche Themenfelder ab. Viele davon sind und waren auch Teil der öffentlichen Debatte. So hält der BfDI das viel diskutierte Opt-Out-Verfahren bei der elektronischen Patientenakte grundsätzlich für möglich, sieht allerdings keine Erforderlichkeit, von der derzeitigen Opt-In-Lösung abzuweichen.

Auch die Anweisung gegenüber dem Bundespresseamt, den Betrieb von Facebook-Fanpages einzustellen, ist Teil des Tätigkeitsberichts. Nach Ansicht des BfDI ist ein datenschutzkonformer Betrieb nicht möglich. Inzwischen hat das Bundespresseamt beim Verwaltungsgericht Köln erhoben. Es ist der Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind“.

Der Einsatz von künstlicher Intelligenz (KI) wird im Tätigkeitsbereich an verschiedenen Stellen aufgegriffen. So empfiehlt der BfDI der Bundesregierung den Erlass eines Beschäftigtendatenschutzgesetzes, „in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden“. Zudem äußert er sich kritisch gegenüber der von der Europäischen Union geplanten Chat-Kontrolle. Diese biete „kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“ (S. 45).

 

Widerspruch gegen die Verpflichtung auf Datengeheimnis wirksam?

14. Dezember 2022

Der aktuelle 11. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) befasst sich mit diesem interessanten Thema aus dem Beschäftigtenkontext:

Bei der Einstellung eines neuen Mitarbeiters gehört es zum Standard, dass dieser eine entsprechende Erklärung zum vertraulichen Umgang mit personenbezogenen Daten bzw. der Einhaltung der datenschutzrechtlichen Anforderungen unterzeichnet.

Einen Mustertext findet man im Kurzpapier Nr. 19 der Datenschutzkonferenz (DSK), das auch im oben genannten Tätigkeitsbericht beiliegt (S. 51).

Das BayLDA erörtert in seinem Tätigkeitsbericht, welche Folgen es hat, wenn ein Beschäftigter sich weigert, die Verpflichtung auf das Datengeheimnis zu unterzeichnen.

Dürfen Beschäftigte ihre Unterschrift verweigern?

Nach Ansicht des BayLDA sei eine Unterschriftsverweigerung irrelevant.

Weigert sich der Arbeitnehmer, die Erklärung zu unterzeichnen, dann reiche es aus, dass der Arbeitgeber den bestehenden Prozess nachweist, den Beschäftigten auf die Einhaltung der datenschutzrechtlichen Pflichten hinweist und auch die Weigerung einschließlich des Umstandes der Weigerung dokumentiert. Zwar sieht das Gesetz dabei kein Formerfordernis für die Verpflichtung vor, dennoch empfiehlt es sich wegen der nachzukommenden Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO eine unterzeichnete Erklärung des Beschäftigten (in schriftlicher oder elektronischer Form) bereitzuhalten.

Schließlich kann sich durch die Weigerung des Beschäftigten die Einhaltung der datenschutzrechtlichen Pflichten, die sich insbesondere aus der DSGVO ergeben, nicht einfach ausgehebelt werden. Die Stellungnahme des BayLDA dazu ist für Arbeitgeber sehr praxistauglich.

Tätigkeitsbericht des Landesbeauftragten Mecklenburg-Vorpommern

16. Juni 2020

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heinz Müller hat am 16.06.2020 seinen Tätigkeitsbericht für das Jahr 2019 veröffentlicht.

Das Arbeitsvolumen der Behörde sei im Vergleich zu 2018 gestiegen. Insgesamt hat der Landesbauftragte 82 Mal von der Möglichkeit Gebrauch gemacht, eine aufsichtsrechtliche Maßnahme zu verhängen. Am häufigsten wurde eine Warnung ausgesprochen, als am wirksamsten hat sich aber die Androhung von Zwangsgeldern erwiesen. Im Zusammenhang mit der Nutzung von polizeilichen Informationssystemen für private Zwecke wurden 16 Bußgeldverfahren gegen Polizeibeamte eröffnet. Die Anzahl der gemeldeten Datenpannen (108) ist im Vergleich zu 2018 fast konstant geblieben. Die geringe Zahl der anlassunabhängig durchgeführten Prüfungen (3) begründet Müller damit, dass Personal fehlt und fordert mehr Mittel für seine Behörde.

Insgesamt gingen 2019 533 Eingaben und Beschwerden bei der Behörde ein. Ein Großteil bezog sich auf die Nichtbeachtung der Betroffenenrechte. Auch zu Videoüberwachungsanlagen und Videokameras im privaten und nachbarschaftlichen Bereich gingen häufig Beschwerden beim Landesbeauftragten ein.

Darüber hinaus stellt der Landesbeauftragte im Tätigkeitsbericht seine Arbeit bei der Datenschutzkonferenz im IT-Planungsrat vor und das Gemeinschaftsprojekt Medienscouts MV, bei dem Jugendlichen und Kindern Risiken der „digitalen Welt“ aufgezeigt werden. Im Bericht wird außerdem Bezug auf das Informationsportal „Neutrale Schule“ des Landesverbandes der AfD und die Untersagung des Betriebs der Website durch den Landesbeauftragten Bezug genommen. Auch die umfangreiche Stellungnahme zum Entwurf eines Gesetzes über die Sicherheit und Ordnung in Mecklenburg-Vorpommern (SOG M-V) sei ein wichtiges Thema in 2019 gewesen.

Kein eigenständiges Recht auf Herausgabe von Datenkopien

18. Juli 2019

Der hessische Beauftragte für Datenschutz hat am 24. Juni 2019 seinen 47. Tätigkeitsbericht veröffentlicht. Dabei hat er Stellung zur umstrittenen Frage bezüglich des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO genommen.

Gemäß Art. 15 DSGVO erhalten die Betroffenen das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Art. 15 Abs. 3 DSGVO regelt zudem, dass die verantwortliche Stelle dem Betroffenen „eine Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen müsse.

Zum Teil wird vertreten, dass es sich bei Art. 15 Abs. 3 DSGVO um einen eigenständigen Anspruch des Betroffenen handelt, der dazu berechtigt, von dem Verantwortlichen alle Daten in der Form heraus zu verlangen, wie sie dem Verantwortlichen vorliegen. Diese weite Auffassung des „Kopie“-Begriffs führt zu einem allgemeinen Informations- bzw. Akteneinsichtsrecht. Der Hessische Datenschutzbeauftragte legt demgegenüber den „Kopie“-Begriff aus Art. 15 Abs. 3 DSGVO einschränkend aus. Insofern müssen den Betroffenen nicht sämtliche sie betreffende Dokumente in Kopie zur Verfügung gestellt werden. Vielmehr reicht es aus, wenn diesen eine „sinnvolle strukturierte Zusammenfassung“ bereitgestellt wird, die den Betroffenen im Kontext kenntlich macht, welche Daten zu ihrer Person verarbeitet werden.

Diese Auslegung würde vor allem dem Sinn und Zweck der DSGVO entsprechen. Bei einer weiten Auslegung bestünde die Gefahr, dass ein faktisch entstehendes Informations- und Akteneinsichtsrecht für Ziele missbraucht werde, die mit dem bezweckten Schutz von natürlichen Personen in keinem Zusammenhang stünden. Lediglich in einzelnen Fällen kann aus Art. 15 DSGVO die Pflicht zur Übersendung einer Kopie eines bestimmten Dokuments entstehen, wenn zum Beispiel die Übersendung zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung zwingend notwendig ist.

Ulrich Kelber stellt Jahresbericht des BfDI vor

9. Mai 2019

Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat gestern den Jahresbericht seiner Behörde für das Jahr 2017/2018 vorgestellt. Insgesamt konnte daraus ein positives Fazit gezogen werden. Er spricht von einer “Zeitenwende im Datenschutz”. Seit dem 25. Mai 2018 wurden 6507 allgemeine Anfragen gestellt und 3108 Beschwerden. Im Jahr 2017 war es noch die Hälfte.

Bei den Informations- und Dokumentationspflichten, die viele Unternehmen belasten, gebe es noch Nachbesserungsbedarf. Aus Angst den Bestimmungen nicht gerecht zu werden, wurden beispielsweise Foren oder Webseiten sicherheitshalber eingestellt. Diese Angst soll durch Hilfestellungen genommen werden.

Kelber warnte jedoch vor Grundrechtseingriffen durch die Sicherheitsbehörden: “Bevor weitergehende Möglichkeiten für Grundrechtseingriffe geschaffen werden, sollten die Sicherheitsbehörden besser erst einmal bereits bestehende Kompetenzen komplett ausschöpfen.”

Zwei Männer, ein Thema, zwei Welten

24. Februar 2016

Es ist ein Zufall, wie er manchmal in der Berichterstattung vorkommt, und er verdeutlicht, wie unterschiedlich die Welten und Ansichten sind wenn es um das Thema Datenschutz geht.

Innerhalb von 5 Stunden veröffentlichte heise online gestern erst die Nachricht über das “düstere Fazit” des Datenschutzbeauftragten von Sachsen-Anhalt, Harald von Bose, und anschließend die Forderung des Kanzleramtsministers Peter Altmaier (CDU), die Grenzen der Datensparsamkeit zu erkennen und das Konzept der informationellen Selbstbestimmung neu zu denken.

Beide Männer haben somit dasselbe Thema, nämlich Datenschutz, aber die Ansichten und Forderungen könnten unterschiedlicher nicht sein.

Während Peter Altmaier die (in solchen Fällen gerne genannte) Terror-Bedrohung als Allzweck-Argument für die massenhafte Erhebung, Verarbeitung und Speicherung von Meta- wie auch persönlichen Daten (und deren Verknüpfung untereinander) heranzieht, sieht Harald von Bose in genau jenem Argument lediglich einen Vorwand, der vor allem dazu diene, den Sicherheitsbehörden (noch) mehr Befugnisse zu geben.

In seinem Tätigkeitsbericht sieht der sachsen-anhaltische Datenschutzbeauftragte Widersprüche zwischen Anspruch und Wirklichkeit. Zwar habe der Europäische Gerichtshof in seinen Entscheidungen zum “Recht auf Vergessen” und zum Verhältnis von EU und USA als nicht sicherem Datenhafen die Grundrechte gestärkt. Umsetzungen in der Praxis ließen aber vielfach auf sich warten. Stattdessen würden die Menschen immer gläserner, ob als Bürger, als Verbraucher, als Kunde, im Verhältnis zum Staat, zu Unternehmen und zu anderen Menschen, auch als Autofahrer, als Patient, zu Hause, am Arbeitsplatz oder in der Öffentlichkeit. Algorithmen erfassen und steuern zunehmend das Verhalten bis hinein in die Gedankenfreiheit, so Harald von Bose in seiner Pressemitteilung vom 23.02.2016.

Im Verhältnis von Freiheit und Sicherheit sieht er den Staat eindeutig auf der Seite der (vermeintlichen) Sicherheit und in der Übermacht. Das, was Harald von Bose also als Gefährdung der Privatsphäre und damit der freien Gesellschaft insgesamt sieht, stellt für Peter Altmaier den aus seiner Sicht wohl wünschenswerten Anfang des Endes der Datensparsamkeit dar. Nach seinen Forderungen sollten sämtliche Daten von sämtlichen Stellen den Sicherheitsbehörden zur Verfügung gestellt und das Konzept der informationellen Selbstbestimmung neu gedacht werden. Man darf davon ausgehen, dass ein solches “neu denken” des Konzepts der informationellen Selbstbestimmung wohl kaum zu mehr Datenschutz für die Bürger führen würde.

Die beiden konträren Ansichten zweier Männer über ein Thema an einem Tag zeigen Fragen auf, die sich Viele stellen:

In welcher digitalen Welt wollen wir leben? Können und wollen wir die digitale Zukunft (und Gegenwart) mitbestimmen? Es sind auch grundsätzliche und persönliche Fragen, die manchen vielleicht an die ein oder andere Schulstunde erinnern: War ich Fan oder Gegner von George Orwells “1984” und Aldous Huxleys “Brave New World”?

Hier geht es um Fragen, die in Form von verschiedenen Themen immer wieder in den Nachrichten oder Foren auftauchen. So z.B. die Übertragung von Gesundheitsdaten an Krankenkassen durch sog. Wearables, die Übertragung des Fahrverhaltens an Autohersteller oder auch die Einschränkung von Suchergebnissen in Internetsuchmaschinen.

Es sind Fragen und Entscheidungen, die möglichst frei und informiert beantwortet und getroffen werden sollten. Sowohl von Jedem einzelnen als auch der Gesellschaft als Ganzem.